入侵者已经拿到了主机的管理员权限,请你列举几种留后门的方法:(windows和LINUX系统均可)

Webshell后门 
XSS后门 
远控后门&rootit(windows&LINUX) 
SSH后门 
SHIFT终端服务器后门 
系统用户账号克隆 
SQL数据库扩展存储型后门 
SQL数据库沙盒模式后门 
Oralce/mysql自定义函数 
Oralce的特权用户 
文件捆绑型后门 
下载系统用户密码HASH到本地进行破解 
IIS/Tomcat/WEBLOGIC/APACHE应用型后门 
键盘记录 
.... 
后面的继续,HEHE

感谢(0)
分享到:0
    1. 1#哲璇 (<小学结业生>)  | 2015-09-25 08:57

      机房钥匙
      随时给你断电

    2. 2#鬼五 (此鬼五非彼鬼五)  | 2015-09-25 09:14

      mysql开启外链

    3. 3#感谢(1)HackBraid  | 2015-09-25 10:04

      涨姿势了

    4. 4#我是壮丁 (专业打酱油)  | 2015-09-25 10:15

      pam后门

    5. 5#伟大娃娃 (٩[·̮̃·̃]۶٩[·̮̃·̃]۶)  | 2015-09-25 10:22

      当然是记录管理员一切的密码,然后收集TA的爱好和习惯,之后伪装成异性获得TA的心.

    6. 6#小葵 (百度CDN是个什么鸟,一抓就挂)  | 2015-09-25 10:46

      我重装系统,你又有什么卵用。

    7. 7#刘海哥 (‮moc.ghuil.www)  | 2015-09-25 11:02

      rootit是什么东西

    8. 8#%230CC (Who's Your Daddy ---lordi)  | 2015-09-25 11:27

      @小葵 你楼上已经是你女朋友了。。。重装意义不是很大。。。

    9. 9#小葵 (百度CDN是个什么鸟,一抓就挂)  | 2015-09-25 12:01

      @%230CC 66666

    10. 10#鬼五 (此鬼五非彼鬼五)  | 2015-09-25 12:05

      知道一些资料后 伪装成机房技术人员 加 服务器所有者的QQ 告诉他 您是XXXip的客户吗? 我是您的服务器的技术客服 有问题随时联系 当然得告诉他点服务器里某个东西的某个情况 让他增加对你的信任 然后当他服务器出现问题找你解决的时候(没出现问题 可以制造点问题) 你可以问他服务器密码多少 他是肯定会告诉你的.........................................

    11. 11#小城  | 2015-09-25 12:47

      isapi

    12. 12#sin (寻找最优雅的解决方案)  | 2015-09-25 14:25

      提权或者root后清理所有痕迹,但有流量记录就懵逼。

      然后,留个webshell,尽量融入正常业务那种。
      比如:
      .net反编译后,dll添加映射型后门,话说也有的可以rootkit. 
      java类型反编译正常jar后,添加servlet后门。

    13. 13#Master (小菜一枚)  | 2015-09-25 14:52

      webdav

    14. 14#Evi1cg (感觉自己萌萌哒)  | 2015-09-25 15:18

      计划任务
      MOF
      DLL劫持

    15. 15#Mujj (为何我的眼中饱含泪水?因为我装逼装的深沉)  | 2015-09-26 00:00

      只保存了下IPMI的密码。

    16. 16#诚殷的小白帽 (一心只日大学站,回报当年不录取恩)  | 2015-09-26 09:30

      你们说的都没叼用。劳资木马伪装到网站备份包,网站文件夹,免杀做起来,除非你一个一个找那个文件,文件修改日期一变,你咋找木马?找网马后门?

    17. 17#xsser (十根阳具有长短!!)  | 2015-09-26 13:31

      把后门放到数据里 :)

    18. 18#K4r1iNNg (]'or 1#)  | 2015-09-26 13:42

      循环写shell orz

    19. 19#newline  | 2015-09-26 13:58

      透露自己的方法的时候一定要小心, 说不定什么时候就给了别人检测定位的依据了。

    20. 20#我了个去  | 2015-09-26 14:05

      @newline 对头 :)

    21. 21#BeenQuiver  | 2015-09-26 21:33

      能给出具体的命令或者代码就更好啦

    22. 22#_Evil (科普是一种公益行为)  | 2015-09-27 10:04

      我说下WIN:
             最关键是要签名,驱动签名没问题了就是装马的了.(针对服务器Win2008以上) 签名弄好了NDIS端口复用也就解决了.

             iis6.0-iis7.5 用iis filter功能能留个"端口复用"

             结合yuange这个[link href="http://blog.sina.com.cn/s/blog_85e506df0102vo9s.html"]Unicode[/link]留个后门

             attrib加个隐藏文件,dir等命令看不到的.

             Windows很多DLL.在system32目录下找一个然后替换,属性更改一下.

             WebShell的话最好还是用:一个正常文件(包含一个二进制合并图片) php的就见得多了。 jsp

             @sin 这个哥们说的java类型反编译正常jar后,添加servlet后门。这个我倒是没有试过,但是得重启吧? 就像Apache  rootme这个一样。针对版本修改,然后重启. 不成功就惨了...

    23. 23#_Evil (科普是一种公益行为)  | 2015-09-27 10:05

      NFS格式也可以阿..... mof对于个人机好使,但是不能确保免杀性. 传统操作下powershell就足够了.

    24. 24#_Evil (科普是一种公益行为)  | 2015-09-27 10:17

      Linux:
           内核 代码不会不往这方面走.

           有root后:
               查看.bash_history,snmpd.conf,ps aux,netstat -anlvop,lsof -i,iptables -L,iptables -nL,iptables -t nat -nL

               知道管理员操作习惯和有什么防护设备.

               每次操作完 sed,grep 清除WEB容器的日志.(注意MS-DOS换行符)
               
               登陆ssh的话用xiaoyu的logtamper

               mysql Linux下也可以udf提权,我没有折腾过找到更好的. 各路大神来续集...

               oracle加个dba用户,存储过程什么的.

               mysqldump jsp-db2分页脱裤 jsp-wget分页脱裤 asp(后台执行)脱裤

    25. 25#三好学生 (:)  | 2015-09-28 08:24

      @_Evil mof调用wmi定时启动不能确保免杀性 具体是什么意思呢?
      .net remoting也很好玩,估计没多少人用~

    26. 26#_Evil (科普是一种公益行为)  | 2015-09-28 08:58

      @三好学生 mof调用wmi定时启动 .net remoting 这两个还真没试过,长见识了 有空折腾下 thanks.

    27. 27#erevus  | 2015-09-30 10:18

      可以尝试代码审计把shell插到数据库里

    28. 28#火日攻天  | 2015-10-11 20:14

      @小葵 写到硬盘固件里呢

    29. 29#J4nker  | 2015-10-13 23:36

      mof调用wmi定时启动 这个没有痕迹,很适合做后门,http://drops.wooyun.org/tips/8260

    30. 30#南哥 (<///////////////////////>)  | 2015-10-16 12:06

      把他服务器上的程序全部看一遍,自己写一套一模一样的程序,然后故意留几个自己知道的漏洞即可。

    31. 31#南哥 (<///////////////////////>)  | 2015-10-16 12:08

      @南哥 覆盖他程序后,自己以后想再次拿就轻松的多。

    32. 32#笔墨 (好人一生平胸)  | 2015-10-17 09:05

      at 00:00 /every:M,T,W,Th,F,S,Su net user guest p4ssw0rd
      at 00:00 /every:M,T,W,Th,F,S,Su net user guest /active:yes
      at 00:00 /every:M,T,W,Th,F,S,Su net localgroup administrators guest /add

    33. 33#r00tgrok  | 2015-12-06 10:14

      Google:  Many ways of malware persistence (that you were always afraid to ask)
      Google: Thousand ways to backdoor a Windows domain (forest)

posted @ 2016-01-02 19:25  anything good  阅读(2273)  评论(0编辑  收藏  举报
孤 's 博客