这样吧,我这有个杀手的流光教程,希望能对你有用,你自己慢慢研究吧:
谈起国内的***,可能因为中国的互联网起步较晚,中国的***也很有“中国特色”在我所知道被公认的
第一批***中,有许多是很抽象的概念,这里所说的抽象是我当时的感觉,有点雾里看花。听到报纸上说,
XXX***黑了XXX,心里立刻素然起敬。
后来上了网,拿着1.44的极品猫恭敬的浏览了这些大侠的站点,便觉得自己也很高大起来,仿佛自己也成了***,
后来看看他们所写的一些***教程,才发现并不比到隔壁邻居家偷点东西困难:)
再后来自己因为家事离开的网络,主要是上不起,缺¥。之后的事就是常听到新闻、报纸报道XXX***黑了某站
点,XXX声称对此负责等等类似的言论。感觉到中国的***业真是蓬勃的发展起来了:)
我就曾经遇到这样的***,他连win95都不会装,系统出错要打电话给电脑公司的。我就觉得中国的***特色
是:浮躁太多、不肯踏脚踏实地的作事情。说白了就是伪***太多。
下面是我和一个现在在某个地方担任重职的***现实中的对白:
某***:“你黑站点用工具么?”
我:“用的”
某***:“不用工具,不要用这个,用工具的都是二流***,黑个站点用工具?不用的”
我:“哦”
某***:“你要黑站点,不用工具你能知道什么”
我看到***要指点,立刻全神贯注。
某***:“它的80端口是开的,对吧!有端口开着你还用工具干嘛,有端口开着你就黑……”
听起来像新闻中XX功的李XX的讲课。后面还有许多,我也懒的说了。
肯脚踏实地的***太少了!
在国内,流光属于个比较不错的扫描器,是个很有潜力的工具,有代表性!
在流光之前,有许多工具具备流光的特性,应该说是流光吸收了他们的优点,但没有一个像流光这样的高集成
度的。
在以前,我一直觉得流光只是个玩具,对于一个站点,我们有多少时间和金钱去暴力猜解呢?包括那些
小的猜解工具,和花样繁多的***变种。当作练练编程的作品尚可,拿出来吓人就不对了。导致今天的杀毒软
件都敢吹能杀XXX种***程序:)
正是流光出现的时间较长、很多人都是从流光入门的原因,所以从流光谈起,能给新手一些正确的入门捷径。
我并不是一个流光高手,不能解决你遇到的所有问题,所以当我写下流光的系列教程的时候,心里是很不踏实的。
希望我的这些不成文的系列,能给你的学习带来一些方便。
下面是对新手的几个问题解答:
1、除了流光,国内还有没有其它的比较好的扫描器,说几个。
A:有,scanexX-scan
2、流光好用么?
A:用了以后在问!
3、我是新手,学习中应该注意什么?
A:少说多做.
二.许多新人在用流光的时候不知道如何下手,小榕论坛来讨论的也多是“如何添加用户”这样的初级问题:),就抽了点时间写这个简单的教程,希望让新手快速入门。
我个人认为流光的破解可分为5大部分:
一、POP3/FTP/…探测
二、IPC探测
三、SQL探测
四、高级扫描
五、其它…
因为开发时间的原因,上面的探测模式略有不同,所以分成了四个部分,本教程说的是第一个部分的探测。后面的探测模式应该属于流光的高级应用了:)
下面我就简单说一下基本的破解流程:
1、你得有流光,我这里试验用的是流光2001.FORWin98中文版.FORWin2000的也可以。
首次启动流光,看到如下图的界面:
首次使用是要注册的,不过不要想到花钱:),小榕只是想看看有多少人用他的流光而已。你可以填好相应的选项,然后点发送即可,如果发送失败,你把发送服务器换个就好了。
因为重装系统,我也不知道我发了多少次了:(。如果不想注册,就稍等下面的进度条走完,点稍后即可。如上图:
2、找个站点,我选的是中华网 [url]www.china.com[/url]的主页空间(home4u.china.com),探测方式:FTP。
有人常问扫描端口有什么用,其实作用就是你知道他提供了什么服务,然后可以采取相应的探测方式来获得PASS了:)我们知道主页几乎都用的FTP上传,我们这次就用来测试一堆用户名,看看有没有弱智的密码,呵呵,如果有hacker.at.china.com这样的,也不妨霸占为己有:)
3、加入要破解的站点名称:右键单击FTP主机→编辑→添加→输入home4u.china.com→确定!
4、加入用户名:我们要破解的是一堆用户名,所以要加入用户名的列表文件!我们就加入流光目录下的Name.dic:)右键单击刚才添加的主机:home4u.china.com→编辑→从列表中添加→Name.dic→打开
然后会有“用户已存在列表中”的提示,我们选中“不再提示”→确定。如下图:
用户名太多,我们可以用点主机前面的“—”号把用户列表缩起来,如下图:
大家注意名字前面的小框中必须有√要是没有就无法探测了。
5、有了用户名,我们就可以进行探测了,大家会想到怎么不用密码?其实流光有个简单模式的探测,也就是用内置的密码”:“123456”和“用户名”来进行探测,因为这样的密码是使用频率最高的:)
当然你可以修改这个简单模式的文件,加入你认为弱智的密码。方法是:单击工具菜单→模式文件设定→简单模式探测设置文件→加入你要加入的密码→把设置文件存盘!
下面我们就来看看这一堆名字里面有多少是用“123456”和“自己名字”来作为密码的。
探测→简单模式探测!
探测中…
6、探测完毕,也看到结果了,流光会问我们是否查看***检测报告,不想看可以选否。
报告的画面
7、如果要探测的是一个用户名,就需要添加字典、或者密码方案。方法是:右键单击解码字典或方案→编辑→添加→选择一个密码档即可。
以上就是流光的一次简单的探测了,事实上这些功能只能算是流光的2.5版的功能,流光2001增加的IPC/SQL/高级扫描等功能,使流光更加强大。如果你对这个已经很熟悉了,相信你看流光的HELP就会很快的学会其它的使用方法的。
关于用户名的问题:有人觉得自己加入的用户名不一定存在,如果不存在岂不是白费了力气?这点你大可以放心,流光会进行验证的。而且现在注册的用户入数之多,想个没有的名字都难,不信你随便敲个试试。
关于字典的问题:流光可以使用字典方案来探测,当然你也可以生成字典,有的新手在作练习的时候不知道怎么做,你也可以用记事本生成,每行输入一个密码,存盘后将扩展名改称.DIC,流光就认出来了:)如果你连扩展名都不会改:(那……
只要是学习、谁都会遇到困难,我也是问题多多,还得向小榕、EKIN讨教,欢迎大家多交流:)
三.很长时间也没有写什么东西了,这源于我的懒惰和生活缺乏激情。我的记事本上一大篇都是欠朋友的承诺:(
你既然看到这儿了,就在听我牢骚几句吧:)搞安全应该有正确的心态,别以为你会了个工具使用就可以一步登天。
交流、学习才是最重要的,把自己心态放正,无论我们是高还是低。
今天要写的是流光的IPC探测:
一、目的和任务:
1、用流光的IPC探测获得一台NT主机的管理权限,并将这台主机做成一个跳板/代理。2、学习IPC探测的相关知识。
二、探测流程:
1、你得有流光,我这里试验用的是流光2001.FORWin2000中文版。FORWin98的不可以。因为IPC连接功能是NT/
2000提供的功能。而且流光FOR2K要求你的操作系统得是NT/2000,否则流光启动会失败!
什么是IPC:
IPC是指"InterProcessCommunications",准确的说是ipc$,是默认的在系统启动时的admin共享。
IPC$是WindowsNT/2K中特有的远程网络登陆功能,它的特点是在同一时间内,两个IP之间只允许建立一个连接。
注意,你试图通过IPC$连接会在EventLog中留下记录。不管你是否登录成功。
可不可以通过IPC$暴力破解密码?当然可以!不过,是不是太笨了点…
2、首次启动流光,会看到注册的画面,具体操作请参考本人第一篇教程。我们在主页面上可以有几种方法来通过IPC
探测获得管理的权限。这里我们要作的是得到一台跳板,那么就可以用命中率高的办法来探测了(测试一堆IP来得
到弱口令)。
在主界面选择探测→探测POP3/FTP/NT/SQL主机选项,或者直接按Ctrl+R。
图main1
图main2
3、出先了上面的小窗口,输入我们要破解的IP段,我们输入了来看看。图main2我们把“将FrontPage主机自动加入HTTP主机列表取消了”。因为我们只想获得IPC弱口令,这样可以加快扫描的速度:)填入IP,选择扫描NT/98主机
4、探测中……(start1)
(注意如果你要探测的是流光保留的国内的IP段,会被禁止的,也就是探测的时候信息栏出现"IP保留"的字样)
5、这是扫描到的NT/98主机列表:(jg1)
6、没有扫描到常用密码:(
7、就不要查看报告了:…
8、有了不少NT/98的机器了,正式开始IPC$探测:IPC$主机-探测-探测所有IPC$用户列表。
9、注意下面两个对话框的设置:全选上,我们只要IPC$管理员的弱口令。然后点选项
10、点“选项”:为了加快弱口令扫描速度,这里的两个我们可以全部取消,比如下面的那个,如果对方禁止列出用户了,我想对于一个网管来说,弱口令可能性也是微乎其微。
11、探测中……
12、有密码了:)
13、又出现了查看报告的窗口,看看:)
14、有远程主机的管理密码了,我们剩下的就是想办法控制它了,有什么好办法么?:)有的是!自己看看工具-
菜单下的IIS远程命令:)是不是很简单呢,我以后在说,今天还是先练习net命令吧。
15、黑了他!
开个dosprompt执行如下命令,本次用的例子如下图。
1、netuse\\对方ip\ipc$"密码"/user:"用户名"||建立远程连接
2、copyicmd.exe\\对方ip\admin$||admin$是对方的winnt目录:)这里文件多。
3、nettime\\对方IP||看看对方的本地时间
4、at\\对方ip启动程序的时间启动程序名启动程序的参数||用at命令来定时启动程序,在这里我们用soon这个程序来做也可以,它可以取代3/4两步。
5、telnet对方ip端口||
6、输入pass(如果不是用icmd.exe,或者没有设置口令就不用了)||
7、在开个窗口,继续copy我们用的东西。copysock.execopyntlm.execopycl.execlear.exe
图cmd1
图cmd2
如果我们真的想黑了他,只需要把我们的首页文件覆盖目标的首页就ok了,我们可以通过dir/sdefault.htm或者dir/sindex.htm来确定对方首页的为止,一般是在X:\interpub\wwwroot\.
假如首页文件是default.htm并且在c:\interpub\wwwroot,这样:copydefault.htm\\ip\c$\interpub\wwwroot
下面的图有演示
7、其实黑人家是很低级并且没意思的:(,我们最好是物有所有,作成跳板吧,今后干活方便点:)
执行我们copy过去的ntlm.exe,取消验正。在给自己留个后门,比如提升guest的权限,或者其它的后门工具,这类东西多了自己选吧,看看杀手copy的那堆东西:)
8、做个SOCK5代理玩玩,用在QQ上不错喔:
执行我们copy过去的sock-install,netstartskserver看看用在QQ上的效果:)
是不是没有看清上面的步骤呢?
下面是我telnet上去后所有的命令:)
9、还能做成其他的么?
当然了,只要你有时间,并且愿意做,我曾经偷偷的把自己的主页放到人家的server上,速度快、空间无限,嘿嘿:)
10、日志清除,断开连接:
执行我们copy过去的cl.execlear.exe都可以清除日志,比如clearall:清除所有的日志。然后在断开连接:netuse\\ip\ipc$/delete
这步我认为是必需的,尤其是在一些有争议的站点上,或者是国内的站点,除非你想让电视上报导XXX地区我神勇刑警捕获弱智***一名XXX。
在网吧写完:(错误之处请赐教。
只要是学习、谁都会遇到困难,我也是问题多多,还得向小榕、EKIN讨教,欢迎大家多交流:)
四.关于IPC$的终于写完了,那个该死的网吧,闹哄哄的声音声声入耳:(,你可能想不出,IPC$探测是我在网吧完成的,而且那个网吧还有公安部门的网络监视器,这东西很有意思,好像是VXD调用,和IE运行库集成到一起的。哪天非弄来研究一下,说不定一款别具特色的***就问世了:)
不知道你看完前一个教程有没有要扁我的想法。。。。
交流、学习才是最重要的,把自己心态放正,无论我们是高还是低。
今天要写的是流光的SQL探测,顺便说说ipc$补遗和其它的探测手段。
一、目的和任务:
1、用流光的SQL探测获得一台NT主机的管理权限。
2、学习SQL探测的相关知识。
3、IPC$补遗和其它…
二、探测流程:
1、你得有流光,这话不用在说了吧:)
什么是SQL:
SQL:微软开发的数据库,专门用在微软的OS上,功能类似Linux下的Mysql,晕……,到底谁类似谁啊?有时间
去看看SQL的联机手册,说的很明白。
SQL服务程序支持的网络协议:
Namedpipes:使用NTSMB端口来进行通信,存在被SNIFFER截获数据的危险。
IPSockets:默认状态下开1433端口,可以被扫描器探测,存在被SNIFFER截获数据的危险。
Multi-Protocol:客户端需要支持NTRPCs,数据加密。
NWLink:存在被SNIFFER截获数据的危险。
AppleTalk(ADSP):存在被SNIFFER截获数据的危险
BanyanVines:存在被SNIFFER截获数据的危险
在Internet上,95%以上的SQLServer采用的都是IPSockets协议,流光探测的就是这个协议默认的1433端口
2、我们要获得SQL主机的管理权限,那么还用命中率高的办法来探测了(测试一堆IP来得到弱口令)。
对一台固定主机的探测等我下期的教程:)
在主界面选择探测→探测POP3/FTP/NT/SQL主机选项,或者直接按Ctrl+R。
图main
3、出先了下面的小窗口,输入我们要破解的IP段,我们输入了来看看。(注意如果你要探测的是流光保留的国内的IP段,会被禁止的,也就是探测的时候信息栏出现“地址保留的信息”)
图inputip
4、探测中……
5、有密码了:)图psss1→3
6、下面我们进一部获取管理员的权限。
用SQL客户端去连接主机,没有装SQL:(………………没关系,流光自带了连接的工具,以前我一直都是用的天行的工具SQLexec,但现在可以不用它了。
打开菜单工具→MSSQL工具→SQL远程命令看看:)
图tools
图SQLcmd
7、获得管理权限、增加后门
图cmdline
8、现在我们已经是管理员了:)
以前我们是用at命令来远程运行程序,今天顺便说说流光中自带的“种植者”,看看工具→nt/iis工具→种植者,我们来用它远程启动icmd这个后门。
图lookcrop
图crop
图cropend
一分钟后登陆看看:
9、再说说工具→模式文件设定→ipc简单设置文件。
图mode
“工具”中其他的项目和上面说的两个类似,就不多说了。
10、日志清除,断开连接,参考IPC探测,记住可以用种植者远程执行命令。
关于IPC$补遗:上篇对与IPC$探测的文章,写完后觉得还差点什么没有说:)
1、我们虽然只探测管理员(admin)的弱口令,实际上在真正***中是任何一个用户口令都不会放过尝试的,因为我们获得了
普通用户权限后可以提升权限,事实上,一个普通用户的权限在*nix***中是非常重要的。
2、获得口令后,***手法多样,不要局限于我的例程。
3、如果对方没有XXX怎么办?,这类的问题去看看我以前整理的流光FAQ。
关于其它探测:
玩玩3389?
首先终端是WIN2K提供的功能,所以我们在扫描的时候就要选择“NT/98”的主机,在得到主机列表后自定义端
口来扫描这些主机的3389端口,然后……
玩玩cisco路由器?
自己想想怎么作?要是想出来了,我的以后的教程就不用看了:)
明白了么?我说的意思是要灵活使用流光:)
五.以前一不小心吹出了要写流光教程的想法,结果话说出口就无法收回,如果上天肯给我一次改正的机会的话,我要对这套教程说,我不写。如果非要逼我说出内心的想法,我要说的是:不写不写就是不写!:)
交流、学习才是最重要的,把自己心态放正,无论我们是高还是低。
今天要写的是流光的高级扫描向导:
一、目的和任务:
1、学会高级扫描向导的使用!
2、学习扫描的原理。
二、探测流程:(针对某一个ip)
1、startfluxay!
以前我们都是通过某一种探测手段,来测试很多ip获得相应的脆弱系统的管理权限。
对于某个IP的主机,是不是有点束手无策了呢?
:)试试流光的高级扫描。。。
本次的受害者。。。是我所在的xxx内部服务器.ip:192.168.0.1
什么是扫描:
简单的说,就是利用get/put/send等方法获取目标主机的信息的手段。
向目标主机发出请求,如果目标主机的某个端口正在侦听,就会对我们的请求给予一定的相应,我们就可以通过
这些返回的数据来判断目标主机的状态。
2、高级扫描提供了两种方式:
1)向导模式(文件-高级扫描向导)
2)正常模式(探测-高级扫描工具)
就功能而言,这两种方式没有什么不同,主要是看个人的使用习惯,当然向导模式比较易用。
图1图2
好了,我们用图1中的向导模式Ctrl+W。
图option
3、出先了上面的小窗口,输入我们要破解的IP,把起始地址和结束地址输入相同的ip。
目标系统:如果你知道,就选择相应的系统,如果选择all,流光会自动判断,但毕竟影响了时间。
如何判断目标的系统呢?
最简单的就是ping和浏览对方的主页了,看对方主页,如果状态栏有本地asp调用,基本可以判断是win2k的系统,要是php调用,就可以认为是unix类系统。
下面ping的结果证明这台主机是Win2KServer,所以目标系统就选择:“WindowsNT/2000”
图ping
检测项目:因为是针对一台主机,当然获得的信息越多越好,所以检测项目就“全选”
这是选择完的贴图:
option1
4、设置扫描的端口,这个标准就行。
图ports
5、Pop3探测设置,默认即可。
图pop3
6、Ftp探测设置,默认即可。
图ftp
7、smtp探测设置、imap探测设置、telnet探测设置、cgi探测设置,全部采用默认设置。一直点击“下一步”到cgirules(cgi规则的设置)
图cgi
8、下面的sql探测设置、ipc探测设置、iis探测设置、misc探测设置,全部采用默认值:一直点击“下一步”到plugins(插件设置
图plugins
9、最后设置“猜解用户名字典、猜解密码字典、保存扫描结果的位置、扫描线程、网络选项”都用默认的了,当然你
可以根据具体情况更改,不要总是照搬:)
end
10、探测中,出现了不少探测的结果:)图check
11、这次的报告是最值得看的:-图report
12、扫描结果简单分析:图all
三、快速获得肉鸡的方法:
约定:1、要获得nt肉鸡2、使用ipc、sql、idq、printer来获取,都是可以直接得到管理权限的:)
下面的扫描向导中,我可以只选择符合上面的选项了。
看看图片,和上面的比较理解一下。
不到一分钟就出来结果了,快!需要注意的就是在最后一步的“猜解的用户名、猜解的字典”这两个尽量自己把默认的字典内容修改一下,比如“密码字典”中只有123456,会大大加快速度:)
记住要写两行哦
流光是不是只会对付Windows/NT呢?
当然不是,我现在只是举NT的例子。
如果我的教程给你这样的想法,那……小榕可能要痛扁我了:(
六.交流、学习才是最重要的,把自己心态放正,无论我们是高还是低。
今天要写的是流光的扫描结果分析:
一、目的和任务:
1、分析并利用流光的扫描结果。
2、顺便学点相关的知识。
二、开始分析:
1、具备相关的系统知识,基础是必须的。
比如21端口开放:想到了什么呢?wu_ftp溢出,本地权限提升,溢出root?这需要点经验了,但你至少应该想到去cd/看看吧。
其他还有好多,看看基础的书吧,我只能说一下方法。
2、我们用IPC$扫描和上篇的高级扫描,我们得到的许多结果,比如idq、print、unicode、frontpage,来对这些结果进行分析利用一下。
先说说一般***流程:
1)确定***目标:这个要看我们的目的了;)
2)搜集目标的相关资料
3)根据获得的信息进行***
4)获得最高权限
5)留后门、清理日志
现在我们已经能够获得对方的相关资料了,在NTServer中后门和日志也说过了,所以今天说3、4步的内容。
2、具体***实施方法:
1)利用url***的方法:这种方式用的很多,比如unicode。通常是在IE地址栏通过提交修改的URL,进行非法登陆或者浏览等。
2)利用暴利破解:比较费时,但也有一定的技巧可寻,比如用finger后的用户列表进行简单探测。
3)利用系统的相关服务***:比如输入法漏洞+终端,Frontpage扩展,行行×××的溢出等。
如何进行溢出呢?
一般来说是在网上找到针对漏洞相关的溢出源码,根据自己的需要进行修改,然后用gcc或者c++等编译,最好用编译好的程序***了,绝大多数都是这样的格式:program.exe-optionip
是不是觉得很难呢?
现在网上有许多好心的大虾都给你修改编译好了,你直接找来用就行。但。。。。。不想多学点东西么?
好了,不罗嗦了:)
先看看构造特殊url:(以Unicode为例)
什么是Unicode?
Unicode漏洞是因为在Unicode编码中,有这样一个编码方式%c1%hh%c0%hh(0x00〈=0xhh〈0x40)等等,
而该死的IIS却是这样理解的:把“%c1%hh"解释成(0xc1-0xc0)*0x40+0xh
结果就有了这样的组合:
%c1%1c-〉(0xc1-0xc0)*0x40+0x1c=0x5c='/'
%c0%2f-〉(0xc0-0xc0)*0x40+0x2f=0x2f='\'
通过这两个小小的“/”“\”,我们就可以构造特殊URL来深入到系统的根目录了,看看下图:
url1
url2
url3
这只是个简单的例子,用URL的还有的是,比如phf漏洞:
可以构造 [url]http://www.hacker.com/cgi-bin/phf?Qalias=x%0a/bin/cat%20/etc/passwd[/url]
在比如: [url]http://www.hacker.com/vti_pvt/service.pwd[/url]等等
域名是随便写的,勿对号入座哦
暴利破解,简单探测,我在第一篇教程中就说了,自己找找看看。
我们来说利用系统服务溢出的:
输入法漏洞需要WIN2K终端,终端成了hacker工具:)
Frontpage扩展,需要Frontpage,作网页的东西也成了***工具:)
Frontpage扩展***:启动Frontpage-文件-打开站点-输入站点的IP,如果要口令就输入得到的口令,免费给人家设计的主页吧:)
是不是很简单呢?
看看溢出:
这个是图形的,很简单,其实溢出程序多是命令行的。
idq
nc
对方存在shtml.dll这个漏洞,如何***呢?
先找找关于漏洞的说明,然后找相关的程序,比如我用的:
dos.exe211.21.22.11对方IIS拒绝服务了,当掉!
会了么?
好了,你应该学到点什么了,准确的说你应该发现点什么了。发现什么了呢?
1、凡是涉及到概念基础的时候,你潜意识中是跳过去不愿意看的。
2、***多是用现成的工具实现的。用工具当然没什么不好,但你知道当溢出时,为什么要用nc监听本地端口么?
我所讲的***实例其实是为了满足你的好奇心而已,希望你能看得更深一点:)
参考资料:来自杀手的流光教程
谈起国内的***,可能因为中国的互联网起步较晚,中国的***也很有“中国特色”在我所知道被公认的
第一批***中,有许多是很抽象的概念,这里所说的抽象是我当时的感觉,有点雾里看花。听到报纸上说,
XXX***黑了XXX,心里立刻素然起敬。
后来上了网,拿着1.44的极品猫恭敬的浏览了这些大侠的站点,便觉得自己也很高大起来,仿佛自己也成了***,
后来看看他们所写的一些***教程,才发现并不比到隔壁邻居家偷点东西困难:)
再后来自己因为家事离开的网络,主要是上不起,缺¥。之后的事就是常听到新闻、报纸报道XXX***黑了某站
点,XXX声称对此负责等等类似的言论。感觉到中国的***业真是蓬勃的发展起来了:)
我就曾经遇到这样的***,他连win95都不会装,系统出错要打电话给电脑公司的。我就觉得中国的***特色
是:浮躁太多、不肯踏脚踏实地的作事情。说白了就是伪***太多。
下面是我和一个现在在某个地方担任重职的***现实中的对白:
某***:“你黑站点用工具么?”
我:“用的”
某***:“不用工具,不要用这个,用工具的都是二流***,黑个站点用工具?不用的”
我:“哦”
某***:“你要黑站点,不用工具你能知道什么”
我看到***要指点,立刻全神贯注。
某***:“它的80端口是开的,对吧!有端口开着你还用工具干嘛,有端口开着你就黑……”
听起来像新闻中XX功的李XX的讲课。后面还有许多,我也懒的说了。
肯脚踏实地的***太少了!
在国内,流光属于个比较不错的扫描器,是个很有潜力的工具,有代表性!
在流光之前,有许多工具具备流光的特性,应该说是流光吸收了他们的优点,但没有一个像流光这样的高集成
度的。
在以前,我一直觉得流光只是个玩具,对于一个站点,我们有多少时间和金钱去暴力猜解呢?包括那些
小的猜解工具,和花样繁多的***变种。当作练练编程的作品尚可,拿出来吓人就不对了。导致今天的杀毒软
件都敢吹能杀XXX种***程序:)
正是流光出现的时间较长、很多人都是从流光入门的原因,所以从流光谈起,能给新手一些正确的入门捷径。
我并不是一个流光高手,不能解决你遇到的所有问题,所以当我写下流光的系列教程的时候,心里是很不踏实的。
希望我的这些不成文的系列,能给你的学习带来一些方便。
下面是对新手的几个问题解答:
1、除了流光,国内还有没有其它的比较好的扫描器,说几个。
A:有,scanexX-scan
2、流光好用么?
A:用了以后在问!
3、我是新手,学习中应该注意什么?
A:少说多做.
二.许多新人在用流光的时候不知道如何下手,小榕论坛来讨论的也多是“如何添加用户”这样的初级问题:),就抽了点时间写这个简单的教程,希望让新手快速入门。
我个人认为流光的破解可分为5大部分:
一、POP3/FTP/…探测
二、IPC探测
三、SQL探测
四、高级扫描
五、其它…
因为开发时间的原因,上面的探测模式略有不同,所以分成了四个部分,本教程说的是第一个部分的探测。后面的探测模式应该属于流光的高级应用了:)
下面我就简单说一下基本的破解流程:
1、你得有流光,我这里试验用的是流光2001.FORWin98中文版.FORWin2000的也可以。
首次启动流光,看到如下图的界面:
首次使用是要注册的,不过不要想到花钱:),小榕只是想看看有多少人用他的流光而已。你可以填好相应的选项,然后点发送即可,如果发送失败,你把发送服务器换个就好了。
因为重装系统,我也不知道我发了多少次了:(。如果不想注册,就稍等下面的进度条走完,点稍后即可。如上图:
2、找个站点,我选的是中华网 [url]www.china.com[/url]的主页空间(home4u.china.com),探测方式:FTP。
有人常问扫描端口有什么用,其实作用就是你知道他提供了什么服务,然后可以采取相应的探测方式来获得PASS了:)我们知道主页几乎都用的FTP上传,我们这次就用来测试一堆用户名,看看有没有弱智的密码,呵呵,如果有hacker.at.china.com这样的,也不妨霸占为己有:)
3、加入要破解的站点名称:右键单击FTP主机→编辑→添加→输入home4u.china.com→确定!
4、加入用户名:我们要破解的是一堆用户名,所以要加入用户名的列表文件!我们就加入流光目录下的Name.dic:)右键单击刚才添加的主机:home4u.china.com→编辑→从列表中添加→Name.dic→打开
然后会有“用户已存在列表中”的提示,我们选中“不再提示”→确定。如下图:
用户名太多,我们可以用点主机前面的“—”号把用户列表缩起来,如下图:
大家注意名字前面的小框中必须有√要是没有就无法探测了。
5、有了用户名,我们就可以进行探测了,大家会想到怎么不用密码?其实流光有个简单模式的探测,也就是用内置的密码”:“123456”和“用户名”来进行探测,因为这样的密码是使用频率最高的:)
当然你可以修改这个简单模式的文件,加入你认为弱智的密码。方法是:单击工具菜单→模式文件设定→简单模式探测设置文件→加入你要加入的密码→把设置文件存盘!
下面我们就来看看这一堆名字里面有多少是用“123456”和“自己名字”来作为密码的。
探测→简单模式探测!
探测中…
6、探测完毕,也看到结果了,流光会问我们是否查看***检测报告,不想看可以选否。
报告的画面
7、如果要探测的是一个用户名,就需要添加字典、或者密码方案。方法是:右键单击解码字典或方案→编辑→添加→选择一个密码档即可。
以上就是流光的一次简单的探测了,事实上这些功能只能算是流光的2.5版的功能,流光2001增加的IPC/SQL/高级扫描等功能,使流光更加强大。如果你对这个已经很熟悉了,相信你看流光的HELP就会很快的学会其它的使用方法的。
关于用户名的问题:有人觉得自己加入的用户名不一定存在,如果不存在岂不是白费了力气?这点你大可以放心,流光会进行验证的。而且现在注册的用户入数之多,想个没有的名字都难,不信你随便敲个试试。
关于字典的问题:流光可以使用字典方案来探测,当然你也可以生成字典,有的新手在作练习的时候不知道怎么做,你也可以用记事本生成,每行输入一个密码,存盘后将扩展名改称.DIC,流光就认出来了:)如果你连扩展名都不会改:(那……
只要是学习、谁都会遇到困难,我也是问题多多,还得向小榕、EKIN讨教,欢迎大家多交流:)
三.很长时间也没有写什么东西了,这源于我的懒惰和生活缺乏激情。我的记事本上一大篇都是欠朋友的承诺:(
你既然看到这儿了,就在听我牢骚几句吧:)搞安全应该有正确的心态,别以为你会了个工具使用就可以一步登天。
交流、学习才是最重要的,把自己心态放正,无论我们是高还是低。
今天要写的是流光的IPC探测:
一、目的和任务:
1、用流光的IPC探测获得一台NT主机的管理权限,并将这台主机做成一个跳板/代理。2、学习IPC探测的相关知识。
二、探测流程:
1、你得有流光,我这里试验用的是流光2001.FORWin2000中文版。FORWin98的不可以。因为IPC连接功能是NT/
2000提供的功能。而且流光FOR2K要求你的操作系统得是NT/2000,否则流光启动会失败!
什么是IPC:
IPC是指"InterProcessCommunications",准确的说是ipc$,是默认的在系统启动时的admin共享。
IPC$是WindowsNT/2K中特有的远程网络登陆功能,它的特点是在同一时间内,两个IP之间只允许建立一个连接。
注意,你试图通过IPC$连接会在EventLog中留下记录。不管你是否登录成功。
可不可以通过IPC$暴力破解密码?当然可以!不过,是不是太笨了点…
2、首次启动流光,会看到注册的画面,具体操作请参考本人第一篇教程。我们在主页面上可以有几种方法来通过IPC
探测获得管理的权限。这里我们要作的是得到一台跳板,那么就可以用命中率高的办法来探测了(测试一堆IP来得
到弱口令)。
在主界面选择探测→探测POP3/FTP/NT/SQL主机选项,或者直接按Ctrl+R。
图main1
图main2
3、出先了上面的小窗口,输入我们要破解的IP段,我们输入了来看看。图main2我们把“将FrontPage主机自动加入HTTP主机列表取消了”。因为我们只想获得IPC弱口令,这样可以加快扫描的速度:)填入IP,选择扫描NT/98主机
4、探测中……(start1)
(注意如果你要探测的是流光保留的国内的IP段,会被禁止的,也就是探测的时候信息栏出现"IP保留"的字样)
5、这是扫描到的NT/98主机列表:(jg1)
6、没有扫描到常用密码:(
7、就不要查看报告了:…
8、有了不少NT/98的机器了,正式开始IPC$探测:IPC$主机-探测-探测所有IPC$用户列表。
9、注意下面两个对话框的设置:全选上,我们只要IPC$管理员的弱口令。然后点选项
10、点“选项”:为了加快弱口令扫描速度,这里的两个我们可以全部取消,比如下面的那个,如果对方禁止列出用户了,我想对于一个网管来说,弱口令可能性也是微乎其微。
11、探测中……
12、有密码了:)
13、又出现了查看报告的窗口,看看:)
14、有远程主机的管理密码了,我们剩下的就是想办法控制它了,有什么好办法么?:)有的是!自己看看工具-
菜单下的IIS远程命令:)是不是很简单呢,我以后在说,今天还是先练习net命令吧。
15、黑了他!
开个dosprompt执行如下命令,本次用的例子如下图。
1、netuse\\对方ip\ipc$"密码"/user:"用户名"||建立远程连接
2、copyicmd.exe\\对方ip\admin$||admin$是对方的winnt目录:)这里文件多。
3、nettime\\对方IP||看看对方的本地时间
4、at\\对方ip启动程序的时间启动程序名启动程序的参数||用at命令来定时启动程序,在这里我们用soon这个程序来做也可以,它可以取代3/4两步。
5、telnet对方ip端口||
6、输入pass(如果不是用icmd.exe,或者没有设置口令就不用了)||
7、在开个窗口,继续copy我们用的东西。copysock.execopyntlm.execopycl.execlear.exe
图cmd1
图cmd2
如果我们真的想黑了他,只需要把我们的首页文件覆盖目标的首页就ok了,我们可以通过dir/sdefault.htm或者dir/sindex.htm来确定对方首页的为止,一般是在X:\interpub\wwwroot\.
假如首页文件是default.htm并且在c:\interpub\wwwroot,这样:copydefault.htm\\ip\c$\interpub\wwwroot
下面的图有演示
7、其实黑人家是很低级并且没意思的:(,我们最好是物有所有,作成跳板吧,今后干活方便点:)
执行我们copy过去的ntlm.exe,取消验正。在给自己留个后门,比如提升guest的权限,或者其它的后门工具,这类东西多了自己选吧,看看杀手copy的那堆东西:)
8、做个SOCK5代理玩玩,用在QQ上不错喔:
执行我们copy过去的sock-install,netstartskserver看看用在QQ上的效果:)
是不是没有看清上面的步骤呢?
下面是我telnet上去后所有的命令:)
9、还能做成其他的么?
当然了,只要你有时间,并且愿意做,我曾经偷偷的把自己的主页放到人家的server上,速度快、空间无限,嘿嘿:)
10、日志清除,断开连接:
执行我们copy过去的cl.execlear.exe都可以清除日志,比如clearall:清除所有的日志。然后在断开连接:netuse\\ip\ipc$/delete
这步我认为是必需的,尤其是在一些有争议的站点上,或者是国内的站点,除非你想让电视上报导XXX地区我神勇刑警捕获弱智***一名XXX。
在网吧写完:(错误之处请赐教。
只要是学习、谁都会遇到困难,我也是问题多多,还得向小榕、EKIN讨教,欢迎大家多交流:)
四.关于IPC$的终于写完了,那个该死的网吧,闹哄哄的声音声声入耳:(,你可能想不出,IPC$探测是我在网吧完成的,而且那个网吧还有公安部门的网络监视器,这东西很有意思,好像是VXD调用,和IE运行库集成到一起的。哪天非弄来研究一下,说不定一款别具特色的***就问世了:)
不知道你看完前一个教程有没有要扁我的想法。。。。
交流、学习才是最重要的,把自己心态放正,无论我们是高还是低。
今天要写的是流光的SQL探测,顺便说说ipc$补遗和其它的探测手段。
一、目的和任务:
1、用流光的SQL探测获得一台NT主机的管理权限。
2、学习SQL探测的相关知识。
3、IPC$补遗和其它…
二、探测流程:
1、你得有流光,这话不用在说了吧:)
什么是SQL:
SQL:微软开发的数据库,专门用在微软的OS上,功能类似Linux下的Mysql,晕……,到底谁类似谁啊?有时间
去看看SQL的联机手册,说的很明白。
SQL服务程序支持的网络协议:
Namedpipes:使用NTSMB端口来进行通信,存在被SNIFFER截获数据的危险。
IPSockets:默认状态下开1433端口,可以被扫描器探测,存在被SNIFFER截获数据的危险。
Multi-Protocol:客户端需要支持NTRPCs,数据加密。
NWLink:存在被SNIFFER截获数据的危险。
AppleTalk(ADSP):存在被SNIFFER截获数据的危险
BanyanVines:存在被SNIFFER截获数据的危险
在Internet上,95%以上的SQLServer采用的都是IPSockets协议,流光探测的就是这个协议默认的1433端口
2、我们要获得SQL主机的管理权限,那么还用命中率高的办法来探测了(测试一堆IP来得到弱口令)。
对一台固定主机的探测等我下期的教程:)
在主界面选择探测→探测POP3/FTP/NT/SQL主机选项,或者直接按Ctrl+R。
图main
3、出先了下面的小窗口,输入我们要破解的IP段,我们输入了来看看。(注意如果你要探测的是流光保留的国内的IP段,会被禁止的,也就是探测的时候信息栏出现“地址保留的信息”)
图inputip
4、探测中……
5、有密码了:)图psss1→3
6、下面我们进一部获取管理员的权限。
用SQL客户端去连接主机,没有装SQL:(………………没关系,流光自带了连接的工具,以前我一直都是用的天行的工具SQLexec,但现在可以不用它了。
打开菜单工具→MSSQL工具→SQL远程命令看看:)
图tools
图SQLcmd
7、获得管理权限、增加后门
图cmdline
8、现在我们已经是管理员了:)
以前我们是用at命令来远程运行程序,今天顺便说说流光中自带的“种植者”,看看工具→nt/iis工具→种植者,我们来用它远程启动icmd这个后门。
图lookcrop
图crop
图cropend
一分钟后登陆看看:
9、再说说工具→模式文件设定→ipc简单设置文件。
图mode
“工具”中其他的项目和上面说的两个类似,就不多说了。
10、日志清除,断开连接,参考IPC探测,记住可以用种植者远程执行命令。
关于IPC$补遗:上篇对与IPC$探测的文章,写完后觉得还差点什么没有说:)
1、我们虽然只探测管理员(admin)的弱口令,实际上在真正***中是任何一个用户口令都不会放过尝试的,因为我们获得了
普通用户权限后可以提升权限,事实上,一个普通用户的权限在*nix***中是非常重要的。
2、获得口令后,***手法多样,不要局限于我的例程。
3、如果对方没有XXX怎么办?,这类的问题去看看我以前整理的流光FAQ。
关于其它探测:
玩玩3389?
首先终端是WIN2K提供的功能,所以我们在扫描的时候就要选择“NT/98”的主机,在得到主机列表后自定义端
口来扫描这些主机的3389端口,然后……
玩玩cisco路由器?
自己想想怎么作?要是想出来了,我的以后的教程就不用看了:)
明白了么?我说的意思是要灵活使用流光:)
五.以前一不小心吹出了要写流光教程的想法,结果话说出口就无法收回,如果上天肯给我一次改正的机会的话,我要对这套教程说,我不写。如果非要逼我说出内心的想法,我要说的是:不写不写就是不写!:)
交流、学习才是最重要的,把自己心态放正,无论我们是高还是低。
今天要写的是流光的高级扫描向导:
一、目的和任务:
1、学会高级扫描向导的使用!
2、学习扫描的原理。
二、探测流程:(针对某一个ip)
1、startfluxay!
以前我们都是通过某一种探测手段,来测试很多ip获得相应的脆弱系统的管理权限。
对于某个IP的主机,是不是有点束手无策了呢?
:)试试流光的高级扫描。。。
本次的受害者。。。是我所在的xxx内部服务器.ip:192.168.0.1
什么是扫描:
简单的说,就是利用get/put/send等方法获取目标主机的信息的手段。
向目标主机发出请求,如果目标主机的某个端口正在侦听,就会对我们的请求给予一定的相应,我们就可以通过
这些返回的数据来判断目标主机的状态。
2、高级扫描提供了两种方式:
1)向导模式(文件-高级扫描向导)
2)正常模式(探测-高级扫描工具)
就功能而言,这两种方式没有什么不同,主要是看个人的使用习惯,当然向导模式比较易用。
图1图2
好了,我们用图1中的向导模式Ctrl+W。
图option
3、出先了上面的小窗口,输入我们要破解的IP,把起始地址和结束地址输入相同的ip。
目标系统:如果你知道,就选择相应的系统,如果选择all,流光会自动判断,但毕竟影响了时间。
如何判断目标的系统呢?
最简单的就是ping和浏览对方的主页了,看对方主页,如果状态栏有本地asp调用,基本可以判断是win2k的系统,要是php调用,就可以认为是unix类系统。
下面ping的结果证明这台主机是Win2KServer,所以目标系统就选择:“WindowsNT/2000”
图ping
检测项目:因为是针对一台主机,当然获得的信息越多越好,所以检测项目就“全选”
这是选择完的贴图:
option1
4、设置扫描的端口,这个标准就行。
图ports
5、Pop3探测设置,默认即可。
图pop3
6、Ftp探测设置,默认即可。
图ftp
7、smtp探测设置、imap探测设置、telnet探测设置、cgi探测设置,全部采用默认设置。一直点击“下一步”到cgirules(cgi规则的设置)
图cgi
8、下面的sql探测设置、ipc探测设置、iis探测设置、misc探测设置,全部采用默认值:一直点击“下一步”到plugins(插件设置
图plugins
9、最后设置“猜解用户名字典、猜解密码字典、保存扫描结果的位置、扫描线程、网络选项”都用默认的了,当然你
可以根据具体情况更改,不要总是照搬:)
end
10、探测中,出现了不少探测的结果:)图check
11、这次的报告是最值得看的:-图report
12、扫描结果简单分析:图all
三、快速获得肉鸡的方法:
约定:1、要获得nt肉鸡2、使用ipc、sql、idq、printer来获取,都是可以直接得到管理权限的:)
下面的扫描向导中,我可以只选择符合上面的选项了。
看看图片,和上面的比较理解一下。
不到一分钟就出来结果了,快!需要注意的就是在最后一步的“猜解的用户名、猜解的字典”这两个尽量自己把默认的字典内容修改一下,比如“密码字典”中只有123456,会大大加快速度:)
记住要写两行哦
流光是不是只会对付Windows/NT呢?
当然不是,我现在只是举NT的例子。
如果我的教程给你这样的想法,那……小榕可能要痛扁我了:(
六.交流、学习才是最重要的,把自己心态放正,无论我们是高还是低。
今天要写的是流光的扫描结果分析:
一、目的和任务:
1、分析并利用流光的扫描结果。
2、顺便学点相关的知识。
二、开始分析:
1、具备相关的系统知识,基础是必须的。
比如21端口开放:想到了什么呢?wu_ftp溢出,本地权限提升,溢出root?这需要点经验了,但你至少应该想到去cd/看看吧。
其他还有好多,看看基础的书吧,我只能说一下方法。
2、我们用IPC$扫描和上篇的高级扫描,我们得到的许多结果,比如idq、print、unicode、frontpage,来对这些结果进行分析利用一下。
先说说一般***流程:
1)确定***目标:这个要看我们的目的了;)
2)搜集目标的相关资料
3)根据获得的信息进行***
4)获得最高权限
5)留后门、清理日志
现在我们已经能够获得对方的相关资料了,在NTServer中后门和日志也说过了,所以今天说3、4步的内容。
2、具体***实施方法:
1)利用url***的方法:这种方式用的很多,比如unicode。通常是在IE地址栏通过提交修改的URL,进行非法登陆或者浏览等。
2)利用暴利破解:比较费时,但也有一定的技巧可寻,比如用finger后的用户列表进行简单探测。
3)利用系统的相关服务***:比如输入法漏洞+终端,Frontpage扩展,行行×××的溢出等。
如何进行溢出呢?
一般来说是在网上找到针对漏洞相关的溢出源码,根据自己的需要进行修改,然后用gcc或者c++等编译,最好用编译好的程序***了,绝大多数都是这样的格式:program.exe-optionip
是不是觉得很难呢?
现在网上有许多好心的大虾都给你修改编译好了,你直接找来用就行。但。。。。。不想多学点东西么?
好了,不罗嗦了:)
先看看构造特殊url:(以Unicode为例)
什么是Unicode?
Unicode漏洞是因为在Unicode编码中,有这样一个编码方式%c1%hh%c0%hh(0x00〈=0xhh〈0x40)等等,
而该死的IIS却是这样理解的:把“%c1%hh"解释成(0xc1-0xc0)*0x40+0xh
结果就有了这样的组合:
%c1%1c-〉(0xc1-0xc0)*0x40+0x1c=0x5c='/'
%c0%2f-〉(0xc0-0xc0)*0x40+0x2f=0x2f='\'
通过这两个小小的“/”“\”,我们就可以构造特殊URL来深入到系统的根目录了,看看下图:
url1
url2
url3
这只是个简单的例子,用URL的还有的是,比如phf漏洞:
可以构造 [url]http://www.hacker.com/cgi-bin/phf?Qalias=x%0a/bin/cat%20/etc/passwd[/url]
在比如: [url]http://www.hacker.com/vti_pvt/service.pwd[/url]等等
域名是随便写的,勿对号入座哦
暴利破解,简单探测,我在第一篇教程中就说了,自己找找看看。
我们来说利用系统服务溢出的:
输入法漏洞需要WIN2K终端,终端成了hacker工具:)
Frontpage扩展,需要Frontpage,作网页的东西也成了***工具:)
Frontpage扩展***:启动Frontpage-文件-打开站点-输入站点的IP,如果要口令就输入得到的口令,免费给人家设计的主页吧:)
是不是很简单呢?
看看溢出:
这个是图形的,很简单,其实溢出程序多是命令行的。
idq
nc
对方存在shtml.dll这个漏洞,如何***呢?
先找找关于漏洞的说明,然后找相关的程序,比如我用的:
dos.exe211.21.22.11对方IIS拒绝服务了,当掉!
会了么?
好了,你应该学到点什么了,准确的说你应该发现点什么了。发现什么了呢?
1、凡是涉及到概念基础的时候,你潜意识中是跳过去不愿意看的。
2、***多是用现成的工具实现的。用工具当然没什么不好,但你知道当溢出时,为什么要用nc监听本地端口么?
我所讲的***实例其实是为了满足你的好奇心而已,希望你能看得更深一点:)
参考资料:来自杀手的流光教程
转载于:https://blog.51cto.com/hhlenglish/39567
1593
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
