iis的常勤奋能（iis重要作用）

　　相识黑客在颠末丧尽天良的渗出之后，假如在web端和服务端做手脚维护本身拿到的权限呢？未知攻，焉知防。本文旨在给站长朋侪和运维职员作参考，克制网站和服务器被黑客挟持。

　　文章概览

　　1：畸形目次隐蔽webshell

　　2：驱动隐蔽

　　3：加密shift类后门

　　4：LPK挟制技能

　　5:指定筹划任务

　　6：隐蔽、克隆账户

　　实行内容

　　Part1畸形目次隐蔽webshell

　　本部分内容重要原理与重要内容：

　　畸形目次是指目次名中存在一个或多个.(点、英文句号)，由于windows体系的限定，文件名不能包罗/:*?”|，包罗这些符号的文件用平凡方法无法访问。

　　怎样创建畸形目次：

　　只必要在目次名背面加两个点（也可以为多个点）就行了，比方：

　　在我们的web目次c:www下创建一个“a...”目次：

　　mdc:wwwa...

　　看操纵：

　　实际表现为：e:a..，

　　但是用平凡方法无法访问

　　利用其隐蔽webshell

　　这种目次布局在IIS下是可以正常分析的，利用方式大佬们自行脑补。

　　岂非你想说文件夹打都打不开怎么把文件放进去？

　　那我也没话说了，看吧：

　　copymdc:www1.txtc:wwwa...test.asp

　　echoichunqiuc:wwwa...test.asp

　　Part2驱动隐蔽

　　驱动隐蔽最典范的征象就是体系盘中存在以下文件：

　　c:WINDOWSxlkfs.dat

　　c:WINDOWSxlkfs.dll

　　c:WINDOWSxlkfs.ini

　　c:WINDOWSsystem32driversxlkfs.sys

　　驱动隐蔽我们可以用过一些软件来实现，软件名字叫：EasyFileLocker，一样平常用EasyFileLocker1.3

　　软件支持添加单文件和文件夹：

　　用该软件来设置文件属性，属性为：可读/可访问（Accessible）、可写（Writable）、可删除（Deletable）、可见（Visible）

　　这里文件属性设置可读就好。

　　那么，会有如许的结果，该文件不会表现，不能通过列目次列出来，也不能删除，除非你知道完备路径，你才可以读取文件内容。

　　值得一提的是，该软件主界面、卸载程序等都可以删除，只留下核心的驱动文件就行了……可以做到无进程、无启动项，无任何非常，由于只加载了一个驱动……

　　Part3加密shift类后门

　　shift后门原理:

　　windows登录界面连续按下五次shift弹出连滞键选项窗口，着实打开的是sethc.exe，shift后门的就是把我们的程序更换为sethc.exe，于是乎在登录界面按下五次shift就打开了我们的程序。固然我们不盼望被其他黑阔利用了我们的后门，于是乎必要加密。

　　利用方法:

　　小弟在一个非主流时期写过一个雷同的后门，功能比力多，当时候竟然还很无耻的在界面上加了本身的qq，真是可耻：

　　把以上几个文件放在同一个目次，实行谁人点我安装.bat即可主动更换我们的后门。主程序源码如下(VB)：

　　bat文件内容如下：

　　此中clear.bat用于临时整理入侵陈迹，reclear.exe用于加到启动项，待重启二次整理上一次不能整理的陈迹。

　　安装好,来个实际测试图：

　　防备shift后门:

　　各人必要举行连续敲五次shift键盘，接着的话就能在弹出的相干设置中直接取消连滞键就好了；

　　在c:windowssystem32及c:windowssystem32dllcache下找到sethc.exe克制全部用户权限或拒绝访问如许就能有效的防备shift后门了。

　　Part4LPK挟制技能

　　本部分内容重要原理与重要内容

　　lpk.dll病毒是当下比力盛行的一类病毒，而正常体系本身也会存在lpk.dll文件，这足以阐明这类病毒的伤害性。体系本身的lpk.dll文件位于C:WINDOWSsystem32和C:WINDOWSsystemdllcache目次下。lpk.dll病毒的典范特性是感染存在可实行文件的目次，并隐蔽自身，删除后又再天生，当同目次中的exe文件运行时，lpk.dll就会被Windows动态链接，从而激活病毒，进而导致不能彻底打扫。。

　　怎样举行lpk挟制我们这里用到T00ls大牛写的工具:

　　天生文件，文件名lpk.dll

　　然后把lpk.dll复制到一个含有exe的文件夹，打开恣意exe程序，即可挟制：

　　挟制乐成后，在登录界面同时按下AB,挟制乐成的话即弹出一个窗口，要求我们输入我们之前设置的暗码，输入暗码之后进入程序功能：

　　厥后，自行发挥。

　　Part5指定筹划任务

　　本部分内容重要原理与重要内容

　　利用windows的任务筹划功能实行恶意脚原来维护权限。

　　怎样操纵:

　　如下图，打开筹划任务设置：

　　接着如图，hack.bat是我们的恶意脚本：

　　周期选择每天:

　　黑客一样平常把时间设置在每天的月黑风高之时：

　　如图，设置完成：

　　Part6隐蔽、克隆账户

　　本部分内容重要原理与重要内容：

　　克隆帐号的原理简单的说是如许：在注册表中有两处生存了帐号的SID相对标记符,一处是SAMDomainsAccountUsers下的子键名，另一处是该子键的子项F的值中。这里微软犯了个差别步它们的错误，登岸时用的是后者，查询时用的是前者。当用admin的F项覆盖其他帐号的F项后，就造成了帐号是管理员权限但查询还是原来状态的环境。即所谓的克隆帐号。

　　隐蔽账户着实就是在账户名后加一个$到达隐蔽结果

　　怎样操纵添加隐蔽账户脚本如下，user.vbs:

　　利用：直接运行。

　　clone.exe账号克隆工具，克隆后，你的账号和被克隆账号的权限同等，一个简单的小工具利用，这里将不再赘述。

　　固然尚有很多未曾列出的未知的后门技能，仅盼望站长朋侪知悉这几种常见的留后门方法并懂得怎样防御。

　　作者：Binghe

　　泉源：i春秋社区

　　链接：https://bbs.ichunqiu.com/thread-15281-1-1.html

炼石信息安全培训春季班开招

QQ：495066536

372806985

敬请连续关注……