没有任何一台电脑是安全的，没有一条安全防线是无法攻破的。我们要做的就是利用一切资源进行入侵。在这里你可以看到最激动人心的入侵实录，可以学到最实用的入侵技巧。这里是所有入侵爱好者的乐园。但是记住哟，入侵是为了更好地防御。网络安全需要我们大家来维护。
　　通过“鼠洞”控制你的电脑

　　夜黑风高，一个黑色的身影窜入了一间电脑机房。熟练地打开了一台保存有重要数据的电脑。可是这个电脑里面的数据已经进行了加密，要获得这些数据必须是管理员账户才行。黑影不屑地笑了笑，利用一个已知的普通权限账户进入系统。在Microsoft Windows键盘事件权限提升漏洞的“帮助”下，轻松获得管理员权限盗得数据。随后离开机房，身影隐入无边黑暗中。

　　发现新漏洞

　　因为设计缺陷，Windows桌面应用程序处理通过keybd_event() function函数发送的键盘事件时存在溢出错误，攻击者可以通过向以更高权限运行的桌面应用程序(如explorer.exe)发送恶意的键盘事件，使用管理员权限执行任意代码。这一漏洞可以使一个普通用户权限的账户使用管理员权限对系统进行任意操作。该漏洞影响的系统:Windows 2000，Windows XP，Windows2003。

　　准备好入侵工具

　　pulist:一款进程PID查看器，可以在命令提示符下查看当前系统进程的PID值。

　　keybd:键盘事件权限提升漏洞的溢出工具，通过它可以取得系统管理员权限。

　　nc:黑客入侵的“瑞士军刀”，系统端口监听利器，功能相当强大。

　　以上工具下载地址
http://www.eviloctal.com/forum/r ... page=1&toread=1

入侵过程

　　一、获得进程PID值

　　根据漏洞特点，我们需要获取一个桌面应用程序(如explorer.exe)的进程PID值。在系统的“任务管理器”中，我们是看不到进程的PID值的，所以我们需要借助一款可以查看系统进程PID值的小工具——pulist。在“命令提示符”中运行“pulist.exe”，即可显示当前系统进程的PID值，我们在其中找到“explorer.exe”进程的PID，这里是“1716”(如图)。
[attach]3091[/attach]
　　小知识:进程的PID值指的是代表各进程的ID值。PID就是对各进程的身份标志，每个进程都有自己唯一的PID值。

　　二、提升账户权限

　　信息收集完毕，我们使用一个名为“888”的普通用户权限账户进行漏洞测试。我们运行“命令提示符”，输入“runas /user:888 cmd.exe”这个命令的意思是以用户“888”的权限运行一个命令提示符窗口，回车后系统会出现一个新的命令提示符窗口，其窗口标题为“cmd.exe(运行为888)”。这个命令提示符中我们的权限只是普通用户级别的，很多操作不能进行，例如添加删除用户等。当试图用该账户进行用户的添加删除操作时将会出现错误。

　　将下载回来的漏洞利用程序keybd解压到某个目录中，例如“c:\”。此外我们还要用到远程监听工具nc，将它与keybd放在同一目录中。在命令提示符中进入keybd所在的文件夹，输入命令 “keybd.exe 1716”。回车，这时系统会跳出一个新的命令提示符窗口，表示keybd.exe已经溢出成功。

　　小提示:溢出时要保证系统的默认输入法为“英文”，否则将会使溢出失败。

　　溢出成功后，就该nc出马了。在命令提示符中进入nc所在的目录，然后输入“nc -vv localhost 65535”，回车后便出现了欢迎界面。这表示888账户已经获得管理员权限。我们接着输入“net user piao 123456 /add”新建一个账户名为piao，密码为123456的用户。然后输入“net localgroup administrators piao /add”，将账户piao加入系统的管理员组。这两个只有管理员权限才可以执行的命令都可以成功完成，入侵成功。

　　小提示:我们获取的管理员权限依赖于执行“keybd.exe”后弹出的命令提示符窗口，如果把这个弹出的命令提示符窗口关闭，以888账户运行的命令提示符会立刻回到普通用户权限，所以在执行命令的时候一定不可以将之关闭。

　　危害虽小，仍须防范

　　由于该漏洞是因为本地系统设计上的缺陷造成的，所以只能用于本地用户的权限提升，而且必须是本地登录的用户。但是不管漏洞如何之小，存在肯定会对系统造成严重的安全隐患，我们还是要修复漏洞，以防别有用心之人。

　　要利用漏洞就需要使用到“命令提示符”，我们可以通过限制“命令提示符”的运行权限使攻击者无从下手。首先在资源管理器中点击“工具”按钮，选择“文件夹选项”，切换到“查看”标签，去掉“使用简单文件共享(推荐)”前面的钩，这一步是为了让文件的属性菜单中显示“安全”标签。然后我们进入“c:\windows\system32\”，找到“cmd.exe”，点右键选择“属性”，切换到“安全”标签，将其中“组或用户名称”中除了管理员外的所有用户都删除，完成后点“确定”，这样当普通用户想运行“命令提示符”的时候将会出现“拒绝访问”的警告框。

可惜，只能是物理上可以接触的机器，要是可以远程的话，呵呵，那就爽了，先找日本的机器 [s:42]

不一定是要物理接触的哦..只需要知道explorer.exe的PID值照样可溢出，在WEBSHELL上.不过好象在上面无法列出PID？

作者说任务管理器无法获得ＰＩＤ，但你可以打开任务管理器，＂查看＂－＞＂选择列＂，勾上ＰＩＤ即可，这样倒省了pulist,前提是要物理接触，远程的话，那就少不了他了．

还真有那么回事，我记得前不久就遇到这样的情况了。我还以为怎么回事呢？现在知道怎么办了，谢谢。

......我管理权限成功。。上面老兄说的却没有试。。

我试了很多次不成功 我用的系统是win2000 sp4的
还有能不能把ms05018的溢出程序重新编译下 直接得到system的shell 而不是加管理员账号
这对我们这些菜鸟提升webshell 更容易些！

引用:

下面是引用hack520于2005-11-08 07:35发表的:
不一定是要物理接触的哦..只需要知道explorer.exe的PID值照样可溢出，在WEBSHELL上.不过好象在上面无法列出PID？

PID应该可以知道，但是↓
　　小提示:我们获取的管理员权限依赖于执行“keybd.exe”后弹出的命令提示符窗口，如果把这个弹出的命令提示符窗口关闭，以888账户运行的命令提示符会立刻回到普通用户权限，所以在执行命令的时候一定不可以将之关闭。

在WEBSHELL下或者通过NC得到一个Guest权限的CMD，都没办法得到那个弹出的CMD窗口。这是最郁闷的地方。

恩 还有ms05002这个溢出也是 还有问下 能不能远程运行runas这个命令？？
等待答复~~~

还不如把机器抱回来再装个双系统看呢.

把硬盘拿回来就行了。不过各有好处！

1.默认2000的webshell中,只有Guest权限,没有pulist的权限,无法获取PID.所以,溢了做了梦.
2.在2003中,ASP也只有Guest权限,默认情况下无cmd权限,基本上干不了什么,用aspx继承Users权限.
在shell中我看你怎么去接那个跳出来的窗口.所以还是不行.
3.物理接触去吧.等于去自首.

如果能物理接触，有普通帐号,完全可以用策略组来提权，根本用不上所谓得溢出，如果别人打了补丁了怎么说那？

谁写的?
这是ms多少号的漏洞呢,怎么没听说过

引用:

下面是引用钦赐皇马甲于2005-12-08 05:08发表的:
跟Helvin踢掉邪恶八进制服务器电源线攻击法有一拼

拍照……
留念。

引用:

下面是引用haicao于2005-12-28 18:23发表的:
谁写的?
这是ms多少号的漏洞呢,怎么没听说过

这哪是MS的漏洞啊。我想应该是生产键盘厂商的漏洞吧？
名字我也没看懂。键盘能溢出？键盘程序是嘛啊？