細(xì)節(jié)決定成敗，不但對(duì)于寫(xiě)程序、滲透入侵甚至人生都是如此。談人生就有點(diǎn)深?yuàn)W了，還是來(lái)談?wù)勅肭职?。記得很久前有一位同事，注入的時(shí)候，在sa權(quán)限什么命令都能執(zhí)行的情況下竟然入侵花費(fèi)了三天左右的時(shí)間，為什么呢？這是因?yàn)樗贜BSI下輸了個(gè)time命令，想看下服務(wù)器的時(shí)間，結(jié)果命令無(wú)法應(yīng)答，注入點(diǎn)宕在哪兒了，再也沒(méi)辦法執(zhí)行其它命令了，直到服務(wù)器重啟。有的寫(xiě)的不好的木馬，如果執(zhí)行time命令也會(huì)自動(dòng)退出。如果注意到了這個(gè)細(xì)節(jié)的話(huà)，最好的執(zhí)行辦法就是time /t。

這一期我不談注入，針對(duì)我在內(nèi)網(wǎng)入侵的經(jīng)驗(yàn)，來(lái)談一下細(xì)節(jié)吧。

１、系統(tǒng)自帶命令的細(xì)節(jié)

拿到系統(tǒng)權(quán)限后，常會(huì)想到收集機(jī)器的信息。例如看看共有幾個(gè)盤(pán)，難道要一個(gè)一個(gè)的去cd盤(pán)符嗎？2003系統(tǒng)的話(huà)就不必如此了，有一個(gè)命令很是方便：●fsutil.exe fsinfo drives●，可以列出全部盤(pán)符了（圖1）。



圖1

當(dāng)然，這個(gè)命令還有其它的用途，大家自己搜索研究吧。也許還有人說(shuō)，●systeminfo命●令更強(qiáng)大吧，看到的應(yīng)當(dāng)更多，當(dāng)然個(gè)人有個(gè)人的愛(ài)好，像我還喜歡用●start /wait msinfo32.exe /nfo swenv.nfo /categories swenv-swenvprogramgroup-swenvstartupprograms●，這個(gè)示例收集了軟件環(huán)境信息，但是不包括“程序組”和 “啟動(dòng)程序”子類(lèi)別，所創(chuàng)建的 .nfo 文件可以使用 Msinfo32.exe 讀取(圖2、圖3)。





圖2、圖3

大家自己執(zhí)行一下，就會(huì)看到有多么強(qiáng)大了。另外，在域內(nèi)網(wǎng)里如何判讀哪臺(tái)機(jī)器屬于哪個(gè)域呢？當(dāng)然命令也許有多個(gè)，最好用的應(yīng)當(dāng)還是net config Workstation。說(shuō)到net命令，其實(shí)對(duì)這個(gè)命令我還有一個(gè)獨(dú)門(mén)絕技，用它來(lái)判讀主域服務(wù)器。怎么判斷呢？主域服務(wù)器一般也做為時(shí)間服務(wù)器，所以在域權(quán)限下用net time /domian的話(huà)，主域服務(wù)器的主機(jī)名立馬拿來(lái)。其實(shí)如果每個(gè)命令我都打一個(gè)示例的話(huà)，再抓一個(gè)圖，這篇文章就會(huì)很長(zhǎng)，但是這里只起個(gè)拋磚引玉吧，只把我最常用的命令示例寫(xiě)出來(lái)，剩下的大家自己研究吧。

２、常用工具的細(xì)節(jié)

內(nèi)網(wǎng)入侵后，通常做法是抓出用戶(hù)的hash來(lái)破密碼，再試下別的機(jī)器是否同密碼。抓hash，有三個(gè)基本的工具?！駊wdump4、gethashes、 fgdump●,這三個(gè)exe大家應(yīng)當(dāng)都可以通過(guò)百度來(lái)搜索到。我常用的是gethashes，當(dāng)gethashes無(wú)能為力的時(shí)候再請(qǐng)出fgdump。不過(guò)我以前喜歡用pwdump4，一般情況下●pwdump4 /l●就會(huì)抓出機(jī)器的密碼HASＨ值。但是有人會(huì)發(fā)現(xiàn)，pwdump4　/l在3389里用不了。編輯文章時(shí)常看到有人入侵了3389，然后就說(shuō)丟個(gè) pwdump4上去抓hash，結(jié)果再也無(wú)話(huà)了。我估計(jì)這樣的人都沒(méi)有仔細(xì)操作。在3389情況下，正確用pwdump4 /l的方法是先用●psexec \\ip -u username -p password cmd.exe●得到這個(gè)用戶(hù)身份的shell，然后再來(lái)用這個(gè)命令。說(shuō)到psexec，我就想到了一個(gè)有趣的事情。以前我在公司負(fù)責(zé)招人的時(shí)候，主要是招對(duì)滲透有經(jīng)驗(yàn)的人。由于要考慮到招的人對(duì)內(nèi)網(wǎng)的滲透水平，我會(huì)出這樣一道測(cè)試題。兩臺(tái)機(jī)器一模一樣的配置，用戶(hù)和密碼都是相同的，兩臺(tái)之間只開(kāi)了139 和445互相通訊，其它端口不開(kāi)，不過(guò)有一臺(tái)可以溢出得到最高權(quán)限，別一臺(tái)不可以。此時(shí)你溢出了一臺(tái)，在溢出的cmdshell情況下如何再控制另一臺(tái)? 其實(shí)這道題我考的是被招的人對(duì)權(quán)限的認(rèn)識(shí)。溢出的時(shí)候，是system權(quán)限的，此時(shí)要在這個(gè)權(quán)限的cmdshell下ipc$另一臺(tái)機(jī)器是不可以的，也是先要用●psexec \\ip -u username -p password cmd.exe(我只是示例，在溢出的shell下正確命令應(yīng)當(dāng)用nc反彈這個(gè)psexec的命令才能得到cmdshell)●得到這臺(tái)溢出機(jī)器的用戶(hù)權(quán)限shell，此時(shí)兩臺(tái)機(jī)器密碼用戶(hù)名都相同，直接可以dir \\ip2\c$了，連ipc$連接也不用做。

這期的細(xì)節(jié)我先談這兩點(diǎn)吧，下期我們?cè)賮?lái)。

版權(quán)聲明：本站文章來(lái)源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請(qǐng)保持原文完整并注明來(lái)源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來(lái)源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來(lái)，僅供學(xué)習(xí)參考，不代表本站立場(chǎng)，如有內(nèi)容涉嫌侵權(quán)，請(qǐng)聯(lián)系alex-e#qq.com處理。