【郁闷……又得重新输入】
**************************
此文归20cn网络安全小组
和日月双星共有
**************************
大家现在都在为怎么远程控制在发急吧,现在很多远程控制软件都被kill了,现在我给大家介绍一种很常见的,也是我很常用的工具它就是【Dame Ware】
工具:我使用的是SHED和Dame Ware。你也可以使用流光和Xsan扫描。
适用人类:具有菜鸟必备网络知识,有自我动手能力,具有冷静头脑,否则后果严重
所需要的基础知识:了解什么是IPC【internet process connetion】网络远程连接
适用条件【获得远程主机admin权限后,主机开IPC】
目的:获得对方admin权限,进行屏幕监视,屏幕控制,远程执行命令,修改系统配置,文件窃取,留后门,擦脚印】
------------------------
帖子发表时间:04-07-27 23:58
日月双星[abctm]回复道:由于常见入侵是基于命令行的,对新菜鸟们造成很大的心灵阴影【夸张了点】
这次介绍的不需要你记住那么多命令,但操作基于IPC,不过你已经感觉不到它的存在了。
================获得主机ADMIN权限=================
由于此篇介绍是远程控制软件使用,这里简单介绍了,剩下大家自己查资料吧。
想获取对方主机admin权限可以使用榕哥的SMBCrack。破解速度快,但是使用起来很费时间,容易被发现。成功与否依赖对方密码强壮度了。这次我们练手,此步省略了。
这次我们可以靠扫描器扫出AMDIN的弱口令来。
打开XSAN填上IP段,扫几个弱口令来,这里为了速度快,可以只选择NT弱口令就行,
这个步骤你可以使用流光来办,这里不介绍了。
我的法子更简单,反正是演示对吧,打开SHED,填上IP段,然后扫描,得到开放了很多共享的就可以试试了
打开CMD测试下是否是空口令
呵呵成功了。
这样扫出了一般都有administrator弱口令,呵呵安装系统时候的疏忽了。
日月双星[abctm]回复道:得到了帐户和口令,我们进行下一步,看看今天的主角【dame ware】中的dame ware remote control,点new host,填上刚才得到的ip,username ,password。点connect。
由于第一次进入此机器,会弹出对话框来【提示我们在远程主机安装服务程序】
【由于截的不是一次,ip有所不同哦】
大家不用担心这个安装不用惊动对方,程序会帮我们“好心”的在对方不知情的情况下给它装上。我们要做的只是配置一下而已。我们所作配置只是方便他作为黑客工具来使用罢了。
我们在对话框点ok继续安装,然后进入安装对话框
由于这是对远程主机上运行程序的设置,所以对方对我们控制做出反映全在此配置了。
首先看到4个选项
选中stop service on disconnect,会在断开连接时候同时停止停止服务。
选中remove service on disconnect,会在断开时候并卸载服务。
选中 set service startup type manual default is 将会在连接主机时候手工启动远程dame ware 服务端程序
选中 copy configuration files dwrcs 服务端程序会安装我们修改设置后在对方执行
建议选中3,4项,然后进入edit进入详细设置
日月双星[abctm]回复道:进入edit后配置【dame ware mini remote control properties】
我们主要修改2个地方来隐藏我们的远程控制,其他的不介绍,有兴趣,自己探索一下。
选中additional标签,去掉enable systary icon前的勾。这样是为了去处远程连接主机工具栏的通知图标
接着选中notify dialog标签,去掉notify on connection的勾,这样做是远程主机控制时候他就不会有任何提示了。【阴吧】
准备好了么,点确定进入主机。let us go!
日月双星[abctm]回复道:等会会在dameware mini remote control中出现远程主机屏幕。
记住这个时候选择view only哦,否则那就是控制对方屏幕操作了。对方鼠标会跟着你走,会吓到小朋友的,我就吓了不少 ,呵呵象鬼一样哦】
如图
我认为这个监控图象质量很好,比冰河之类远程控制类速度要快多了,而且不用骗人运行木马,就能达到如此效果,最重要的是不会被查杀哦,我们不是偷窥哦,我们只是看看他有什么爱好罢了。
看看他的QQ了,如果他上Q,就加他吧,这样就算他是adsl拨号,你就可以通QQ知道他的动态ip了。呵呵不怕抓不到他
能看到对方,我们心里就会有底了,万一对方使用netstat -an之类查看网络不就糟了,这个时候赶快逃,呵呵
日月双星[abctm]回复道:把屏幕控制放在一边,我们先看看里面更强的工具
【dame ware nt utilities】
这个是个工具集,包括刚才使用的远程监控。
填上刚才的ip点ok,呵呵看看dame ware nt utilites的全部工具了
功能十分强大,至于到什么程度,自己看看吧。除了破坏硬件,几乎全了
我们来做点别的
打开
remote command ,打开后,选择rcmd view。键入用户名和口令
登陆成功后就可以键入你熟悉的dos命令了,
我们可以在里面建议自己的帐户,为所欲为了。
最好看看netstat -an一下看看有其他入侵者么。
我们来看看对方的进程
找到【processes】双击后出现对方进程
控制其进程和本机进程一样,呵呵你知道改怎么办了,随便耍也可以哦。主要看看有没有对我们有威胁的进程了。
日月双星[abctm]回复道:找到菜单里面的
【registry】我们就可以远程修改对方注册表了。例如加启动项了,之类的。
然后还可以打开【services】里面的【services view】进行打开关闭对方的服务。
如果没有安装什么服务你可以“好心”给他安装了。呵呵
点击【install services】就可以安装了,这里不多介绍了。
接着谈下远程主机文件操作。双击【shares】打开后就像本地资源管理器一样,这里不介绍了。
日月双星[abctm]回复道:最后我们要清脚印了
【通过计划任务即可了】
上传一个clearlog.exe然后添加一个认为就行了
[img]http://home.hnjzcrc.com/netdemon/ctb/data/upfile/174_2_1090942035.jpg[img]
最后可以给他发个消息吓唬一下了。………………
--------------
防范:
1。管理员口令强壮
2、修补系统漏洞
3。没有特殊服务,关闭server 远程注册表,等服务。
4 关闭默认共享和139
5 定期分析日志
| 
标题: 【原创】用DameWare入侵攻略 [原创]