|
如果你已经夺取了一定的权限,比如,可写的!那么运用下面两个软件,可以轻易的帮你入 侵: DNTUCli.exe DNTUS26.exe Copyright (C) 1991-2001 DameWare Development www.dameware.com 当你输入ip的时候会让你输入用户和密码!只要对方开了ipc而且你的用户有可写的权限的 话!! 就会复制同一目录下的DNTUS26.exe,这种程序是自己安装而且自己打开服务的! 然后你就可以直接连接到对方的c了! 这种软件有CMD重定向功能··· 然后你就随便想 做你的任何事情了!C:\>net user \\FYNET33 的用户帐户 ---------------------------------- C:\>net user guest /active:yes C:\>net user guest wry 命令成功完成。 C:\>net user localgroup administrators guest /add 这个时候你的guest已经是管理员了!!如果你禁止了net.exe或者被删除了你可以用ftp 命令下一个net.exe或者另外一个软件adduser.exe用法: D:\>addusers.exe ADDUSERS {/c|/d{:u}|/e} filename [/t][/s:x] [/?] [\\computername|domainname] [/p:{l|c|e|d}] Error: too few arguments 现在你就是管理员了!要是感觉还不是很爽!呵呵!那么努力进它的内部网络吧!!看: 二,攻击者控制服务器文件系统 有了密码对入侵者来说,绝对不是他们的最终目的!隐射为本地盘,当入侵者得到你adminitra tor组的任何一个成员的密码,或者是个普通用户的密码这里我把具体命令cut了! 1,是administrator的成员时几乎可以隐射你任意一个盘。 2,普通用户将利用各种可能的机会得到更多的信息或直接利用web hole来获取更大的权限。 典型的手法有:利用web asp的功能!控制你整个硬盘 (注意iis的一些已知的漏洞upload. asp)。 注意:利用asp 功能,攻击者同样能控制你硬盘上的大多数的文件(everyone的文件)
一般来说立即启动对nt来说是比较困难的,虽然有些入侵者会写几句命令,然后等待服务器 重新启动时,他的程序也将得以运行,但是我想对于大多数的攻击者来说,他们不会有那么 好的耐心他们会立即启动他们的东西(可能是些后门木马)。在nt iis的web配置里有个选项是执行--------危险 攻击者将利用他控制你文件系统的 任何一种方法把他要启动的程序放到那些允许执行的目录里去 然后他们将 _new>http://www.xxx.com/cgi-bin/xxx.exe 利用web 启动该文件。 指出:iis 默认的一些目录带有可执行的权利 /script/tools/ .... 对于一些初级入侵者来说,他们往往启动的是些后门木马,然后对于那些经验丰富的入 侵者他可能对控制你一台机器已经显得毫无兴趣,他们可能真正的目的是控制你的整个 网段,这里值得注意的是,这些入侵者将会启动一个 等同于telnet shell for nt的 东西 netcat ncx99.exe将在nt的99段口开启一个telnet服务端进程,等代攻击者的 登陆四,登陆取得最高权限 登陆后的入侵者在远端服务器并不具有最高的权限,他们将采用一些nt本地溢出变成admin 其中著名的程序是getadmin.exe五,删除日志记录 任何一个入侵者都懂得保护他们自己!所以删除日志记录对他们来说是件很重要的事在这里,我建议网管采用第二硬备份或采用第三方日志记录系统。 由于nt的日志文件是当前进程运行操作的文件,他是根据时间来不断换新的操作文件的任何人,包括admin在内是无权删除或更改的。 六,进入你的内部网 由于攻击者登陆你的 shell ,此时的他所具有的ip 等同于你这台机器上的内部地址 同时上述的攻击手段将再一次在内部网重演,扫描,破解,登陆。内部网络的速度将比远程 快很多,这无意给入侵者暴力破解打开了方便之门。 七,更多手段 可能话!他们会做一切你想不到的事!监听,ip欺骗。。。。。 但是,嗅探的方法是不可能在交换机的网络里抓到信息的!即使在内部网络里,我们的 目标就是 拿到对方的密码才可以有访问的权限!如果你侥幸的有权限加到了域管理员!那么以上的都不要了! 我在把2000和nt下的后门拿出来说一下子: 如何做个好后门是很关键的; 1》推荐为小榕的RemoteNC,RemoteNC Beta 4 远程安装于NT/2000,提供CMD重定向功 能因为它具有cmd的重定向,也就是调用了对方的cmd,所以可以穿过放火墙后面的主机,传 递信息但是必须要是administrator的身份安装 唯一的不好的,现在这个软件已经被列入了 病毒的行列了!我压缩了后,又被最新的kv3000杀死了! 2》现在推荐为蓝色火焰,目前还没有被查杀了,支持ftp,telnet 等多种方式! 既然你已经获得了管理员权限了! 那么复制到对方的admin4\system32改一个隐蔽的名字!! 然后用at命令或者直接用 RemoteNC启动!,这个软件后门唯一不好处没有和exe关联! 很容 易被删除的! 3》推荐为asp木马。这种木马永远不会被查杀!上传到对方主机有可执行的asp的目录下! 直接可以在浏览器上直接运行的! 比如: _new>http://www.fibrlink.com/flink/apply/cmdasp.asp 这个站点,我做的asp木马,到我写 的时候,还是可以用的!希望大家只是用来测试! 4》推荐为tini.exe这个后门软件,据说是永远不会被查杀的软件,因为它用的是window的 shell通道!!呵呵!但是,我在测试的时候还是会被最新的锘盾杀死的!复制到对方主机 上,运行后就可以telnet对方的7777断口了! 如何把自己的后门程序隐藏的比较好? 后门做好了,不要万事大吉了!还要删除了自己的记录! Windows2000的日志文件通常有应用程序日志,安全日志、系统日志、smtp服务器日志,DNS 服务器日志、FTP日志、WWW日志等等可能会根据服务器所开启的服务不同而有所不同。还有 一些网络管理软件的日志,说到这里,记得新浪的网管软件是自己开发的,如果不了解这个, 可能会留下更多的记录!!!1) Scheduler日志 Scheduler服务日志默认位置:2000下: %sys temroot%\schedlgu.txt NTworkstation 下为SchedLog.txt 可以打开schedlgu.txt Schedluler服务日志在注册表中 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent 先停掉他 net stop "task scheduler" (注意不停是删不掉的) 然后再 del schedlgu.txt 或 schedlog.txt之后就OK了. del sched*.txt 不过你如果不想删他,也可以改改它. 他的内容是这样的: " "任务计划程序服务" 已退出于 01-5-22 20:37:34 "任务计划程序服务" 已启动于 01-5-25 7:07:37 "任务计划程序服务" 已启动于 01-5-25 7:26:36 "任务计划程序服务" 已退出于 01-5-25 8:47:54 " 很好改的. (2) FTP日志 Internet信息服务FTP日志默认位置:%sys temroot%\sys tem32\logfiles\msftpsvc1\ ,默认每天一个日志.格式是这样的 ex*.log .注意这是一台NT4的LOGFILES下的文件:这台服务器下管理有多个HTTP或FTP站点 c:\winnt\sys tem32\logfiles 的目录 00-12-04 06:28p . 看看日志文件的格式: 法一:> 这个时侯 net stop msftpsvc 停掉后台服务. 然后尽管 del ............ 看这删吧,不要删的过火,把当天的删了就行. 别忘了再NET START MSFTPSVC 把服务打开. 法二:> 当然你如果还想更好,那就改改日志,可以改了系统时间后再改日志,只把你的清了, 别忘了把时间改回来哦 实际上在得到ADMIN权限后,做这些事很容易. 法三 最傻瓜的清FTP日志的方法, cleaniislog !! |
 |
|
文章转载地址:http://www.cnpaf.net/Class/hack/05121820345191770677.htm
