我們的目的只是為了做他們主機(jī)的管理員,那么怎樣才能做管理員呢,對于windows系統(tǒng)來說,首先得有目標(biāo)主機(jī)的管理員用戶和口令,有了口令以后,就可以做很多事情了;本人對這篇東西不付任何責(zé)任。
一、獲取管理員口令
第一步:大概就是收集盡量多的目標(biāo)主機(jī)的信息吧,這要用到掃描器,可以用x-scan、x-way、nmap、等等,我一般喜歡先用namp,再用x-scan或sss。
第二步:利用收集到的信息了
1、漏洞
.unicode二次編碼 有這類漏洞的主機(jī)現(xiàn)在已經(jīng)很少很少了,如果有的話,可以使用的權(quán)限也很低,一般就僅有只讀權(quán)限了,這就什么事都不能做,只能利用它來看看目標(biāo)主機(jī)的一些文件,如果這臺主機(jī)的管理員認(rèn)為他的記性不是很好的話,非常有可能會把他的一些密碼記錄了一個文本文件當(dāng)中,但這樣的概錄幾乎等于0;如果有執(zhí)行權(quán),那就net user看一看,用戶不多就把guest用戶擊活,再把它加到管理員組,用到命令是:net user guest 口令 /active:yes和net localgroup administrators guest /add。
.printer漏洞 現(xiàn)在有這個洞的主機(jī)就和有unicode洞的一樣少,有的話,用個IIShack什么的就可以開99的shell口或建個叫hax/hax的管理員級用戶。
.ida .idq漏洞 這個東西發(fā)現(xiàn)了有半年多了,現(xiàn)在開IIS的還是有35%的可能性有這個,有的話,可以用snake的idqover創(chuàng)建管理員用戶,GUI版的使用是傻瓜式的,選擇好操作系統(tǒng)類型,把要邦定的命令中的dir c:\改成net user 用戶 口令 /add,然后點(diǎn)idq溢出就可,反回個OK,可這并不表示成功,再telnet 主機(jī) 813,如果出現(xiàn)命令執(zhí)行成功的話,才表示可以,然后再用以上同樣的方法再溢出一次把用戶加入管理員組。
2、管理員輸忽
一些粗心的管理員往往會把他的密碼設(shè)的很簡單,有的是不得不設(shè)的簡單,這樣的機(jī)器就會被掃描到弱口令了,有系統(tǒng)的、MS_sql或MySQL的較常見,mssql的可通過SQLexec等軟件進(jìn)行遠(yuǎn)程連接創(chuàng)建系統(tǒng)管理員,參考,MySQL的可見MY-SQL常用命令,要先你自己的機(jī)器上裝個MySQL噢,或用AdminMySQL數(shù)據(jù)庫工具。
3、給管理員發(fā)木馬
管理員的信息可以從他的網(wǎng)站上或者.unicode的查看中獲得,發(fā)信要求得到他的幫助(一些計(jì)算機(jī)方面的問題),花一定的時間取得信任,等到時機(jī)成熟時,給他發(fā)個自己做的,或是經(jīng)過壓縮再捆邦的收集密碼的木馬,等幾天去收密碼,再用收到的密碼做一本字典,用個Letmein或menu+去猜他的服務(wù)器,這個有點(diǎn)缺德。
二、登陸主機(jī)
可以用TelnetHack打開它的任意端口(前提是它要有IPC$共享),高端的最好不要開,開個22、19、137、138可能會好些,然后登陸上去,我們的目的是要去放個后門,進(jìn)入它的系統(tǒng)目錄和程序目錄,查看一下都裝了哪些程序,哪些是用于安全方面的,如果有Arpkiller等,就不要放sniffer了,再看殺毒軟件是什么公司的,自己裝一個對你將要裝上去的后門或別的什么程序進(jìn)行掃描,掃不出來最好,掃出來就換一個,再用net user看一下它的用戶,多的話加一個新的,把這個用戶放到備份用戶組就夠了,這樣稍微好了點(diǎn),取名時也要注意跟主機(jī)上的別的用戶名“壓韻”,再用net share看看有哪些共享,沒有admin$共享的話,自己加一個進(jìn)去,再用pwdump把它的sam文件倒出抓回來。
三、留后門
選一個適合這臺主機(jī)的后門,上傳方法可參看IPC入侵全攻略,這里要注意后門的取名和開的口(或ping后門),在主機(jī)上裝上后門后,一定要與主機(jī)斷開ipc連接,不然在會話中會老是留有記錄,再通過后門上傳你要用到的程序,比如擦屁屁的、做代理的、掃描的、sniffer的等,放這些程序的目錄最好是放的深一些,名字取的好聽些,也可用個軟件把它隱藏了,如這個主機(jī)沒有查sniffer的東西,那給它裝上個sniffer,fssniffer或x-sniff、wollf里的sniff用用還是挺好的,都可以偵聽ftp/pop3等的明文傳輸密碼。如果它開著web服務(wù),那還可以給它放上個角本木馬,角本木馬如果放的好的話,檢測難度非常大,而管理員在做Web備份的時候也會把它備份進(jìn)去,一個好的ASP木馬可以完全的接管一臺NT。推薦用wollf新出的wollf-v1.5,它集成了很多功能,可太顯眼了,殺毒軟件會眼紅。把主機(jī)上的認(rèn)為有用的文件全下過來,如web程序的數(shù)據(jù)庫連接代碼里會有數(shù)據(jù)庫用戶名和口令的,更隱蔽的請看克隆管理員帳號。
四、擦屁屁
該做的都做了,那就要擦屁屁了,看看主機(jī)的日志都放在哪些地方,如果是系統(tǒng)默認(rèn)的地方,那就直接運(yùn)行你的擦屁工具好了,如果不是,那就得手工一個一個來了,可參見關(guān)于NT LOG記錄和win 2k下FTP及WWW日志的清除,工具有CleanIISlog和clearel等,cleaniislog只可清ftp/IIS的,可定制。而一些清系統(tǒng)、安全、應(yīng)用程序日志的工具往往就會全部把記錄清空,這點(diǎn)倒不是很好。這里要注意的是,清記錄時一定要用后門登陸,這樣干凈些。
五、進(jìn)一步滲透
如果覺得這樣還不夠,過個一個星期,在中午吃飯時間再登陸進(jìn)這臺主機(jī)的后門,看看有沒有裝新程序,目錄結(jié)構(gòu)阿日志啊這些的什么的有沒有大的變動,如果沒有就要打一下ipconfig看看它的內(nèi)網(wǎng)地址、網(wǎng)關(guān),用以前放上去的掃描工具ping一下內(nèi)網(wǎng)段的別的機(jī)器(別的機(jī)器可能會裝有防火墻),把ping的到的記錄下來,然后對其進(jìn)行完整的掃描,發(fā)現(xiàn)可以進(jìn)的就進(jìn)去看看,放上個反向連接的木馬在這些機(jī)器上,如果里面有一臺機(jī)器是有共享軟件的,也就是他們網(wǎng)管裝機(jī)器用的常用軟件,那就要想辦法進(jìn)這臺機(jī)器,一旦進(jìn)入,就可以把共享目錄里的軟件傳兩三個到你自己本地,分別捆邦入兩種不同的反向連接木馬,再傳回覆蓋原軟件,這些軟件可以是winzip、或一些小補(bǔ)丁。再就是,如果是用pc機(jī)做的網(wǎng)關(guān),那最好能進(jìn)這臺機(jī)子,在上面放上個sniffer,可以用來把偵聽到密碼做成一本專門針對這個網(wǎng)的字典;進(jìn)一步滲透由于不再去大范圍的清日志,所以最好通過兩個或三個代理上去,但對內(nèi)網(wǎng)中的進(jìn)入過的機(jī)器就要打掃一下了,好了,大家吃飯去。反向木馬推薦用Nethief,它的http通道功能實(shí)在不錯,可不支持win2000。
六、再利用
如果我們第一次侵入的主機(jī)被管理員發(fā)現(xiàn),他把這臺機(jī)器上的什么都補(bǔ)好了,那我們的字典,反向木馬將會發(fā)揮很大的作用。但這時,這個網(wǎng)絡(luò)已經(jīng)沒多大意思了,886。