建一臺安全的win2k肉雞
作者:tank 日期:2005-01-23
檔躲避殺毒軟件的方法
作者:tank 日期:2005-01-23
-------------------------------------------------------------------------------
轉自:http://blog.eviloctal.com/youker/
以下兩個方法在網絡上看到的,確實挺實用的,&號兩邊必須空格格開。
Tags: 殺毒軟件
IIS配置檔後門
作者:tank 日期:2005-01-23
IIS配置檔後門
本文的內容是如何利用IIS本身的一些特性建立後門。當然,這主要是一份供網絡管理員和網絡安全工作人員參考的“Know Your Enemy”類文檔,作者希望這篇文章能夠對檢查和清除後門有所幫助,而並不鼓勵或贊同利用本文的技巧進行違法活動。
首先簡單介紹一下IIS的配置檔MetaBase.bin。這個文件位於%SystemRoot%system32inetsrvMetaBase.bin,包含了幾乎所有IIS的配置資訊,是非常重要的系統文件。簡單的說,我們在“intenet服務管理器”中所作的一切設置最終都會被保存在MetaBase.bin中。在日常的系統管理中除了通過“intenet服務管理器”來對MetaBase.bin進行操作外,Windows還提供了一個腳本adsutil.vbs可以對MetaBase.bin進行操作。
MetaBase的結構類似于注冊表,也是樹形結構,有類似鍵、值、項的概念。事實上在IIS3和PWS中,MetaBase的內容就是存儲在注冊表中的。MetaBase有兩個主鍵:LM和Schema。其中,Schema保存了系統默認的一些配置,通常不需要修改,一旦改錯也非常危險,所以無論是“intenet服務管理器”還是adsutil.vbs都沒有提供修改Schema的機制。LM中包含了IIS的HTTP服務,FTP服務,SMTP服務等的配置信息。其中,LM/W3SVC/下是我們要用到的HTTP服務的配置信息。
Tags: IIS
當xplog70.dll文件被刪除後
作者:tank 日期:2005-01-23
當xplog70.dll文件被刪除後
起初,筆者也是大嘆可惜的,因為如果只是xp_cmdshell被刪除還好說,可是如果連xplog70.dll也被刪除了,這該如何是好?
狂查資料!
暈啊,怎麼到處都沒有說的呢?難道沒有解決辦法嗎?
Tags: xplog70.dll
建一個TFTP服務器
作者:tank 日期:2005-01-23
建一個TFTP服務器
我們在攻擊的過程中經常要使用到tftp服務器,如果你不方便在你的機器上安裝tftp服務器,那麼可以在肉雞上安裝,這是比較好的方法。
我們先來學習一下什麼叫作TFTP.
TFTP:(Trivial File Transfer Protocol). 小文件傳輸協議.
Tags: TFTP
美人計--圖片asp木馬
作者:tank 日期:2005-01-23
美人計--圖片asp木馬
作者:紅魂浩天
一個網站裏面除了asp文件,再就數圖片文件最多了,它讓我們的網頁"美麗動人"嘻嘻,但是你有沒有想到過這裏面暗藏的殺機,圖片也可以是asp木馬。
asp木馬已經出現很長時間了,種類也越來越多,但是說到隱蔽性,我們紅魂老大寫的--冰狐浪子asp
Tags: 木馬
我的一次入侵總結
作者:tank 日期:2005-01-23
我的一次入侵總結
應sagi的要求,我寫了一篇很適合初學者的文章。這是我以前總結的自己一次入侵過程,整個過程很簡單,入侵結束後我就把過程給記錄了下來。今天憑著記憶給整理了一下,適合初學者,希望能給菜鳥朋友一點幫助。
第一步:掃描網站
找了IP段,可能是廣東那邊的,用XSCAN掃描,選擇的是常規埠。掃描結束,發現一個IP地址上SQLSERVER的SA帳戶密碼也是SA。發現入侵點,掃描結束。
Tags: 入侵
埠基礎常識大全
作者:tank 日期:2005-01-23
埠基礎常識大全
埠可分為3大類:
1) 公認埠(Well Known Ports):從0到1023,它們緊密綁定於一些服務。通常這些埠的通訊明確表明了某種服務的協議。例如:80埠實際上總是HTTP通訊。
2) 注冊埠(Registered Ports):從1024到49151。它們鬆散地綁定於一些服務。也就是說有許多服務綁定於這些埠,這些埠同樣用於許多其他目的。例如:許多系統處理動態埠從1024左右開始。
Tags: 埠
對於沒有開IPC$的主機 上傳下載的一些思路
作者:tank 日期:2005-01-23
淺談139/445與入侵2K主機
作者:tank 日期:2005-01-23
SMB(Server Message Block),Windows協議族,用於檔和列印共用服務。
在Win9X/NT中SMB基於NBT實現,NBT(NetBIOS over TCP/IP)使用137, 138 (UDP) and 139 (TCP)來實現基於TCP/IP的NETBIOS網際互聯;而在Win2K以後,SMB除了基於NBT的實現,還可以直接運行在TCP/IP上,而沒有額外的NBT層,使用TCP445埠
。
當Win9X/NT(允許NBT)作為client來連接SMB服務器時,由于設計時并沒有考慮到445端口因此只會連接服務器的139端口;而當Win2K/XP(允許NBT)作為client來連接SMB服務器時,它會同時嘗試連接139和445端口,如果445端口有響應,那么就發送RST包給139端口斷開連接,以455端口通訊來繼續.當445端口無響應時,才使用139端口。
假如我們的掃描結果顯示對方打開了TCP139或445,這無疑方便了我們今后對它的文件傳輸和管理,使用NET命令對服務器進行遠程管理操作,還有像NTCMD、Enum、Letmein、SMBCrack之類的工具都要基于這些端口來完成任務。但是要想成功利用這些端口,本地作為client還要滿足一定的要求。
如果對方只有139,要想利用它,本機必須“網絡連接/屬性/TCPIP協議/屬性/高級/WINS”中設置啟用NBT(NetBIOS over TCP/IP),將你的本地防火墻設置為允許這3個端口的通信,否則將無法與對方建立連接。使用普通撥號上網的用戶就需要在撥號連接的網絡屬性里面通過選中“Microsoft 網絡客戶端”和“Microsoft 網絡的文件和打印機共享”這兩個組件來啟用NBT,否則如果本地為Win9X/WinNT則直接顯示無法連接,如果本地為Win2K/XP則直接嘗試連接對方的445而跳過連接NBT,結果連接失敗。
如果對方只有445,本機要是Win2K以后的系統就可以直接連接,但如果本機是Win9X/WinNT,由于Win9X/WinNT所實現的SMB只能基于NBT,因而此時本機只會嘗試139而不能和445建立連接,此時本機就無法使用基于SMB的工具。所以說入侵NT/2000最好還是使用Win2K。
要是2個端口都開了,那就最好了,只要滿足其中任一個連接要求就可以
常見手工入侵檢測
作者:tank 日期:2005-01-23
常見手工入侵檢測
當我們架設起一臺WIN2000服務器後,很多服務都是系統默認安裝的,其中有些服務是我們平時
很少使用或根本就用不上的。而這些服務往往漏洞多多,容易被駭客利用來攻擊我們的服務器。
WIN2000服務器漏洞檢測:
Tags: 入侵檢測
如何破解PCAnyWhere的密碼
作者:tank 日期:2005-01-23
如何破解PCAnyWhere的密碼
由於NT的機器一般使用PCAnyWhere進行遠程管理,Win2K的機器一般使用了終端進行遠程管理,因此如果能夠得到PCAnyWhere遠程連接的帳號和密碼,那麼就能遠程連接到主機。
問題的關鍵就是要得到PCAnyWhere的密碼檔(*.CIF),然後使用PCanyWhere密碼查看工具(
Tags: PCAnyWhere