|
|
本人喜欢东躲西藏,所以总结出了一些隐藏的方案,具体看情况定了。 + u2 Z+ A B6 w7 E8 d4 }/ K
- r& V& }3 |; x$ r6 Y3 S
那么一般进入一台服务器后隐藏自己的手段有:
. o. V. j5 d+ I6 `( e) b3 m# _. e7 @4 u; y4 U$ l. g+ y) v2 Y4 ~& D
1。superdoor克隆,但是有bug。榕哥的ca克隆,要依赖ipc,也不是很爽。
w$ g! \" b; [/ L6 M7 Z
" J4 y5 c `* K' M; o+ X3 `) h2。创建count$这样的隐藏帐号,netuser看不到,但是在管理》用户里可以看到,而且在我得电脑属性》用户配置文件里显示未知帐号,而且在document and setting里,会有count$的文件夹,并不是特别好,我在3台左右机子上作了结果都被kill了。 8 r6 Y6 T6 B/ u
7 ?# t! K3 m# ?
3。写一个guest.vbs启动时创建一个帐号或者激活guest用户或者tsinternetuser用户,在注册表里的winlogon里导入键值(事先做好),让他开机自运行guest.vbs,这样就创建了一个幽灵帐号。
( o% S0 y# a! @
8 d4 o+ q1 M' F% c7 M% X! w或者导入在[HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor]
! W5 `5 P; C: c5 f# m$ x
- ~2 ?/ @+ q* A' Y"AutoRun"="C:\\Program Files\\guest.vbs" ! l4 F0 v- O+ C
: K* R3 R! f5 }5 e- D2 B$ j* ]) L
这样是关联到cmd,只要运行就创建。
% K2 y# |3 F' R% Z) i) R3 M" E! k% B- h3 ]: H; W
4。像冰河那样关联到txt,exe,运行txt就运行我们的程序 8 e- a/ n5 Z' j# |: h- Y! B7 b
% C5 h3 W# }3 T; H( g. d( ^5。在组策略里配置自运行项。 . Y9 @! ]6 }# U" C1 e4 g9 ~
; o; `. E) S: H1 F$ a9 k
6。设置文件关联,重要运行记事本或者什么就激活vbs。 9 \6 R$ ?$ `4 [7 i2 w) i) h
5 f1 J6 S# k3 |/ w# }! r
7。种植hackdefender,hack’sdoor,winshell,武汉男生之类的后门,但是容易被查杀,如果没有改造几乎没有效果,如果不被杀,那就。。。嘿嘿!! ( R C! `* E9 w# R' Z
9 q! [) z; C3 g1 _! t
8。夹杂文件,把经常用到的文件替换成rar自解压文件,既包含原exe文件又运行自己的程序(就是winrar做的不被查杀的捆绑)运行后就重复3,4,5的步骤,谁便你了。 # g4 }" b. j3 t3 \' Q7 I
" B2 C# b5 w3 C
9。寻寻觅觅之间,发现hideadmin这个玩意好不错,要求有administrator权限,隐藏以$结尾的用户,帅呆了!命令行,管理界面,用户配置文件里都找不到他的身影,一个字,强!强到我搞了好半天都不知道怎么去除了,只有让他呆着吧!倒~ 接着教主也有一个工具,有异曲同工之妙。 ( {' Q2 V4 t! ` P, Q+ Q
1 ?" `, c1 T# \5 ^0 j# V10。替换服务,将telnet或者termsvc替换成别的服务或者建一个新的。 + O: h8 P0 P* w" U# h
5 y# J8 g i9 R/ [+ u11。手工在注册表中克隆隐藏账号,网上流传的一个看似很爽的方法,但经本人的2000 server测试也许是不在域中的原因根本不存在domains或者account这个键值,所以也就无从找起了。
: h* |8 {9 `( ]3 R( L0 m/ g, _; e" V! |3 E v
但还是详述一下: 2 C5 D4 f2 D: H7 M% ^+ i
1 E1 i( `3 V% A5 C/ P7 q9 S7 ]' m- v TWindows 2000和Windows NT里,默认管理员帐号的SID是固定的500(0x1f4),那么我们可以用机器里已经存在的一个帐号将SID为500的帐号进行克隆,在这里我们选择的帐号是IUSR_MachineName (为了加强隐蔽性)。
# T" x" G+ i) Y& C: ^
% ^! X0 y2 C+ l' zcmd 下
, q3 m# E F7 v
( T: b- T3 N. T( b0 }regedit /e admin.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4 & P u6 \) N& c3 G2 {
- \! n1 U# Y; s
将SID为500的管理员帐号的相关信息导出,然后编辑admin.reg文件,将admin.reg文件的第三行
' \. P% i0 d: N0 ^' L% ?! M7 E! L" V3 R s
[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4] : P3 f* `% O3 e
7 P' }& e/ S6 e8 D( h最后的’1F4’修改为IUSR_MachineName的SID(大部分的机器该用户的SID都为0x3E9,如果机器在最初安装的时候没有安装IIS,而自己创建了帐号后再安装IIS就有可能不是这个值),将Root.reg文件中的’1F4’修改为’3E9’后执行然后另外一个是你需要修改那个账号的值。 + N3 W3 a$ H- L6 y
* ? T- P! W1 m0 K
regedit /e iusr.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000003E9 $ J) y& R( l! g6 I4 x; \
# c5 [* D3 H- R% i
将iusr.reg文件中“’V’=hex:0”开始一直到iusr.reg文件结束部分复制下来,然后替换掉adam.reg中同样位置的部分。最后使用 regedit /s adam.reg 导入该Reg文件,然后运行 net user IUSR_MachineName password 修改IUSR_MachineName的密码。ok,大功告成! 2 M; P$ \+ v& j; B0 B
# Q0 _6 ]9 b1 h+ c现在IUSR_MachineName账号拥有了管理员的权限,但是你使用net.exe和管理工具中的用户管理都将看不到任何痕迹,即使你去察看所属于的组和用户,都和修改前没有任何区别。 ( u2 ~8 P$ T1 C4 X9 L4 Z
* B1 e$ j4 g; S大概就知道这么多了,各位如果有更好的方法不吝赐教。。。。。。。 |
|
狗仔卡
发表于 2006-9-28 21:31:27
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡