时间:2022-05-24 08:24:36
自从去年诺顿杀毒软件误杀系统文件后,它在用户心目中的地位就有所下降。谁知道这家伙竟不知悔改。在前段时间曝出一个2967端口高危漏洞以后。居然默不作声地像没有任何事发生一样。任由我等诺顿的用户成为黑客手中的“肉鸡”。真不知道它是保护系统安全的,还是在系统中为黑客充当帮凶的。下面。我就模拟黑客的攻击,让大家看清这个高危漏洞对我们系统的危害。
前期准备
首先配置一个木马服务端,其容量尽量要小,因此我选择的是GhOst RAT木马。点击其客户端中的“Settings”标签,在“主机/域名”和“端口”中分别设置连接的IP地址和端口。这时在“上线字串”中会出现一段字符串,将其复制后点击“Build”标签,在“域名上线字串”中粘贴这段字符串即可。最后,点击“生成服务端”按钮,并将生成的服务端文件上传到自己的网络空间中。
扫描漏洞
运行《纯真IP地址数据库》的管理工具,选择“地址叫P段”这一项,并在“查询字段”中根据需要输入IP地址信息。比如我这里输入“美国”,因为美国拥有许多的诺顿用户,然后点击“查询”按钮就可以获得大量的美国IP地址段。下面运行《诺顿自动溢出机》,它会自动识别操作系统的版本,从而采取相应的扫描方式。比如WinXP默认的扫描方式是TCP,而Win2000和Win2003则默认为SYN扫描。现在选择一段美国的IP地址填入窗口,点击“扫描漏洞”按钮。
定制黑招
在利用《诺顿自动溢出机》进行漏洞扫描的时间里,还需要进行其他内容信息的修改。打开《诺顿自动溢出机》程序目录中的up.txt文件,其中的脚本代码有两个作用:一是添加一个名为admin的隐藏的管理员账户,二是从指定的网络空间中下载木马服务端文件并执行。这里大家可以根据自己的实际情况进行修改,从而方便后面的木马上传操作。比如将misswe和123456换成自己的FTP用户名和密码,换成自己网络空间的FTP地址,muma.exe替换成自己的木马服务端文件名等。
溢出传马
当漏洞端口扫描完成以后,点击《诺顿自动溢出机》中的“整理IP”按钮,在弹出的文本记录窗口中可以看到多个开放2967端口的IP地址(2967端口就是诺顿用于数据通信的端口)。这里我们将IP地址以外的信息,包括端口信息、介绍信息等全部删除,并点击“批量溢出”按钮,设置自己的公网IP地址(局域网用户必须使用端口映射,否则溢出数据无法连接到本机)。当《诺顿自动溢出机》开始批量溢出时,会弹出多个命令提示符窗口,溢出成功后就可以通过FTP命令上传木马服务端文件了。如果你觉得手工上传太麻烦,可以点击其窗口中的“全自动溢出抓鸡”按钮,这样它就能自动完成木马的上传操作了。当对方的电脑中了木马之后,自然就成了你任意控制的“肉鸡”。
防范方法
如果你也是诺顿的用户,并且不想自己的电脑成为黑客手中的“肉鸡”的话,那么有两个防范方法可以考虑:一是卸载诺顿,使用其他的杀毒软件;二是安装一个好用的网络防火墙,来屏蔽诺顿使用的2967端口(由于无法扫描到这个端口,黑客也就无法进行溢出控制操作了)。