Re：灯下黑：应用在windows隐身后门中的实践

首先我们来看一下，百度百科对后门的解释：

后门程序就是留在计算机系统中，供某位特殊使用者通过某种特殊方式控制计算机系统的途径。

后门程序，跟我们通常所说的"木马"有联系也有区别。联系在于：都是隐藏在用户系统中向外发送信息,而且本身具有一定权限,以便远程机器对本机的控制。区别在于：木马是一个完整的软件,而后门则体积较小且功能都很单一。后门程序类似于特洛依木马（简称"木马"），其用途在于潜伏在电脑中，从事搜集信息或便于黑客进入的动作。

后门程序和电脑病毒最大的差别，在于后门程序不一定有自我复制的动作，也就是后门程序不一定会“感染”其它电脑。

后门是一种登录系统的方法，它不仅绕过系统已有的安全设置，而且还能挫败系统上各种增强的安全设置。

我们今天要讲的是在windows环境下的RDP&3389后门应用

我们常见的后门有以下几种

1、注册表自启动

2、自启动服务

3、dll劫持

4、com劫持

5、Bootkit

6、定时任务

Windows环境的持久化还有更多霸气侧漏的姿势没有总结到各位师傅见谅

今天向大家讲的就是定时任务达到的隐身后门的效果，安全防护环境为火绒5.0。

准备两个bat

1、添加用户 >断开.bat

@echo off net user test67626d xxoo/add net localgroup administrators test67626d/add

2、删除用户>连接.bat

@echo off net user test67626d /del

 

一、应用

计划任务

创建任务

触发器设置

操作设置

条件设置

设置

连接关闭后

以上设置为断开.bat的设置

连接.bat参照反向设置即可

 

二、不同

定时任务常见而“灯下黑”的不同之处

我们创建的这个后门。与普通的定时任务的不同。

1、普通的后门，往往都是在开机启动脚本中。设置添加管理员帐户的语句。让管理员一登录就会自动创建后门。

2、这样的方法有很大的弊病。管理员登录后，肯定会检测系统中的帐户列表，一旦发现非法用户。肯定会将用户删除。

3、即使他下一次登录后，又自动将被删除的帐户创建，但必定会引起管理员的注意，从而揪出后门的根源。

因此，我们的目的是创建一个特殊的帐户；

管理员在线，后门永远静默，根本发现不了有非法用户。即使检测克隆帐户，也一无所获；

管理员离线，我们在线，这时就可以放心的做自己想做的事情；

 

三、原理

我们到底做了什么呢?

因为我们设置的，管理断开连接即刻执行我们的>断开.bat，自动创建一个管理员权限的帐户。也就是说，只要管理员断开系统，就会自动在系统中创建一个管理员权限的帐户；

另一个设置，当管理员连接，即刻执行>连接.bat，当管理员登录系统时。却由于任务的作用，自动将我们添加的帐户删除掉了，因此管理员无法检测到根本不存在的非法帐户。也就是说。创建的帐户后门，只存在于管理员不在线的这个时间段。