开发学院网络安全黑客技术 穿梭于防火墙下的黑马-DBB后门程序 阅读

穿梭于防火墙下的黑马-DBB后门程序

 2006-04-03 20:27:23 来源:WEB开发网   
核心提示: 三、轻松操纵 当成功获取了目标计算机的一个系统权限的SHELL后,就等于已经手握该台计算机的生杀大权,穿梭于防火墙下的黑马-DBB后门程序(2),令人更加欣喜的是,DBB还拥有一些非常实用的控制功能,无法嗅探本机对本机发起的数据请求,所以在对本机的测试中,1.帐户克隆为了下次能够顺利控制目

三、轻松操纵

当成功获取了目标计算机的一个系统权限的SHELL后,就等于已经手握该台计算机的生杀大权。令人更加欣喜的是,DBB还拥有一些非常实用的控制功能。

1.帐户克隆

为了下次能够顺利控制目标计算机,一般的手法就是克隆一个系统权限的帐户,在这里,使用clone命令就可以轻松克隆一个本地用户。其语法格式为:clone username clonename password,其中,username是被克隆的用户的用户名,一般是administrator;clonename是你要克隆为username的用户名,一般是guest;password是你为克隆用户设置的密码,最长32位。例如,要把Guest克隆为管理员帐户,并且设置密码为snow,就只要运行命令:clone administrator guest snow(如图3)。


2.开启终端服务

远程终端服务可以说是最为理想的远程控制方式,因此,当成功入侵目标计算机后,大部分人总是想方设法来开启被控计算机的终端服务。虽然说开启3389终端服务的方法有很多,可都是有一定难度的。不过还好,有了该后门,只要用一条命令就可以轻松开启3389服务,其命令为:term port。例如:运行命令“term 3389”(如图4),这样就将开启目标计算机的端终服务,终端服务通讯端口为3389,重新启动计算机即可生效。


小提示:终端服务只在Windows 2000服务器以上版本才拥有。

3.进程管理

想知道目标计算机运行了哪些程序吗?很简单,运行命令:pslist,这样就可以显示本地所有用户进程和相对应的pid号。如果想结束某一进程的运行,请运行命令:pskill pid,提示:pid指的是进程ID号(如图5)。


另外,还有诸如Logoff(注销当前用户)、Reboot(重启系统)、Shutdown(关闭系统)、Poweroff(关闭电源)等命令可供使用。

四、封杀后门

如果不幸中了该后门,可以通过如下方法来删除。打开注册表编辑,依次展开如下子键:HKEY_LOCAL_MACHINESYSTEMCurrentControlSet

Services,找到并删除该子键下的DNScnsvc键(如图6),再重新启动系统即可。若服务名是自己设定的,请删除相关服务名的子键。


小提示:本地计算机即接受反向SHELL的系统,必须拥有独立公网IP上网的计算机。另外,由于该后门使用的是无驱动的嗅探,无法嗅探本机对本机发起的数据请求,所以在对本机的测试中,是无法成功的。

上一页  1 2 

Tags:穿梭 防火墙 黑马

编辑录入:爽爽 [复制链接] [打 印]
[]
  • 好
  • 好的评价 如果觉得好,就请您
      0%(0)
  • 差
  • 差的评价 如果觉得差,就请您
      0%(0)
赞助商链接