Loading
0

原创:实战破解服务器shift后门密码 入侵大把服务器

原创作者:钊涣

前言

当你提权拿到一台服务器的时候,你最需要先做什么呢?当然是修复漏洞 然后找找服务器还有没有其他人留下的后门,清除完毕 然后再放自己的后门。。

shift后门是什么?

在进入正题之前先讲讲这个“shift后门” 在进入windows登陆界面的时候连按5次shift就会调出系统的粘滞键。shift后门就是替换这个粘滞键程序,在登陆界面按5次shift时运行一个木马程序,来新建一个用户,这样就可以登录了,在注销之前在删除这个用户,这样这台电脑的用户不会发现自己的电脑出现问题。

 

进入今天的正题:

这两天在录制windows攻防的课程,今天上午无聊就连接了一下昨天在课程中实战 拿下的服务器,结果发现我之前的shift后门被人替换了,,

 

 

1

 

这个后门让我很眼熟,我记得前几周提权拿下的服务器就是这个后门,我怎么替换都不好使,最后还是被别人提权了。。不甘心的我把ip存在了桌面的记事本里。。

刚刚登录服务器发现后门被替换了,两款后门都一样,于是我找到了这个后门的所在地

222

 

经验补充

据我经验了解

用这款后门的人极少数。。所以我怀疑替换我肉鸡服务器后门的人,和前几周提权走我拿下的服务器 是同一个人,,用的shift后门都一样,于是开始搭建破解环境

下载peidOllydbgC32asm

进行破解。。。

 

扔进peid查了下壳

20160506121854

然后又拖进od进行搜索,并没有发现什么关键字符。。自己对破解的经验不懂太多,只能换一种思路, 我尝试用这个后门生成器生成了一个shift后门,设置的密码为:123

 

160506122457

 

然后我把生成出来的后门,改了个格式,尝试用记事本搜索一下我刚刚生成的密码。。

 

23043

看到密码让我很开心。。这就有希望了,,于是我回到了服务器,找到了后门程序地址,然后复制了一份,,使用记事本打开,搜索最相近的字符位置。。

 

60506123647

 

这时,菊花一紧、、

 

0506124057

 

知道真相的我眼泪掉下来。。 接下来的你们懂得。。 我成功登录了后门。。

 

24651

 

拿到密码之后。我不仅登录了以前这小子提权走我的所有机器,而且也多了个心眼,,

 

 

大家以后遇到这种后门。。一定要试试密码:110119  说不定就登录进去了,哈哈哈

22222222222222222

 

本次实战破解后门提权,到这就结束了。。

【声明】:8090安全小组门户(https://www.8090-sec.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们:邮箱hack@ddos.kim,我们会在最短的时间内进行处理。