美人計--圖片asp木馬
作者:tank 日期:2005-01-23
美人計--圖片asp木馬
作者:紅魂浩天
一個網站裏面除了asp文件,再就數圖片文件最多了,它讓我們的網頁"美麗動人"嘻嘻,但是你有沒有想到過這裏面暗藏的殺機,圖片也可以是asp木馬。
asp木馬已經出現很長時間了,種類也越來越多,但是說到隱蔽性,我們紅魂老大寫的--冰狐浪子asp
Tags: 木馬
我的一次入侵總結
作者:tank 日期:2005-01-23
我的一次入侵總結
應sagi的要求,我寫了一篇很適合初學者的文章。這是我以前總結的自己一次入侵過程,整個過程很簡單,入侵結束後我就把過程給記錄了下來。今天憑著記憶給整理了一下,適合初學者,希望能給菜鳥朋友一點幫助。
第一步:掃描網站
找了IP段,可能是廣東那邊的,用XSCAN掃描,選擇的是常規埠。掃描結束,發現一個IP地址上SQLSERVER的SA帳戶密碼也是SA。發現入侵點,掃描結束。
Tags: 入侵
埠基礎常識大全
作者:tank 日期:2005-01-23
埠基礎常識大全
埠可分為3大類:
1) 公認埠(Well Known Ports):從0到1023,它們緊密綁定於一些服務。通常這些埠的通訊明確表明了某種服務的協議。例如:80埠實際上總是HTTP通訊。
2) 注冊埠(Registered Ports):從1024到49151。它們鬆散地綁定於一些服務。也就是說有許多服務綁定於這些埠,這些埠同樣用於許多其他目的。例如:許多系統處理動態埠從1024左右開始。
Tags: 埠
對於沒有開IPC$的主機 上傳下載的一些思路
作者:tank 日期:2005-01-23
淺談139/445與入侵2K主機
作者:tank 日期:2005-01-23
SMB(Server Message Block),Windows協議族,用於檔和列印共用服務。
在Win9X/NT中SMB基於NBT實現,NBT(NetBIOS over TCP/IP)使用137, 138 (UDP) and 139 (TCP)來實現基於TCP/IP的NETBIOS網際互聯;而在Win2K以後,SMB除了基於NBT的實現,還可以直接運行在TCP/IP上,而沒有額外的NBT層,使用TCP445埠
。
當Win9X/NT(允許NBT)作為client來連接SMB服務器時,由于設計時并沒有考慮到445端口因此只會連接服務器的139端口;而當Win2K/XP(允許NBT)作為client來連接SMB服務器時,它會同時嘗試連接139和445端口,如果445端口有響應,那么就發送RST包給139端口斷開連接,以455端口通訊來繼續.當445端口無響應時,才使用139端口。
假如我們的掃描結果顯示對方打開了TCP139或445,這無疑方便了我們今后對它的文件傳輸和管理,使用NET命令對服務器進行遠程管理操作,還有像NTCMD、Enum、Letmein、SMBCrack之類的工具都要基于這些端口來完成任務。但是要想成功利用這些端口,本地作為client還要滿足一定的要求。
如果對方只有139,要想利用它,本機必須“網絡連接/屬性/TCPIP協議/屬性/高級/WINS”中設置啟用NBT(NetBIOS over TCP/IP),將你的本地防火墻設置為允許這3個端口的通信,否則將無法與對方建立連接。使用普通撥號上網的用戶就需要在撥號連接的網絡屬性里面通過選中“Microsoft 網絡客戶端”和“Microsoft 網絡的文件和打印機共享”這兩個組件來啟用NBT,否則如果本地為Win9X/WinNT則直接顯示無法連接,如果本地為Win2K/XP則直接嘗試連接對方的445而跳過連接NBT,結果連接失敗。
如果對方只有445,本機要是Win2K以后的系統就可以直接連接,但如果本機是Win9X/WinNT,由于Win9X/WinNT所實現的SMB只能基于NBT,因而此時本機只會嘗試139而不能和445建立連接,此時本機就無法使用基于SMB的工具。所以說入侵NT/2000最好還是使用Win2K。
要是2個端口都開了,那就最好了,只要滿足其中任一個連接要求就可以
常見手工入侵檢測
作者:tank 日期:2005-01-23
常見手工入侵檢測
當我們架設起一臺WIN2000服務器後,很多服務都是系統默認安裝的,其中有些服務是我們平時
很少使用或根本就用不上的。而這些服務往往漏洞多多,容易被駭客利用來攻擊我們的服務器。
WIN2000服務器漏洞檢測:
Tags: 入侵檢測
如何破解PCAnyWhere的密碼
作者:tank 日期:2005-01-23
如何破解PCAnyWhere的密碼
由於NT的機器一般使用PCAnyWhere進行遠程管理,Win2K的機器一般使用了終端進行遠程管理,因此如果能夠得到PCAnyWhere遠程連接的帳號和密碼,那麼就能遠程連接到主機。
問題的關鍵就是要得到PCAnyWhere的密碼檔(*.CIF),然後使用PCanyWhere密碼查看工具(
Tags: PCAnyWhere
安全事件日誌中的事件編號與描述
作者:tank 日期:2005-01-23
安全事件日誌中的事件編號與描述
帳號登錄事件 (事件編號與描述)
672 身份驗證服務(AS)票證得到成功發行與驗證。
673 票證授權服務(TGS)票證得到授權。TGS是一份由Kerberos 5.0版票證授權服務(TGS)發行、且允許用戶針對域中特定服務進行身份驗證的票證。
Tags: 事件編號
你藏好了嗎之輕松揪出數據庫
作者:tank 日期:2005-01-23
建造永不被殺的80埠後門
作者:tank 日期:2005-01-19
www.netsill.com 2004-1-14 網嗅安全網
參考LCX在X檔案發表過永遠不被殺的的後門,自己就實驗起來,只要把ASP木馬放到其中一個站點中某個深的目錄中,再在Internet 服務管理器面中選著這個站點(比如默認管理站點)打開修改屬性->主目錄中,把“應用程式保護”中改為"低",再在"寫入""前面打上鉤,在瀏覽器中輸入ASP木馬路徑,輸入密碼以後進入管理頁面,運行CMD命令還可以加用戶之類的果然是管理員權限,呵呵用后發覺還不錯,自覺以為就不錯,而且上傳文件都是在WEB進程上來著,而且還有系統權限,還覺得這樣建立肉雞相對來說比較安全就走了,后來想不到不過幾天這個后門過幾就沒了,瀏覽上去什么都連ASP木馬都沒了,到底怎么回事?而且對方還搞了防火墻,只開21,80端口,眼汪汪丟去真可惜,看來管理員是察覺到了。看著我想有兩個可能,一是ASP木馬被殺,被管理員查到ASP木馬就刪了,二是那個可能管理員看到這個站點的屬性改了就XXX~~~~,你也許會說用站點屬性修改過的可以“寫入”來寫個木馬上去,可是錯了,管理員把默認管理站點都刪了,或者者做其他修改了,昏,本來好好的后門卻成了比較明顯的暴露給管理員看了,而且最新的ASP也被會殺毒,看來個ASP看來這種方法也是不太隱蔽,還需要改進,突然想到可以通過后來參考建立隱藏主頁,而且是虛擬目錄可以設置“應用程序保護”為低的,其他站點中的目錄屬性是不可以設置這樣的屬性的,這樣就不會暴露Internet 服務管理器中任何修改的跡象了,(對于一般的管理員來說,對于BT的我就不敢說了),OK我們來第一步
建立個隱藏虛擬主頁(同時也可以做主頁一舉兩得)
一般情況下,如果在肉雞上開主頁的話,只要管理員查看一下iis管理器程序,就會發現我們的主頁,這樣不但我們的主頁暴露了,還可能會被管理員把我們給踢出去。而今天我教大家的方法是讓管理員在iis管理器里發現不了方法。首先打開肉機(本例中以自己的機器為例)iis管理器,選定一個文件夾,然后點擊右鍵,選擇“資源管理器”,到網站的根目錄下新建一個文件夾kiss,然后到system32上新建一個文件夾,我這里取名為myhome(這個文件夾盡量隱蔽的目錄深一些,才不會被管理員發現),回到iis管理器按f5刷新就會看到kiss這個目錄,選中它后,點擊右鍵,選擇“新建>虛擬目錄”,我們給主個虛擬目錄取名kiss,然后把這個虛擬目錄指向myhome,建立完成后,現在放個首頁進去,打開瀏覽器,輸入
Tags: 後門
