說(shuō)起后門(mén)，我讀研的時(shí)候英語(yǔ)課的期末考試英文演講，我選的題目就是backdoor后門(mén)，那個(gè)時(shí)候郭燕老師正好在教Linux內(nèi)核后門(mén)模塊，懷著巨大的興趣，在知乎上注冊(cè)了一個(gè)小號(hào)，提了一個(gè)巨傻寶的rootkit后門(mén)問(wèn)題（如何識(shí)別自己電腦有沒(méi)有rootkit？）。好啦，關(guān)于這場(chǎng)5分鐘的英文演講，成績(jī)還好，擦線(xiàn)過(guò)了，中科大末尾10%強(qiáng)制掛科可不是鬧著玩的。嘻嘻，我偷偷的看了好幾眼，準(zhǔn)備的關(guān)鍵詞提要的草稿紙，太緊張，以至于我走下講臺(tái)的時(shí)候，都忘記拿回草稿紙。

ailx10

網(wǎng)絡(luò)安全優(yōu)秀回答者

網(wǎng)絡(luò)安全碩士

去咨詢(xún)

粘滯鍵后門(mén)實(shí)戰(zhàn)指南：ailx10：第一個(gè)windows后門(mén)（粘滯鍵后門(mén)）

摘要：如果我們有一個(gè)windows后門(mén)，只需要敲擊「shift」5次，就彈出一個(gè)命令行窗口，這樣就極大的方便了我們的工作效率。實(shí)際上，后門(mén)的存在就是為了方便工作的，只不過(guò)被黑客惡意利用罷了。

計(jì)劃任務(wù)后門(mén)實(shí)戰(zhàn)指南：ailx10：什么是計(jì)劃任務(wù)后門(mén)？

摘要：許多黑客為了持續(xù)控制肉雞，都會(huì)添加計(jì)劃任務(wù)，維護(hù)黑客工具的穩(wěn)定性。不僅僅是黑客，像我在「ailx10：HFish開(kāi)源蜜罐框架系統(tǒng)」的實(shí)踐過(guò)程中，也用到了計(jì)劃任務(wù)，來(lái)保證進(jìn)程始終存活。「計(jì)劃任務(wù)后門(mén)」可以讓計(jì)算機(jī)病毒藏的更持久，就算你找到病毒，把它刪掉了，只要重啟電腦，計(jì)劃任務(wù)又自動(dòng)生成的病毒。因此保持計(jì)劃任務(wù)的干凈，是每個(gè)安全工程師時(shí)刻重視的基本職業(yè)素養(yǎng)。

注冊(cè)表注入后門(mén)實(shí)戰(zhàn)指南：ailx10：注冊(cè)表注入后門(mén)的簡(jiǎn)單實(shí)驗(yàn)

摘要：做到這個(gè)實(shí)驗(yàn)我差不多盲猜到了，所謂的后滲透測(cè)試的含義了，他們都是基于已經(jīng)攻破的系統(tǒng)，都已經(jīng)拿到shell了，通過(guò)這些「后滲透」工具進(jìn)行權(quán)限提升、權(quán)限維持、橫向滲透。在上一個(gè)實(shí)驗(yàn)中，我們已經(jīng)拿到了agent，那么我們就可以給這個(gè)agent對(duì)應(yīng)的電腦注入后門(mén)了。

wmi后門(mén)實(shí)戰(zhàn)指南：ailx10：wmi后門(mén)的簡(jiǎn)單實(shí)驗(yàn)

摘要：一晃一天過(guò)去了，操作系統(tǒng)后門(mén)的實(shí)驗(yàn)也接近尾聲了，感謝大家一路的支持。失敗不是悲劇，放棄才是。加油，白帽子黑客～

nishang下的webshell實(shí)戰(zhàn)指南：ailx10：Nishang下的Webshell實(shí)驗(yàn)

摘要：Nishang一個(gè)超級(jí)奶絲的針對(duì)Powershell的滲透測(cè)試工具，Nishang的antak用戶(hù)名：Disclaimer，Nishang的antak密碼：ForLegitUseOnly ，這個(gè)作者很賊，全網(wǎng)都找不到密碼，無(wú)奈之下翻看這個(gè)apsx文件，在注釋里面找到用戶(hù)名和密碼，果然需要黑客思維才能破局，結(jié)果用戶(hù)名是：免責(zé)聲明，密碼是：僅供合法使用的英文。

weevely后門(mén)實(shí)戰(zhàn)指南：ailx10：php菜刀weevely的簡(jiǎn)單實(shí)驗(yàn)

摘要：圈子里一般把網(wǎng)站的webshell叫做菜刀，后來(lái)國(guó)內(nèi)有人吸收了開(kāi)源菜刀的精髓，寫(xiě)出了「中國(guó)菜刀」和「蟻劍」，深受圈子里的喜愛(ài)～如果是asp網(wǎng)站就叫asp菜刀（著名的nishang就是asp菜刀），如果是php網(wǎng)站就叫php菜刀（weevely、webacoo都是kali自帶的php菜刀）～

webacoo后門(mén)實(shí)戰(zhàn)指南：ailx10：php菜刀webacoo的簡(jiǎn)單實(shí)驗(yàn)

摘要：webacoo這個(gè)奇怪的名字，實(shí)際上是 Web Backdoor Cookie的縮寫(xiě)，也是kali自帶的，針對(duì)php網(wǎng)站的web后門(mén)工具，使用起來(lái)和weevely差不多，它總是感嘆：既生瑜何生亮。

黃金票據(jù)實(shí)戰(zhàn)指南：ailx10：黃金票據(jù)

摘要：黃金票據(jù)可以偽造域內(nèi)任意用戶(hù)，即使這個(gè)用戶(hù)不存在，黑客入侵成功后，記下krbtgt的SID和krbtgt的散列值，即使藍(lán)隊(duì)修改了管理員密碼，紅隊(duì)依然能通過(guò)黃金票據(jù)，暢通無(wú)阻。

白銀票據(jù)實(shí)戰(zhàn)指南：ailx10：白銀票據(jù)

白銀票據(jù)利用過(guò)程是偽造TGS，通過(guò)已知的授權(quán)服務(wù)密碼生成一張可以訪(fǎng)問(wèn)該服務(wù)的TGT，在票據(jù)生成過(guò)程中，不需要使用KDC，所以隱蔽性好。白銀票據(jù)依賴(lài)：服務(wù)的密碼散列值，域SID，域控IP，可利用的服務(wù)。

一、SSH后門(mén)

SSH普通用戶(hù)的命令權(quán)限是是no login，No login就是不讓你登錄，不可登錄并且拒絕用戶(hù)登錄。那大家排查的時(shí)候就可以忽略這些就是no login的和bin filled。這里還有一個(gè)叫bash，這也是剛才我添加的賬戶(hù)，這與之前的root用戶(hù)一樣，這也是一個(gè) shell的解釋器，那看一下篡改。SSH登錄有兩種方式，第一種是賬戶(hù)和密碼，第二種就是密鑰。方便他們遠(yuǎn)程管理，并且有一些自動(dòng)執(zhí)行的任務(wù)計(jì)劃，大部分都是通過(guò)Mile來(lái)實(shí)現(xiàn)免密的，就是說(shuō)這就免密碼，通過(guò)key的方式，公鑰和私鑰。

那你看我這文件里有一個(gè)公鑰，比如現(xiàn)在攻擊者又插入了一個(gè)公鑰，插入了他自己的，我這里只是為了方便復(fù)制一個(gè)，那插入之后是不是他就也免密登錄這臺(tái)服務(wù)器了。所以大家在排查的時(shí)候要重點(diǎn)關(guān)注這個(gè)文件，它在每一個(gè)用戶(hù)底下都有一個(gè)隱藏文件，叫/root/.ssh/。這個(gè)隱藏文件里就會(huì)有你的一些信息看，這是登錄的信息，所有登錄過(guò)你機(jī)器的信息，就說(shuō)在你密鑰交換的時(shí)候，這個(gè)它的公鑰里邊會(huì)有host，再看一下全部。

我這里沒(méi)有建立這個(gè)文件，因?yàn)槲覜](méi)有通過(guò)它來(lái)登錄我用的賬戶(hù)和密碼，那看一下這臺(tái)服務(wù)器，這里就有這個(gè)文件，只要把這個(gè)文件放到點(diǎn).SSH文件目錄下。如果 ssh不特殊配置，默認(rèn)的配置它就支持密鑰管理的。所以說(shuō)你只要early在這里創(chuàng)建了這個(gè)文件，把你的公鑰寫(xiě)進(jìn)去，那你就可以通過(guò)自己的私鑰去登錄它，登錄這臺(tái)服務(wù)器，這樣的話(huà)你也看不到它更改你的密碼，你也看不到新用戶(hù)的創(chuàng)建，只是在這文件里多了一條數(shù)據(jù)而已。

第三種重裝覆蓋，那重裝覆蓋是怎么咱們把SSH重裝一遍，裝入咱們帶后門(mén)的session，那這個(gè)時(shí)候是不是用戶(hù)無(wú)感，并且咱們可以在SSH的源碼里做一些文章，比如植入一個(gè)賬戶(hù)，就不會(huì)放到系統(tǒng)里，直接放到這個(gè)軟件里，因?yàn)樵蹅兛刂芁inux遠(yuǎn)程的就是通過(guò)SSh opens這個(gè)軟件，看一下時(shí)間，那這里可以看到一個(gè)2021年和一個(gè)2015年的其實(shí)這個(gè)2015年是我修改的，那說(shuō)明這個(gè)方法不可靠，我可以修改它的時(shí)間。

那第二種，第二種是看版本，如果攻擊者精心構(gòu)造一下自己軟件的版本，把它寫(xiě)成這個(gè)樣子，其實(shí)你也是分辨不出來(lái)的。但就看攻擊者的水平了。因?yàn)橐坏┠銢](méi)有在系統(tǒng)上建立關(guān)鍵文件或者做安全防護(hù)，比如安裝一些主機(jī)安全軟件，那就有可能造成就是說(shuō)我 SSH被篡改了，清理的只要干凈，你是分辨不出來(lái)的。

二、SUID后門(mén)

SUID是什么

SUID 是 Set User ID，Unix內(nèi)核根據(jù)運(yùn)行這個(gè)程序的用戶(hù)的有效ID來(lái)確定進(jìn)程對(duì)資源的訪(fǎng)問(wèn)權(quán)限，包括user id 和group id，用戶(hù)可以輸入id這個(gè)命令來(lái)查看。

SUID的作用就是這樣：讓本來(lái)沒(méi)有相應(yīng)權(quán)限的用戶(hù)運(yùn)行這個(gè)程序時(shí)，可以訪(fǎng)問(wèn)他沒(méi)有權(quán)限訪(fǎng)問(wèn)的資源。

內(nèi)核在決定進(jìn)程是否有文件存取權(quán)限時(shí)，是采用了進(jìn)程的有效用戶(hù)ID來(lái)進(jìn)行判斷的。
當(dāng)一個(gè)程序設(shè)置了為SUID位時(shí)，內(nèi)核就知道了運(yùn)行這個(gè)程序的時(shí)候，應(yīng)該認(rèn)為是文件的所有者在運(yùn)行這個(gè)程序。即該程序運(yùn)行的時(shí)候，有效用戶(hù)ID是該程序的所有者。

簡(jiǎn)單的來(lái)說(shuō)，就是當(dāng)你在一個(gè)只能root權(quán)限操作的文件上設(shè)置了suid位后，其他用戶(hù)也能進(jìn)行操作了。

SUID后門(mén)

首先在受害者機(jī)器上使用root權(quán)限操作，復(fù)制bash，并給這個(gè)復(fù)制品woot設(shè)置一個(gè)suid位（標(biāo)志位是4），. 的目的是為了隱藏文件

cp /bin/bash /.woot
chmod 4755 /.woot
ls -al /.woot

然后普通用戶(hù)來(lái)啟用這個(gè)后門(mén)

/.woot -p

三、Crontab計(jì)劃任務(wù)

crontab是用來(lái)定期執(zhí)行程序的命令，crond 命令每分鐘會(huì)定期檢查是否有要執(zhí)行的工作，如果有要執(zhí)行的工作便會(huì)自動(dòng)執(zhí)行該工作。

注意: 新創(chuàng)建的 cron 任務(wù)，不會(huì)馬上執(zhí)行，至少要過(guò) 2 分鐘后才可以，當(dāng)然你可以重啟 cron 來(lái)馬上執(zhí)行

比如我們通過(guò)redis寫(xiě)crontab后，管理員上線(xiàn) 執(zhí)行crontab -l 就會(huì)查看到我們留下的可疑命令。那么我們可以躲避管理員的查看。

四、PAM后門(mén)

PAM（Pluggable Authentication Modules，可插入的身份驗(yàn)證模塊）是Linux自帶的一套與身份驗(yàn)證機(jī)制相關(guān)的庫(kù)，可以將多種身份驗(yàn)證的方案幾種于同一的程序接口，簡(jiǎn)單來(lái)說(shuō)，在Linux中的其他應(yīng)用程序可以通過(guò)調(diào)用PAM接口來(lái)完成身份驗(yàn)證工作，無(wú)需開(kāi)發(fā)者重新構(gòu)造認(rèn)證模塊

PAM允許各類(lèi)的配置，主要有兩種：

1、直接寫(xiě)入/etc.pam.conf，但是在新版本中這個(gè)文件默認(rèn)是不存在的

2、將PAM配置文件放到/etc/pam.d根目錄下PAM配置文件默認(rèn)如下，這里使用SSH的PAM文件做演示

[root@Practice_Server /etc/pam.d]# cat sshd
#%PAM-1.0
auth       required     pam_sepermit.so
auth       substack     password-auth
auth       include      postlogin
# Used with polkit to reauthorize users in remote sessions
-auth      optional     pam_reauthorize.so prepare
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open env_params
session    required     pam_namespace.so
session    optional     pam_keyinit.so force revoke
session    include      password-auth
session    include      postlogin
# Used with polkit to reauthorize users in remote sessions
-session   optional     pam_reauthorize.so prepare

大概有四種服務(wù)類(lèi)型：auth、account、session、password，

使用PAM創(chuàng)建SSH后門(mén)密碼

如當(dāng)前系統(tǒng)為centos，利用PAM之前需要關(guān)閉系統(tǒng)的selinux功能，此時(shí)可以使用以下命令臨時(shí)關(guān)閉

setenforce 0

五、添加管理員賬號(hào)

在Linux中添加管理員賬號(hào)后門(mén)通常意味著創(chuàng)建一個(gè)具有管理員權(quán)限的用戶(hù)賬戶(hù)，這樣攻擊者可以使用這個(gè)賬戶(hù)進(jìn)入系統(tǒng)。這樣的操作是不推薦的，因?yàn)樗鼤?huì)增加系統(tǒng)被攻擊者訪(fǎng)問(wèn)的風(fēng)險(xiǎn)。

如果你需要臨時(shí)創(chuàng)建一個(gè)具有管理員權(quán)限的后門(mén)賬號(hào)，請(qǐng)確保你有合適的權(quán)限來(lái)執(zhí)行這個(gè)操作，并且在完成后及時(shí)刪除或禁用該賬號(hào)。

六、Rootkit

Rootkit 是一種惡意軟件，旨在讓黑客訪(fǎng)問(wèn)和控制目標(biāo)設(shè)備。雖然大多數(shù) Rootkit 會(huì)影響軟件和操作系統(tǒng)，但有些還會(huì)感染計(jì)算機(jī)的硬件和固件。Rootkit 善于隱藏自己，但當(dāng)它們保持隱藏時(shí)，其實(shí)處于活躍狀態(tài)。

一旦未經(jīng)授權(quán)獲得對(duì)計(jì)算機(jī)的訪(fǎng)問(wèn)權(quán)限，Rootkit 就使網(wǎng)絡(luò)犯罪分子可以竊取個(gè)人數(shù)據(jù)和財(cái)務(wù)信息，安裝惡意軟件或?qū)⒂?jì)算機(jī)用作僵尸網(wǎng)絡(luò)的一部分，以散布垃圾郵件和參與DDoS（ 分布式拒絕服務(wù)）攻擊。

名稱(chēng)"Rootkit"源自 Unix 和 Linux 操作系統(tǒng)，其中權(quán)限最高的帳戶(hù)管理員被稱(chēng)為"root"。允許未經(jīng)授權(quán)的 root 或管理員級(jí)別訪(fǎng)問(wèn)設(shè)備的應(yīng)用程序被稱(chēng)為"工具包"。

什么是 Rootkit？

Rootkit 是網(wǎng)絡(luò)犯罪分子用來(lái)控制目標(biāo)計(jì)算機(jī)或網(wǎng)絡(luò)的軟件。Rootkit 有時(shí)可以顯示為單個(gè)軟件，但通常由一系列工具組成，這些工具允許黑客對(duì)目標(biāo)設(shè)備進(jìn)行管理員級(jí)控制。

黑客通過(guò)多種方式在目標(biāo)計(jì)算機(jī)上安裝 Rootkit：

1. 最常見(jiàn)的是通過(guò)網(wǎng)絡(luò)釣魚(yú)或其他類(lèi)型的社會(huì)工程攻擊。受害者在不知不覺(jué)中下載并安裝隱藏在計(jì)算機(jī)上運(yùn)行的其他進(jìn)程中的惡意軟件，并讓黑客控制操作系統(tǒng)的幾乎所有方面。
2. 另一種方法是利用漏洞（即軟件或未更新的操作系統(tǒng)中的弱點(diǎn)）并將 Rootkit 強(qiáng)制安裝到計(jì)算機(jī)上。
3. 惡意軟件還可以與其它文件捆綁在一起，例如受感染的 PDF、盜版媒體或從可疑的第三方商店獲得的應(yīng)用。

Rootkit 在操作系統(tǒng)的內(nèi)核附近或內(nèi)核內(nèi)運(yùn)行，這使它們能夠向計(jì)算機(jī)發(fā)起命令。任何使用操作系統(tǒng)的東西都是 Rootkit 的潛在目標(biāo) —— 隨著物聯(lián)網(wǎng)的擴(kuò)展，它可能包括冰箱或恒溫器等物品。

Rootkit 可以隱藏鍵盤(pán)記錄器，在未經(jīng)您同意的情況下捕獲您的擊鍵。這使得網(wǎng)絡(luò)犯罪分子很容易竊取您的個(gè)人信息，例如信用卡或網(wǎng)上銀行詳細(xì)信息。Rootkit 可讓黑客使用您的計(jì)算機(jī)發(fā)起 DDoS 攻擊或發(fā)送垃圾郵件。它們甚至可以禁用或刪除安全軟件。

一些 Rootkit 用于合法目的 —— 例如，提供遠(yuǎn)程 IT 支持或協(xié)助執(zhí)法。大多數(shù)情況下，它們用于惡意目的。Rootkit 如此危險(xiǎn)的原因是它們可以提供各種形式的惡意軟件，它們可以操縱計(jì)算機(jī)的操作系統(tǒng)并為遠(yuǎn)程用戶(hù)提供管理員訪(fǎng)問(wèn)權(quán)限。

Rootkit 的類(lèi)型

1. 硬件或固件 Rootkit

硬件或固件 Rootkit 可以影響您的硬盤(pán)驅(qū)動(dòng)器、路由器或系統(tǒng)的 BIOS，這是安裝在計(jì)算機(jī)主板上的小內(nèi)存芯片上的軟件。它們不是針對(duì)您的操作系統(tǒng)，而是針對(duì)您的設(shè)備的固件安裝難以檢測(cè)的惡意軟件。因?yàn)樗鼈儠?huì)影響硬件，所以可讓黑客記錄您的擊鍵以及監(jiān)控在線(xiàn)活動(dòng)。雖然與其它類(lèi)型相比不太常見(jiàn)，但硬件或固件 Rootkit 是對(duì)在線(xiàn)安全的嚴(yán)重威脅。

2. Bootloader rootkit

Bootloader 機(jī)制負(fù)責(zé)在計(jì)算機(jī)上加載操作系統(tǒng)。Bootloader Rootkit 可攻擊此系統(tǒng)，用被破解的 Bootloader 替換您計(jì)算機(jī)的合法 Bootloader。這甚至可以在計(jì)算機(jī)的操作系統(tǒng)完全加載之前激活 Rootkit。

3. 內(nèi)存 Rootkit

內(nèi)存 Rootkit 隱藏在計(jì)算機(jī)的隨機(jī)存取內(nèi)存 (RAM) 中，使用計(jì)算機(jī)的資源在后臺(tái)執(zhí)行惡意活動(dòng)。內(nèi)存 Rootkit 會(huì)影響計(jì)算機(jī)的 RAM 性能。因?yàn)樗鼈冎淮嬖谟谟?jì)算機(jī)的 RAM 中，不會(huì)注入永久代碼，所以一旦重新啟動(dòng)系統(tǒng)，內(nèi)存 Rootkit 就會(huì)消失 —— 盡管有時(shí)需要進(jìn)一步的工作才能擺脫它們。它們的壽命短意味著它們往往不會(huì)被視為重大威脅。

4. 應(yīng)用程序 Rootkit

應(yīng)用程序 Rootkit 將計(jì)算機(jī)中的標(biāo)準(zhǔn)文件替換為 Rootkit 文件，甚至可能改變標(biāo)準(zhǔn)應(yīng)用程序的工作方式。這些 Rootkit 會(huì)感染 Microsoft Office、Notepad 或 Paint 等程序。每次運(yùn)行這些程序時(shí)，攻擊者都可以訪(fǎng)問(wèn)您的計(jì)算機(jī)。由于受感染的程序仍然正常運(yùn)行，Rootkit 檢測(cè)對(duì)于用戶(hù)來(lái)說(shuō)很困難 —— 但防病毒程序可以檢測(cè)到它們，因?yàn)樗鼈兌荚趹?yīng)用程序?qū)由线\(yùn)行。

5. 內(nèi)核模式 Rootkit

內(nèi)核模式 Rootkit 是這種威脅最嚴(yán)重的類(lèi)型之一，因?yàn)樗鼈冡槍?duì)操作系統(tǒng)的核心（即內(nèi)核級(jí)別）。黑客使用它們不僅可以訪(fǎng)問(wèn)計(jì)算機(jī)上的文件，還可以通過(guò)添加自己的代碼來(lái)更改操作系統(tǒng)的功能。

6. 虛擬 Rootkit

虛擬 Rootkit 會(huì)在計(jì)算機(jī)的操作系統(tǒng)下自行加載。然后，它將目標(biāo)操作系統(tǒng)托管為虛擬機(jī)，從而允許它攔截原始操作系統(tǒng)進(jìn)行的硬件調(diào)用。這種類(lèi)型的 Rootkit 不必修改內(nèi)核來(lái)修復(fù)操作系統(tǒng)，可能非常難檢測(cè)。

一、注冊(cè)表自啟動(dòng)

手動(dòng)修改注冊(cè)表

首先在命令行中輸入：

regedit

打開(kāi)注冊(cè)表后，定位到如下位置：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

以桌面上的1.exe文件為例，在run右側(cè)新建一個(gè)字符串值，名字任取，我這里設(shè)置為aaa。首先查看1.exe文件的路徑：

C:\Users\ASUS\Desktop.exe

然后雙擊aaa并修改它的值為：

"C:\Users\ASUS\Desktop.exe" /start

二、shift后門(mén)

Windows的粘滯鍵------C:\windows\system32\sethc.exe，它本是為不方便按組合鍵的人設(shè)計(jì)的

Windows系統(tǒng)按5下shift后，Windows就執(zhí)行了system32下的sethc.exe，也就是啟用了粘滯鍵

在進(jìn)程里可以看到是以當(dāng)前用戶(hù)的權(quán)限運(yùn)行

但是當(dāng)我們未登陸系統(tǒng)(停留在登陸界面)的時(shí)候 系統(tǒng)還不知道我們將以哪個(gè)用戶(hù)登陸,所以在這個(gè)時(shí)候連續(xù)按5次shift后的話(huà)系統(tǒng)將會(huì)以system用戶(hù)(具有管理員級(jí)別的權(quán)限)來(lái)運(yùn)行sethc.exe這個(gè)程序

后門(mén)原理

我們可以把cmd.exe這個(gè)程序更改名稱(chēng)為sethc.exe并且把原來(lái)的sethc.exe替換掉

在登陸界面的時(shí)候我們連續(xù)按下5次shift鍵系統(tǒng)以system權(quán)限就會(huì)運(yùn)行我們的CMD.exe

那么我們的cmd.exe就具有了管理員權(quán)限了 如此一來(lái) 我們只要利用CMD加一個(gè)管理員用戶(hù)就可以登陸進(jìn)去，實(shí)現(xiàn)隱藏后門(mén)

后門(mén)制作

其制作有很多種，下面介紹一種最簡(jiǎn)單的，可以明白其原理自己擴(kuò)展

在命令行執(zhí)行（需要一定的權(quán)限）

copy C:\WINDOWS\system32\cmd.exe C:\windows\system32\sethc.exe   //如果沒(méi)指定生成的文件，會(huì)直接覆蓋copy的第二個(gè)參數(shù)，相當(dāng)于將第二個(gè)參數(shù)換成了第一個(gè)參數(shù)，但是文件外部名稱(chēng)沒(méi)變

三、遠(yuǎn)控軟件

遠(yuǎn)程訪(fǎng)問(wèn)可以幫助您通過(guò)互聯(lián)網(wǎng)將一臺(tái)計(jì)算機(jī)遠(yuǎn)程連接到另外一臺(tái)計(jì)算機(jī)，從而實(shí)現(xiàn)遠(yuǎn)程控制需求。例如：遠(yuǎn)程辦公、遠(yuǎn)程協(xié)助朋友解決計(jì)算機(jī)問(wèn)題、遠(yuǎn)程為客戶(hù)提供專(zhuān)業(yè)技術(shù)支持等。

后門(mén)程序是指那些繞過(guò)安全性控制而獲取對(duì)程序或系統(tǒng)訪(fǎng)問(wèn)權(quán)的程序方法。一般在軟件開(kāi)發(fā)時(shí)，程序員會(huì)在軟件中創(chuàng)建后門(mén)程序，這樣就可以修改程序設(shè)計(jì)中的缺陷。但是，如果這些后門(mén)被其他人知道，或是在發(fā)布軟件之前沒(méi)有刪除后門(mén)程序，那么它就成了安全風(fēng)險(xiǎn)，容易被黑客當(dāng)成漏洞進(jìn)行攻擊。通俗的講，后門(mén)程序就是留在計(jì)算機(jī)系統(tǒng)中，供某位特殊使用者通過(guò)某種特殊方式控制計(jì)算機(jī)系統(tǒng)的途徑。

五個(gè)免費(fèi)遠(yuǎn)程控制軟件

• 谷歌遠(yuǎn)程桌面
• Windows遠(yuǎn)程桌面
• Windows遠(yuǎn)程協(xié)助
• Windows快速助手
• 傲梅遠(yuǎn)程桌面軟件

四、webshell

簡(jiǎn)單來(lái)講，就是黑客在網(wǎng)站服務(wù)器上安裝的木馬后門(mén)，可以理解成老鼠洞，一個(gè)正常的網(wǎng)站服務(wù)器就相當(dāng)于一個(gè)裝滿(mǎn)數(shù)據(jù)的保險(xiǎn)柜，只有拿著正確的鑰匙的人才能進(jìn)去瀏覽數(shù)據(jù)，但webshell會(huì)通過(guò)sql注入，xss攻擊等方式在保險(xiǎn)柜上開(kāi)一個(gè)“老鼠洞”，即木馬后門(mén)，黑客可以通過(guò)這個(gè)洞，不用鑰匙也能進(jìn)去瀏覽數(shù)據(jù)，篡改數(shù)據(jù)。

但這個(gè)洞并不是在墻上硬生生開(kāi)出來(lái)的，可以理解為保險(xiǎn)柜本身就有很多洞，只不過(guò)最常用的那個(gè)經(jīng)過(guò)裝飾，變成了帶鎖的大門(mén)，其余的洞被螺絲給堵上了，但由于各種原因，螺絲松動(dòng)脫落了，黑客發(fā)現(xiàn)了這個(gè)漏洞，在經(jīng)過(guò)一些手段，將這個(gè)洞擴(kuò)大，裝飾，變成可供自己進(jìn)出的“側(cè)門(mén)”。

webshell最大的特點(diǎn)就是隱蔽性好，由于被控制服務(wù)器或遠(yuǎn)程主機(jī)與黑客交換數(shù)據(jù)的端口都是80端口，不會(huì)被防火墻攔截，且不會(huì)在系統(tǒng)日志中留下使用痕跡，只會(huì)遺留一些數(shù)據(jù)交換信息在網(wǎng)站的web日志中，這大大提高了webshell的隱蔽性，沒(méi)有足夠經(jīng)驗(yàn)的管理員很難發(fā)現(xiàn)有入侵過(guò)得痕跡。

五、添加管理用戶(hù)

在Windows中，您可以使用命令行工具net user來(lái)添加管理員用戶(hù)。以下是一個(gè)示例命令，用于添加一個(gè)名為NewAdminUser的新管理員用戶(hù)：

請(qǐng)將NewAdminUser替換為您想要設(shè)置的用戶(hù)名，將Password123替換為您想要設(shè)置的密碼。

第一行命令添加一個(gè)新用戶(hù)NewAdminUser，密碼是Password123。

第二行命令將新添加的用戶(hù)NewAdminUser提升為管理員權(quán)限組的成員。

請(qǐng)注意，運(yùn)行這些命令可能需要管理員權(quán)限。您可能需要以管理員身份啟動(dòng)命令提示符（CMD）或PowerShell。您可以通過(guò)在開(kāi)始菜單搜索cmd，右鍵點(diǎn)擊命令提示符，然后選擇以管理員身份運(yùn)行來(lái)啟動(dòng)管理員權(quán)限的命令提示符。

net user NewAdminUser Password123 /add
net localgroup administrators NewAdminUser /add

六、影子用戶(hù)

1. 操作系統(tǒng)中的影子賬戶(hù)：這是一種特殊的賬戶(hù)，它擁有管理員權(quán)限，但除了注冊(cè)表外，其他地方都無(wú)法查到。影子賬戶(hù)的建立過(guò)程包括創(chuàng)建新用戶(hù)賬戶(hù)，使其在一定程度上隱藏，無(wú)法被常規(guī)命令行工具如net user查看到。然后通過(guò)修改注冊(cè)表中的安全賬戶(hù)管理器數(shù)據(jù)庫(kù)（SAM）和本地安全權(quán)限，賦予該匿名用戶(hù)管理員權(quán)限。這樣，即使刪除了匿名用戶(hù)，其管理員權(quán)限仍然存在，除非從注冊(cè)表中導(dǎo)出并刪除相應(yīng)的注冊(cè)表項(xiàng)。這種賬戶(hù)通常由系統(tǒng)管理員或黑客用于惡意目的。
2. 網(wǎng)絡(luò)應(yīng)用中的影子用戶(hù)：在網(wǎng)絡(luò)應(yīng)用中，影子用戶(hù)指的是將網(wǎng)卡的MAC地址和IP地址修改成與另一個(gè)用戶(hù)相同，然后接在同一個(gè)交換機(jī)的認(rèn)證口下的終端用戶(hù)。這種做法可能用于網(wǎng)絡(luò)故障排查或網(wǎng)絡(luò)安全性測(cè)試。
3. 此外，還有一種解釋是“影子用戶(hù)”指為系統(tǒng)管理員開(kāi)放的一個(gè)模擬系統(tǒng)中其他用戶(hù)登錄后狀態(tài)的入口，通常用于排查和用戶(hù)相關(guān)的特定問(wèn)題。而“影子用戶(hù)”在內(nèi)部賬戶(hù)和外部賬戶(hù)的形式中，主要起備查及處理不方便放在外部賬戶(hù)的費(fèi)用功能

七、定時(shí)任務(wù)

在Windows系統(tǒng)中，可以使用任務(wù)計(jì)劃程序來(lái)設(shè)置定時(shí)任務(wù)，其操作步驟如下：

1. 打開(kāi)任務(wù)計(jì)劃程序。可以通過(guò)按下“Win + R”鍵，輸入“taskschd.msc”并按“Enter”鍵，或者搜索“任務(wù)計(jì)劃程序”來(lái)打開(kāi)。
2. 創(chuàng)建基本任務(wù)。在任務(wù)計(jì)劃程序窗口中，點(diǎn)擊“創(chuàng)建基本任務(wù)”，然后輸入任務(wù)的名稱(chēng)和描述。
3. 設(shè)置觸發(fā)器。根據(jù)需要設(shè)置觸發(fā)器的類(lèi)型，如每天、每周、每月等，并設(shè)置觸發(fā)器的時(shí)間。
4. 選擇操作。可以選擇“啟動(dòng)程序”或其他操作，如關(guān)機(jī)。
5. 配置啟動(dòng)腳本或程序。如果是啟動(dòng)程序，需要輸入要運(yùn)行的腳本或程序的路徑。
6. 添加參數(shù)（如果需要）。例如，使用“shutdown”命令時(shí)，可以添加“/s”表示關(guān)機(jī)，“/t”設(shè)置關(guān)機(jī)倒計(jì)時(shí)，“/f”強(qiáng)制關(guān)閉正在運(yùn)行的應(yīng)用程序。
7. 完成設(shè)置。完成設(shè)置后，可以在任務(wù)計(jì)劃程序中看到創(chuàng)建的定時(shí)任務(wù)。

此外，還可以使用命令行工具“schtasks”來(lái)查看和管理計(jì)劃任務(wù)，或者使用第三方工具，如Sysinternals Suite中的“Autoruns”來(lái)查看自動(dòng)啟動(dòng)程序和計(jì)劃任務(wù)。如果需要定時(shí)執(zhí)行特定的腳本或程序，也可以編寫(xiě)批處理（.bat）文件，并通過(guò)任務(wù)計(jì)劃程序來(lái)調(diào)度這些文件的運(yùn)行。

八、dll劫持

dll為動(dòng)態(tài)鏈接庫(kù)文件，又稱(chēng)"應(yīng)用程序拓展"，是軟件文件類(lèi)型。在Windows中許多應(yīng)用程序并不是一個(gè)完整的可執(zhí)行文件，它們被分割成一些相對(duì)獨(dú)立的動(dòng)態(tài)鏈接庫(kù)文件，即dll文件，放置于系統(tǒng)中，個(gè)人理解類(lèi)似于我們編程中引入的模塊。

靜態(tài)編譯:debug狀態(tài)下：MTd release狀態(tài)下：MT

動(dòng)態(tài)編譯:debug狀態(tài)下：MDd release狀態(tài)下：MD

動(dòng)態(tài)編譯的生成的可執(zhí)行文件的exe小，但是運(yùn)行需要系統(tǒng)環(huán)境具有相關(guān)的dll和lib文件，就是動(dòng)態(tài)調(diào)用系統(tǒng)相關(guān)的文件才能運(yùn)行；

靜態(tài)編譯生成的可執(zhí)行文件exe大，但是運(yùn)行的時(shí)候不依賴(lài)于系統(tǒng)環(huán)境所依賴(lài)的dll和lib等環(huán)境問(wèn)題，在編譯的時(shí)候已經(jīng)這些dll相關(guān)文件編譯進(jìn)了exe文件，所以exe文件較大。所以需要自己創(chuàng)建的工程需要在別的電腦上運(yùn)行，考慮到穩(wěn)定性，同時(shí)對(duì)執(zhí)行文件的大小沒(méi)有要求的話(huà)還是盡量選擇靜態(tài)編譯。

dll劫持漏洞原理

如果在一個(gè)進(jìn)程加載dll時(shí)沒(méi)有指定dll的絕對(duì)路徑，那么windows會(huì)嘗試去按照順序搜索這些特定目錄來(lái)查找這個(gè)dll。如果攻擊者將惡意的dll放在優(yōu)先于正常dll所在目錄，那么就能夠欺騙系統(tǒng)去加載惡意的dll,形成dll劫持。

九、注冊(cè)表劫持

現(xiàn)在病毒都會(huì)采用IFO的技術(shù)，通俗的講法是映像劫持，利用的是注冊(cè)表中的如下鍵值：HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options位置來(lái)改變程序調(diào)用的，而病毒卻利用此處將正常的殺毒軟件給偷換成病毒程序。事物都有其兩面性，其實(shí)，我們也可以利用該鍵值來(lái)欺瞞病毒木馬，讓它實(shí)效。可謂，將計(jì)就計(jì)，還治其人。

十、MBR后門(mén)

MBR（Main Boot Record）是位于計(jì)算機(jī)硬盤(pán)最前邊的一段引導(dǎo)（Loader）代碼。它記錄了硬盤(pán)的分區(qū)情況，并載明了操作系統(tǒng)是裝在哪一個(gè)分區(qū)中。

簡(jiǎn)單點(diǎn)來(lái)說(shuō)，在信安領(lǐng)域，如果企業(yè)的一臺(tái)服務(wù)器硬盤(pán)的MBR被破壞，將會(huì)導(dǎo)致該服務(wù)器硬盤(pán)無(wú)法啟動(dòng)，所有分區(qū)也無(wú)法進(jìn)行讀、寫(xiě)操作，給企業(yè)帶來(lái)的后果也是災(zāi)難性的。我們?cè)诠ぷ鞯倪^(guò)程中應(yīng)如何避免此類(lèi)安全問(wèn)題的發(fā)生呢？作為信安技術(shù)人員應(yīng)具備良好的安全意識(shí)，對(duì)關(guān)鍵數(shù)據(jù)、重要數(shù)據(jù)必須要做好備份，而此處的MBR就是服務(wù)器的重要數(shù)據(jù)。

備份MBR扇區(qū)數(shù)據(jù)

十一、WMI后門(mén)

WMI后門(mén)只能由具有管理員權(quán)限的用戶(hù)運(yùn)行。WMI后門(mén)通常使用powershell編寫(xiě)的，可以直接從新的WMI屬性中讀取和執(zhí)行后門(mén)代碼，給代碼加密。通過(guò)這種方式攻擊者會(huì)在系統(tǒng)中安裝一個(gè)持久性的后門(mén)，且不會(huì)在磁盤(pán)中留下任何文件。

WMI型后門(mén)主要有兩個(gè)特征：無(wú)文件和無(wú)進(jìn)程。其基本原理是：將代碼加密存儲(chǔ)在WMI中，達(dá)到所謂的無(wú)文件；當(dāng)設(shè)定的條件滿(mǎn)足時(shí)，系統(tǒng)將自動(dòng)啟動(dòng)powershell進(jìn)程去執(zhí)行后門(mén)程序，當(dāng)后門(mén)程序執(zhí)行后進(jìn)程就會(huì)消失。

檢查WMI后門(mén)，CommandLineTemplate的內(nèi)容就是程序要執(zhí)行的命令。

Get-WMIObject -Namespace root\Subscription -Class CommandLineEventConsumer -Filter "Name='Updater'"

清除WMI后門(mén)的常用方法有：

1.刪除自動(dòng)運(yùn)行列表中的惡意WMI條目。

2.在powershell中使用Get-WMIObject命令刪除與WMI持久化相關(guān)的組件。

WMI后門(mén)檢測(cè)

# Reviewing WMI Subscriptions using Get-WMIObject

# Event Filter

Get-WMIObject -Namespace root\Subscription -Class __EventFilter -Filter "Name='Updater'"

# Event Consumer

Get-WMIObject -Namespace root\Subscription -Class CommandLineEventConsumer -Filter "Name='Updater'"

# Binding

Get-WMIObject -Namespace root\Subscription -Class __FilterToConsumerBinding -Filter "__Path LIKE '%Updater%'"

使用Remove-WMIObject命令來(lái)刪除WMI持久性后門(mén)的所有組件。

# Removing WMI Subscriptions using Remove-WMIObject

# Event Filter

Get-WMIObject -Namespace root\Subscription -Class __EventFilter -Filter "Name='Updater'" | Remove-WmiObject -Verbose

# Event Consumer

Get-WMIObject -Namespace root\Subscription -Class CommandLineEventConsumer -Filter "Name='Updater'" | Remove-WmiObject -Verbose

# Binding

Get-WMIObject -Namespace root\Subscription -Class __FilterToConsumerBinding -Filter "__Path LIKE '%Updater%'" | Remove-WmiObject -Verbose

十二、管理員密碼記錄

查看電腦administrator的密碼

注冊(cè)表編輯器左方控制臺(tái)中依次單擊展開(kāi)“HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/Current Version/Winlogon”。