我在***過程中注意到的細節(一)
lcx
細節決定成敗,不但對於寫程序、******甚至人生都是如此。談人生就有點深奧了,還是來談談***吧。記得很久前有一位同事,注入的時候,在sa權限什麼命令都能執行的情況下竟然***花費了三天左右的時間,爲什麼呢?這是因爲他在NBSI下輸了個time命令,想看下服務器的時間,結果命令無法應答,注入點宕在哪兒了,再也沒辦法執行其它命令了,直到服務器重啓。有的寫的不好的***,如果執行time命令也會自動退出。如果注意到了這個細節的話,最好的執行辦法就是time /t。
這一期我不談注入,針對我在內網***的經驗,來談一下細節吧。
1、系統自帶命令的細節
拿到系統權限後,常會想到收集機器的信息。例如看看共有幾個盤,難道要一個一個的去cd盤符嗎?2003系統的話就不必如此了,有一個命令很是方便:●fsutil.exe fsinfo drives●,可以列出全部盤符了(圖1)。
![]()
圖1
當然,這個命令還有其它的用途,大家自己搜索研究吧。也許還有人說,●systeminfo命●令更強大吧,看到的應當更多,當然個人有個人的愛好,像我還喜歡用●start /wait msinfo32.exe /nfo swenv.nfo /categories +swenv-swenvprogramgroup-swenvstartupprograms●,這個示例收集了軟件環境信息,但是不包括“程序組”和 “啓動程序”子類別,所創建的 .nfo 文件可以使用 Msinfo32.exe 讀取(圖2、圖3)。
![]()
![]()
圖2、圖3
大家自己執行一下,就會看到有多麼強大了。另外,在域內網裏如何判讀哪臺機器屬於哪個域呢?當然命令也許有多個,最好用的應當還是net config Workstation。說到net命令,其實對這個命令我還有一個獨門絕技,用它來判讀主域服務器。怎麼判斷呢?主域服務器一般也做爲時間服務器,所以在域權限下用net time /domian的話,主域服務器的主機名立馬拿來。其實如果每個命令我都打一個示例的話,再抓一個圖,這篇文章就會很長,但是這裏只起個拋磚引玉吧,只把我最常用的命令示例寫出來,剩下的大家自己研究吧。
這一期我不談注入,針對我在內網***的經驗,來談一下細節吧。
1、系統自帶命令的細節
拿到系統權限後,常會想到收集機器的信息。例如看看共有幾個盤,難道要一個一個的去cd盤符嗎?2003系統的話就不必如此了,有一個命令很是方便:●fsutil.exe fsinfo drives●,可以列出全部盤符了(圖1)。
圖1
當然,這個命令還有其它的用途,大家自己搜索研究吧。也許還有人說,●systeminfo命●令更強大吧,看到的應當更多,當然個人有個人的愛好,像我還喜歡用●start /wait msinfo32.exe /nfo swenv.nfo /categories +swenv-swenvprogramgroup-swenvstartupprograms●,這個示例收集了軟件環境信息,但是不包括“程序組”和 “啓動程序”子類別,所創建的 .nfo 文件可以使用 Msinfo32.exe 讀取(圖2、圖3)。
圖2、圖3
大家自己執行一下,就會看到有多麼強大了。另外,在域內網裏如何判讀哪臺機器屬於哪個域呢?當然命令也許有多個,最好用的應當還是net config Workstation。說到net命令,其實對這個命令我還有一個獨門絕技,用它來判讀主域服務器。怎麼判斷呢?主域服務器一般也做爲時間服務器,所以在域權限下用net time /domian的話,主域服務器的主機名立馬拿來。其實如果每個命令我都打一個示例的話,再抓一個圖,這篇文章就會很長,但是這裏只起個拋磚引玉吧,只把我最常用的命令示例寫出來,剩下的大家自己研究吧。
2、常用工具的細節
內網***後,通常做法是抓出用戶的hash來破密碼,再試下別的機器是否同密碼。抓hash,有三個基本的工具。●pwdump4、gethashes、 fgdump●,這三個exe大家應當都可以通過百度來搜索到。我常用的是gethashes,當gethashes無能爲力的時候再請出fgdump。不過我以前喜歡用pwdump4,一般情況下●pwdump4 /l●就會抓出機器的密碼HASH值。但是有人會發現,pwdump4 /l在3389裏用不了。編輯文章時常看到有人***了3389,然後就說丟個 pwdump4上去抓hash,結果再也無話了。我估計這樣的人都沒有仔細操作。在3389情況下,正確用pwdump4 /l的方法是先用●psexec \\ip -u username -p password cmd.exe●得到這個用戶身份的shell,然後再來用這個命令。說到psexec,我就想到了一個有趣的事情。以前我在公司負責招人的時候,主要是招對***有經驗的人。由於要考慮到招的人對內網的***水平,我會出這樣一道測試題。兩臺機器一模一樣的配置,用戶和密碼都是相同的,兩臺之間只開了139 和445互相通訊,其它端口不開,不過有一臺可以溢出得到最高權限,別一臺不可以。此時你溢出了一臺,在溢出的cmdshell情況下如何再控制另一臺? 其實這道題我考的是被招的人對權限的認識。溢出的時候,是system權限的,此時要在這個權限的cmdshell下ipc$另一臺機器是不可以的,也是先要用●psexec \\ip -u username -p password cmd.exe(我只是示例,在溢出的shell下正確命令應當用nc反彈這個psexec的命令才能得到cmdshell)●得到這臺溢出機器的用戶權限shell,此時兩臺機器密碼用戶名都相同,直接可以dir \\ip2\c$了,連ipc$連接也不用做。
這期的細節我先談這兩點吧,下期我們再來。
內網***後,通常做法是抓出用戶的hash來破密碼,再試下別的機器是否同密碼。抓hash,有三個基本的工具。●pwdump4、gethashes、 fgdump●,這三個exe大家應當都可以通過百度來搜索到。我常用的是gethashes,當gethashes無能爲力的時候再請出fgdump。不過我以前喜歡用pwdump4,一般情況下●pwdump4 /l●就會抓出機器的密碼HASH值。但是有人會發現,pwdump4 /l在3389裏用不了。編輯文章時常看到有人***了3389,然後就說丟個 pwdump4上去抓hash,結果再也無話了。我估計這樣的人都沒有仔細操作。在3389情況下,正確用pwdump4 /l的方法是先用●psexec \\ip -u username -p password cmd.exe●得到這個用戶身份的shell,然後再來用這個命令。說到psexec,我就想到了一個有趣的事情。以前我在公司負責招人的時候,主要是招對***有經驗的人。由於要考慮到招的人對內網的***水平,我會出這樣一道測試題。兩臺機器一模一樣的配置,用戶和密碼都是相同的,兩臺之間只開了139 和445互相通訊,其它端口不開,不過有一臺可以溢出得到最高權限,別一臺不可以。此時你溢出了一臺,在溢出的cmdshell情況下如何再控制另一臺? 其實這道題我考的是被招的人對權限的認識。溢出的時候,是system權限的,此時要在這個權限的cmdshell下ipc$另一臺機器是不可以的,也是先要用●psexec \\ip -u username -p password cmd.exe(我只是示例,在溢出的shell下正確命令應當用nc反彈這個psexec的命令才能得到cmdshell)●得到這臺溢出機器的用戶權限shell,此時兩臺機器密碼用戶名都相同,直接可以dir \\ip2\c$了,連ipc$連接也不用做。
這期的細節我先談這兩點吧,下期我們再來。