1、
黑客新手常见安全问题
[这个贴子最后由尼诺在 2004/09/23 05:49pm 第 9 次编辑]�j#G�q�W5t)H.I
�I�n-j6n"N S*p&c [watermark]新手常见安全问题
�Q:v m�m�x�]5l
�k�T*f a�c�f�B)N 关于被入侵-`5c+R�G _:v5G�u
简单说明:
�i�`'r B�r�b D�]3r 经常有说:“我中xx木马啦,怎么办?”、“我的windows有问题,是不是被入侵啦?”等等。通用的做法是查看可疑进程(win98需要用相关工具)、注册表启动项、服务、开放端口等,然后更新病毒库,杀
2、毒。前提是你要有一定的电脑常识并对你的系统比较了解,才能分别正常与否。如果你自己对电脑一窍不通,那在论坛别人也很难帮助你。其实就像对付现实中的病毒一样,应该预防为主。杀毒软件和网络防火墙可以抵御绝大部分危险,自身安全知识的提高则是最根本的保障。最新的病毒相关知识可以到杀毒软件公司的主页上找。另外,系统不正常也可能是操作失误引起的。
-a�o,E�^9E3_/@ 相关工具:
9m:[0W�R4f�E+Z Active Ports 监视自己电脑的端口:http://www.smartline.ru/software/aports.zip windows
3、优化大师2004它的进程管理功能不错 : U N9b t�`�r
Fport-2.0 查看端口关联的进程 : [url= mport 比fport更胜一筹的工具: 本人暂时无法提供,希望大家能给我提供下载地址
,i:G�W&X�c�k k9{5C m4{ 相关帖子:
�i�h�V�A&V/i�M [�G 关于广外女生木马的手工清除方法:
把灰鸽子赶尽杀绝:
5s�d�w)j�` 清除恶意网页的破坏 : 2000系统进程总列表
�J G�S'V4i*W 木马的检测、清除及其预防
4、 关于基础知识和入侵步骤
�Q4j7{0z U�c�B�Y�Q9r 简单说明:
�n�o�h�e�g�@ | I 电脑和网络知识可算是基础的基础,至少你要先了解了它们再来看下面的。看完这部分,你也只是算站到了“零起点”上,路还长着呢。这里我再多说几句关于入侵步骤的话,给新手做个引导。所谓入侵,可以理解为未授权的访问。既然是未授权的,就需要借助一些非常规的手段,即通常所说的利用漏洞
5、
�Z"U�C |�D 1,要利用漏洞首先要发现它。端口扫描和漏洞扫描就是“敲门砖”。可以对大量目标做一般扫描,也可以对单一目标做重点扫描。或者两者结合。当你对漏洞熟悉时,你可以只通过端口扫描就能了解目标的可能有的漏洞。这样既提高效率又不易被记录日志。
1c�A�j M:{�]�B�z�Z1h 2,找到漏洞后的利用问题,是千差万别的。这正是新手学要学习的地方之一。这里就不多说了。�^�C&n�] ~-z�g�|*|
3,利用漏洞的目的是什么呢?是控制对方,即是获得远程shell。shell这个概念是从UNIX下继承过来的,是指与操作系统核心的一种交互方式和界面。
6、典型的例子是telnet。得到shell的办法有很多种,比如通过系统自带的telnet,终端服务。或者用木马和工具提供的,如winshell,冰河等等。
3_4G3~+m�P t+i 4,shell是有权限差别的。最高权限——管理员权限才是我们的目标。所以有时会有提升权限的问题。当然,这也是利用了漏洞。�_*Z)E S"i�G&f)`�d
5,有了shell还要扩大它,就是进一步获得更好用的shell。命令行的到图形的、功能少的到多的。于是才有了“怎么开3389”,“怎么上传”之类问题。0IF;U�\ e�T�u�I
6,为了下次还能控制目标,你需要保持shell
7、做一个好的后门又是一种“学问”。克隆帐号、埋木马、破administrator的密码,手段不一而足。各位慢慢学吧。
�b�D){ z�g�q+y 相关:�N�D�T&F�j�A'K
如何成为一名黑客:
�l�s3i/a7Z:u0g TCP/IP基础介绍 :
网络攻防教程 ; |�v/{
网络入侵步骤及思路:
�Z0O5Z!a�]5T7S�n 几种扫描器的使用教程 :http://www.chinesehack.org/file/show.asp?id=5614
�o�X�i!S1D�d r 全球IP地址分配表 :
P�t
8、 _�y4k1A�{�{ 黑客入门教程 :
�h.\&L.ss n8U+c:x/u 关于命令的使用
%c'r'`�S,V'^ 简单说明:(C-Q3H K�y�H a(w-e�y,O
windowsNT/2000下有丰富的cmd可供使用,其作用也是巨大的。完全值得去熟练掌握她它们。windows2000本身就提供了详细的命令帮助。在开始菜单--》帮助中可以搜索到“windows 2000 命令参考”。强烈建议各位新手花些时间仔细看一遍。装了比如IIS等软件,就会有新的命令(iisreset),在命令行方式下加/?或-h参数可以查看帮助,其他内置的命令当然也可以。3N.e�
9、l'C+a�J�G0R9l8Q9^
相关帖子:
5t!B�s+Q1]�\ ftp命令: [�k-q
telnet命令: �F�c(b�b'S
net命令: �W*N�?�S�z:y s�U�m*M
一般入侵所需要的几个常用命令:
关于端口
�K�n%}�^�?.c$x�O�E 相关工具:6n1C'D�Y+E�S�Z
扫描端口是扫描器的基本功能,工具太多了。看后面的“常用工具的使用”这部分。�L4d+o"i z!j1V:l X
相关帖子:1n5p6R9];z;{)a;B
端口扫描简介
常见端口一览表
10、�p4Z�s2g�z�S Z:u 常见端口详解及部分攻击策略 d�W
关于windows98"^�K�j7r!X:L�D
简单说明:
u�u4|�\ @�w ]9Y�U 这类问题有两种:一是怎样入侵win98系统,二是在win98怎样入侵。
#n�h2x {�|e�C,b 由于98对网络的支持不完善,使得问题的解决远没有像对2000那样“丰富多采”。98默认没有什么网络服务启动,也就找不到什么可利用的漏洞。共享算是最常见的“服务”了。我简单的写了些利用方法放在这里: 其他还有些方法,比如嗅探密码、发病毒和木马到信箱、甚至用QQ“联络感情”再传个绑木马
11、的Flash等,没什么意思,就此打住。
6G$c+V#K2Z7m 基于同样的理由,98不是一个好的攻击平台。如果只是端口扫描,那么superscan可以胜任。web类的漏洞扫描x-scan也可以。但涉及ipc\$的弱口令、漏洞、远程控制工具以及连接一些服务(如sql)就要“基于NT技术构建”的os了。好在3389终端服务的客户端可以是98,所以先搞一台开3389的肉鸡就算是回避了问题。如果你还在用98,诚恳的建议你:请用2000。如果你在网吧,先试试入侵网吧服务器。
'E t{4W�^ 鉴于98的问题技术含量不高、没有深入探讨价值,所以如果不是特别的问题就请不用发帖了。
12、个人观点) P�A�|�Z�c�w3A
相关工具:�\4p�w L�q r p g
NetPass 1.0 破解98共享密码
(_�U�g'W(~�R9n o�n cain v2.5 综合破解工具 #X.j�Y0F K�H$R9G
exeBinderZ 1.3 EXE捆绑机 (我用PE压了一下,暂时不会被杀了) E&p h q
关于破解邮箱+N6^ G�Q6C�S�f
相关工具:
/F�W�C3k3b:o 溯雪
�n G f�w�u�T$Q
&K�b q+k!t/R 相关帖子:
�\8\�X0~�d 溯雪破解
13、21cn信箱的完整教程
关于解除网吧、网页限制�G&q�a+n�W�~
破解右键:
�H�H�V(|�a�e 破解硬盘还原卡:
破解美屏: X�L�N#V/I�i�d�B
相关工具: 网吧幽灵2.0
�Q�| ]7q*d 关于流光�k�P7B�D,a�^6@
简单说明:6D�I-d W�O�n.y
流光实在是个十分出色的综合工具。其易用性和实用性都很适合新手使用。还没用过的立刻下载一个装上,自己体验一下吧。使用前建议看看自带的说明。
�l�j�X�q;y.f 相关工具:
;l�s�i4a�S m 流光4.7 xeyes.org/fluxay47/
14、fluxay47build3200setup.exe
�@5o [/U�@3]2T�z 流光4.7破解补丁
常见问题和回答:
%M�B�B�Z�s,R 1,我下载的流光杀毒软件说有病毒,怎么会事?
*S!P�w�G�}!p ](O k ^ 答:一些杀毒软件的确认为流光是木马(谁让它这么有名呢,呵呵)。如果杀毒,流光将无法使用,所以只有让杀毒软件停止监测。或者使用不认为流光是病毒的软件,比如金山毒霸。
�R�a2^�C#w'] 2,为什么有些肉鸡安装sensor失败?
�j$C;N�y)n9K!M-d9a 答:如果拷贝文件出错,可能是因为目标admi
15、n\$共享未开放。请采用其他shell,在目标主机上执行net share admin\$命令。�U�B'r1]2h a�d
如果启动服务失败,可能因为使用的端口已经被占用,换个试试;也可能目标有杀毒软件删除了文件,或者有防火墙阻止sensor连网,没有什么好的解决办法。
/f�~8|�W"e�W�f�A*[:D 3,为什么一些流光扫到的密码不能用?
�J�{%?�^3I:t&[ k4t�T(] 答:可能是误报,将扫描速度降低些再扫。对于winxp目标,也会产生误报。也可能因为你用扫到的非管理员帐号来连接目标,请在ipc\$扫描选项里将“只对administra
16、tors组进行猜解”选上。 r T�f t8b'I
关于字典 `'W5^3^/k�C*{2_
简单说明:
(j�v5I�y�H�} 操作系统将用户和密码信息加密后存放在特定的地方和文件中。典型的如windowsNT里的sam文件和Linux里的etc/passwd。由于加密算法是单向散列的,所以几乎不可能找到逆向算法。因此,不得不使用同样的算法加密各种口令,将结果去吻合散列值。字典就是有选择地储存了一批口令的文件。例如生日、常用单词、中文名字的拼音等。著名的破解密码的工具,一般自带一些字典。也可以使用字典工具制作符合要求的字典。-\�q�C�n I8z
相关工具:
[#Y&
17、d+]�f�p�F�{�m 乱刀 小榕出品,破解UNIX系统的密码 .j�B�A�e&j ~4F
john 最著名的UNIX密码破解工具
�H7^4N�M�?$T producepass 通用字典生成器 [�p7E b�j'v�w/U8a
hh_dictall 英文单词大全字典
�D-V1Z�U+[�]3T�j2e sr-password 生日密码生成器 s�U
关于ipc\$、空连接和默认共享
7\,]$g�m#K f!] 简单说明:�n'B-?2Y6p�q�j3Y!I(x
首先需要指出的是空连接和ipc\$是不同的概念。
18、空连接是在没有信任的情况下与服务器建立的会话,换句话说,它是一个到服务器的匿名访问。ipc\$是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限。有许多的工具必须用到ipc\$。默认共享是为了方便远程管理而开放的共享,包含了所有的逻辑盘(c\$,d\$,e\$……)和系统目录winnt或windows(admin\$)。
�_�n�n*M�A�R$n�B F 相关帖子:
E!E R4x�Z O IPC进攻方法 ... opic=2498&show=1034�z9` z&|�K+R�Q�u
常见问题和回答:
7C hYZ c�P7W�q 1,怎样建
19、立空连接,它有什么用?
�D�\�]�W�}:h N 答:使用命令 net use \\IP\ipc\$ "" /user:"" 就可以简单地和目标建立一个空连接(需要目标开放ipc\$)。0}%[ x%P L�Q9j/T�s
对于NT,在默认安全设置下,借助空连接可以列举目标用户、共享,访问everyone权限的共享,访问小部分注册表等,没有什么利用价值。对2000作用就更小了。而且实现也不方便,需借助工具。如果你不理解“没用”的东西为什么还会存在,就看看“专业”的解释吧:
$F#E x�q�g4m 在NT/2000下的空连接 :
解剖
20、WIN2K下的空会话:
�Y�f�L7^2T P�s 2,为什么我连不上IPC\$?�k6@:l�b+n.f�n
答:1,只有nt/2000/xp及以上系统才可以建立ipc\$。如果你用的是98/me是没有该功能的。
3B'q-z�c�|"o8P 2,确认你的命令没有打错。正确的命令是: net use \\目标IP\ipc\$ "密码" /user:"用户名"�n6u�p�P&X�]�x5q
注意别多了或少了空格。当用户名和密码中不包含空格时两边的双引号可以省略。空密码用""表示。
�x�^8[�w|(S�s 3,根据返回
21、的错误号分析原因: Y8u)p;}8u)E7J�G�J
错误号5,拒绝访问 : 很可能你使用的用户不是管理员权限的,先提升权限;5X�k0F�?�p�z$\�P�s�b�H
错误号51,Windows 无法找到网络路径 : 网络有问题; { S�g�E�x
错误号53,找不到网络路径 : ip地址错误;目标未开机;目标lanmanserver服务未启动;目标有防火墙(端口过滤);8t�H�n�W�}9|�o2Z
错误号67,找不到网络名 : 你的lanmanworkstation服务未启动;目标删除了ipc
22、\$;
$y2M1i#`�y;o2a:t [ 错误号1219,提供的凭据与已存在的凭据集冲突 : 你已经和对方建立了一个ipc\$,请删除再连。.U*c�p t�k%L�`�x
错误号1326,未知的用户名或错误密码 : 原因很明显了;�A�K�l2J m�m
错误号1792,试图登录,但是网络登录服务没有启动 : 目标NetLogon服务未启动。(连接域控会出现此情况)�T�u r9^)@
错误号2242,此用户的密码已经过期 : 目标有帐号策略,强制定期要求更改密码。
�I�p X:^�yM K4{9
23、L 4,关于ipc\$连不上的问题比较复杂,本论坛没有总结出一个统一的认识,我在肉鸡上实验有时会得出矛盾的结论,十分棘手。�T8y�S#Q�T3T
而且知道了问题所在,如果没有用其他办法获得shell,很多问题依然不能解决。问题过于细致后就不适合在本文章里探讨了。
;p�Q:{�H-j+d3f�y 各位看着办吧,呵呵。
*x�H @�G�f r ] m 3,怎样打开目标的IPC\$?�m9\�{1^�[)s�y�~�U�L�b
答:首先你需要获得一个不依赖于ipc\$的shell,比如sql的cmd扩展、telnet、木
24、马。当然,这shell必须是admin权限的。然后你可以使用shell执行命令 net share ipc\$ 来开放目标的ipc\$。从上一问题可以知道,ipc\$能否使用还有很多条件。请确认相关服务都已运行,没有就启动它(不知道怎么做的请看net命令的用法)。还是不行的话(比如有防火墙,杀不了)建议放弃。
�h0D+u'h _�|&Z 4,怎样映射和访问默认共享?
�z�[;_(@-g�k/n 答:使用命令 net use z: \\目标IP\c\$ "密码" /user:"用户名" 将对方的c盘映射为自己的z盘,其他盘类推。$n8k1i+o�y�q)L'J�L
25、 如果已经和目标建立了ipc\$,则可以直接用IP加盘符加\$访问。比如 copy muma.exe \\IP\d\$\path\muma.exe 。或者再映射也可以,只是不用用户名和密码了:net use y: \\IP\d\$ 。然后 copy muma.exe y:\path\muma.exe 。当路径中包含空格时,须用""将路径全引住。�D�U�u�K,]8h.u t `�j�J
5,如何删除映射和ipc\$连接?-i(\�F0n�\�U V
答:用命令 net use \\IP\ipc\$ /del 删除和一个目标的ipc\$连接。
9{�R�w�t&@ X�l
26、 r 用命令 net use z: /del 删除映射的z盘,其他盘类推。
+t9r8j \)?�Is @ 用命令 net use * /del 删除全部。会有提示要求按y确认。�S�~,H�\0S�S
6,连上ipc\$然后我能做什么?
�V9W;U�b/q�U�T�o 答:能使用管理员权限的帐号成功和目标连接ipc\$,表示你可以和对方系统做深入“交流”了。你可以使用各种命令行方式的工具(比如pstools系列、Win2000SrvReskit、telnethack等)获得目标信息、管理目标的进程和服务等。如果目标开放了默认共享(没开你就帮他开
27、你就可以上传木马并运行。也可以用tftp、ftp的办法上传。像dwrcc、VNC、RemoteAdmin等工具(木马)还具有直接控屏的功能。如果是2000server,还可以考虑开启终端服务方便控制。这里提到的工具的使用,请看自带的说明或相关教程。
�W�F(|4Z�L�d0q-S%Q ~)? 7,怎样防止别人用ips\$和默认共享入侵我?
�F�i0L-p�?�{2Y%H 答:A、一种办法是把ipc\$和默认共享都删除了。但重起后还会有。这就需要改注册表。$V5x l1T#w S�^
1,先把已有的删除)l v�K�N"J,Z�C
28、 net share ipc\$ /del�} u2e;s�@
net share admin\$ /del
�{ T�U%] U�S�D net share c\$ /del j ?/y F$]�@ r
…………(有几个删几个)�F�W+U S�_*N�P
2,禁止别人空连接
�}�I;[�t&g�]%s B l 首先运行regedit,找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把Rest
29、rictAnonymous(DWORD)的键值改为:00000002。
c�p�w [ R/{0T 3,禁止自动打开默认共享
�|�H K�F�_0S0y%m 对于server版,找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareServer(DWORD)的键值改为:00000000。
*H�a�\�P*z�p 对于pro版,则是[HKEY_LOCAL_MACHINE\SYSTEM\CurrentC
30、ontrolSet\Services\LanmanServer\Parameters]把AutoShareWks(DWORD)的键值改为:00000000。:X�l |�i$G/T7B
如果上面所说的主键不存在,就新建一个再改键值。
7L�r�W�u E/A+_�R B、另一种是关闭ipc\$和默认共享依赖的服务(不推荐)4X&g f0L�_�H�}�y�s�M6K
net stop lanmanserver�H�v3h'` e"k
可能会有提示说,XXX服务也会关闭是否继续。因为还有些次要的服务依赖于lan
31、manserver。一般情况按y继续就可以了。7P Y�E!y�^�~9j0Y
C、最简单的办法是设置复杂密码,防止通过ipc\$穷举密码。但如果你有其他漏洞,ipc\$将为进一步入侵提供方便。
�E�m3v `!}&J�p�G2J D、还有一个办法就是装防火墙,或者端口过滤。防火墙的方法就不说了,端口过滤看这里:
'N5f�Y;V.[�T�Q�s�J 过配置本地策略来禁止139/445端口的连接
;D p ~�e(|9v6L(`6g 关于扫描出的漏洞&b/^ d9]�_%k�]'q
简单说明:
�\ Y�o q7T)U�z�j�x�w2
32、N 很多扫描器都有漏洞扫描功能。当你获得了一些主机的漏洞列表时,不要急着把它们帖在论坛上,期望别人来为你分析和告诉你利用的方法。你应该首先尝试自己完成这些。扫描出的漏洞并不是都有用的,一部分漏洞过时了,一部分是误报。
%T�D�P.{�Z p�a 漏洞搜索:
s�Y�Y \$@$a�I 绿盟的引擎 q!o1m&f
补天网的引擎
�l%p�d6N Z r�T�X�p 小凤居的引擎 http://www.chinesehack.org/file/list.asp?type=2�B:{;\4I5^�N�w+M�M(J
Goodle漏洞主机搜索:
33、http://www.landun.org/zhongyao/sousuo.htm
7Q$F�N�a+P([)w'\ 相关帖子:
s#@3~�s&F�d CGI漏洞描述
�c&e;A {(W7z(C IIS ISAPI Printer远程溢出攻击
�^%k�E w2n j-@�k 如何利用UNICODE漏洞
Apache HTTP server存在严重漏洞
�u�\�I�G-h�Q�r�h$b"@ msadcs.dll漏洞的使用方法
A)K�Q�e�b�V�t�u�A 相关工具:7\#z!`�Z'O
IISIDQ Sna
34、ke的IDQ溢出攻击程序
�P'K�C'O%t9t�_5w7N�J IIS .ida映射溢出程序
:S�?-L�T�Z v�j5|�O�C6X 关于提升权限2C7o(X0i;~%P5v4m
简单说明:&]!d j;A�h�a4L(_
经典的黑客目标就是得到root(即win中的admin)权限。有些漏洞(典型的如Unicode漏洞、ASP木马)不能直接获得管理员权限,所以必然需要提升权限。一些新手可能会犯这类错误,以为中了木马、获得了shell就能控制一切。结果就出现“为何不能加用户”、“为何不能开3389”等问题。2000及更高版本os承袭了NT的安全结构,多重机
35、制环环相扣来保障安全,特别是帐户安全。无奈安全系统过于庞大,多少会出现漏洞,于是我们就有机会了。
8M�j.o A�I�A�k*t 相关工具:�Y�]]-e8K4y�P�z R
erunasx 利用Debug Registers漏洞提升权限 �f5]5y�~"R:?7H�y
自带说明。需要指出的是,它的原理决定了它只能使用一次,不成功(比如打错了字)就必须重起目标,才能再来。 t.g+y�E�e�D�y�q7k
PipeUpAdmin 对sp1及更低有效 |
ISPC 利用IIS的漏洞,详见自带说明
�T:C�|%f�E�T'c:
36、G�G 相关帖子:
�X�b�c�|4S�{ NT/2000提升权限的方法小结
�}�?6g n#k,k*Z7y Windows NT4的安全结构(对新手有些难,了解一下吧)
关于做代理和跳板
&T�K�T8v�k M�M D 相关工具:
�H6B._ i�{ i"I SocksCap 2.2 SOCKS调度工具
A0p1\�k8r M:m;h SkSockServer1.04 代理跳板 a)I$h2|!s�J3m
FTP Serv-U 4.0 最常用的ftp服务程序 s3X!Q
slimftp 隐蔽的ftp服务器
37、
天雁WEB服务器 不用安装的小型web服务程序 M�M(N)O�U�Po
相关帖子:
p:k;L�z�m*u 代理、肉鸡、跳板的概念 ... opic=14803&show=300�W:_"^#D�D4a&z7q(q
代理服务器(Proxy)完全解析
�?2@�H*U�f�Q�` 如何使用代理服务器 b5F1Z�o�A�`$t�R
Sockscap32 结合SnakeSkserver做跳板图解
Serv-U设置教程
u�m�l�e8?,R�` SocksCap32 使用详解
0I�A4J.Q ?!^�{+i
38、 关于终端服务(3389) K�I*L8R�g4d�|(N
简单说明:
3L V�~2y6n�Z�D&s windows终端服务提供了通过作为终端仿真器工作的“瘦客户机”软件远程访问服务器桌面的能力。图形界面和不影响当前本地用户的特性是它的最大优点。由于它是2000server及以上版本自带的功能,因此成为一个绝好的“后门”而倍受青睐。而且win98也可以成为客户端,这使得在网吧“工作”成为可能。3L�e-R�e2}
web版终端客户端 使用浏览器调用ActiveX控件访问终端服务
�f*F;T)z�q�u:k C3389.EXE 修改终端服务端口号的工具 l�M"a
Win2k终端服务器端所需文件包
0p;t;j�B�\
浙ICP备2021020529号-1 | 浙B2-20240490 
