本人喜歡東躲西藏,所以總結出了一些隱藏的方案,具體看情況定了。
那麼一般進入一台伺服器後隱藏自己的手段有:
1、superdoor克隆,但是有bug。榕哥的ca克隆,要依賴ipc,也不是很爽。
2、創建count$這樣的隱藏帳號,netuser看不到,但是在“管理->用戶”裏可以看到,而且在“我的電腦->屬性->用戶配置文件”裏顯示未知帳號,而且在document and setting裏,會有count$的文件夾,並不是特別好,我在3台左右機子上作了結果都被kill了。
3、寫一個guest.vbs啟動時創建一個帳號或者激活guest用戶或者tsinternetuser用戶,在註冊表裏的winlogon裏導入鍵值(事先做好),讓他開機自運行guest.vbs,這樣就創建了一個幽靈帳號。
或者導入在[HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor]
"AutoRun"="C:\\Program Files\\guest.vbs"
這樣是關聯到cmd,只要運行就創建。
4、像冰河那樣關聯到txt、exe,運行txt就運行我們的程式。
5、在組策略裏配置自運行項。
6、設置文件關聯,重要運行記事本或者什麼就激活vbs。
7、種植hackdefender、hack'sdoor、winshell、武漢男生之類的後門,但是容易被查殺。如果沒有改造幾乎沒有效果,如果不被殺,那就……嘿嘿!
8、夾雜文件,把經常用到的文件替換成rar自解壓文件。既包含原exe文件,又運行自己的程式(就是winrar做的不被查殺的捆綁),運行後就重復3,4,5的步驟,隨便你了。
9、尋尋覓覓之間,發現hideadmin這個玩意好不錯,要求有administrator許可權,隱藏以$結尾的用戶,帥呆了!命令行,管理介面,用戶配置文件裏都找不到他的身影,一個字,強!強到我搞了好半天都不知道怎麼去除了,只有讓他呆著吧!接著教主也有一個工具,有異曲同工之妙。
10、替換服務,將telnet或者termsvc替換成別的服務或者建一個新的。
11、手工在註冊表中克隆隱藏賬號,網上流傳的一個看似很爽的方法,但經本人的2000 server測試也許是不在域中的原因,根本不存在domains或者account這個鍵值,所以也就無從找起了。
但還是詳述一下:
Windows 2000和Windows NT裏,默認管理員帳號的SID是固定的500(0x1f4),那麼我們可以用機器裏已經存在的一個帳號將SID為500的帳號進行克隆,在這裡我們選擇的帳號是IUSR_MachineName (為了加強隱蔽性)。
在cmd下,
regedit /e admin.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4
將SID為500的管理員帳號的相關資訊導出,然後編輯admin.reg文件,將admin.reg文件的第三行
[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4]
最後的’1F4’修改為IUSR_MachineName的SID(大部分的機器該用戶的SID都為0x3E9,如果機器在最初安裝的時候沒有安裝IIS,而自己創建了帳號後再安裝IIS就有可能不是這個值),將Root.reg文件中的’1F4’修改為’3E9’後執行然後另外一個是你需要修改那個賬號的值。
regedit /e iusr.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000003E9
將iusr.reg文件中“'V'=hex:0”開始一直到iusr.reg文件結束部分複製下來,然後替換掉adam.reg中同樣位置的部分。最後使用 regedit /s adam.reg 導入該Reg文件,然後運行 net user IUSR_MachineName password 修改IUSR_MachineName的密碼。ok,大功告成!
現在IUSR_MachineName賬號擁有了管理員的許可權,但是你使用net.exe和管理工具中的用戶管理都將看不到任何痕跡,即使你去察看所屬於的組和用戶,都和修改前沒有任何區別。
沒有留言:
張貼留言