黑客渗透技术有多少(黑客如何控制别人电脑)

黑客渗透技术有多少(黑客如何控制别人电脑)

qq黑客hacker2024-04-17 1:20:301183A+A-

  了解黑客在经过丧心病狂的渗透之后,如果在web端和服务端做手脚维护自己拿到的权限呢? 未知攻,焉知防。本文旨在给站长朋友和运维人员作参考,避免网站和服务器被黑客挟持。

  文章概览

  1:畸形目录隐藏webshell

  2:驱动隐藏

  3:加密shift类后门

  4:LPK劫持技术

  5: 指定计划任务

  6:隐藏、克隆账户

  实验内容

  Part 1 畸形目录隐藏webshell

  本部分内容主要原理与主要内容:

  畸形目录是指目录名中存在一个或多个 . (点、英文句号) ,由于windows系统的限制,文件名不能包含/:*?”<>|,包含这些符号的文件用普通方法无法访问。

  如何创建畸形目录:

  只需要在目录名后面加两个点(也可以为多个点)就行了,例如:

  在我们的web目录c:www下创建一个“a...”目录:

  md c:wwwa...

  看操作:

  实际显示为:e:a..,

  但是用普通方法无法访问

  利用其隐藏webshell

  这种目录结构在IIS下是可以正常解析的,利用方式大佬们自行脑补。

  难道你想说文件夹打都打不开怎么把文件放进去?

  那我也没话说了,看吧:

  copy md c:www1.txt c:wwwa...test.asp

  echo ichunqiu>>c:wwwa...test.asp

  Part 2 驱动隐藏

  驱动隐藏最典型的现象就是系统盘中存在以下文件:

  c:WINDOWSxlkfs.dat

  c:WINDOWSxlkfs.dll

  c:WINDOWSxlkfs.ini

  c:WINDOWSsystem32driversxlkfs.sys

  驱动隐藏我们可以用过一些软件来实现,软件名字叫:Easy File Locker,一般用Easy File Locker 1.3

  软件支持添加单文件和文件夹:

  用该软件来设置文件属性,属性为:可读/可访问(Accessible)、可写(Writable)、可删除(Deletable)、可见(Visible)

  这里文件属性设置可读就好。

  那么,会有这样的效果,该文件不会显示,不能通过列目录列出来,也不能删除,除非你知道完整路径,你才可以读取文件内容。

  值得一提的是,该软件主界面、卸载程序等都可以删除,只留下核心的驱动文件就行了…… 可以做到无进程、无启动项,无任何异常,因为只加载了一个驱动……

  Part 3 加密shift类后门

  shift后门原理:

  windows登录界面连续按下五次shift弹出连滞键选项窗口,其实打开的是sethc.exe,shift后门的就是把我们的程序替换为sethc.exe,于是乎在登录界面按下五次shift就打开了我们的程序。当然我们不希望被其他黑阔利用了我们的后门,于是乎需要加密。

  使用方法:

  小弟在一个非主流时期写过一个类似的后门,功能比较多,那时候竟然还很无耻的在界面上加了自己的qq,真是可耻:

  

  把以上几个文件放在同一个目录,执行那个点我安装.bat即可自动替换我们的后门。 主程序源码如下(VB):

  bat文件内容如下:

  其中clear.bat用于临时清理入侵痕迹,reclear.exe用于加到启动项,待重启二次清理上一次不能清理的痕迹。

  安装好,来个实际测试图:

  预防shift后门:

  大家需要进行连续敲五次shift键盘,接着的话就能在弹出的相关设置中直接取消连滞键就好了;

  在c:windowssystem32及c:windowssystem32dllcache下找到sethc.exe 禁止所有用户权限或拒绝访问这样就能有效的预防shift后门了。

  Part 4 LPK劫持技术

  本部分内容主要原理与主要内容

  lpk.dll病毒是当下比较流行的一类病毒,而正常系统本身也会存在lpk.dll文件,这足以说明这类病毒的危险性。系统本身的lpk.dll文件位于C:WINDOWSsystem32和C:WINDOWSsystemdllcache目录下。lpk.dll病毒的典型特征是感染存在可执行文件的目录,并隐藏自身,删除后又再生成,当同目录中的exe文件运行时,lpk.dll就会被Windows动态链接,从而激活病毒,进而导致不能彻底清除。。

黑客渗透技术有多少(黑客如何控制别人电脑)

  如何进行lpk劫持 我们这里用到T00ls大牛写的工具:

  生成文件,文件名lpk.dll

  然后把lpk.dll复制到一个含有exe的文件夹,打开任意exe程序,即可劫持:

  劫持成功后,在登录界面同时按下AB,劫持成功的话即弹出一个窗口,要求我们输入我们之前设置的密码,输入密码之后进入程序功能:

  其后,自行发挥。

  Part 5 指定计划任务

  本部分内容主要原理与主要内容

  利用windows的任务计划功能执行恶意脚本来维护权限。

  如何操作:

  如下图,打开计划任务设置:

  接着如图,hack.bat是我们的恶意脚本:

  周期选择每天:

  黑客一般把时间设置在每天的月黑风高之时:

  如图,设置完成:

  Part 6 隐藏、克隆账户

  本部分内容主要原理与主要内容:

  克隆帐号的原理简单的说是这样:在注册表中有两处保存了帐号的SID相对标志符,一处是SAMDomainsAccountUsers下的子键名,另一处是该子键的子项F的值中。这里微软犯了个不同步它们的错误,登陆时用的是后者,查询时用的是前者。当用admin的F项覆盖其他帐号的F项后,就造成了帐号是管理员权限但查询还是原来状态的情况。即所谓的克隆帐号。

  隐藏账户其实就是在账户名后加一个$达到隐藏效果

黑客渗透技术有多少(黑客如何控制别人电脑)

  如何操作 添加隐藏账户脚本如下,user.vbs:

  使用:直接运行。

  clone.exe 账号克隆工具,克隆后,你的账号和被克隆账号的权限一致,一个简单的小工具使用,这里将不再赘述。

  当然还有很多未曾列出的未知的后门技术,仅希望站长朋友知悉这几种常见的留后门方法并懂得如何防御。

  作者:Binghe

  来源:i春秋社区

  链接:https://bbs.ichunqiu.com/thread-15281-1-1.html

炼石信息安全培训春季班开招

QQ:495066536

372806985

敬请持续关注……

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 3条评论
  • 性许离鸢2024-04-17 08:13:35
  • 较多,那时候竟然还很无耻的在界面上加了自己的qq,真是可耻:    把以上几个文件放在同一个目录,执行那个点我安装.bat即可自动替换我们的后门。 主程序源码如下(VB):  bat文件内容如下:  其中clear.bat用于临时清理入侵痕迹,reclear.exe用于加
  • 离鸢海夕2024-04-17 01:41:15
  • 495066536372806985敬请持续关注……

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理