首先我们来看一下,百度百科对后门的解释:
后门程序就是留在计算机系统中,供某位特殊使用者通过某种特殊方式控制计算机系统的途径。
后门程序,跟我们通常所说的“木马“有联系也有区别。联系在于:都是隐藏在用户系统中向外发送信息,而且本身具有一定权限,以便远程机器对本机的控制。区别在于:木马是一个完整的软件,而后门则体积较小且功能都很单一。后门程序类似于特洛依木马(简称“木马“),其用途在于潜伏在电脑中,从事搜集信息或便于黑客进入的动作。
后门程序和电脑病毒最大的差别,在于后门程序不一定有自我复制的动作,也就是后门程序不一定会“感染”其它电脑。
后门是一种登录系统的方法,它不仅绕过系统已有的安全设置,而且还能挫败系统上各种增强的安全设置。
我们今天要讲的是在windows环境下的RDP&3389后门应用
我们常见的后门有以下几种
1、注册表自启动
2、自启动服务
3、dll劫持
4、com劫持
5、Bootkit
6、定时任务
Windows环境的持久化还有更多霸气侧漏的姿势没有总结到各位师傅见谅
今天向大家讲的就是定时任务达到的隐身后门的效果,安全防护环境为火绒5.0。
准备两个bat
1、添加用户 >断开.bat
@echo offnet user test67626d xxoo/addnet localgroup administrators test67626d/add
2、删除用户>连接.bat
net user test67626d /del
一、应用
计划任务
创建任务
触发器设置
操作设置
条件设置
设置
连接关闭后
以上设置为断开.bat的设置
连接.bat参照反向设置即可
二、不同
定时任务常见而“灯下黑”的不同之处
我们创建的这个后门。与普通的定时任务的不同。
1、普通的后门,往往都是在开机启动脚本中。设置添加管理员帐户的语句。让管理员一登录就会自动创建后门。
2、这样的方法有很大的弊病。管理员登录后,肯定会检测系统中的帐户列表,一旦发现非法用户。肯定会将用户删除。
3、即使他下一次登录后,又自动将被删除的帐户创建,但必定会引起管理员的注意,从而揪出后门的根源。
因此,我们的目的是创建一个特殊的帐户;
管理员在线,后门永远静默,根本发现不了有非法用户。即使检测克隆帐户,也一无所获;
管理员离线,我们在线,这时就可以放心的做自己想做的事情;
三、原理
我们到底做了什么呢?
因为我们设置的,管理断开连接即刻执行我们的>断开.bat,自动创建一个管理员权限的帐户。也就是说,只要管理员断开系统,就会自动在系统中创建一个管理员权限的帐户;
另一个设置,当管理员连接,即刻执行>连接.bat,当管理员登录系统时。却由于任务的作用,自动将我们添加的帐户删除掉了,因此管理员无法检测到根本不存在的非法帐户。也就是说。创建的帐户后门,只存在于管理员不在线的这个时间段。
本文来源于互联网:“灯下黑”应用在windows隐身后门中的实践