打印

[讨论]对一个电影服务器远程安全渗透检测的问题

pc逍遥鼠

晶莹剔透§烈日灼然

Rank: 1

帖子: 304
精华: 0
积分: 578
阅读权限: 50
来自: 中国社会复杂学院
在线时间: 230 小时
注册时间: 2004-9-3
最后登录: 2008-11-16

发短消息
加为好友
当前离线

楼主大中小发表于 2005-12-2 18:20 只看该作者

[讨论]对一个电影服务器远程安全渗透检测的问题

议题提交：pc逍遥鼠
信息来源：邪恶八进制安全小组技术论坛

  我在**遇到一个服务器是**服务器，他的是2000的服务器版，我以前进去过，但是因为我的那次入侵，弄的他给自己的服务器装上了金山病毒软件，并且设置的很牛。我很想再进去，但是他的杀毒软件设置的所有外部连接都不可以连接，但是可以IPC连接，因为他的是电影服务器，他开放guest的权限，让用户看电影！
  主要是我想进去和以后的发展，就需要把他的杀毒软件弄的乖一点，所以我求助大家谁知道好的“训宠”的好方法，请教一下，呵呵
  下面是我的研究：我经过IPC连接，知道他的系统和杀毒软件全部在C:下。
         他开机在进入用户之前杀毒软件是不启动的（可能大家都知道！但是我好像听说卡巴斯基是在进入用户之前就已经启动了）
         我们已经把他的3389开了，同时4899也开了！在angelshell的反向连接有问题的情况下，我放弃了反向连接的希望。

TOP

kevin1986

荣誉会员

Rank: 6 Rank: 6 Rank: 6

E.S.T论坛贵宾

帖子: 325
精华: 12
积分: 3936
阅读权限: 100
性别: 男
在线时间: 308 小时
注册时间: 2005-2-5
最后登录: 2008-8-23

发短消息
加为好友
当前离线

沙发大中小发表于 2005-12-3 16:51 只看该作者

哪有这样的杀毒软件？
这样的杀毒软件根本起不了多大效果的.
像金山,Rising,KV,都是有服务支持的..启动以后出现的也就是提供控制的Shell..而真正的执行者,早以服务权限启动了

me=\"kEvin1986\" & chr(0) & \"at solitude\" msgbox len(me) \' You can see somthing. msgbox me \' But just part of it. \'i think i will hide part of myself

TOP

pc逍遥鼠

晶莹剔透§烈日灼然

Rank: 1

帖子: 304
精华: 0
积分: 578
阅读权限: 50
来自: 中国社会复杂学院
在线时间: 230 小时
注册时间: 2004-9-3
最后登录: 2008-11-16

发短消息
加为好友
当前离线

椅子大中小发表于 2005-12-3 17:25 只看该作者

我也很不明白是什么意思！！！！
为什么进不去，卡了telnet，就是一直卡在黑屏那里不动了！！！
3389连接不上！！！！就连反向连接的随意门也没有什么反映

TOP

hack520

运维管理组

Rank: 7 Rank: 7 Rank: 7 Rank: 7

E.S.T论坛版主

帖子: 1082
精华: 6
积分: 5594
阅读权限: 150
性别: 男
在线时间: 579 小时
注册时间: 2005-3-18
最后登录: 2008-8-31

发短消息
加为好友
当前离线

板凳大中小发表于 2005-12-3 18:58 只看该作者

他对外开有口么,有口弄一个端口复用的后门上去.

Www.China-Mu.Co.Kr 猪毛奇迹 1.02Q 将带给你无比的震撼。
注：此账号密码已更改，请本人与冰血联系修改密码。

TOP

pc逍遥鼠

晶莹剔透§烈日灼然

Rank: 1

帖子: 304
精华: 0
积分: 578
阅读权限: 50
来自: 中国社会复杂学院
在线时间: 230 小时
注册时间: 2004-9-3
最后登录: 2008-11-16

发短消息
加为好友
当前离线

地板大中小发表于 2005-12-4 00:45 只看该作者

他现在对外，系统自带的那些端口还有我开的都在！！！
因为我没有办法进去，所以没有办法使用端口复用！！！！！
我想过使用端口复用，但是实际没有办法进去！！！

训宠就是：他把他的服务器设置很变态。宠就是他的主机

TOP

kevin1986

荣誉会员

Rank: 6 Rank: 6 Rank: 6

E.S.T论坛贵宾

帖子: 325
精华: 12
积分: 3936
阅读权限: 100
性别: 男
在线时间: 308 小时
注册时间: 2005-2-5
最后登录: 2008-8-23

发短消息
加为好友
当前离线

6楼大中小发表于 2005-12-4 10:39 只看该作者

你已经有很高的权限了。除非他有硬件防火墙之类的防范措施，否则即使有IPSEC你也可以停止它的服务。总不可能这台机器对外连接的话一个端口都不剩给你吧？
类似Htran的程序你再看看

me=\"kEvin1986\" & chr(0) & \"at solitude\" msgbox len(me) \' You can see somthing. msgbox me \' But just part of it. \'i think i will hide part of myself

TOP

hack520

运维管理组

Rank: 7 Rank: 7 Rank: 7 Rank: 7

E.S.T论坛版主

帖子: 1082
精华: 6
积分: 5594
阅读权限: 150
性别: 男
在线时间: 579 小时
注册时间: 2005-3-18
最后登录: 2008-8-31

发短消息
加为好友
当前离线

7楼大中小发表于 2005-12-5 23:29 只看该作者

你不是有权限把3389，4899都开了么？有这个最高权限你还怕什么？还有什么不能做的？

Www.China-Mu.Co.Kr 猪毛奇迹 1.02Q 将带给你无比的震撼。
注：此账号密码已更改，请本人与冰血联系修改密码。

TOP

pc逍遥鼠

晶莹剔透§烈日灼然

Rank: 1

帖子: 304
精华: 0
积分: 578
阅读权限: 50
来自: 中国社会复杂学院
在线时间: 230 小时
注册时间: 2004-9-3
最后登录: 2008-11-16

发短消息
加为好友
当前离线

8楼大中小发表于 2005-12-6 10:26 只看该作者

但是这些都是正向连接的
没有办法进去
至于最高权限，我进都进不去那还有什么用？

TOP

落叶树

荣誉会员

Rank: 6 Rank: 6 Rank: 6

E.S.T论坛贵宾

帖子: 910
精华: 42
积分: 5712
阅读权限: 100
性别: 男
在线时间: 556 小时
注册时间: 2004-8-21
最后登录: 2008-10-27

发短消息
加为好友
当前离线

9楼大中小发表于 2005-12-7 09:28 只看该作者

杀毒软件能限制端口么

引用:

但是他的杀毒软件设置的所有外部连接都不可以连接

BLOG: http://blog.csdn.net/hkbyest

TOP

pc逍遥鼠

晶莹剔透§烈日灼然

Rank: 1

帖子: 304
精华: 0
积分: 578
阅读权限: 50
来自: 中国社会复杂学院
在线时间: 230 小时
注册时间: 2004-9-3
最后登录: 2008-11-16

发短消息
加为好友
当前离线

10楼 大中小发表于 2005-12-7 10:22 只看该作者

对不起
是金山的防火墙！！！！！！
他可能装的比较全，我只是在他的C:\里面看到了金山毒霸的文件夹！！！！

TOP

skylove

晶莹剔透§烈日灼然

Rank: 1

帖子: 78
精华: 0
积分: 245
阅读权限: 40
在线时间: 197 小时
注册时间: 2005-11-13
最后登录: 2007-12-3

发短消息
加为好友
当前离线

11楼 大中小发表于 2005-12-7 11:33 只看该作者

引用:

下面是引用pc逍遥鼠于2005-12-07 10:22发表的:
对不起
是金山的防火墙！！！！！！
他可能装的比较全，我只是在他的C:里面看到了金山毒霸的文件夹！！！！

我好多鸽子肉鸡上都能看到金山防火墙的说。

http://www.xmasfox.com

TOP

小胖子

Calm

晶莹剔透§烈日灼然

Rank: 1

帖子: 194
精华: 2
积分: 502
阅读权限: 50
性别: 男
在线时间: 91 小时
注册时间: 2005-1-18
最后登录: 2008-11-20

发短消息
加为好友
当前离线

12楼 大中小发表于 2005-12-7 19:24 只看该作者

你即然能开他的3389和4899，不能KILL掉他的防火墙？？ [s:34]

上次我上网查资料，突然弹出来一个网页，很黄很暴力，我赶紧给关了。

TOP

我欲成魔

晶莹剔透§烈日灼然

Rank: 1

帖子: 63
精华: 0
积分: 130
阅读权限: 40
性别: 男
在线时间: 37 小时
注册时间: 2005-6-17
最后登录: 2008-8-7

发短消息
加为好友
当前离线

13楼 大中小发表于 2005-12-29 01:38 只看该作者

先把墙的服务停止，然后杀掉进程。
就能正连了，~~3389上去对墙做点手脚，方便下次进去。

TOP

cfccn

晶莹剔透§烈日灼然

Rank: 1

帖子: 52
精华: 0
积分: 190
阅读权限: 40
性别: 男
在线时间: 57 小时
注册时间: 2005-11-8
最后登录: 2008-10-29

发短消息
加为好友
当前离线

14楼 大中小发表于 2005-12-29 06:20 只看该作者

要是以前有SHELL 比如 4899之类的可以上传个端口转发的工具
然后连接本地转发的端口不可以吗？

TOP

pc逍遥鼠

晶莹剔透§烈日灼然

Rank: 1

帖子: 304
精华: 0
积分: 578
阅读权限: 50
来自: 中国社会复杂学院
在线时间: 230 小时
注册时间: 2004-9-3
最后登录: 2008-11-16

发短消息
加为好友
当前离线

15楼 大中小发表于 2005-12-29 13:05 只看该作者

现在已经不用了！
他已经把任何防范措施都换到收费主机上了！！！
现在电影主机可以随意访问，但是收费主机就不好弄了！！！！
现在的收费主机我大概可以知道的是：他有瑞星杀毒，好像还有瑞星的防火墙，我不知道那个是什么防火墙，80％是瑞星，所有端口不可以连接，但是我疑问了，为什么万象幻境就可以连接，从收费主机上读取信息！！比如：我的剩余机时！！！！
大家看看能帮上忙吗？

TOP

sobiny

荣誉会员

Rank: 6 Rank: 6 Rank: 6

帖子: 556
精华: 0
积分: 1760
阅读权限: 100
在线时间: 435 小时
注册时间: 2005-1-30
最后登录: 2008-11-14

发短消息
加为好友
当前离线

16楼 大中小发表于 2005-12-30 12:15 只看该作者

说真的还真搞不懂你的问题
如果所有的端口都不能访问那么ipc$是怎么连接上的？
IPC$不需要端口吗，望高手指教。
另外，黑过去黑过来的，你主要就是怕杀毒软件
给自己的程序免杀不就对了
另外，如果可能的话，自己写上一些小软件上去，还更有针对性一点，你说呢
我反正觉得尽是用别人的工具去怎么怎么样，也没什么好自豪的
就算你控制了他的主机难道就说明你技术很高深吗？
还是多学点有用的知识才是重要的。

TOP

fhod

运维管理组

Rank: 7 Rank: 7 Rank: 7 Rank: 7

E.S.T论坛版主

帖子: 906
精华: 16
积分: 7085
阅读权限: 150
性别: 男
在线时间: 537 小时
注册时间: 2004-12-6
最后登录: 2008-10-27

发短消息
加为好友
当前离线

17楼 大中小发表于 2005-12-31 23:47 只看该作者

Byshell
看了一篇文章介绍.这个后门还不错..

TOP

l0op8ack

晶莹剔透§烈日灼然

Rank: 1

帖子: 15
精华: 0
积分: 52
阅读权限: 40
性别: 男
在线时间: 20 小时
注册时间: 2006-1-2
最后登录: 2006-5-6

发短消息
加为好友
当前离线

18楼 大中小发表于 2006-1-2 08:42 只看该作者

connect back shell还是很有用的

TOP

lovewaz

晶莹剔透§烈日灼然

Rank: 1

帖子: 95
精华: 0
积分: 356
阅读权限: 40
来自: 河南
在线时间: 47 小时
注册时间: 2005-9-6
最后登录: 2008-10-15

发短消息
加为好友
当前离线

19楼 大中小发表于 2006-1-27 15:15 只看该作者

他也禁止你反向连接吗?
按照楼主说的他难道限制了所有外部IP的连接,那怎么做服务器?

TOP

niceboyxp

晶莹剔透§烈日灼然

Rank: 1

帖子: 8
精华: 0
积分: 30
阅读权限: 40
在线时间: 52 小时
注册时间: 2005-2-28
最后登录: 2008-11-5

发短消息
加为好友
当前离线

20楼 大中小发表于 2006-2-4 14:58 只看该作者

讨论下如何入侵内网的电影服务器 .如一个网吧的主页是对外开放的，但是连接电影的是内部的另一台电影服务器 ////////////////WEB一台主机,电影服务器一台主机。内网互联，WEB对外开放。如何可以从WEB主机连接电影服务器主机看电影？WEB 已获得WEBSHELL.

file:////192.168.0.251/电影9/无极/01.rmvb

TOP

我欲成魔

晶莹剔透§烈日灼然

Rank: 1

帖子: 63
精华: 0
积分: 130
阅读权限: 40
性别: 男
在线时间: 37 小时
注册时间: 2005-6-17
最后登录: 2008-8-7

发短消息
加为好友
当前离线

21楼 大中小发表于 2006-2-5 22:57 只看该作者

拿下电影站后用cain嗅探看看~~~~~

TOP

pc逍遥鼠

晶莹剔透§烈日灼然

Rank: 1

帖子: 304
精华: 0
积分: 578
阅读权限: 50
来自: 中国社会复杂学院
在线时间: 230 小时
注册时间: 2004-9-3
最后登录: 2008-11-16

发短消息
加为好友
当前离线

22楼 大中小发表于 2006-2-5 23:55 只看该作者

好主意,但是要注意会不会当机!
还有以我的记忆里的cain好像是界面版的!

TOP

niceboyxp

晶莹剔透§烈日灼然

Rank: 1

帖子: 8
精华: 0
积分: 30
阅读权限: 40
在线时间: 52 小时
注册时间: 2005-2-28
最后登录: 2008-11-5

发短消息
加为好友
当前离线

23楼 大中小发表于 2006-2-8 00:52 只看该作者

我最终的想法是要，可以从他的WEB服务器上看到内网的服务器上的电影

因为点他的主页连接的地址是内网的IP。不能防问到得.

TOP

randy

荣誉会员

Rank: 6 Rank: 6 Rank: 6

帖子: 41
精华: 0
积分: 3174
阅读权限: 100
性别: 男
来自: BlackStorm
在线时间: 70 小时
注册时间: 2005-6-1
最后登录: 2008-11-4

发短消息
加为好友
当前离线

24楼 大中小发表于 2006-2-8 11:37 只看该作者

问题看了好几变了.你说4899连不上! 只开放了ipc$. system权限的shell你倒有吧.本机TFTP监听着.然后传个VIDC过去.端口映射回来.然后4899的路不就开通了! 搞来搞去还是没搞清你的问题!

BlackStorm...

TOP

寂寞宝贝

荣誉会员

Rank: 6 Rank: 6 Rank: 6

帖子: 445
精华: 12
积分: 4734
阅读权限: 100
性别: 男
来自: 云南
在线时间: 174 小时
注册时间: 2006-2-7
最后登录: 2008-10-30

发短消息
加为好友
当前离线

25楼 大中小发表于 2006-2-8 16:05 只看该作者

引用:

这里是引用第[15 楼]的pc逍遥鼠于2005-12-29 13:05发表的：
现在已经不用了！
他已经把任何防范措施都换到收费主机上了！！！
现在电影主机可以随意访问，但是收费主机就不好弄了！！！！
现在的收费主机我大概可以知道的是：他有瑞星杀毒，好像还有瑞星的防火墙，我不知道那个是什么防火墙，80％是瑞星，所有端口不可以连接，但是我疑问了，为什么万象幻境就可以连接，从收费主机上读取信息！！比如：我的剩余机时！！！！
大家看看能帮上忙吗？

不是吧，我估计不是所有的端口不能连接，只是像收费软件这一类的程序我估计他应答可能比较迟，所以扫描器没扫到。而且那些收费软件我估计引用了反弹木马的原理，所以可能只有在本机看得到！

成功的男人白天瞎JB忙，晚上JB瞎忙；失败的男人白天没啥鸟事，晚上鸟没啥事。

TOP