隐藏技术与留后门.pptVIP

隐藏技术与留后门 隐藏技术简介 在前面介绍的入侵技术，入侵者难免与远程主机/服务器直接接触，这样很容易暴露自己的真实身份，因此，入侵者需要一些额外的手段来隐藏自己的行踪。 虽然隐藏技术多种多样，甚至有一些是没有公开的高级技术，但是对于电子设备构成的网络，不可能找不到入侵者留下的痕迹。 我们主要了解的隐藏技术： 文件传输隐藏技术 扫描隐藏技术 入侵隐藏技术 文件传输与文件隐藏 入侵文件传输的方法 使用IPC$进行传输，其中有两种方式：copy命令和xcopy命令（一个重要参数是/E，表示拷贝前后文件目录结构保持一致）。 映射硬盘方式：映射硬盘方式是图形界面的操作方式，因此不适合大体积文件的传输，更不适合入侵者实现“多跳”传输。 FTP传输：不需要IPC$共享，但是必须建立FTP服务器 文件的压缩 过去使用的文件压缩工具为图形界面方式的，例如WinRar。如果仅能使用命令行传输文件时，我们可以使用rarx300进行文件的压缩。 rarx300使用方法： 压缩命令：rar32 a rar 文件目标文件或文件夹 解压缩命令：rar32 x rar文件解压缩后存放的路径 文件压缩实例 第一步：在本地执行rarx300.exe，进行工具解压，生成rar文件夹，其中rar文件夹中的rar32.exe才是真正用来压缩的工具 第二步：进入rar文件夹中，通过压缩命令对文件进行压缩，例如rar32 a d:\nc.rar d:\nc.exe对nc进行压缩 第三步：讲压缩文件和压缩工具rarx300.exe上传到被入侵的主机 第四步：在被入侵的主机上进行解压操作 Opentelnet简介 Opentelnet是用来解除telnet的NTLM验证的工具。 使用方法：opentelnet \\ip 账号密码NTLM认证方式telnet端口 参数说明: ip：目标主机ip telnet端口：更改telnet的服务端口 NTLM认证方式：0：不使用NTLM身份认证 1：先尝试NTLM身份验证，如果失 败，再使用用户名和密码 2：只使用NTLM身份验证 opentelnet实例分析 文件的隐藏 前面我们介绍了通过命令行修改文件属性的方法，例如我们使用命令“attrib +h +s c:\winnt\tools”来实现tools文件夹添加隐藏和系统属性。 在Windows系统中存在一些“系统专用文件夹”，例如计划任务、控制面板、回收站等等。实际上，这些文件夹也是可以存放文件的，而且非常隐藏 使用系统文件夹隐藏文件实例 步骤一：将文件拷贝到计划任务文件夹下 使用系统文件夹隐藏文件实例 步骤二：在dos下查看计划任务文件夹的内容 使用系统文件夹隐藏文件实例 步骤三：在windows图形界面下查看文件夹内容 自己创建系统专用文件夹 首先创建新建一个文件夹，命名为“fakeTasks.{D6277990-4C6A-11CF-8D87-00AA0060F5BF}” 文件夹名字后面的“.”，可以看成是扩展名 当命名成功后，可以发现最终文件夹的名字是fakeTasks，而且该文件夹与计划任务的文件夹样子是一样的 其它常用系统专用文件夹 控制面板：{21EC2020-3AEA-1069-A2DD-08002B30309D} 管理工具： {D20EA4E1-3957-11d2-A40B-0C5020524153} 打印机配置：{2227A280-3AEA-1069-A2DE-08002B30309D} 扫描隐藏技术 我们可以利用“肉鸡”，使用xscan的命令行进行扫描 利用流光Sensor制作、管理肉鸡 入侵隐藏技术——跳板技术 二级跳板结构 二级跳板如何实现入侵 二级跳板制作 步骤一：准备工具，例如Opentelnet.exe、rar300、Tool.rar(包含nc.exe、漏洞溢出工具、远程命令执行、远程进程查杀等) 步骤二：编写BAT文件up.bat opentelnet.exe \\%1 %2 %3 1 22 net use \\%1\ipc$ %3 /user:%2 copy rarx300.exe \\%1\admin$\rarx300.exe copy opentelnet.exe \\%1\admin$\opentelnet.exe copy tools.rar \\%1\admin$\tools.rar copy up.bat \\%1\admin$\up.bat net use * /del del rarx300.exe del opentelnet.exe d