CMD是一个很重要的入口,不管是对于我们平常做的一些命令操作还是注册表都是一个很重要的入口,不过他对于病毒来说同样也是个入侵电脑的入口。翻开网络上的入侵资料看看吧!大多数的入侵都是在cmd下完成的,比较典型的有溢出得到一个system权限的cmdshell,然后种植一个Tcmd之类绑定了cmd.exe的后门。也有利用web程序的漏洞得到一个webshell然后利用低权限的cmdshell来提升权限,最后再种植后门……各种各样的攻击都说明入侵和cmd.exe是相关的,因为一个cmd.exe就是一个用户与系统交互的一个接口,是入侵者进入系统的首要目标。当然,我们不能在这里坐以待毙,如何防止别人通过溢出得到你的cmdshell,如何知道别人已经进入系统并且获得cmdshell,如何在人家登陆到我们机器的时候抓住入侵者呢?现在就让我们打造一个cmd下的终极防线吧。
网络上谈得比较多的一种防范的方法是将cmd.exe设置权限,这样的确可以起到很大的作用,但是权限比较难以确定,并且如果别人自己上传cmd.exe的话还是可以突破的,然后用nc绑定cmd.exe到一个端口还是可以得到cmdshell。今天我给大家介绍一种新的方法,不用设置cmd的权限哦!首先说说原理,还是打开你的cmd命令窗口,运行命令cmd /?,看看得到了什么吧!如图一。
注意以下内容:
如果 /D 未在命令行上被指定,当 CMD.EXE 开始时,它会寻找以下 REG_SZ/REG_EXPAND_SZ 注册表变量。如果其中一个或两个都存在,这两个变量会先被执行。
HKEY_LOCAL_MACHINESoftwareMicrosoftCommand ProcessorAutoRun
和/或
HKEY_CURRENT_USERSoftwareMicrosoftCommand ProcessorAutoRun
也就是说如果存在HKEY_LOCAL_MACHINESoftwareMicrosoftCommand ProcessorAutoRun和HKEY_CURRENT_USERSoftwareMicrosoftCommand ProcessorAutoRun这两个键值并且你不是用cmd.exe /D启动cmd进程的话会在启动cmd.exe之前先去执行这两个键值指定的程序。嘿嘿,想到什么了,既然可以先于cmd.exe之前执行自己的程序或者脚本,我们就完全可以控制cmd.exe的动作了。
我们找到了我们可以利用的东西,现在看看如何利用cmd.exe的这个特性来做些什么吧!关键是编辑
HKEY_CURRENT_USERSoftwareMicrosoftCommand ProcessorAutoRun的内容(没有的话你可以新建一个)为你自定义的一个脚本的位置,为了方便我们可以使用批处理,我的系统是2000 adv server。譬如你可以在c:winntsystem32下写入一个cmd.bat的批处理文件,内容为你希望在启动cmd.exe进程之前要运行的命令,然后编辑HKEY_CURRENT_USERSoftwareMicrosoftCommand ProcessorAutoRun的内容为c:winntsystem32cmd.bat如图二。
假设你的机器并不是经常及时打上补丁,你就可以编辑system32下cmd.bat的内容为exit,这样就抵御黑客的远程溢出攻击了,因为一般的溢出要么是反弹一个cmdshell要么是绑定一个cmdshell,而溢出的shellcode执行cmd之后会首先运行的是我们指定的cmd.bat里面的内容,而内容正是exit退出,这里为了给大家示范我指定的命令是pause命令,如图三。
这样不知道真相的人肯定会很郁闷的,即使知道真相如果他是一般的菜鸟的我想对这样的问题他也是束手无策吧,除非他使用的是其他的shellcode。
光是这样的防范还没有什么意思,我们最好能够抓住入侵者,那我们就好好的写这个cmd.bat脚本吧!要抓住入侵者或者想知道入侵事件发生的时间我们可以定义cmd.bat的内容如下:
<p> @echo off 关闭命令回显@netstat -an>>c:winntsystem32net.log 取得当前的网络连接状态并输出到net.log文件,用>>重定向是避免日志被后来的冲洗掉@date /t>>c:winntsystem32date.log 取得入侵发生的时间@time /t>>c:winntsystem32time.log |