我們的目的只是為了做他們主機(jī)的管理員，那么怎樣才能做管理員呢，對(duì)于windows系統(tǒng)來(lái)說(shuō)，首先得有目標(biāo)主機(jī)的管理員用戶和口令，有了口令以后，就可以做很多事情了；本人對(duì)這篇東西不付任何責(zé)任。

一、獲取管理員口令

第一步：大概就是收集盡量多的目標(biāo)主機(jī)的信息吧，這要用到掃描器，可以用x-scan、x-way、nmap、等等，我一般喜歡先用namp，再用x-scan或sss。

第二步：利用收集到的信息了

1、漏洞

.unicode二次編碼 有這類漏洞的主機(jī)現(xiàn)在已經(jīng)很少很少了，如果有的話，可以使用的權(quán)限也很低，一般就僅有只讀權(quán)限了，這就什么事都不能做，只能利用它來(lái)看看目標(biāo)主機(jī)的一些文件，如果這臺(tái)主機(jī)的管理員認(rèn)為他的記性不是很好的話，非常有可能會(huì)把他的一些密碼記錄了一個(gè)文本文件當(dāng)中，但這樣的概錄幾乎等于0；如果有執(zhí)行權(quán)，那就net user看一看，用戶不多就把guest用戶擊活，再把它加到管理員組，用到命令是：net user guest 口令 /active:yes和net localgroup administrators guest /add。

.printer漏洞 現(xiàn)在有這個(gè)洞的主機(jī)就和有unicode洞的一樣少，有的話，用個(gè)IIShack什么的就可以開(kāi)99的shell口或建個(gè)叫hax/hax的管理員級(jí)用戶。

.ida .idq漏洞 這個(gè)東西發(fā)現(xiàn)了有半年多了，現(xiàn)在開(kāi)IIS的還是有35％的可能性有這個(gè)，有的話，可以用snake的idqover創(chuàng)建管理員用戶，GUI版的使用是傻瓜式的，選擇好操作系統(tǒng)類型，把要邦定的命令中的dir c:\改成net user 用戶 口令 /add，然后點(diǎn)idq溢出就可，反回個(gè)OK,可這并不表示成功，再telnet 主機(jī) 813，如果出現(xiàn)命令執(zhí)行成功的話，才表示可以，然后再用以上同樣的方法再溢出一次把用戶加入管理員組。

2、管理員輸忽

一些粗心的管理員往往會(huì)把他的密碼設(shè)的很簡(jiǎn)單，有的是不得不設(shè)的簡(jiǎn)單，這樣的機(jī)器就會(huì)被掃描到弱口令了，有系統(tǒng)的、MS_sql或MySQL的較常見(jiàn)，mssql的可通過(guò)SQLexec等軟件進(jìn)行遠(yuǎn)程連接創(chuàng)建系統(tǒng)管理員，參考，MySQL的可見(jiàn)MY-SQL常用命令，要先你自己的機(jī)器上裝個(gè)MySQL噢，或用AdminMySQL數(shù)據(jù)庫(kù)工具。

3、給管理員發(fā)木馬

管理員的信息可以從他的網(wǎng)站上或者.unicode的查看中獲得，發(fā)信要求得到他的幫助（一些計(jì)算機(jī)方面的問(wèn)題），花一定的時(shí)間取得信任，等到時(shí)機(jī)成熟時(shí)，給他發(fā)個(gè)自己做的，或是經(jīng)過(guò)壓縮再捆邦的收集密碼的木馬，等幾天去收密碼，再用收到的密碼做一本字典，用個(gè)Letmein或menu+去猜他的服務(wù)器，這個(gè)有點(diǎn)缺德。  

二、登陸主機(jī)

可以用TelnetHack打開(kāi)它的任意端口(前提是它要有IPC$共享)，高端的最好不要開(kāi)，開(kāi)個(gè)22、19、137、138可能會(huì)好些，然后登陸上去，我們的目的是要去放個(gè)后門(mén)，進(jìn)入它的系統(tǒng)目錄和程序目錄，查看一下都裝了哪些程序，哪些是用于安全方面的，如果有Arpkiller等，就不要放sniffer了，再看殺毒軟件是什么公司的，自己裝一個(gè)對(duì)你將要裝上去的后門(mén)或別的什么程序進(jìn)行掃描，掃不出來(lái)最好，掃出來(lái)就換一個(gè)，再用net user看一下它的用戶，多的話加一個(gè)新的，把這個(gè)用戶放到備份用戶組就夠了，這樣稍微好了點(diǎn)，取名時(shí)也要注意跟主機(jī)上的別的用戶名“壓韻”，再用net share看看有哪些共享，沒(méi)有admin$共享的話，自己加一個(gè)進(jìn)去，再用pwdump把它的sam文件倒出抓回來(lái)。

 三、留后門(mén)

選一個(gè)適合這臺(tái)主機(jī)的后門(mén)，上傳方法可參看IPC入侵全攻略，這里要注意后門(mén)的取名和開(kāi)的口（或ping后門(mén)），在主機(jī)上裝上后門(mén)后，一定要與主機(jī)斷開(kāi)ipc連接，不然在會(huì)話中會(huì)老是留有記錄，再通過(guò)后門(mén)上傳你要用到的程序，比如擦屁屁的、做代理的、掃描的、sniffer的等，放這些程序的目錄最好是放的深一些，名字取的好聽(tīng)些，也可用個(gè)軟件把它隱藏了，如這個(gè)主機(jī)沒(méi)有查sniffer的東西，那給它裝上個(gè)sniffer，fssniffer或x-sniff、wollf里的sniff用用還是挺好的，都可以偵聽(tīng)ftp/pop3等的明文傳輸密碼。如果它開(kāi)著web服務(wù)，那還可以給它放上個(gè)角本木馬，角本木馬如果放的好的話，檢測(cè)難度非常大，而管理員在做Web備份的時(shí)候也會(huì)把它備份進(jìn)去，一個(gè)好的ASP木馬可以完全的接管一臺(tái)NT。推薦用wollf新出的wollf-v1.5，它集成了很多功能，可太顯眼了，殺毒軟件會(huì)眼紅。把主機(jī)上的認(rèn)為有用的文件全下過(guò)來(lái)，如web程序的數(shù)據(jù)庫(kù)連接代碼里會(huì)有數(shù)據(jù)庫(kù)用戶名和口令的，更隱蔽的請(qǐng)看克隆管理員帳號(hào)。  

四、擦屁屁

該做的都做了，那就要擦屁屁了，看看主機(jī)的日志都放在哪些地方，如果是系統(tǒng)默認(rèn)的地方，那就直接運(yùn)行你的擦屁工具好了，如果不是，那就得手工一個(gè)一個(gè)來(lái)了，可參見(jiàn)關(guān)于NT LOG記錄和win 2k下FTP及WWW日志的清除，工具有CleanIISlog和clearel等，cleaniislog只可清ftp/IIS的，可定制。而一些清系統(tǒng)、安全、應(yīng)用程序日志的工具往往就會(huì)全部把記錄清空，這點(diǎn)倒不是很好。這里要注意的是，清記錄時(shí)一定要用后門(mén)登陸，這樣干凈些。  

五、進(jìn)一步滲透

如果覺(jué)得這樣還不夠，過(guò)個(gè)一個(gè)星期，在中午吃飯時(shí)間再登陸進(jìn)這臺(tái)主機(jī)的后門(mén)，看看有沒(méi)有裝新程序，目錄結(jié)構(gòu)阿日志啊這些的什么的有沒(méi)有大的變動(dòng)，如果沒(méi)有就要打一下ipconfig看看它的內(nèi)網(wǎng)地址、網(wǎng)關(guān)，用以前放上去的掃描工具ping一下內(nèi)網(wǎng)段的別的機(jī)器（別的機(jī)器可能會(huì)裝有防火墻），把ping的到的記錄下來(lái)，然后對(duì)其進(jìn)行完整的掃描，發(fā)現(xiàn)可以進(jìn)的就進(jìn)去看看，放上個(gè)反向連接的木馬在這些機(jī)器上，如果里面有一臺(tái)機(jī)器是有共享軟件的，也就是他們網(wǎng)管裝機(jī)器用的常用軟件，那就要想辦法進(jìn)這臺(tái)機(jī)器，一旦進(jìn)入，就可以把共享目錄里的軟件傳兩三個(gè)到你自己本地，分別捆邦入兩種不同的反向連接木馬，再傳回覆蓋原軟件，這些軟件可以是winzip、或一些小補(bǔ)丁。再就是，如果是用pc機(jī)做的網(wǎng)關(guān)，那最好能進(jìn)這臺(tái)機(jī)子，在上面放上個(gè)sniffer，可以用來(lái)把偵聽(tīng)到密碼做成一本專門(mén)針對(duì)這個(gè)網(wǎng)的字典；進(jìn)一步滲透由于不再去大范圍的清日志，所以最好通過(guò)兩個(gè)或三個(gè)代理上去，但對(duì)內(nèi)網(wǎng)中的進(jìn)入過(guò)的機(jī)器就要打掃一下了，好了，大家吃飯去。反向木馬推薦用Nethief，它的http通道功能實(shí)在不錯(cuò)，可不支持win2000。  

六、再利用

如果我們第一次侵入的主機(jī)被管理員發(fā)現(xiàn)，他把這臺(tái)機(jī)器上的什么都補(bǔ)好了，那我們的字典，反向木馬將會(huì)發(fā)揮很大的作用。但這時(shí)，這個(gè)網(wǎng)絡(luò)已經(jīng)沒(méi)多大意思了，886。