您的位置:首页精文荟萃软件资讯 → 构建一个工作机

构建一个工作机

时间:2004/10/7 18:20:00来源:本站整理作者:蓝点我要评论(8)

 理由:避免被追踪,防止同行破坏,可以长期的使用,使自己更安全,让你更加的有爱心(一定不要破坏肉鸡<忽略肉鸡国籍>。 
GO~ 
检查补丁状态: 
查看 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\HotFix 
或者使用 hfnetchk.exe (微软主页可以找到) 
注意,只是看,好心里有个数! 
▲ipc$(445 or 139) 
主要的问题是因为默认设置允许空会话。通过匿名,可以获得n多的信息。从而进行用户验证攻击。 
问题:你不能改密码。 
关掉Admin$ 
服务器: 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 
AutoShareServer = DWORD:00000000 
工作站: 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters 
AutoShareWks = DWORD:00000000 
问题:ipc$还存在,它只是关掉了诸如Admin$,c$之类的东西。 
立刻从新启动lanmanserver服务,使其生效 
禁止空会话: 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA 
RestrictAnonymous = DWORD:00000001 
或者“控制面板”-“本地(域)安全策略”-“安全选项”里...... 
立刻从新启动lanmanserver服务,使其生效 
问题: 
GetAccount.exe这个小工具一样可以轻易的获得用户列表,然后挂字典攻击。 
更改帐号锁定阀值5次。 
此外,还有bug,445 or139 上还有一个漏洞,直接让机器挂掉。 
攻击程序 SMBdie.exe 可以到http://packetstorm.linuxsecurity.com找到。 
相关的补丁 Q326830_W2K_SP4_X86_CN.exe。 
注意,这是在为肉鸡打补丁,不是自己的机器。所以绝对不要安装。 
很烦?所以直接关掉445or139,最好。注意,要关,两个端口一起。关一个没用。(注意这是指windows 2000,不是nt机器) 
通常,是这样的,先连接445端口,如果失败,就会去连接139,所以一定要两个都关了。 
如何关闭? 
启用ipsec(路由和远程访问也可以),一个强大的玩意。包括icmp。一样可以关掉。也就是ping不通了。 
这里不涉及ipsec如何使用,他确实很强大,建议熟练使用。给出两个相关的连接,给不熟悉的朋友们参考一下。 
Internet 协议安全 (IPSec) 循序渐进指南 
http://www.microsoft.com/china/technet/windows2000/win2ksrv/technote/ispstep.asp 
IPSec 锁定服务器 
http://www.microsoft.com/CHINA/TechNet/windows2000/win2ksrv/ipsecld.asp 
需要注意的是,我们在为肉鸡做安全,不是自己的机器,当然,有些时候是很矛盾的,毕竟你要改的东西很多,相对的,你被管理员发现的可能也增加了。 
通常默认的IPSec的设置是这样的(本地(域)安全策略-ip安全策略) 
默认的有3个:安全服务器(要求安全设置) 客户端(只响应) 服务器(请求安全设置) 
所以,最好不要创建新的策略,直接在原来的基础上改,也就是3个默认设置的其中一个。以免太过于暴露了。连接类型最好指定为远程访问,以免他内网机器访问不到。最后,选中一个策略,右键-指派。立刻生效了。提一下命令行下的操作。以上是通过终端服务上去操作的。要是行命令下,如何做?推荐使用Resource Kit中的ipsecpol.exe。非常强大,也非常复杂。有兴趣的朋友,可以自己看看。 
▲iis (80) 
iis 默认安装完后,漏洞就像蜂窝。 
unicode漏洞:虽然这个漏洞老的已经成为历史,但还是有的,主要是一些默认安装了iis的机器,也别删除它。之所以http://www.xxx.com/scripts/..%c1%1c..%c1%1c..%c1%1c..%c1%1c../winnt/system32/cmd.exe?/c+dir能够执行命令(相当于一个shell)。其实是scripts目录有执行权限。到iis里去掉就可以了。注意一点的是,把每个虚拟目录的的执行权限都去掉。因为在没打补丁之前,所有的有执行权限的虚拟目录都有这个问题,但不一定能被扫描器扫到。如果已经安装了sp2也就不用忙了,补上了。 
单个补丁:http://www.microsoft.com/windows2000/downloads/critical/q269862/default.asp Q269862_W2K_SP2_x86_CN.EXE 
二次解码漏洞:这个漏洞很像上面的那个,一个列子http://www.xxx.com/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\。同样的去掉所有虚拟目录的执行权限。如果安装了sp3,不用忙了,补上了。 
单个补丁:http://www.microsoft.com/Downloads/Release.asp?ReleaseID=29764 
Q293826_W2k_SP3_x86_cn.exe 
.printer远程益出:同样,一个成为历史的漏洞。到iis设置里把这个映射删掉就可以了,注意一点的是。ms的iis有点变态。有些时候,你安装删除了一些系统组件。映射可能重新产生。如果安装了sp2,不用忙了,补上了。 
单个补丁:Q296576_w2k_sp2_x86_CN.EXE 
Index Server远程益出:同样,一个非常危险的漏洞,直接取得system权限。主要是idq.dll有问题,相对应的映射idq,ida。删掉后,也算补上了。如果安装了sp3,不用忙了,补上了。 
asp分块编码远程溢出:对于这个漏洞,成功率是很低的。你可以到http://packetstorm.linuxsecurity.com找到相关的exploit。而且你所得到的权限是IWAM_computername这个帐号的。但结合一些local exploit。就...。看情况了,如果iis只是被默认安装了,没有网站。把wwwroot目录里的那些默认安装的*.asp删掉,也算是补上了。如果,它已经有web在运做了,这个没办法,或许帮它升级windows update是个不错的注意 :)。安装了sp3,也不要忙了,补上了。 
此外,还有一些看asp源码的漏洞,方法n多。如果你肉鸡的没安装sp3的话,最好到iis里把htw和htr删掉。 
Frontpage服务器扩展:这个服务所涉及的漏洞特别多,要是肉鸡更本就没用到这个服务建议直接删除它。主要是默认的权限设置问题。允许权限是分配给Everyone组的,有些可以写的,相应的,放后门程序上去(asp.cmd),结合一些local exploit。最后获得admin权限。对“_vti”开头的目录,去掉Everyone组的控制,此外,还有一些拒绝服务漏洞,直接当掉iis。列如:提交http://www.xxx.com/_vti_bin/shtml.dll/com1.。或者http://www.xxx.com/_vti_inf.html。可以获得服务器的一些信息。多的要死,直接删掉! 
snmp服务(udp 161):即简单网络管理协议 。也就是为了方便网络管理而产生的。主要的问题:口令默认。 
通常在win2k下,能找到运行这个服务的机器是很少的。相对的*nix和路游比较多些。 
在win2k下一旦安装了snmp服务,打开新的端口udp 161、dup 162。通过scan可以轻易的刺探到(推荐LANguard Network Scanner、它带有一个snmp浏览器,或者snscan.exe,一个强劲的snmp扫描器,那它找不同类型的肉鸡,比较方便)主要是口令默认,也别删除这个服务了,改了口令也算补上了,如何改?“服务”-“snmp service”-“属性页”-“安全”那个“接受团体名称”也就是“public”,它就是snmp访问口令。把它改成一个安全的口令。小心!一些暴力破解。这个漏洞,危害虽然没有那么直接,但还是有的,暴露系统的类型和具体的版本,获取帐号列表,运行服务信息.....。 
Terminal service(3389) :主要是输入法状态条漏洞,虽然这个已经成了古董级的,但还是有的。有些肉鸡连sp1都没有。也不要去删什么帮助文件了。在注册表里-这个:HKEY_USERS\.DEFAULT\Keyboard Layout\Preload 这也就是登陆时可以用到的输入法。都在这里面,保留一个就可以了E00E0804 微软拼音,免得被人看出破绽。要是全删除了也就没有en图标了。打过sp2的,也不要忙了。补上了。此外,还有一个拒绝服务漏洞。这个没办法。只有打补丁,如果装了sp3也不要忙了,补上了。 
ms-sql(tcp 1433 udp 1434): ms-sql这个服务涉及的漏洞也是比较多的,如果肉鸡没安装sp2,更多。 
口令问题:sa这个帐号比较特别,不能改名字,也不能删除。加之安装时的“随意”。成了一个漏洞,口令太弱。通过一些小工具,连接以后调用系统存储过程xp-cmdshell,来执行命令。就算你禁用了存储过程xp-cmdshell。也是可以恢复的,就算恢复不了,通过写一些特别的asp文件(cmd.asp)到iis下有执行权限的目录,得到一个shell,最后结合一些local exploit。取得admin权限。 顺便说下,针对win2k+sp3的本地exploit已经有了。所以这个漏洞,没办法补,你不可能改sa口令,要不,等于买了自己,要不让它的asp脚本全部完蛋。这样的问题,永远都有的,像ipc$,本来设计来为了方便管理员管理计算机的。设置一个强壮的口令,本身就是很好的防御措施,就算是默认设置。又能怎么样!意识... 
除外,ms-sql还有一个udp remote exploit和一些拒绝服务漏洞,这个没办法,只有打补丁,要是肉鸡装了sp3,不用忙了,补上了。 
同行所留下的: 
帐号,脚本,木马,服务级后门,内核级后门。 
帐号: 
1.可能已经被先来的同行全部破解掉了,这个没办法,只能希望admin经常改口令。 
2.攻击者添加的帐号,这个针对一些帐号特多的肉鸡,可能有人用这样低级的手法,你一样没办法,你没法判断到底是谁的帐号。 
3.帐号被克窿。检查注册表,每个帐号的sid应该是对应的,比如guest的f5,01,如果是f4,01。被克窿了。要是觉得麻烦,用工具ca.exe来检查,只是要记得del掉%windir%\system32下的SASrv.exe,这是ca产生的。应该重点检查系统帐号,比如guest和IUSR_computername等。 
4.注意的:有些帐号里来有"$"这个字符,这样的帐号在行命令下,将不会被显示。 
脚本: 
利用运行的web,这类后门找起来多少有点困难,比如被放了cmd.asp。名字不一定是这个,都会被改的。你要是想完美点,执行一下:regsvr32 scrrun.dll /u /s 那个cmd.asp文件也就没用了。也就是无法创建FileSystemObject 改回来:regsvr32 scrrun.dll /i /s 。此外,针对php、jsp、perl也一样有类似的脚本。找这类后门很困难。 
木马: 
被中过马儿了,还好,一般比较好的服务器,都装有强力的杀毒软件,比如,Norton AntiVirus、kill nt版等。只是n久没升级了。提示下,顺便把它注册码给弄走(有些在注册表里,有些是一个文件)。都是正版的哦,绝对可以升级。:)。像这类后门只能依 *** 杀毒软件。种类实在太多了。 
服务级后门: 这类后门找起来也即算容易,首先需要一些工具,pslist.exe pskill.exe、fport.exe、sc.exe、结合一些系统命令来找。netstat -an |more 看看端口,fport.exe 来查看端口所对应的程序。常用两种手法,直接加到服务里或者删掉一个系统里无关紧要的服务,在把后门伪装成刚刚哪个删掉的服务。找这类后门,只要你对系统服务和系统进程比较熟悉,应该不是很困难。 
1.系统服务都是以大写字母开头的,并有规范的描述。(注意一些软件安装所产生的服务,比如serv-u) 
2.系统服务对应的程序,都是版权信息的。(查看属性页)以及生成的时间。 
3.端口,不太确定它是干什么用的时候,最好telnet下。 
4.不能确定某个服务是干什么用的时候,也就不要del了(用sc.exe)。 
内核后门: 
这类后门在win2k下是比较少的,不像在*nix系统下,多的要死,比如用的比较爽的lkm后门,在win2k下这类后门不太成熟。弄不好让肉鸡彻底完蛋。我自己不太清楚,不多废话了。 
别的废话:这个,只是我太无聊了,写起玩的。可能有用词不准确的或者错误。将就下了。本人工作也和计算机安全没有关系。要批评我的,随便了,我没意见。

相关阅读 Windows错误代码大全 Windows错误代码查询激活windows有什么用Mac QQ和Windows QQ聊天记录怎么合并 Mac QQ和Windows QQ聊天记录Windows 10自动更新怎么关闭 如何关闭Windows 10自动更新windows 10 rs4快速预览版17017下载错误问题Win10秋季创意者更新16291更新了什么 win10 16291更新内容windows10秋季创意者更新时间 windows10秋季创意者更新内容kb3150513补丁更新了什么 Windows 10补丁kb3150513是什么

文章评论
发表评论

热门文章 360快剪辑怎么使用 36金山词霸如何屏幕取词百度收购PPS已敲定!3

最新文章 微信3.6.0测试版更新了微信支付漏洞会造成哪 360快剪辑怎么使用 360快剪辑软件使用方法介酷骑单车是什么 酷骑单车有什么用Apple pay与支付宝有什么区别 Apple pay与贝贝特卖是正品吗 贝贝特卖网可靠吗

人气排行 xp系统停止服务怎么办?xp系统升级win7系统方电脑闹钟怎么设置 win7电脑闹钟怎么设置office2013安装教程图解:手把手教你安装与qq影音闪退怎么办 QQ影音闪退解决方法VeryCD镜像网站逐个数,电驴资料库全集同步推是什么?同步推使用方法介绍QQ2012什么时候出 最新版下载EDiary——一款好用的电子日记本