内容提要:这是一次真实的入侵实例 事情发生在2005年的九月的一天,我们单位被集团公司的另一个大单位兼并。被兼并的第二天,大单位的财务人员到了我们厂,对我们厂进行了全面的财务审查。虽然没查出什么问题,显然这帮人是对我 …… |
这是一次真实的入侵实例
事情发生在2005年的九月的一天,我们单位被集团公司的另一个大单位兼并。被兼并的第二天,大单位的财务人员到了我们厂,对我们厂进行了全面的财务审查。虽然没查出什么问题,显然这帮人是对我们不放心的,下午他们又开始拉局域网线到我们的办公室,要和我们联网,看来它们是想用电脑对我们的经营情况进行监视了。你们想监视我们,我还想监视你们呢!!我心里想着,一定要想办法控制你们的电脑。叫你们知道我的厉害。于是开工。。。
我先打开命令提示符,用ping 命令去ping 它,Reply from 192.168.16.4: bytes=32 time<1ms TTL=128,说明对方没有防火墙,这样或许有可能入侵。下一步,我使用了X-SCAN 3.2对它进行了详细扫描,对方电脑的操作系统是XP,大家知道XP系统是相当安全的,在一些黑客论坛讨论的关于入侵XP的话题也是比较多的,入侵这样的系统方法只有两种,一是采用钓鱼的方法,这是一种被动的方式让对方中木马来控制它。第二种方法就是如果对方有比较严重的漏洞,如RPC溢出。这样的话,用溢出程序溢出它,然后再上传控制程序进行控制。扫描结果确实让我高兴了一阵,对方电脑有大量的漏洞,其中一个比较有名的就是冲击波利用的RPC漏洞,这个漏洞相当出名了,03年的时候曾席卷全球。知道了它有这个漏洞,下一步就要找溢出程序,这让我忙活了好一阵时间,因为有的溢出程序对这台电脑好像无效。这些工具的名称我都记不起来了,反正有好几个。最后找到了一个溢出程序XP.EXE,这个程序终于溢出了那台电脑。得到了个CMDSHELL。这算是一个小小的胜利吧。
得到了CMDSHELL,我该怎样给它上传控制程序呢?我想了一会儿,终于灵感来了,我和它在一个局域网,用共享上传最方便了。于是打开网上邻居,查看工作组计算机,找到这台电脑,双击,进不去,提示信息我记不清了,据我分析可能是对方这台电脑没有运行网络安装向导,因为是XP系统,所以要用共享传输文件,必须要运行这个向导不可,运行这个向导作用就是配置一个本地安全策略,你可以打开“控制面板—管理工具—本地安全策略”,展开“本地策略”—“用户权利指派”。在右边有一个安全策略—“拒绝从网络访问这台计算机”。我想对方的电脑中相应的这条策略里,肯定设置有GUEST这个用户的,这就是为什么我打不开它的共享的原因,因为共享访问默认是以这个GEUST用户登录的,因为它的安全设置不允许GUEST从网络访问,所以我才访问不了它的共享。因为XP默认的共享模式是简单文件共享。这与WIN2000系统不同,如果是WIN2000系统,你在知道管理员密码的情况下,可以用命令net use [url=file://\\IP\ipc$]\\IP\ipc$[/url] "密码" /user:用户名 建立与对方的ipc$连接,随之而来的就是copy 木马程序 [url=file://\\ip\d$]\\ip\d$[/url]这样的命令上传木马了。XP就不能这样子了,你即使知道它的管理员密码用上面的命令与不能建立ipc$连接。这就是为什么XP比2000系统安全的地方所在。下面我要作的就是要修改XP的共享模式为2000的共享模式。方法如下:在溢出获得的CMDSHELL下,键入命令:
echo Windows Registry Editor Version 5.00 >c:\123.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] >>c:\123.reg
echo. >>c:\123.reg
echo "forceguest"=dword:00000000 >>c:\123.reg
regedit /e c:\123.reg
等打完这几条命令后,对方XP的共享模式就已经与2000的相同了。我来解释一下这几条命令的含意,echo Windows Registry Editor Version 5.00 >c:\123.reg这条命令是将Windows Registry Editor V