当前位置:首页 > 网络安全 > windows安全 > WINDOWS系统后门实例三

WINDOWS系统后门实例三

2011-06-06 | 来源:网络
组策略欺骗,最隐蔽的后门组策略后门更加隐蔽。往册表中添加相应键值实现随系统启动而运行是木马常用的伎俩,也为大家所熟知。其实,在最策略中也可以实现该功能,不仅如此它还可以实现在系统关机时进行某些

组策略欺骗,最隐蔽的后门

组策略后门更加隐蔽。往册表中添加相应键值实现随系统启动而运行是木马常用的伎俩,也为大家所熟知。其实,在最策略中也可以实现该功能,不仅如此它还可以实现在系统关机时进行某些操作。这就是通过最策略的“脚本(启动/关机)”项来说实现。具体位置在“计算机配置→Windows设置”项下。因为其极具隐蔽性,因此常常被攻击者利用来做服务器后门。

攻击者获得了服务器的控制权就可以通过这个后门实施对对主机的长期控制。它可以通过这个后门运行某些程序或者脚本,最简单的比如创建一个管理员用户,他可以这样做:

(1)创建脚本

创建一个批处理文件add.bat,add.bat的内容是:

  1. @echo off & net user gslw$ test168 /add && netlocalgroup administrators gslw$ /add & exit 

(创建一个用户名为gslw$密码为test168的管理员用户)。

(2)后门利用

在“运行”对话框中输入gpedit.msc,定位到“计算机配置一>Windows设置一>脚本(启动/关机)”, 双击右边窗口的“关机”,在其中添加add.bat。就是说当系统关机时创建gslw$用户。对于一般的用户是根本不知道在系统中有一个隐藏用户,就是他看见并且删除了该帐户,当系统关机时又会创建该帐户。所以说,如果用户不知道组策略中的这个地方那他一定会感到莫名其妙。

其实,对于组策略中的这个“后门”还有很多利用法,攻击者通过它来运行脚本或者程序,嗅探管理员密码等等。当他们获取了管理员的密码后,就不用在系统中创建帐户了,直接利用管理员帐户远程登录系统。因此它也是“双刃剑”,希望大家重视这个地方。当你为服务器被攻击而莫名其妙时,说不定攻击者就是通过它实现的。(图6)

评论

评论数10

表情
发表评论
网友评论仅供其表达个人看法,并不表明网易立场。
《WINDOWS系统后门实例三》更多评论

阅读下一篇

WINDOWS系统后门实例四

telnet欺骗,最容易被忽略的后门telnet是命令行下的远程登录工具,不过在服务器管理时使用不多也常为管理员所忽视。攻击者如果在控制一台服务器后,开启“远程桌面”进行远程控制非常容易被管理员察觉,但是 ... 查看全文

返回windows安全 返回网站首页