黑客之门脆弱的网络传输加密【ALLyeSNO】

Author : ALLyeSNO

Team   : FreeXploiT

Date   : 2005-06-11

Site   : http://blog.csdn.net/freexploit

黑客之门无疑是一款非常出色的后门. So,从他一开始我就仔细的去观察和研究他。有一天一个小子在我威逼

色诱之下老老实实恭恭敬敬的把某黑客之门XX工具孝敬了给我(这小子还不错有钱途，哈哈)，让我对黑客之门的

加密方式产生了兴趣。

黑客之门在本地加密有着致命的弱点。

本地加密文件已经有密码读取器，大家可以找来使用，这个不多谈。而黑客之门远程传输密码的时候

当用nc传输字符串的时候是明文的，所以也是很容易捕捉密码。这个大家也可以用嗅探器去嗅探不多谈。

而很多人为了安全就把黑客之门自己改了，这样密码读取器就失效了，而远程的时候则采用了黑客之门

自身提供的客户端hdclient.exe 我们通过对他的嗅探发现 嗅探到的不是明文密码 而是一堆乱码。

对服务端改造以及使用hdclient.exe连接 是否这样就安全了呢？以下我将采用嗅探的方式对hdclient

的传输数据进行分析。


我们先写一个简单的bat脚本用于嗅探,我这里用了nc做嗅探器，nc好啊又可以开启端口，又可以嗅探

其实什么都可以，你喜欢咯。。代码不贴了，在后面附件可以下载

我们运行 ncforever -look

我们本地运行这个脚本嗅探 127.0.0.1 80 端口以后，我们随机使用几个密码来测试看看

usage:hdclient destip [port] [-p password] [-t logintype]

A:hdclient 127.0.0.1 80 -p 111 (传递了密码111)
B:hdclient 127.0.0.1 80 -p 222 (传递了密码222)
C:hdclient 127.0.0.1 80 -p 333 (传递了密码333)

截获数据对应如下：

A:[|r/ks<pH>>> +R.V2?wNxxxH@MO-vD4peee
B:[|r/ks<pHvvv +R.V2?wNfffH@MO-vD4pqqq
C:[|r/ks<pHggg +R.V2?wN333H@MO-vD4pggg

太明显了，稍微仔细就可以看出来

数据中不变的字符串有三段  (隔壁是国术馆店里面的妈妈桑 茶道 有三段!)

1. [|r/ks<pH
2. +R.V2?wN
3. H@MO-vD4p

而其中间的变化的字符串是

A:>>> xxx eee
B:vvv fff qqq
C:ggg 333 ggg

我们大胆的猜测就是加密后的字符串，而且从其形式上看，采用的是固定方法进行加密字符串

如果没有猜错的话则是

数字 1 对应 > x e
数字 2 对应 v f q
数字 3 对应 g 3 g

我们把密码混合一下进行测试

hdclient 127.0.0.1 80 -p 123

截获如下:

[|r/ks<pH>vg +R.V2?wNxf3H@MO-vD4peqg

将其与固定字符串分离得到：

>vg xf3 eqg
123 123 123

证明我们的猜测是正确的

下面就是如何获取这个加密算法的问题，有两种可能，

1。采用的是某种已知的加密算法 2。采用的是密码字典 我比较倾向第二种可能，我们先提取一个简单的密码对应表看看

下面是用ncforever嗅探，然后比对获取的密码对照表(ASCII)：

数字

decrypt : 0123456789  0123456789  0123456789

encrypt : '>vg:Eb9~%  dxf3#Ym%Zo  Peqg*T7oc{

字母

decrypt1 : abcdefghijklmnopqrstuvwxyz  ABCDEFGHIJKLMNOPQRSTUVWXYZ

encrypt1 : Sm0PLq3)u=V17n{wtR28If4e,z  aj[rYGsN<yJ/|pkiKMCh^-(WTc

decrypt2 : abcdefghijklmnopqrstuvwxyz  ABCDEFGHIJKLMNOPQRSTUVWXYZ

encrypt2 : C7'i/tglI]->9n&48Mv~<q:LFz  S= RTs2p?,y.+wVuJ|[)B!U(h0

decrypt3 : abcdefghijklmnopqrstuvwxyz  ABCDEFGHIJKLMNOPQRSTUVWXYZ

encrypt3 : [9du.831<6!x%nA:~|fZ?t#/Gz  C]HMh2vwDF,O@4-Iy+ ljQ^U)'

符号(代表空格)

decrypt :  `~!@#$%^&*()-_=+/|[{]};:'",<.>/?

encrypt :  $ZQ}*5oBA;Ul!`]@/+&6_X#d"F?Ox.D

我望着这几份密码表百思不得其解。先拿W32Dasm看看.在串考里发现了这个东东"HQ"*5oAdUl;@F!O.'>vg:Eb9" 其中的 >vg 跟 密码表中

的 123 也是对应的，ok那么再大胆的猜测，hdclient中的确保存了一份明文所对应的密码表

"HQ"*5oAdUl;@F!O.'>vg:Eb9" 到9就结束了 而9对应的字符应该是7 明显不符合逻辑。我们再打开UE然后查找Eb9这样的字符串

呵呵 果然都在那里呢：）W32Dasm的串考没有显示完全，而在UE就看得非常清楚了

HQ"*5oAdUl;@F!O.'>vg:Eb9~%#X?]xD}aj[rYGsN<yJ/|pkiKMCh^-(WTc /6B`$Sm0PLq3)u=V17n{wtR28If4e,z&+_Z

呵呵 知道为什么是这个顺序吗，打开ASCII表一对照，一模一样：）

也就是说密码的加密算法可能是把ASCII(dec) 32-126按顺序赋值到这串加密字符串中,使用的是最基本的替代密码

(substitution cipher). 密码和加密字串进行一对一的映射，期间顺序没有改变。(还蛮简单的加密方式)

ACSII(dec) 32-126传送的是加密字符，而其余的则为明文字符 例：传送汉字 我爱你 的时候 截获的密码就是 我爱你

(对unicode没加密)

decrypt :  !"#$%&'()*+,-.:;<=>?@[/]^_`{|}~

encrypt :  HQ"*5oAdUl;@F!O#X?]xD}/6B`$&+_Z

我们从刚才的嗅探知道 111 的密码会被加密成 [|r/ks<pH>>> +R.V2?wNxxxH@MO-vD4peee

111 会有 >>> xxx eee 三种形式 而在hdclient中的明文字典所能对应的是第一种形式 其他两种就没有明文显示.

虽然 xxx eee 并没有相应的字符串，但是我猜测是根据1 对应 >变化而来的。通过密码表格的前后对照就可以发现

xxx 是密码 1 加密一次以后 把加密值作为 密码再进行一次加密 得出

eee 是密码 1 加密一次以后 把加密值作为 密码再进行一次加密 再把其加密值变成密码 再次加密

过程:

1 -> x :

1 加密为 > 再加密为 x

1 -> e :

1 加密为 > 再加密为 x 再加密为 e

通过简单的分析，其实这堆乱码跟明文根本没什么区别，采用的是固定的加密方式。

黑客之门网上传送密码的方式有两种

hdclient.exe 127.0.0.1 80 -p [password] 只支持 23 位密码

hdclient.exe 127.0.0.1 80 -p 回车在对话对输入密码 只支持 22 位密码

而本地只支持31位长度的密码加密，所以你的密码大于 22/23 位就没有意义了。

黑客之门的登录方式有 7 种

usage:hdclient destip [port] [-p password] [-t logintype]

-t 登录方式

-t 0 NC 登录方式

-t 1 黑客之门专用登录方式

-t 2-6 2-6的参数没给出说明，我们暂时猜测其功能是为了躲避检测固定字符串的防火墙和ids,等下解密看看

登录字符串类型用ncforever嗅探对应如下：

Type  String

0     p[/ks<pH  (H为空格,UE下查看为.,16进制00)

1     [|r/ks<pH (默认传输方式)

2     sMaiN-<Y(/ks<pH

3     sMaiN[hM/ks<pH

4     G</YhMapC/ks<pH

5     H

6     H

这些看起来象乱码的字符串，根据上面已知的密码对照表我们进行解密，结果如下

0 NCLOGIN (NC 登录模式)

1 CMDLOGIN (CMD 登录模式)

2 GRAPHVIEWLOGIN (图表观察 登录模式)

3 GRAPHCTRLOGIN (查不到这个单词)

4 FILETRANSLOGIN (文件传输模式 登录模式)

5 (无意义)

6 (无意义)

现在知道了 这些乱码都是加密后的登录方式控制符号

下面是整理好的ASCII密码对照表

encrypt : HQ"*5oAdUl;@F!O.'>vg:Eb9~%#X?]xD}aj[rYGsN<yJ/|pkiKMCh^-(WTc /6B`$Sm0PLq3)u=V17n{wtR28If4e,z&+_Z
decrypt : !"#$%&'()*+,-./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[/]^_`abcdefghijklmnopqrstuvwxyz{|}~

当我们使用嗅探器在网上获取黑客之门的加密字符串以后，就可以按照密码表格进行破解了

由于黑客之门传送密码的时候，把一个密码分别加密了三次，并连在一起，所以我们解密时只需要选取第一段加密字串

加密字串的一般格式是这样的,例如我们传送 10 这两个字符作为密码

p[/ks<pH>' p[/ks<pH>' p[/ks<pH>' (p[/ks<pH字串之间的就是加密后的字串)

[|r/ks<pH>' +R.V2?wNxdH@MO-vD4peP ([|r/ks<pH与空格+R.V2?wN与@MO-vD4p之间的是加密后的字串)

sMaiN-<Y(/ks<pH>'2|Sup!?TU.V2?wNxdv+CIwQDh^O-vD4peP (sMaiN-<Y(/ks<pH与2|Sup!?TU.V2?wN与v+CIwQDh^O-vD4p之间的是加密后的字串)

sMaiN[hM/ks<pH>'2|Sup )|.V2?wNxdv+CIwHl+O-vD4peP (sMaiN[hM/ks<pH与2|Sup )|.V2?wN与v+CIwHl+O-vD4p之间的是加密后的字串)

G</YhMapC/ks<pH>'s?.T)|Sw[.V2?wNxd2DOhl+C4 O-vD4peP (G</YhMapC/ks<pH与s?.T)|Sw[.V2?wN与2DOhl+C4 O-vD4p之间的是加密后的字串)

H>'NxdpeP (NHP之间的是加密后的字串)

大家把提取出来的加密字串跟密码表对应即可解密，我这里给出一个简单的解密程序 在附件下载

分析后记:

分析加密时间2天 用bat写解密程序两个星期！（N久）

附件下载

附件 黑客之门脆弱的网络传输加密.rar ( 下载次数: 0 )
附件: 黑客之门脆弱的网络传输加密.rar [需 0 社区元下载]