网络后门与隐身1、开启远程计算机的TELNET查看虚拟机TELNET服务状态,控制面板/管理工具/服务/在本地机上执行cscriptRTCS.vbe192.168.1.9y123123”,其中cscript是操作系统自带的命令RTCS.vbe是该工具软件脚本文件IP地址是要启动Telnet的主机地址administrator是用户名123456是密码1是登录系统的验证方式23是Telnet开放的端口在次查看虚拟机TELNET状态,发现已经启动执行完成后,对方的Telnet服务就被开启了。在DOS提示符下,登录目标主机的Telnet服务,首先输入命令“Telnet192.168.1.9”,因为Telnet的用户名和密码是明文传递的,首先出现确认发送信息对话框,如图所示输入用户名密码,有时要几次才能登陆登陆成功,如界面这个时候就进入对方的命令行,可进行拷贝、IPCONGFIG、netuse等功能了2、建立WEB、TELNET服务在虚拟机运行NETSTAT-AN查看计算机端口状态,发现707、808端口开放在本地主机的IE地址栏输入HTTP://192.168.1.9:808,可看到远程主机磁盘内容将本地机C盘的文件1.txt和REG.EXE文件上传到对方的计算机系统目录下(也可以利用IPC$连接后上传文件,见下图),也可以下载远程主机的文件,下面将上传得文件加入到对方主机的启动项中在本地机中打开对方的命令行状态,执行reg.exeaddHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/vservice/d1.txt在本地机的命令行输入telnet192.168.1.9707可登陆到对方计算机,进行TELNET,但此时对方的23号端口或服务中TELNET可以没有打开(请思考原因)请清除打开开启707、808端口的后门程序3、删除日志查看主机系统日志和IIS日志查看虚拟机IIS日志system32\logfiles,可以看到本地主机多次访问它,以下操作设法删除它上传工具软件CLEANIISLOG利用工具获得目标计算机的用户名和密码利用IPC$与目标主机建立连接netuse\\目标IP\ipc$password/user:name,连接成功将工具软件CLEANIISLOG上传对方主机的系统目录下,命令为:copyCLEANIISLOG.exe\\192.168.1.9\c$\winnt\system32如图清除远程主机IIS日志在对方主机的命令行CLEANIISLOG..exeex050625.log要删除的IP删除前部分远程主机日志删除成功的界面使用工具软件clearel.exe,可以方便的清除系统日志,首先将该文件上传到对方主机,然后删除这三种日志的命令格式为:ClearelSystemClearelSecurityClearelApplicationClearelAll观察删除前后远程计算机日志
