危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览18787960

撤离3389肉鸡的“添足”之作

近几年,猜解后台登录地址、下载数据库和注入等方式已经成了入侵网站的最主要方式。在登录到网站的后台管理界面之后,紧接着的一步便是通过上传小、大马的手段来拿WebShell了;然后,在大马中进行登录账号的添加和提权操作,查看或开设3389。终端之类的远程服务。然后,就没有然后了。通常的入侵手记都是到此便嘎然而止了,没有了下文。当然,进行到这一步其实已经与五六年之前的入侵接轨成功了,那时的入侵很多都是通过X-Scan之类的扫描器进行账号的空、弱口令和开设端口等的侦查,然后就可以登录3389肉鸡了。其实,辛辛苦苦半天,谁都不愿意让到手的肉鸡在很短的时间内(甚至只使用了一次)飞走;但是,出现了这样的状况,你有没有想过其中的原因呢?危险漫步今天就给大家讲讲其中的奥秘:

其实,很有可能是我们在不经意间所忽略的一个小细节而导致了这样的“恶果”,那就是没有擦除最后登录用户的痕迹!虽然对方的网管可能是仅仅因为使用了某网站模板的默认admin账号、默认admin或admin888密码而被你抓住机会,但再笨的网管也会在某次服务器重启的登录界面中发现那个被提权的隐藏黑客账号(比如Hacker)赫然出现在“用户名”!如果真的出现这样的情况,估计再白痴的网管也会在头脑中闪过“被黑了”的念头,下一步自然就是使用自己的Administrator账号(我们一般都不会动这个的吧?——那样被察觉得更快)登录,在“本地用户和组”中查个水落石出不可!即使我们之前提权的账号是Guest,一般的网管都会在这样的非默认Adminstrato登录界面前打个激灵的。如何避免这样的蛛丝马迹呢?

其实,要解决如此“严重”的问题非常简单,我们只需要多做一步小小的设置工作就可以了。在3389肉鸡上打开注册表编辑器(“开始”——“运行”,输入“Regedit”后点击“确定”按钮),依次找到HKEY_LOCAL—MACHINE\SOFTWARE\Microsoft\Window s\Current Version\

policies\system项,然后在其右侧窗格中找到“dontdisplaylastusername”(意思就是“不显示上次登录的用户名”),双击打开进行编辑,将其“数值数据”由XP系统默认的0值修改为1,点击“确定”按钮即可设置为有效状态,然后按F5键刷新一下并关闭注册表编辑器。

怎么样?非常简单的一步注册表修改操作,不要怕麻烦,建议大家拿出1分钟“多此一举”将它做好,让这看似画蛇添足的一步成为我们撤离3389肉鸡最完美的“收剑”招式,记住一“细节决定成败!”。