翻開網絡上的入侵資料看看吧!大多數的入侵都是在cmd下完成的,比較典型的有溢出得到一個system權限的cmdshell,然後種植一個Tcmd之類綁定了cmd.exe的後門。也有利用web程序的漏洞得到一個webshell然後利用低權限的cmdshell來提升權限,最後再種植後門……各種各樣的攻擊都說明入侵和cmd.exe是相關的,因爲一個cmd.exe就是一個用戶與系統交互的一個接口,是入侵者進入系統的首要目標。當然,我們不能在這裏坐以待斃,如何防止別人通過溢出得到你的cmdshell,如何知道別人已經進入系統並且獲得cmdshell,如何在人家登陸到我們機器的時候抓住入侵者呢?現在就讓我們打造一個cmd下的終極防線吧。
二 原理
網絡上談得比較多的一種防範的方法是將cmd.exe設置權限,這樣的確可以起到很大的作用,但是權限比較難以確定,並且如果別人自己上傳cmd.exe的話還是可以突破的,然後用nc綁定cmd.exe到一個端口還是可以得到cmdshell。今天我給大家介紹一種新的方法,不用設置cmd的權限哦!首先說說原理,還是打開你的cmd命令窗口,運行命令cmd /?,看看得到了什麼吧!如圖一。
此主題相關圖片如下:
注意以下內容:
如果 /D 未在命令行上被指定,當 CMD.EXE 開始時,它會尋找以下 REG_SZ/REG_EXPAND_SZ 註冊表變量。如果其中一個或兩個都存在,這兩個變量會先被執行。
HKEY_LOCAL_MACHINE/Software/Microsoft/Command Processor/AutoRun
和/或
HKEY_CURRENT_USER/Software/Microsoft/Command Processor/AutoRun
也就是說如果存在HKEY_LOCAL_MACHINE/Software/Microsoft/Command Processor/AutoRun和HKEY_CURRENT_USER/Software/Microsoft/Command Processor/AutoRun這兩個鍵值並且你不是用cmd.exe /D啓動cmd進程的話會在啓動cmd.exe之前先去執行這兩個鍵值指定的程序。嘿嘿,想到什麼了,既然可以先於cmd.exe之前執行自己的程序或者腳本,我們就完全可以控制cmd.exe的動作了。
三 實戰
我們找到了我們可以利用的東西,現在看看如何利用cmd.exe的這個特性來做些什麼吧!關鍵是編輯
HKEY_CURRENT_USER/Software/Microsoft/Command Processor/AutoRun的內容(沒有的話你可以新建一個)爲你自定義的一個腳本的位置,爲了方便我們可以使用批處理,我的系統是2000 adv server。譬如你可以在c:/winnt/system32下寫入一個cmd.bat的批處理文件,內容爲你希望在啓動cmd.exe進程之前要運行的命令,然後編輯HKEY_CURRENT_USER/Software/Microsoft/Command Processor/AutoRun的內容爲c:/winnt/system32/cmd.bat如圖二。
此主題相關圖片如下:
假設你的機器並不是經常及時打上補丁,你就可以編輯system32下cmd.bat的內容爲exit,這樣就抵禦黑客的遠程溢出攻擊了,因爲一般的溢出要麼是反彈一個cmdshell要麼是綁定一個cmdshell,而溢出的shellcode執行cmd之後會首先運行的是我們指定的cmd.bat裏面的內容,而內容正是exit退出,這裏爲了給大家示範我指定的命令是pause命令,如圖三。
此主題相關圖片如下:
這樣不知道真相的人肯定會很鬱悶的,即使知道真相如果他是一般的菜鳥的我想對這樣的問題他也是束手無策吧,除非他使用的是其他的shellcode。
光是這樣的防範還沒有什麼意思,我們最好能夠抓住入侵者,那我們就好好的寫這個cmd.bat腳本吧!要抓住入侵者或者想知道入侵事件發生的時間我們可以定義cmd.bat的內容如下:
@echo off //關閉命令回顯/@netstat -an>>c:/winnt/system32/net.log //取得當前的網絡連接狀態並輸出到net.log文件,用>>重定向是避免日誌被後來的沖洗掉/@date /t>>c:/winnt/system32/date.log //取得入侵發生的時間/@time /t>>c:/winnt/system32/time.log
@exit //退出//
這樣當有人溢出的時候他的IP就在日誌裏啦!你完全可以根據自己的情況補充這個腳本的內容,如查看進程,查看端口關聯等等,因爲不是系統自帶的程序我就不給大家展示了!
但是是不是隻能做這麼多呢?看到以前的雜誌有人寫用telnet愚弄入侵者,有了今天的方法可不只能用telnet愚弄入侵者了,所有的綁定cmd.exe的程序都可以被我們愚弄的。譬如我們在cmd.bat裏寫上:
@echo off //關閉命令回顯/@netstat -an>>c:/winnt/system32/net.log //取得當前的網絡連接狀態並輸出到net.log文件,用>>重定向是避免日誌被後來的沖洗掉/@date /t>>c:/winnt/system32/date.log //取得入侵發生的時間/@time /t>>c:/winnt/system32/time.log
@type c:/winnt/system32/cmd.txt //打印cmd.txt的內容,也是由我們自己定義的/@pause //暫停程序,讓入侵者惋惜去吧!/@exit //退出程序//
這樣我們就可以對入侵者喊話了,喊些什麼呢?罵人的話就不要喊了,我這裏就給自己做個廣告吧,別人telnet上來我的機器上時如圖四
此主題相關圖片如下:
我的日誌內容如圖五。
此主題相關圖片如下:
其實從任何的cmd後門上登陸時都是這樣的效果,我的Tcmd就很鬱悶,呵呵!這些在webshell裏也是很有奇效的,大家還可以發揮自己的想象力哦,沒有什麼做不到的。
四 總結
文章沒有什麼高深的東西,其實就是cmd的一個屬性,與設置權限配合使用,用得好的話效果還是很不錯的。有人要問了,這樣設置以後我們自己啓動cmd怎麼辦,很好說的,就是運行的時候用cmd /D參數啓動就可以了。有什麼問題或者建議歡迎到論壇討論,我的ID是劍心。(相關代碼已經收錄)
附:
cmd.bat
@echo off
@netstat -an>>c:/winnt/system32/net.log
@date /t>>c:/winnt/system32/date.log
@time /t>>c:/winnt/system32/time.log
@echo on
@type c:/winnt/system32/cmd.txt
@pause
@exit
cmd.reg
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Command Processor]
"AutoRun"="c://winnt//system32//cmd.bat"
二 原理
網絡上談得比較多的一種防範的方法是將cmd.exe設置權限,這樣的確可以起到很大的作用,但是權限比較難以確定,並且如果別人自己上傳cmd.exe的話還是可以突破的,然後用nc綁定cmd.exe到一個端口還是可以得到cmdshell。今天我給大家介紹一種新的方法,不用設置cmd的權限哦!首先說說原理,還是打開你的cmd命令窗口,運行命令cmd /?,看看得到了什麼吧!如圖一。
此主題相關圖片如下:
注意以下內容:
如果 /D 未在命令行上被指定,當 CMD.EXE 開始時,它會尋找以下 REG_SZ/REG_EXPAND_SZ 註冊表變量。如果其中一個或兩個都存在,這兩個變量會先被執行。
HKEY_LOCAL_MACHINE/Software/Microsoft/Command Processor/AutoRun
和/或
HKEY_CURRENT_USER/Software/Microsoft/Command Processor/AutoRun
也就是說如果存在HKEY_LOCAL_MACHINE/Software/Microsoft/Command Processor/AutoRun和HKEY_CURRENT_USER/Software/Microsoft/Command Processor/AutoRun這兩個鍵值並且你不是用cmd.exe /D啓動cmd進程的話會在啓動cmd.exe之前先去執行這兩個鍵值指定的程序。嘿嘿,想到什麼了,既然可以先於cmd.exe之前執行自己的程序或者腳本,我們就完全可以控制cmd.exe的動作了。
三 實戰
我們找到了我們可以利用的東西,現在看看如何利用cmd.exe的這個特性來做些什麼吧!關鍵是編輯
HKEY_CURRENT_USER/Software/Microsoft/Command Processor/AutoRun的內容(沒有的話你可以新建一個)爲你自定義的一個腳本的位置,爲了方便我們可以使用批處理,我的系統是2000 adv server。譬如你可以在c:/winnt/system32下寫入一個cmd.bat的批處理文件,內容爲你希望在啓動cmd.exe進程之前要運行的命令,然後編輯HKEY_CURRENT_USER/Software/Microsoft/Command Processor/AutoRun的內容爲c:/winnt/system32/cmd.bat如圖二。
此主題相關圖片如下:
假設你的機器並不是經常及時打上補丁,你就可以編輯system32下cmd.bat的內容爲exit,這樣就抵禦黑客的遠程溢出攻擊了,因爲一般的溢出要麼是反彈一個cmdshell要麼是綁定一個cmdshell,而溢出的shellcode執行cmd之後會首先運行的是我們指定的cmd.bat裏面的內容,而內容正是exit退出,這裏爲了給大家示範我指定的命令是pause命令,如圖三。
此主題相關圖片如下:
這樣不知道真相的人肯定會很鬱悶的,即使知道真相如果他是一般的菜鳥的我想對這樣的問題他也是束手無策吧,除非他使用的是其他的shellcode。
光是這樣的防範還沒有什麼意思,我們最好能夠抓住入侵者,那我們就好好的寫這個cmd.bat腳本吧!要抓住入侵者或者想知道入侵事件發生的時間我們可以定義cmd.bat的內容如下:
@echo off //關閉命令回顯/@netstat -an>>c:/winnt/system32/net.log //取得當前的網絡連接狀態並輸出到net.log文件,用>>重定向是避免日誌被後來的沖洗掉/@date /t>>c:/winnt/system32/date.log //取得入侵發生的時間/@time /t>>c:/winnt/system32/time.log
@exit //退出//
這樣當有人溢出的時候他的IP就在日誌裏啦!你完全可以根據自己的情況補充這個腳本的內容,如查看進程,查看端口關聯等等,因爲不是系統自帶的程序我就不給大家展示了!
但是是不是隻能做這麼多呢?看到以前的雜誌有人寫用telnet愚弄入侵者,有了今天的方法可不只能用telnet愚弄入侵者了,所有的綁定cmd.exe的程序都可以被我們愚弄的。譬如我們在cmd.bat裏寫上:
@echo off //關閉命令回顯/@netstat -an>>c:/winnt/system32/net.log //取得當前的網絡連接狀態並輸出到net.log文件,用>>重定向是避免日誌被後來的沖洗掉/@date /t>>c:/winnt/system32/date.log //取得入侵發生的時間/@time /t>>c:/winnt/system32/time.log
@type c:/winnt/system32/cmd.txt //打印cmd.txt的內容,也是由我們自己定義的/@pause //暫停程序,讓入侵者惋惜去吧!/@exit //退出程序//
這樣我們就可以對入侵者喊話了,喊些什麼呢?罵人的話就不要喊了,我這裏就給自己做個廣告吧,別人telnet上來我的機器上時如圖四
此主題相關圖片如下:
我的日誌內容如圖五。
此主題相關圖片如下:
其實從任何的cmd後門上登陸時都是這樣的效果,我的Tcmd就很鬱悶,呵呵!這些在webshell裏也是很有奇效的,大家還可以發揮自己的想象力哦,沒有什麼做不到的。
四 總結
文章沒有什麼高深的東西,其實就是cmd的一個屬性,與設置權限配合使用,用得好的話效果還是很不錯的。有人要問了,這樣設置以後我們自己啓動cmd怎麼辦,很好說的,就是運行的時候用cmd /D參數啓動就可以了。有什麼問題或者建議歡迎到論壇討論,我的ID是劍心。(相關代碼已經收錄)
附:
cmd.bat
@echo off
@netstat -an>>c:/winnt/system32/net.log
@date /t>>c:/winnt/system32/date.log
@time /t>>c:/winnt/system32/time.log
@echo on
@type c:/winnt/system32/cmd.txt
@pause
@exit
cmd.reg
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Command Processor]
"AutoRun"="c://winnt//system32//cmd.bat"
