我们的目的只是为了做他们主机的管理员,那么怎样才能做管理员呢,对于windows系统来说,首先得有目标主机的管理员用户和口令,有了口令以后,就可以做很多事情了;本人对这篇东西不付任何责任。
一、获取管理员口令
第一步:大概就是收集尽量多的目标主机的信息吧,这要用到扫描器,可以用x-scan、x-way、nmap、等等,我一般喜欢先用namp,再用x-scan或sss。
第二步:利用收集到的信息了
1、漏洞
.unicode二次编码 有这类漏洞的主机现在已经很少很少了,如果有的话,可以使用的权限也很低,一般就仅有只读权限了,这就什么事都不能做,只能利用它来看看目标主机的一些文件,如果这台主机的管理员认为他的记性不是很好的话,非常有可能会把他的一些密码记录了一个文本文件当中,但这样的概录几乎等于0;如果有执行权,那就net user看一看,用户不多就把guest用户击活,再把它加到管理员组,用到命令是:net user guest 口令 /active:yes和net localgroup administrators guest /add。
.printer漏洞 现在有这个洞的主机就和有unicode洞的一样少,有的话,用个IIShack什么的就可以开99的shell口或建个叫hax/hax的管理员级用户。
.ida .idq漏洞 这个东西发现了有半年多了,现在开IIS的还是有35%的可能性有这个,有的话,可以用snake的idqover创建管理员用户,GUI版的使用是傻瓜式的,选择好操作系统类型,把要邦定的命令中的dir c:\改成net user 用户 口令 /add,然后点idq溢出就可,反回个OK,可这并不表示成功,再telnet 主机 813,如果出现命令执行成功的话,才表示可以,然后再用以上同样的方法再溢出一次把用户加入管理员组。
2、管理员输忽
一些粗心的管理员往往会把他的密码设的很简单,有的是不得不设的简单,这样的机器就会被扫描到弱口令了,有系统的、MS_sql或MySQL的较常见,mssql的可通过SQLexec等软件进行远程连接创建系统管理员,参考,MySQL的可见MY-SQL常用命令,要先你自己的机器上装个MySQL噢,或用AdminMySQL数据库工具。
3、给管理员发木马
管理员的信息可以从他的网站上或者.unicode的查看中获得,发信要求得到他的帮助(一些计算机方面的问题),花一定的时间取得信任,等到时机成熟时,给他发个自己做的,或是经过压缩再捆邦的收集密码的木马,等几天去收密码,再用收到的密码做一本字典,用个Letmein或menu+去猜他的服务器,这个有点缺德。
二、登陆主机
可以用TelnetHack打开它的任意端口(前提是它要有IPC$共享),高端的最好不要开,开个22、19、137、138可能会好些,然后登陆上去,我们的目的是要去放个后门,进入它的系统目录和程序目录,查看一下都装了哪些程序,哪些是用于安全方面的,如果有Arpkiller等,就不要放sniffer了,再看杀毒软件是什么公司的,自己装一个对你将要装上去的后门或别的什么程序进行扫描,扫不出来最好,扫出来就换一个,再用net user看一下它的用户,多的话加一个新的,把这个用户放到备份用户组就够了,这样稍微好了点,取名时也要注意跟主机上的别的用户名“压韵”,再用net share看看有哪些共享,没有admin$共享的话,自己加一个进去,再用pwdump把它的sam文件倒出抓回来。
三、留后门
选一个适合这台主机的后门,上传方法可参看IPC入侵全攻略,这里要注意后门的取名和开的口(或ping后门),在主机上装上后门后,一定要与主机断开ipc连接,不然在会话中会老是留有记录,再通过后门上传你要用到的程序,比如擦屁屁的、做代理的、扫描的、sniffer的等,放这些程序的目录最好是放的深一些,名字取的好听些,也可用个软件把它隐藏了,如这个主机没有查sniffer的东西,那给它装上个sniffer,fssniffer或x-sniff、wollf里的sniff用用还是挺好的,都可以侦听ftp/pop3等的明文传输密码。如果它开着web服务,那还可以给它放上个角本木马,角本木马如果放的好的话,检测难度非常大,而管理员在做Web备份的时候也会把它备份进去,一个好的ASP木马可以完全的接管一台NT。推荐用wollf新出的wollf-v1.5,它集成了很多功能,可太显眼了,杀毒软件会眼红。把主机上的认为有用的文件全下过来,如web程序的数据库连接代码里会有数据库用户名和口令的,更隐蔽的请看克隆管理员帐号。
四、擦屁屁
该做的都做了,那就要擦屁屁了,看看主机的日志都放在哪些地方,如果是系统默认的地方,那就直接运行你的擦屁工具好了,如果不是,那就得手工一个一个来了,可参见关于NT LOG记录和win 2k下FTP及WWW日志的清除,工具有CleanIISlog和clearel等,cleaniislog只可清ftp/IIS的,可定制。而一些清系统、安全、应用程序日志的工具往往就会全部把记录清空,这点倒不是很好。这里要注意的是,清记录时一定要用后门登陆,这样干净些。
五、进一步渗透
如果觉得这样还不够,过个一个星期,在中午吃饭时间再登陆进这台主机的后门,看看有没有装新程序,目录结构阿日志啊这些的什么的有没有大的变动,如果没有就要打一下ipconfig看看它的内网地址、网关,用以前放上去的扫描工具ping一下内网段的别的机器(别的机器可能会装有防火墙),把ping的到的记录下来,然后对其进行完整的扫描,发现可以进的就进去看看,放上个反向连接的木马在这些机器上,如果里面有一台机器是有共享软件的,也就是他们网管装机器用的常用软件,那就要想办法进这台机器,一旦进入,就可以把共享目录里的软件传两三个到你自己本地,分别捆邦入两种不同的反向连接木马,再传回覆盖原软件,这些软件可以是winzip、或一些小补丁。再就是,如果是用pc机做的网关,那最好能进这台机子,在上面放上个sniffer,可以用来把侦听到密码做成一本专门针对这个网的字典;进一步渗透由于不再去大范围的清日志,所以最好通过两个或三个代理上去,但对内网中的进入过的机器就要打扫一下了,好了,大家吃饭去。反向木马推荐用Nethief,它的http通道功能实在不错,可不支持win2000。
六、再利用
如果我们第一次侵入的主机被管理员发现,他把这台机器上的什么都补好了,那我们的字典,反向木马将会发挥很大的作用。但这时,这个网络已经没多大意思了,886。
