Sunshine (︶︿︶/  / //! 。! o∩_∩o)  |2013-01-08 23:56

拿到web服务器,添加账户,登录远程桌面。。然后很快管理员就上线了。我添加的一切账号都被删了,包括装X的win32神马的。不想留shift,放大镜后门,容易被发现。有时候需要用服务器长期做一些事情,可是服务器拿到后,最多不超过10天,服务器就丢了。请教各位大大,如何在服务器留下长期后门。(种马的话,不到万不得已还是不要干的。)


1#

pangshenjie (whoami) | 2013-01-09 00:05

为啥sethc和放大镜会被发现?像lpk这种的只要不被杀还是很隐蔽的吧。。

2#

upload (%bf%27%bf%27%bf%27%bf%27%) | 2013-01-09 00:06

这个...

3#

小E | 2013-01-09 00:11

getpass

4#

Mujj (www.80host.com) | 2013-01-09 00:24

http://oss.aliyuncs.com/server/GetPass_cmd.exe

5#

pangshenjie (whoami) | 2013-01-09 00:36

wce gsecdump pwdump 以及mimikatz还有ls提到的那些工具都可以抓到系统的密码。

另外看管理员的智商了,可以添加一些和机器名相关的账户名比如 IWAM_XXX还有IUSR_XXX的账户。还有比较隐蔽一点的是不要直接把用户添加到管理组里去,可以加到一个不常用的普通组里然后把这个普通组加到administrators组里去。有的2b管理员习惯性的只看账户的组的权限,不去检查组的权限。

6#

Hello_C (不乱于心,不困于情。不畏将来,不念过往。如此,安好) | 2013-01-09 02:21

- -!  抓管理员的hash 只要管理没安全心里 可以保持很久

7#

Sunshine (︶︿︶/ / //! 。! o∩_∩o) | 2013-01-09 07:29

@小E @Hello_C getpass也不怎样,管理员一般会改密码的。@upload 至于你说的那些装逼的用户名我也试过,均被删除。但是那个加组的貌似还行。thx.

8#

Sunshine (︶︿︶/ / //! 。! o∩_∩o) | 2013-01-09 07:35

e,@错了,@pangshenjie

9#

笔墨 (这世界笑了,于是你合群的一起笑了.) | 2013-01-09 08:49

经常抓管理员密码后运行我的木马…

10#

Sunshine (︶︿︶/ / //! 。! o∩_∩o) | 2013-01-09 09:48

@笔墨 问你要你又不给。。。︶︿︶

11#

z7y (亲爱滴~VIP) | 2013-01-09 10:42

@Sunshine 绕过服务器有杀软,就把lpk.dll添加进白名单,这样不就不容易被发现?5下shift后,还要在加热键才能开器后门,实在不行你就添加个同等sa权限或者root权限的账户把!

12#

核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2013-01-09 10:51

木马、后门都是浮云……

以管理员的方式进入才是最隐蔽的,管理员怎么进,你就怎么进!

13#

冰锋刺客 (此事还须三思啊) | 2013-01-09 11:28

写写我常用到的

1. 建立超级隐藏账户(复制administrator权限信息),如果网管不去看注册表发现不了

2. 抓管理员HASH密文(或者mimikatz、还有逆向mimikatz的那个获取明文密码程序),以管理员身份登录,把操作日志有效期设置为一天

3. 建立IUSR_* 这样的迷惑性账户(如 @pangshenjie 所说)

15#

D&G | 2013-01-11 10:00

@冰锋刺客 请教下怎么把操作日志有效期设置为一天,注册表里只找到文件最大值的设置

16#

冰锋刺客 (此事还须三思啊) | 2013-01-11 20:55

不是注册表啊。你既然已经进入系统,

计算机管理-->系统工具-->事件查看器-->Windows日志-->安全->属性(默认是保存7天的,改为1天)。

照这样把Windows日志下几个都设置为只保存1天,等到第二天管理员就算发现,日志也已经自动没了。

17#

Sunshine (︶︿︶/ / //! 。! o∩_∩o) | 2013-01-11 22:18

@核攻击 @冰锋刺客 thx.我慢慢试试

18#

Sunshine (︶︿︶/ / //! 。! o∩_∩o) | 2013-01-11 22:25

日志神马的,终究躲不过。超级隐藏账户倒是还可以。管理员倒是喜欢发现被入侵后改改密码。。

19#

冰锋刺客 (此事还须三思啊) | 2013-01-12 00:09

@Sunshine  自动删除日志只是个辅助效果,让你避免隔一会删就手动删日志的麻烦

20#

cnrstar (Be My Personal Best!) | 2013-01-12 00:49

1.留漏洞

2.rootkit

3.上面说完了

PS:正反向的都留嘛

[点此参与讨论]

留言评论(旧系统):

日月 @ 2013-01-09 21:13:18

mof啊 23点添加个用户 凌晨6点再删除

本站回复:

Good,很好的思路。

佚名 @ 2013-01-10 00:05:58

对的,admin怎么进你就怎么进。 直接通过注册表添加一个networkservice$之类的用户,谅他也不会每天翻一翻注册表吧 https://forum.90sec.org/thread-4800-1-1.html

本站回复:

$结尾的都是浮云……

核老大 @ 2013-01-10 00:35:36

admin怎么进你就怎么进?怎么说?

本站回复:

意思是说使用和管理员相同的方法进入服务器,管理员怎么进的你就怎么进,这是最隐蔽的方法。

佚名 @ 2013-01-10 04:59:30

我懂了。。直接让管理员把服务器搬来核大家里,想怎么进就怎么进

本站回复:

来人呐,板砖伺候!!!

佚名 @ 2013-01-10 05:02:32

要么在explorer.exe里插一段shellcode,逢年过节,初一十五都自动汇报一下管理员密码什么的,顺便也接受一下指令什么的

本站回复:

铁定被杀……而且极不稳定……N年前已实施过……

佚名 @ 2013-01-10 10:22:07

我也就是想一下而已,核大还真有这样做啊。其实我更想在杀软里插一段...无敌了

本站回复:

看你这样说,我就知道你压根没试过,且不说杀软目录均受保护,普通程序无权修改,而且杀软都有文件完整性自校验,更别说杀软的频繁更新了,这基本是最糟糕的方案了……

mm @ 2013-01-10 17:22:17

习惯mimi和wce了 碰到64的08有时候只能拿彩虹去解 其实也不用那么麻烦 在管理桌面留个txt就行了 内容自定

本站回复:

在管理桌面留个txt???。。。。。。。。。。。。。

佚名 @ 2013-01-11 09:02:07

我不是没试过,我是没想过。。。要在杀软里插也不是不可以,前提是不能联网更新,还要反汇编爆破了他的自检或者通过其他方式pass,这样简单一下想下来,工作量就已经无限庞大。还不如自己写一个杀软呢,比如要是我的话,我就写一个361

本站回复:

最糟糕的方式……

佚名 @ 2013-01-11 09:03:10

诶。我忽然就懂了

本站回复:

What?

佚名 @ 2013-01-11 09:12:05

其实核大也可以发布一个防火墙啊什么的,周大哥都可以弄个360出来(谁敢说里面没有后门什么的),以核大的功力那是小事啦。或者山寨一个一模一样界面、操作、功能的防火墙放服务器上,要更新时连我们自己的网站更新。虽然说到底还是跟自己写一个杀软差不多,但是防火墙级别的后门绝对是YY级别的啊。唉,年轻人,思维就是好,啧啧

本站回复:

坑、大坑、巨大坑、超级巨坑、史诗大坑、史诗级超级大坑、史诗级超级巨坑、史诗级超级大巨坑!!!!!!!!!

flowind @ 2013-01-21 10:30:12

dll劫持是一个方法尤其是用过杀软启动的dll..在弄个嗅探不开端口.这样不就好很多? 在把正常dll的数字签名给复制过来.在改改md5值..管理不会吧所有的dll都看看吧..想要找到这个后门.的慢慢的排查dll.没的管理会这么做吧.

本站回复:

免杀不长久是问题,这种东西前几年很流行的,正向链接式后门,还有更高级的,SPI或其他过滤底层数据的,过滤所有正常软件通讯数据,发现存在特定关键词则反弹shell或执行其它操作……

yl @ 2013-05-22 18:37:57

用那些APSNE或SQLDEBUGGER这些账号,改密码,不加管理组,修改属性允许登陆终端,直接复制注册表1F4的F值到它的F值下,就能登陆了。重启之后查看账号属性还是USERS组,如果管理员用ADMINISTRATOR登陆,他下断开之后你用这些账号登陆进去,查看管理员组,也就只有ADMINISTRATOR,查看自己账号是USERS组,但是如果用这些账号先登陆,不注销而是断开,管理员再登陆进去,查看管理员信息即为ASPnet或者SQLDEBUGGER。而且日志里ADMINISTRATOR的操作登陆注销等信息全部显示ASPNET或者SQLDEBUGGER

本站回复:

打这么长一段,就四个字:账号克隆……

yl @ 2013-05-22 18:49:19

。。。我比较啰嗦,这样有个显示出来的USERS账户比那些删了账户导入注册表的实用多了,反正我是不会去对比F的值,也不会无缘无故删除个应该存在的而且看起来没权限的用户。

本站回复:

你木有理解,没说需要新建账户,建议去看看05年老牌工具AIO.exe的账户克隆功能……囧

yl @ 2013-05-22 18:55:48

没接触过…那会才刚知道啥叫默认共享哈哈。

本站回复:

╮(-_-)╭