完美的ntis + net use + at + bo2k 的入侵组合

http://202.113.24.95/*.idc

The physical location of the root directory found at b>。可能是文件不存在或是

您没有打开文件所需的许可权。 Q193689

...
-----------------------------------------------------------------------

NetBIOS

Share Information

Share Name      :NETLOGON

Share Type      :Disk

Comment         :

Share Name      :FtpHome

Share Type      :Disk

Comment         :

Share Name      :ADMIN$

Share Type      :Default Disk Share

Comment         :Remote Admin

Share Name      :IPC$

Share Type      :Default Pipe Share

Comment         :Remote IPC



WARNING - Null session can be established to \\202.113.24.95\IPC$



Share Name      :C$

Share Type      :Default Disk Share

Comment         :Default share

...

Share Name      :linuxberg

Share Type      :Disk

Comment         :



Account Information

Account Name    :a1

The a1 account is a normal USER, and the password was

changed 204 days ago. This account has been used 60 times to logon.

Comment         :

Full name       :

Account Name    :SOFTWARE$

The SOFTWARE$ account is a normal USER, and the password was

changed 205 days ago. This account has been used 0 times to logon.

Comment         :

User Comment    :

Full name       :

...

Account Name    :sphinx

The sphinx account is a normal USER, and the password was

changed 194 days ago. This account has been used 1 times to logon.

Comment         :

User Comment    :

Full name       :

Account Name    :SQLAgentCmdExec

The SQLAgentCmdExec account is a normal USER, and the password was

changed 205 days ago. This account has been used 0 times to logon.

Comment         :SQL Server Agent CmdExec Job Step Account

User Comment    :

Full name       :SQLAgentCmdExec





WARNING a1's password is blank

...

________________________________________________________________________



注：扫描结果为ftp不许匿名，WWW漏洞若干，开了那些共享目录，这里都无关主旨，

对NT的渗透要的是帐户名和口令。如果能建立空连接，则可以得到帐户信息。ntis

会报出无口令用户(blank指的是无口令)，和口令与用户名相同的用户。如果知道普

通用户口令，可能意义不大（对高手应该也有用的吧），要的是管理员的口令。对

于一台管理很烂的机器，ntis扫描到管理员口令太平常了。（24.95上扫不到管理员

口令，大家不要试了。）



下面是spp对取得管理员权限之后应该如何做的一些介绍：



________________________________________________________________________

发信人: spp (低音炮), 信区: MicroSoft

标  题: MS NT 一些命令使用技巧



net use \\x.x.x.x\ipc$ "" /user:""

net.exe是NT的工具文件，该命令将和目标服务器建立Null Session，如果成功，

你可以查看该服务器上的共享目录：



net view \\x.x.x.x

当然，如果你有该NT管理员密码，就更好办了，假设其管理员Admin密码为pass：

net use \\x.x.x.x\ipc$ "pass" /user:"Admin"

命令成功后，几乎所有目标NT上的配制，资源，你都可以在你本地NT上连接远程计算机



来查看或修改：



1、查看或修改远程机器上的硬盘，假如目标NT上有C、D两个硬盘：

net use x: \\x.x.x.x\c$

net use y: \\x.x.x.x\d$

这样，目标NT上的C、D盘分别被影射为你本地的X、Y盘，你想怎么做都可以...



2、管理目标NT的用户：

从“开始”->“程序”->“管理工具（公用）”->“域用户管理器”->菜单：

“用户”->“选择域”

键入\\x.x.x.x后，目标NT上的所有用户你想怎么做都可以，和管理你本地的一样



3、管理目标NT的服务

选择“管理工具(公用)”->“服务器管理”->“计算机”->“选择域”

这样你可以管理目标NT上的服务，共享目录

这样你可以管理目标NT上的服务，共享目录



4、IIS管理

选择“Microsoft Internet Service管理”->“Internet 服务管理器”->

"连接到服务器"->x.x.x.x 目标NT的FTP、WWW服务你就可以重新配置



5、事件管理

“事件查看器”->连接到服务器->x.x.x.x



6、net start schedule

　Schedule 正在启动服务.....

　Schedulw 服务启动成功。



7、at

AT 命令排定在特定的日期和时间运行某些命令和程序。

AT [\\computername] [ [id] [/DELETE] | /DELETE [/YES]]

AT [\\computername] time [/INTERACTIVE]

\\computername 指定远程计算机。 如果省略这个参数命令会被排定在本机上运行。

/delete 删除某个已排定进度的命令。如果省略标识，计算机上所有已排定进度的命令

都会删除。

/yes 用于删除所有作业，且不想在运行删除时显示确认信息 。

time 指定命令运行的时间。

/interactive 允许作业在运行时，与用户通过桌面交互。

/every:date[,...] 指定在每周或每月的某日 (或某几日) 运行命令。

如果省略日期，则默认为在每月的本日运行。

/next:date[,...] 指定在下一个指定日期 (如，下周三)，运行命令。如果省略日期，

则默认为在每月的本日运行。

"command" 准备运行的 Windows NT 命令或批处理文件。



                             SPP        10Hz的低频

※ 来源:．HackerBBS 202.101.106.13．[FROM: 没有活人的地方]

_______________________________________________________________________



注：对spp介绍的最好应用平台目前应该是win2k了，win2k提供了很强劲的远程管理

功能，当用win2k远程操作的时候，常常因为目标机对某些功能不支持而报错，对这

些报错不理就可以了，基本能完成上述功能。当拿到目标机的管理员权限时，从很大

一部分情况来讲就足够了，但如果目标是对整个网络的渗透，这才是刚刚开始。下一

步要做的是对管理员的监视和整个网络的监听。这就是at命令的重要性所在，我们要

用它来启动监听、监控软件。



这里spp漏掉了远程管理注册表，通过对注册表的远程管理应该也可以做一些事的，

虽然我没做过，但想提示一下。



下面是ipxodi贴的对bo2k的一些介绍，就象扫描工具不一定要用ntis一样，监控软件

也不一定要用bo2k，我对其它的软件都不了解，也没做过测试，效果如何就不提了。



_______________________________________________________________________

作者  ipxodi (乐乐~~我思故我在)                          看板  hacker

标题  sgsdf

时间  Tue Apr  4 17:39:36 2000



———————————————————————————————————



　一、BO2K的新增特性



    1.漂亮方便的客户端图形界面，有很多网友可能见过BO1.2，却不会使用它，这次

BO2K以傻瓜式的操作界面出现，很易上手。

　　2.方便快速的服务器端程序配置，通过配置向导可以很容易将BO服务器端程序设成

你想要的模式，对插件的引入只要点几下鼠标即可。

　　3.可以攻击WINNT操作系统，这也是BO2K最引人注目的新特性。

　　4.可以一次控制多台机子。

　　5.为了吸引更多的人为BO2K编写插件，这次它公布了全部源代码，我想源代码的公

布不仅会使BO2K的特性源源不断的增加，而且某些别有用心的编程高手可以修改代码而

使杀毒软件查不出！这也是我们最应担心和警惕的，所以，对来路不明的软件千万不要

随便运行，除非你不上网。

　　6.以加密方式发送命令和进行文件传输，它提供两个版本的加密方法，一个是3DES

法（三倍数据加密标准法），因受美国司法限制，这个版本只供美国和加拿大用户下载

（当然如果你用美国一个好的代理服务器可能能载到）；另一个为 XOR法（布尔加密法

），这个版本不受限制；如果载不到美国版本而又想要比较强的加密，可以下载一个

IDEAEncrypt插件，它采用IDEA加密法（国际数据加密运算法）。以下笔者所要介绍的

是国际版本的BO2K。



　二、BO2K的组成BO2K共有四个主要部分：Bo2k.exe为服务器端程序（这个程序安装

在将受控制的机子上，在没有搞懂BO2K是怎么回事之前，千万不要执行它），在没有加

入插件之前只有112K，比BO1.2的122 K还要小，且不再是透明的图标，就象是DOS下的

一个普通程序； Bo2kgui.exe为客户端程序；Bo2kcfg.exe为服务器配置程序。

Bo_beep.dll这是BO2K带的一个插件（在下面笔者将解释如何用它），BO 1.2中的压缩

程序（freeze.exe)和解压程序（melt.exe)功能已经内置到Bo2kgui.exe客户端程序中。



　三、BO2K服务器端程序的配置在安装BO2K服务器端程序之前一般需先对其进行配置

以改变缺省设置而更加隐蔽。我们打开Bo2kcfg.exe,将弹出配置向导界面，你可以根

据向导的提示进行配置，在这里为了讲得更详细我们可以不用配置向导而直接配置，

这样我们将可以了解BO2K的缺省配置。点右边的exit wizard,出现BO2K 服务器配置

界面，点 open server在出现的对话框中选中BO2K的服务器端程序即Bo2k.exe,确定后

出现如图1界面，在option中，有7项设置，每一项下有若干选项，基本介绍如下：



    1. File Transfe r：文件传输

    （1）File Xfer Net Type文件网络传输类型，缺省为TCPIO，可以更改为UDPIO ，一

般不改动，因UDPIO文件传输在某些协议中可能被禁用。

　　（2）File Xfer Bind Str文件传输的绑定，默认是RANDOM（随机）,不用改动。

　　（3）File Xfer Encryption更改加密方法，默认为XOR加密法。

　　（4）File Xfer Auth文件传输证明，默认是NULLAUTH（没有证明）。



　　2.TCPIO： BO2K监听的TCP传输端口，缺省为54320（注，BO1.2为31337）你可以更

改端口数值，其值应在1024-65535之间，设好一个端口可以取到隐蔽的效果，此项建议

更改，但应注意端口不要引起冲突。在右边的NEW栏中填一个数值，如11111，然后点

Set Value。



　　3.UDPIO： BO2K监听的UDP传输端口，缺省为54321，可以不更改。



　　4.built-In：内置功能启用与禁止，通过选择开关参数 disabled（禁止）和 Enabled

(启用）来转化。

　　（1） Load XOR Encryption启用/禁止XOR加密

    （2） Load NULLAUTH Authentication启用/禁止文件证明。

　　（3） Load UDPIO Module启用/禁止UDP传输协议。

　　（4） Load TCPIO Module启用/禁止TCP传输协议。



　　5. XOR：设置XOR加密方式的密码，在客户机与服务器连接时将要用到。要求4个字

符以上，缺省为没有密码，一般建议设个密码。在这里我们试设为testbo2k。



　　6. Startup设置启动时的初始化值，只需将init cmd Bind str的值设为与TCPIO 中

的值一样，在这里应为11111。其它的一般不改动。



　　7. Stealth(秘密行动），这里的设置很重要，也有一定难度，睁大眼睛。

　　（1）Run at startup：是否启动时每次都运行BO2K服务器程序，缺省为disabled(

禁用)，改为enabled(启用）；注意，此项启用后，BO2K服务器端程序在系统每次启动后

即执行，在WIN95/ WIN98中，可在运行栏打入MSCONFIG，回车，在弹出的系统配置实用

程序窗口中的启动项下，可以查看到BO2 K的文件名和路径，缺省为UMGR32.EXE,路径为

c:\windows\system\UMGR32.EXE, 对于BO1.2,缺省为.exe,据此可查看你的机子是否中了

BO2K或BO1.2,如果发现可疑项，将该项前面的钩去掉即可禁用它，这是最方便的除毒法，

彻底清除稍后笔者会提到；

    （2）Delete original file：是否服务器端程序安装后自删除，缺省为禁用，改

为启用;

    （3）Insidious mode：是否采用隐藏模式，缺省为禁用，建议不作改动，笔者试

着设为启用隐藏模式，结果不能与客户机连接。

　　（4）Runtime pathname： BO2K服务器端程序安装后的文件名，缺省为UMGR32.EX

E,对于WIN95/WIN98它将复制到c:\windows\system下；对于WINNT，它复制到

c:\w innt\system32下，在这里可以将UMGR32.EXE改个名，对于NT系统可改为NTDDEA.EXE,

对于WIN95/WIN98可改为SYSTEMT.EXE等等。

　　（5）Hide process是否隐藏程序进程，缺省为启用，不用改动。启用此项，当在W

IN95/WIN 98下，你按下Ctrl+Alt+delete时，弹出的关闭程序窗口中BO2K是隐藏看不见的。

　　（6）Host process name(NT)宿主进程名，缺省为EXPLORER,可改名。

　　（7）Service Name(NT):基于WINNT服务器服务管理名，缺省为Remote Administrati

on Service，当你运行了BO2K服务器端程序，可以在NT公用管理工具中的服务器管理器

中的服务中可以找到这个名字。这个名字也可以改动。据此，我们可以到服务器管理中查

看服务来判断是否中了BO2K，当然你应对系统相当熟悉才行。



　　BO2K配置程序可以很方便的引入插件，在图1中点Plugins栏的Insert,找到需引入的

插件（BO _Peep.dll)即可。这时会在Option栏出现BO Peep设置项，BO_PEEP插件主要是用

来摄取服务器端的屏幕，控制其键盘和鼠标，可设置摄取的屏幕大小、传输协议、端口等

。按照其缺省方式即可。好了，我们点save serve对所有配置进行保存。这时由于加了

BO_PEEP插件，我们可以看到BO2K.EXE增大到164K。



　　如果你认为以上配置太麻烦，可以使用配置向导，但有很多选项将保留缺省方式，

如安装后将不自删除等。进行了以上配置操作,我们运行BO2K.EXE（除非你明白自己在干

什么，否则不要运行。），BO2K.EXE安装后将自己删除，这时在运行栏中输入MSCONFIG，

可以查看到BO2K的文件名systemt.exe（我们刚刚改的名字）出现在启动项下。好，我们

启动BO2K的客户端程序Bo2kgui.exe来看看如何操作。



　　四、BO2K客户端程序操作和命令解释客户端程序主界面见图2，我们先引入插件，点

Plugins,点con figure,选中插件B0-Peep.dll,点done,即可看到Plugins项下出现Bo Peep

子项（注：此项操作与服务器程序插件的引入有所不同，插件并不真正加到客户端程序中

）。让我们与服务器端程序连接，点图2菜单栏的FILE-->newsever,或直接点最右边的小

图标，弹出如图3界面，在name of this栏输入t est(可任意取名），在server栏输入

IP：PORT：PASSWORD三项内容，在此即为127.0.0. 1:11111:testbo2k(注，因笔者在本机

测试，IP当然就是127.0.0.1,TCPIO端口和密码都是我们在服务器端程序配置时设好了的

），点OK，弹出如图4，在server栏中分十五项命令,每项下又有许多小项; 右边的一些栏

用来设置参数。点CONNECT按纽与服务器端连接，对各种命令用法基本解释如下：

   

    1. Simple- 简单命令

    ping： ping一下服务机，当其可用时（即BO2K是活动的）将返回其IP地址。

　　Query:查询,将返回BO的版本号。



　　2.system-commands（系统命令）

    Reboot Machine:重启动目标机，该命令将切断你和服务机的连接，在本机我可不敢

试，岂不是“自杀”！

　　Lock-up Machine:锁定目标机，使其鼠标、键盘失效，只能reset重启动。

　　List Passwords:在WIN95/WIN98中，将列出存储在IE缓存中的密码，当你拨号上网

时如果偷懒选取了记住密码选项，BO就会将它偷走，因此最好编个拨号脚本。如果设了

屏幕保护，BO也就一起偷了。对于W INNT，密码以密文形式出现，用破解NT密码的软件

L0phtcrack2.5将密文引入花点时间就可以破解出来，很危险啊，网管们。

　　Get System Info:获取系统信息，将获得机名、当前用户名、CPU型号、操作系统、

内存、驱动器等。



　　3. Key logging-按键记录

    Log Keystrokes:记录按键到特定文件，需要给定文件和

路径，如在右边的disk file栏填入 c:\bolog.txt.End Keystroke log：停止记录。

　　View Keystroke Log查看记录，对于中文的记录保证你看不懂（想想我们是如何输

入中文的吧）

    Deleted log删除记录，注意以上的记录文件是在服务机上。



　　4. GUI-图形命令System Message Box:发送一个对话窗口给服务机，需标题和正文

。用来逗乐和吓唬新手。



　　5. TCP/IP-通讯协议

    Map Port-> Other IP:映射（重定向）服务机的一个端口到另一个IP地址和端口，

简单点说用这条命令可以利用服务机IP登陆别的机子或网址，如果我们能在美国找到一

台装有BO2 K的机子，就可以下载美国版本的BO2K。此命令参数设置：在server port栏

输入容许范围的任意值，如77 77；在 target IP address:Port栏输入目标IP和端口，

如192.1.1.1:80，如果我们是在网上，而假设我们上网后获得的IP为202.1.1.1,请在浏

览器输入\\202.1.1.1:7 777,看看发生什么事，浏览器将把我们带到192.1.1.1的网址!

（当然我们首先需要与本机的BO服务器连上）。

　　Map Port-> Console App:映射（重定向）服务器的一个端口作为应用程序的标准输

出输入端口，这是个很厉害的功能，通过它你可以悄悄的远程登陆到服务器并可使用其

DOS或NT下的CMD.EXE，需要设的参数为，port栏填端口值，如6666，在full command

line栏指明服务器机的SHELL路径，如果我们连接的服务器为WINNT4.O，就可以填为

c:\winnt\system32\cmd.exe,下达命令后，就可以远程登陆上去: telnet x.x.x.x6666.

（x.x.x.x为服务机的IP地址）

    Map Po rt-> HTTP fileserver:映射（重定向）一个端口作为HTTP服务，这个功能

也相当不错，可以通过此功能在BO服务器上上传下载文件，参数设置:port栏设个端口，

我们设8080，Root path栏为可选项，空白时将列出所用驱动器，好，我们打开浏览器在

地址栏输入 \\127.0.0.1:8080,发生了什么事，看看图5吧。

　　Map Port-> TCP File Receive映射（指定）一个服务器的端口接收数据到特定文件

，需指明端口和文件路径。

　　List Mapped Ports列出BO服务器所有映射端口。

　　Remove Mapped Port：禁用已映射的端口，需指明端口值。

　　TCP File Send：从BO服务器的某个端口（该端口为可选值），发送BO服务器上的特

定文件（必须指明路径）到目标机的指定端口（须指定端口），这个命令适合与TCP File

receved命令配合使用，即你控制有两个BO服务器，一个接收，一个发送。



　　6. M$ Networking-网络共享命令

    Add Share:在BO服务器上创建一个新共享，须指定路径和共享名。

　　Remove share：删除共享，须指定共享名。

　　List Shares：列出服务器上所有的共享

    List Shares on LAN:列出在局域网上的共享

    Map Shared Device：映射共享设备

    Unmap Shared Device:断开已映射共享设备

    List Connections：列出远程计算机的网络连接，包括当前的和永久的连接



    7.Process Control-进程管理

    List Processes:列出所有进程，即所有开机后运行了的程序，BO2K的运行进程名也可

以看到。

　　Kill Process：中断程序，在下达list processes命令后，每个进程都有一个ID标

识，给定ID标识就可以中断该程序。

　　Start Process:运行服务器上的某个程序。须给定该程序的路径和参数。



　　8. Registry-删除、修改服务器上的注册表内容

    Create Key:增加一个值，须给定完整路径。

　　Set Value:设置注册表里的值，必须要完整的主键名，键名和键值。

　　Get Value:显示指定键名的键值

    Delete Key:删掉指定的主键

    Delete Value:删掉指定的键名

    Rename Key:给主键改名

    Rename Value:改键值，要提供键值所在位置

    Enumera te Keys:统计一个主键下的键的数目

    Enumerate Values:统计键值数目



    9.Multimedia -控制服务器的多媒体

    List Capture Devices:列出BO服务器上的捕获（视频）设备，如摄影头等。

　　Capture Video Still:控制服务器的视频设备捕捉一个画面到特定文件，该文件以

BMP格式储存，需指定设备号，存储文件路径及名称。

　　Capture AVI:利用视频设备录象，需指定设备和文件路径、名称，缺省录象时间为

5秒，尺寸和色度为 160X120X16BPP。小心啊，你的一举一动都有可能被人监视！

　　Play WAV File:播放服务器上的WAV声音文件，需指定文件。

　　Play a WAV file in LOOP:不停的播放。

　　Stop WAV File:停止播放。

　　Capture Screen:捕获服务器当前屏幕存储到特定文件。



　　10. File/Directory-文件和目录管理

    List Directory:显示特定目录的文件，需指定路径。

　　Find file:查找文件，支持通配符‘