gsh黑客（最强黑客gscsd的意思）

用密码学原理阐述HTTPS为什么安全

对称加密

我们要对一段文字加密，过程可能是这样的：

明文 "Hello World"      算法

-------   密文 "gsHgw832iSI"密钥 "111222"

解密过程是这样的：

密文 "gsHgw832iSI"      算法

-------   明文 "Hello World"密钥 "111222"

这里的关键是，加密和解密，密钥相同，算法也相同（互逆），所以称之为“对称”。

最安全的对称加密算法：一次性板

有没有绝对安全的加密算法呢？有！

如果明文中的每一个字符，都通过密钥中的一个字符，映射成密文中的一个字符，密钥的长度等于文字的长度，且密钥只用一次，那么这种密钥被形象地称作“一次性板(one-time pad)”。

由于一次性板的长度等于明文和密文的长度，而且用完就要放弃，所以密钥不可能产生重复，因而相当安全，即使在理论上也不可能破解。试想一下，即使你猜对了密钥，得出了明文，但是也有可能，密钥是另一个，能够得出另一种明文，你怎能确定明文是前一个而不是后一个呢？事实上，在密文确定的情况下，任意指定一个明文，都有相应的密钥和它对应！所以试图破解它完全没有意义。

但是，我们通常需要加密的信息量都很大，如果要加密1GB的文件，密钥也得有1GB，那传输和保存密钥就太过恐怖。所以，一次性板不现实。

妥协：密钥长度固定的对称加密

对于密钥长度小于明文和密文长度的算法，理论上是可以破解的，因为在密文确定的情况下，并不是任意指定一个明文，都有相应的密钥和它对应（因为同一个密钥要加密不同的块，如果明文不是原文，则不可能求出一个密钥，使之能够适用于所有的块）。

但如果密钥长度足够，可近似认为不可破解。专家们认为，112位密钥已足够安全，因为要破解它所花的时间是天文数字。为了凑整，通常使用128位。AES算法是当今对称加密算法的标准。

大问题：密钥如何发送

A要向B发送一份机密文件，他一定会用密钥K来加密。他先把密文发给了B，这没有问题。但问题是，如何把密钥K告诉B，以便他解密？

如果直接发送密钥，那么任何人都可以窥知该密钥。只要该人曾截获过他发送的文件，就可以解密。

把密钥K再用一个新密钥加密，行吗？当然不行，因为，你如何传输这个新密钥？

这时A终于想出了一个办法，把密钥保存在USB盘里，亲手交给B。这是个好方法，确实“解决”了密钥发送的问题。但是仔细想想，他完全可以把文件直接放在USB盘里给B，又何必加密，弄得那么麻烦？不过最重要的是，如果在当今世界，传输信息居然还要见面，这岂不是回到了原始时代了吗？

这是个著名的问题：密钥交换(key exchange)问题。看来，没有一个办法可以解决这个问题。

直到，出现了非对称加密算法。

非对称加密

如果有一种算法，用于加密和解密的密钥是不同的（即：非对称），它能否解决密钥交换问题？

答案是：可以。B可以先把加密密钥发送给A，然后A对文件加密，接着A把密文发送给B，最后B用解密密钥来解密。整个过程，极其完美。因为加密密钥只能用来加密，所以即使该密钥被截获，也并不会导致文件被解密。于是我们就可以把加密密钥叫做“公钥”，把解密密钥叫做“私钥”。

但是仔细想想，这种机制对算法有着极高的要求：

公钥和私钥必须通过确定的函数一一对应。

但通过公钥直接求得私钥必须极难。

利用质数的算法，就是最简单的满足此要求的算法。它基于这样的数学原理：给出两个很大的质数，要求出它们的乘积很容易；但知道它们的乘积，要求出是哪两个质数相乘却极难（人类并没有找到快速的办法，只能一个个试）。举个例子，让计算机分解一下这个大合数：

1522605027922533360535618378132637429718068114961380688657908494580122963258952897654000350692006139=37975227936943673922808872755445627854565536638199×40094690950920881030683735292761468389214899724061

通过质数求得乘积，任何计算机都可以在不到1微秒的时间内完成，但分解的话就得花很长时间。这还只是330位（十进制100位）的合数，RSA算法中实际应用的大合数高达2048位，分解的话几百亿年也完不成，所以非常安全。

试想一下，如果我们把两个大质数当作私钥，把它们的乘积当作公钥，只要有相应的加密和解密算法，就可以解决密钥交换问题。RSA的原理即是基于这一理论，具体实现稍微复杂些（公钥和私钥并不是直接通过这个方法得出，要经过一些变换，这里就不做讨论了）。

但是，这样的密钥交换真的一点问题也没有了吗？不！

数字签名

有一个极其重要的问题还未解决，即：谁能证明向A发送公钥的是B？如果随便哪个人都能冒充B，那么A就很容易上当了。A可能会用别人的公钥来加密，然后发送给B，发送的过程中又被别人截获。结果，B不能读取这个文件，不怀好意的人倒解密了这个文件。

看来，有必要模仿在生活中有着悠久历史的“签名”。

我们先看看传统签名的特点：

只有签名者自己才能签出这个名字（图案）。

外人虽无法模仿，但可以检查。模仿很难，但检查很容易。

您是否由此联想到了非对称加密？“正向容易、反向很难”不正是非对称加密的特点吗？传统的非对称加密是“公钥加密、私钥解密”。如果反一反，变成“私钥加密、公钥解密”，我们惊讶地发现这简直是天作之合：

只有签名者自己可以通过用私钥加密信息来对该信息进行签名。

外人可以通过用公钥解密来检查，如解密成功，即证实，否则即证伪。

这就是数字签名。

到了这里，只剩最后一个环节了，那就是：谁来证明该公钥代表B？看来，只有引入权威机构，告诉大家每个公钥代表的分别是谁，检查才有意义。

这是密码学中最复杂的难题，促使人们提出了“数字证书”和“公钥基础设施”的光辉思想。

数字证书、公钥基础设施

这样的权威机构称为CA (Certificate Authority，证书机构)，它们的职责就是颁发证书，证明每个公钥代表的分别是谁。这里的“谁”可以是个人，可以是组织，也可以是另一个CA。这样，就可以组成一个庞大的“公钥基础设施(PKI)”。

             根CA               |

     -------------------

     |                 |

   二级CA            二级CA      |                 |

 ----------           个人

 |        |三级CA   三级CA           |

      ----------

      |        |

     个人     个人

试想，我们让每个证书含有如下内容：

主体（颁发者的公钥和被颁发者的公钥）

颁发者用私钥对主体所做的数字签名

这样，只要根CA确定，一个庞大的信任链就建成了。

根CA，所对应的证书称为根证书，是操作系统生产商人为设定的。Windows、macOS、Linux中，默认信任的根CA有几十个至数百个不等。

我们开发软件的时候，也可以自己建一个根CA，方法是让颁发者的公钥和被颁发者的公钥相同，这样的证书（即“自签名证书”）会被操作系统识别为根证书，然后，你需要让操作系统“信任该证书”。但注意，绝对不要把这种证书发送给陌生人，然后叫他点击信任该证书，因为这对别人有风险，毕竟我们不能强迫别人信任。

HTTPS

最后我们终于可以回到HTTPS了。要了解HTTPS的详情对程序员来说意义不大，重要的是，通过以上章节，我们终于可以相信，HTTPS的安全性是有技术保障的。人们可以确信，访问的网站的确是这个网站，而不是黑客冒充的。也可以确信，传输的所有数据都经过加密，外人无法读取。

CA如何给网站颁发证书？首先你在自己的电脑中生成私钥和公钥，把公钥发给CA，然后CA验证你是否是网站的所有者，有数种方法：

发一封邮件给webmaster@该域名.com或postmaster@该域名.com，如果你能收到，就证明你是网站的所有者。

让你在网站的某个目录加入一个文件，如果你能，就证明你是网站的所有者。

让你在域名的DNS中加入一个项目，如果你能，就证明你是网站的所有者。

验证后，CA会把证书发给你。

性能优化

非对称加密比对称加密慢100倍（软件实现）或1000倍（硬件实现）。如果纯粹使用上述加密、解密和签名手段，性能是很差的。这时要用到密码学中的另一个工具：哈希(hash)。

Hash有很多同义词：指纹、摘要、杂凑、校验和、散列，指的是一种数学方法，用很少的信息来使它“等价于”大量信息。这听起来有些不可思议，但想想，指纹不正是具有这个特征吗？通过一个指纹，可以确定一个人；反过来，通过一个人，也可以确定他的指纹。其妙处在于，指纹所含的信息量远比一个人所含的信息量要少（但仍然是天文数字，所以仍然不会重复）。

例如，我们计算这段文字的hash：

A hash function is any function that can be used to map data of arbitrary size to data of fixed size. The values returned by a hash function are called hash values, hash codes, digests, or simply hashes. One use is a data structure called a hash table, widely used in computer software for rapid data lookup. Hash functions accelerate table or database lookup by detecting duplicated records in a large file. An example is finding similar stretches in DNA sequences. They are also useful in cryptography. A cryptographic hash function allows one to easily verify that some input data maps to a given hash value, but if the input data is unknown, it is deliberately difficult to reconstruct it (or equivalent alternatives) by knowing the stored hash value. This is used for assuring integrity of transmitted data, and is the building block for HMACs, which provide message authentication.

采用SHA-256哈希算法，得出的hash是：

4da07b60cb90742026d7fd9ece673bfad677422e8261c1cc29ff00d0d6be4b7a

无论输入的数据有多大，哪怕100GB，其SHA-256值也始终是256位（十六进制64位）。Hash算法的速度比非对称加密快得多，所以在实际应用中，都是先把信息hash一下，再给hash签名，而不是给整个信息签名。这样做大大加快了速度，又不失安全。

format命令的限制

如何保护硬盘不被格式化

一、把格式化程序Format.com改名或删除

格式化硬盘需要运行格式化程序Format.com，它一般在“C:\WINDOWS\COMMAND”目录下，只要把它重命名比如在原文件名后面加上“.abc”变为Format.com.abc，或者删除掉，别人就无法进行格式化了。

二、使用杀毒软件中的限制功能

使用杀毒软件中的防止格式化功能来加以限制，比如在诺顿2002“选项/自动防护/高级”中把“硬盘低级格式化”和“写入硬盘引导记录”两项都设为“停止该操作”。

三、开机时自动运行病毒实时监控

现在所有杀毒软件都带有实时监控程序，只要开机后打开病毒实时监控，就可以防止具有格式化硬盘危害的电脑病毒和网页恶意代码发作以及自动格式化破坏硬盘。

四、提高IE安全级别防止恶意代码攻击

恶意网页中活动脚本和代码中可能含有格式化硬盘的功能，我们可以在IE“工具/Internet选项/安全”中选择“自定义安全级别”，禁用有关脚本的选项，防止它们自动运行。

五：移动外部命令法

防止黑客程序或恶意代码非法格式化、修改硬盘数据可以将有关的DOS命令改名或移动到其他目录中，以后要格式化硬盘时可以再将文件名改回，具体方法是：找到C：\Windows\format.exe文件，将其文件名改为format.txt或移动至其它目录，如果在“我的电脑”中看不到文件的扩展名，可以选择“工具→文件夹选项→查看”，将其中“隐藏已知文件类型的扩展名”前的钩去掉。另外，还可以使用Windows优化大师来锁住format命令，但基本原理也是将format命令改名另存。

以上方法虽然简单，但有时只能防君子不能防小人。如果别人是从光盘或软盘引导的系统，一样也以格式化硬盘。所以使用以上方法还需要配合BIOS的设置，将计算机的引导顺序设为仅从硬盘引导，并为BIOS加上密码，这样才能万无一失。

六：加锁DOS命令法

这种方法的基本原理是将危险的DOS命令加以限制，防止非法使用这些命令对硬盘数据进行破坏。具体方法如下：

用“记事本”打开C盘根目录下的Autoexec文件，并在其中添加如下语句： C:\DOSKEY FORMAT=Bad command or filename！ C:\DOSKEY del=Bad command or filename！ C:\DOSKEY deltree=Bad command or filename！

然后存盘退出即可。这样再调用FORMAT、DEL、DELTREE等命令时，就会显示Bad command or filename而拒绝操作。如果在某种特殊情况下，你自己需要格式化硬盘，那该怎么办呢?你可以输入命令：C：\DOSKEY FORMAT= （回车），这样你就可以自由地对硬盘进行操作了。

请问流光怎么用

流光教程

流光教程一 ON,Z$G*^ m*U

许多新人在用流光的时候不知道如何下手，小榕论坛来讨论的也多是“如何添加用户”这样的初级问题 ：），就抽了点时间写这个简单的教程,希望让新手快速入门。 $Xn3l Ee M'fl7I

h4r3|)V"Sy

我个人认为流光的破解可分为5大部分： #?c"J4l'uL;Mum

nZX'vd;E3D4{+A6g 一、POP3/FTP/…探测

Y D Z"Aw9e

N z*l6A8nuxjAZ 二、IPC探测

+v8} ]2i X r3{V ~7cNNZi:W2u

三、SQL探测

0b*[1x8g'U #}??}8Hx8O

四、高级扫描 4v`I'\ D\Z

?\)r+x!e-q)j bf

五、其它 … 9FZ%J-tE6c(}+N8v

Q H^@4VX'p 因为开发时间的原因，上面的探测模式略有不同，所以分成了四个部分，本教程说的是第一个部分的探测。后面的探测模式应该属于流光的高级应用了：） Z:X%?#a+y AV

6JO v+] f9jS,m x 下面我就简单说一下基本的破解流程： $~S @O%r2D

z|+|)qsq BC 1、你得有流光，我这里试验用的是流光2001.FOR Win98 中文版.FOR Win2000的也可以。 nQ4]v-Az9NCD*_7G

Q a:x7c.Kf4u 首次启动流光，看到如下图的界面： :x2jWr0nJ+x

"d)zkP!\ h$a ]|Q0uro

X-U9[zO"k;M

首次使用是要注册的，不过不要想到花钱：），小榕只是想看看有多少人用他的流光而已。你可以填好相应的选项，然后点发送即可，如果发送失败，你把发送服务器换个就好了。

1Dy*^7CM4y4jj7BA )[sRpa7_/w

S;X j@_H

E+U4xtR:@5EYt/CJ)}

因为重装系统，我也不知道我发了多少次了 ：（ 。如果不想注册，就稍等下面的进度条走完，点稍后即可。如上图：

y\Bs9Np9~9f%Ol`9F F5OGX-X?3c@U9L

tN;FQDgH-x -s(Z5w5FEr@p[

H9ed$^"N[*P"X .A$}Vtx6q2sJ

2、找个站点，我选的是中华网[url][/url]的主页空间（home4u.china.com），探测方式：FTP。

N |B^Fk4Y +I V+X lf

有人常问扫描端口有什么用，其实作用就是你知道他提供了什么服务，然后可以采取相应的探测方式来获得PASS了：）我们知道主页几乎都用的FTP上传，我们这次就用来测试一堆用户名，看看有没有弱智的密码，呵呵，如果有 hacker.at.china.com 这样的，也不妨霸占为己有：）

4n9N OnqZkd

7W NmEQ5ZHw 3、加入要破解的站点名称：右键单击FTP主机→编辑→添加→输入 home4u.china.com →确定！ \:] B E'MGw

mZy9yF:qpE8K eJ5L!I a#C4I1O*w

yUCX#X$x,r

CrN Ap

!zS,@}0m/P,V7} 4、加入用户名：我们要破解的是一堆用户名，所以要加入用户名的列表文件！我们就加入流光目录下的 Name.dic ：）右键单击刚才添加的主机：home4u.china.com → 编辑 → 从列表中添加 → Name.dic → 打开

;g$d.k H-W 5itXRHu%?8G

7_bvg'fU

C@2H W,]S NO%yOw-Y.\*E x hJkB6l

1l;v0{`!~d+e%hU u

然后会有“用户已存在列表中”的提示，我们选中“不再提示” → 确定 。如下图： 6A ~:uu X3eh

$G7Z%~ nw

wVF5^tB#yT#k%Nf7c

CkjR-X[_@-b 用户名太多，我们可以用点主机前面的“—”号把用户列表缩起来，如下图：

+l3^8TC0R3Ml

7Q,FP oe`"[mk Z-m1x^kB8j$Ej]

!V8WoCEr

大家注意名字前面的小框中必须有√要是没有就无法探测了。 Xcj)[ PR

\JL,X5W Cv Lv o3G

5、有了用户名，我们就可以进行探测了，大家会想到怎么不用密码？其实流光有个简单模式的探测，也就是用内置的密码”：“123456”和“用户名”来进行探测，因为这样的密码是使用频率最高的：） 9r)?e b;M4Y5y#pixy

{M JrO#j@Hmg_ 当然你可以修改这个简单模式的文件，加入你认为弱智的密码。方法是：单击 工具菜单 → 模式文件设定 → 简单模式探测设置文件 → 加入你要加入的密码 → 把设置文件存盘！ OQhI^,O

F Q_~.k ODI 下面我们就来看看这一堆名字里面有多少是用“123456”和“自己名字”来作为密码的。

}S~5M{)E

EbUz RqHZ 探测 → 简单模式探测！

u$b'n(jR,Ik0h@

b(P*|@-s,U!P;uO.{ hm.T2l*t},|

T ]qI2q~

3F_(W(C j?\

M s+q O3L$s 探测中…

:fJ+A;T@S}u

y+g.Bl C-_6x"U@X+M1]B

$k.S*q!g.] X

K]e/y^Ii

:]^YE/A$fB#W

1M+]t+eW QAM 6、探测完毕，也看到结果了，流光会问我们是否查看入侵检测报告，不想看可以选否。

*sQ!cR:C'oms

;w I`x+y

|I)vh7?xc|

;Hga+B5r:vt#Je 报告的画面

2z)S"nS @l4~#VM

ydx!w*O b| {?Cb1ZDZ

\.i c`h xc 7、如果要探测的是一个用户名，就需要添加字典、或者密码方案。方法是：右键单击解码字典或方案 → 编辑 → 添加 → 选择一个密码档即可。 ]}E5? J l/@

J$``IO#R3i 以上就是流光的一次简单的探测了，事实上这些功能只能算是流光的2.5版的功能，流光2001增加的IPC/SQL/高级扫描等功能，使流光更加强大。如果你对这个已经很熟悉了，相信你看流光的HELP就会很快的学会其它的使用方法的。

9\W i R-JUV j {L k/X |

关于用户名的问题：有人觉得自己加入的用户名不一定存在，如果不存在岂不是白费了力气？这点你大可以放心，流光会进行验证的。而且现在注册的用户入数之多，想个没有的名字都难，不信你随便敲个试试。

Vi~PLWdY UYk5@Ou

关于字典的问题：流光可以使用字典方案来探测，当然你也可以生成字典，有的新手在作练习的时候不知道怎么做，你也可以用记事本生成，每行输入一个密码，存盘后将扩展名改称.DIC，流光就认出来了：）如果你连扩展名都不会改 ：（ 那……

wp-w7J"Ga)\af+p

L/\Di/`@y X#c

2a2H~/f9W[,L o r @m F ~

只要是学习、谁都会遇到困难，我也是问题多多，还得向小榕、EKIN讨教，欢迎大家多交流 ：）

]J+|3{,mJ-k#j!M

0W H%X$sp/@ a

u3I4L%S9n btd

P#m)Zqs

`1_s"W)BD :c"{n_r]

待续……

香烟 2007-5-28 11:07

流光教程二

很长时间也没有写什么东西了，这源于我的懒惰和生活缺乏激情。我的记事本上一大篇都是欠朋友的承诺 ：（

l P8M"F5M:b2|0k !J:Ix~R h

你既然看到这儿了，就在听我牢骚几句吧：）搞安全应该有正确的心态，别以为你会了个工具使用就可以一步登天。

{B \[y0x\/u 'a+g a S)tUc

交流、学习才是最重要的，把自己心态放正，无论我们是高还是低。

R p4O)Z'qT#L n.Wxu3Zk0x

5F i GX!xJL+Z#`dN

今天要写的是流光的IPC探测： \,`;P_`?

Ev b n+jq 一、目的和任务： +@g2Bs/dp+i

M UA0P@ O;t pu!?DP

1、用流光的IPC探测获得一台NT主机的管理权限，并将这台主机做成一个跳板/代理。

V |nnP;_gTX] 2、学习IPC探测的相关知识。

!gnaW4v,Ft9~ 4X-R0J'U:\ |td

二、探测流程：

E],@9y/b Bm#a~ S8HD#?%X

1、你得有流光，我这里试验用的是流光2001.FOR Win2000 中文版。FOR Win98的不可以。因为IPC连接功能是NT/

X.Q#mG"Vj^S }+T!J (U:s,o|P1F\I2p

2000提供的功能。而且流光FOR 2K 要求你的操作系统得是NT/2000，否则流光启动会失败！

+DfdoX;})J (~\Q.` v \|7\3o

什么是IPC：

l2E6WK0@4b^

d,d-Txkrx!miLM IPC是指"InterProcess Communications",准确的说是ipc$，是默认的在系统启动时的admin共享。 .p gsh Y_E

S#M+Y+c^+\_|

IPC$是Windows NT/2K中特有的远程网络登陆功能，它的特点是在同一时间内，两个IP之间只允许建立一个连接。 (nV6s7f4k

RE u*@!T 注意，你试图通过IPC$连接会在EventLog中留下记录。不管你是否登录成功。 g/?"o[;We AvE w

2\"D,R+t6u;z $s e5mP6@^5v7t

:s#n8[q4rA g

可不可以通过IPC$暴力破解密码？当然可以 ！ 不过，是不是太笨了点 …

#p"U`9F9v8lv,P

xK8X$rAm k{8K*G7q5R

2、首次启动流光，会看到注册的画面，具体操作请参考本人第一篇教程。我们在主页面上可以有几种方法来通过IPC

sI)[at

M9ly3t p 探测获得管理的权限。这里我们要作的是得到一台跳板，那么就可以用命中率高的办法来探测了（测试一堆IP来得 A:q6EkB5_v

nLa5Q*pxL

到弱口令）。

"S[;hr4]W)@

9Q$?5X4w(a 在主界面选择 探测→探测POP3/FTP/NT/SQL主机选项，或者直接按Ctrl+R。

u ~ ]` W6C 图main1 4H%SmP u3`-g

7\0v7S7S^ue

+k.h]7}vr4A*| "B^;XKZ0L;R"_-H

图main2 Qmm _ Lh7GV

-XCq2S~ cQ

EG"miTgi+u

6N5_Vp!Y0@ws0r,E 3、出先了上面的小窗口，输入我们要破解的IP段，我们输入了来看看。图main2我们把“将FrontPage主机自动加入HTTP主机列表取消了”。因为我们只想获得IPC弱口令，这样可以加快扫描的速度 ：）填入IP，选择扫描NT/98主机 k3P.gQ$p

.ZA F#w X 4、探测中…… （start1） %_,sn#G;q3Y`

!Gv?@G;t0|1t_D

（注意如果你要探测的是流光保留的国内的IP段，会被禁止的，也就是探测的时候信息栏出现"IP保留"的字样） 6rb2ZLn9n'?3F

M.KoJ2c

!dnP6me;D%C iCBt)hvs!bm)v

6e(JmneR 5、这是扫描到的NT/98主机列表：（jg1） 9yd R9V @c E G

4z zC1Kn9GOP ?

1sa _W Om9l

'U0x?U mk ^2G5j

6、没有扫描到常用密码：（

2\"r'i'kAn;o 6KgORI"y t}-T$J

HfegS j c,o9v*LQ)K:F

7、就不要查看报告了 ：… e2N(Ki,t \WM@FO

} z'p-S%yYu4W

WU9g._w/S5A

\:kr_8_7gA)A 8、有了不少NT/98的机器了，正式开始IPC$探测：IPC$主机－探测－探测所有IPC$用户列表。 $P8E]3\9B K2pg

AP#[(N W5P4Y

%n)T h9qO[k"U3y P Xe

)g2tM"l-^)A.s8N} 9、注意下面两个对话框的设置：全选上，我们只要IPC$管理员的弱口令。然后点选项

Y i:~C{DP Nzy _x3wxL

(C0M4X W@vO

"mx-?qz]%n4z 10、点“选项” ：为了加快弱口令扫描速度，这里的两个我们可以全部取消，比如下面的那个，如果对方禁止列出用户了，我想对于一个网管来说，弱口令可能性也是微乎其微。 T1@+Z\q _'xbU

3U+n)L1?1ZHE0E

?]*\9K5\6{4o2{3a l8_W

-~K+d6^]%w mg x1_fw[

11、探测中……

L|9Wl/`9i!w

iX5~o5y"E C+@ /l8f#OxW:@Q

FL?HKg/vQ

12、有密码了：） vh3tv/zll,p

xm;{Z r+L3{~"k

y1pg2x l z:P l(f6y2[2vSY;K,]

13、又出现了查看报告的窗口，看看 ：）

#Y0U fH M@,@Tf x

@^%Z0v(t [| 9m-`)X-P(Q#o,I

C8E [,F W

14、有远程主机的管理密码了，我们剩下的就是想办法控制它了，有什么好办法么？ ：）有的是 ！自己看看工具－ i:h0{(AGCO5O

H.j+f!X;Fp8o 菜单下的IIS远程命令:)是不是很简单呢，我以后在说，今天还是先练习net 命令吧。

}6Pb \+u W#C %V%`*@$m*u"pHP

15、黑了他 ！

w2K#cu"e}

@2]*w5d.Y+V'D8bB 开个dos prompt 执行如下命令，本次用的例子如下图。

1v'kePX4a-r

)z9N,s5hb-AaH_ 1、 net use file://对方ip/ipc$ "密码" /user:"用户名" || 建立远程连接

6sBdD1z3l p#T(o_p5ve+PSqC

2、 copy icmd.exe file://对方ip/admin$ || admin$是对方的winnt目录 ：） 这里文件多。

*Q1T*l,e"K%_/E

-Pr:z%mOn/L 3、 net time file://对方IP/ || 看看对方的本地时间

{7J{ H.|:f!oy Q\M

R g;Yi}x+tO1j_ 4、at file://对方ip/ 启动程序的时间 启动程序名 启动程序的参数 || 用at命令来定时启动程序，在这里我们用soon这个程序来做也可以，它可以取代 3/4两步。

Luw UB @)L2~fy S0@lz

5、 telnet 对方ip 端口 || 1QLR1Z3W/h }

{K9x J4s-U(K%C-_*c

6、输入pass （如果不是用icmd.exe，或者没有设置口令就不用了） ||

8Hv3k?)um1o@~`[ QF@G~%gZ8jF

7、在开个窗口，继续copy 我们用的东西。 copy sock.exe copy ntlm.exe copy cl.exe clear.exe 1p"?+X1LN$K~4k

za1\5E[:?:j5f

图cmd1

-MRgW,~F/cx

q\Vh |,P #on8N/R` l%RB

9O2i,ZZ ~/~,b kA%c4f-h!v Q 图cmd2

Nl#I\*s E V

Ui HR"C%X

;L;\#~A-g])_$o

Z(G;iiC 如果我们真的想黑了他，只需要把我们的首页文件覆盖目标的首页就ok了，我们可以通过dir /s default.htm或者dir /s index.htm 来确定对方首页的为止，一般是在X:\interpub\wwwroot\ .

%\YUsC5z2th2w j2WwPs*C:@

假如首页文件是default.htm并且在c:\interpub\wwwroot，这样:copy default.htm \\ip\c$\interpub\wwwroot n{*{]4W0F4W#M

_s8c8P\B K

下面的图有演示 t2~5l:i'v,j

.T'l!h)XGK_-FN^ 7、其实黑人家是很低级并且没意思的：（，我们最好是物有所有，作成跳板吧，今后干活方便点：） /S.S,_? ^"L-y

FD(HL ^ 执行我们copy 过去的ntlm.exe ，取消验正。在给自己留个后门，比如提升guest的权限，或者其它的后门工具，这类东西多了自己选吧，看看杀手copy的那堆东西 ：）

Gk,Q@ X"n\m us E

} ^\W(a G V,S

Y1aU j9t ^/n[7K

6Z`!q!Dx-W\ 8、做个SOCK5代理玩玩，用在QQ上不错喔： cqQ `k+h8m

1G1}lX'S(F

执行我们copy 过去的sock -install，net start skserver 看看用在QQ上的效果：）

1C.P7F6?"mY

[7Dnl|@

*b wh ?}1O/SW

0s(r2G:K9_A\kB/iw 是不是没有看清上面的步骤呢？ \$u1Ll]qJ,\Q(e

1QG2S/zq4_0DK wN 下面是我telnet 上去后所有的命令：）

M)M k|.Z $me*bZRZr

0c0Zw8X7}I

$pF g1^.A 9、还能做成其他的么 ？ yLP4s#w"\5i4|

/}2}H6h!jc/|o;A

当然了，只要你有时间，并且愿意做，我曾经偷偷的把自己的主页放到人家的server上，速度快、空间无限，嘿嘿 ：）

Ab!W2`My^#v

5Lj} O`qG 10、日志清除，断开连接 ： dB#Va F~w f

"x)Op(r[`9D

执行我们copy 过去的cl.exe clear.exe 都可以清除日志，比如clear all ：清除所有的日志。然后在断开连接：net use /delete

FNwL3v

4J$lx'Xztp 这步我认为是必需的，尤其是在一些有争议的站点上，或者是国内的站点，除非你想让电视上报导XXX地区我神勇刑警捕获弱智黑客一名XXX。 'rKIh8G V(V

$Ftj+\W6f

在网吧写完 ：（ 错误之处请赐教。 ,f^#B#yg3u J#q

u;Y/q~3hN A~ 只要是学习、谁都会遇到困难，我也是问题多多，还得向小榕、EKIN讨教，欢迎大家多交流 ：）

香烟 2007-5-28 11:08

流光教程三

关于IPC$的终于写完了，那个该死的网吧，闹哄哄的声音声声入耳 ：（，你可能想不出，IPC$探测是我在网吧完成的，而且那个网吧还有公安部门的网络监视器，这东西很有意思，好像是VXD调用，和IE运行库集成到一起的。哪天非弄来研究一下，说不定一款别具特色的木马就问世了 ：） PY{ S+Fy!Yo

%J@2J!QlVW7u;A

不知道你看完前一个教程有没有要扁我的想法。。。。

zv'y;w,\!msU

R7dr8gLWpd 交流、学习才是最重要的，把自己心态放正，无论我们是高还是低。 jN;d|C c%|]

\#O"o7Nd

+ER[ x`v'r 今天要写的是流光的SQL探测，顺便说说ipc$补遗和其它的探测手段。

sI!\~*F3~

hmw.N Eer-Ca+t 一、目的和任务： 1Z%CUh!v:@i DZ

/]a E)Z4G#].e

1、用流光的SQL探测获得一台NT主机的管理权限。 dU/[-d9JI'k

2、学习SQL探测的相关知识。

^q$f5F k o;d qJ 3、IPC$补遗和其它…

$n j6n$V yl 二、探测流程： ,y?8gzw)l

,F7ajG@:[ 1、你得有流光，这话不用在说了吧：） rcHFO4w|C

Ny|f\X

什么是SQL：

2?Ek\+Z0G"E \;f"n0Y0? x+F^]6~ H9r

SQL：微软开发的数据库，专门用在微软的OS上，功能类似Linux 下的Mysql，晕……，到底谁类似谁啊？有时间

7K$e.k Jbp (wi4PW6s9pU8e/C*H

去看看SQL的联机手册，说的很明白。

W8A4of)?)t)U

'?c3QW@.k#Dh@*Ll SQL服务程序支持的网络协议: Nl*`yf ?

.G0y)?F,R$`rH Named pipes :使用NT SMB端口来进行通信，存在被SNIFFER截获数据的危险。

YB5I7`ME E9v4D

-If}ru \ IP Sockets :默认状态下开1433端口，可以被扫描器探测，存在被SNIFFER截获数据的危险。

:b3L{~-S Xl6}E!]2c o3C]

Multi-Protocol ：客户端需要支持NT RPCs，数据加密。 4T7f3e?{1`[a

JJq(S:o9`\,nk

NWLink ：存在被SNIFFER截获数据的危险。 5{/AhH3_F jv*LM

%^3qxM8h:\qZ `W!y!m

AppleTalk (ADSP)：存在被SNIFFER截获数据的危险 v"t3N"e DZx

7y3r KD UkGZW@ Banyan Vines ：存在被SNIFFER截获数据的危险 :t k6Z7RZ;W~

Bkh{3_/y9k7D p

在Internet上，95％以上的SQL Server 采用的都是IP Sockets协议，流光探测的就是这个协议默认的1433端口

;MA'vxIjn.L"V7E

([Z8u)b[1N)l[xjf

vI'Go'}dF E q.j 2、我们要获得SQL 主机的管理权限，那么还用命中率高的办法来探测了（测试一堆IP来得到弱口令）。

Hz W2VB"Pq

.~8U6@/\?H:{ 对一台固定主机的探测等我下期的教程：） WUTp!~-M:K

s)XZh4Lz

在主界面选择 探测→探测POP3/FTP/NT/SQL主机选项，或者直接按Ctrl+R。 ~F)_2mc1J!_2k3o T%@

图main g;S:]_4M$^

)[MQp j

V_0@sF~

$yX0tZ;TX'l(u(b

I0i)Q2cu2iv/ul

3、出先了下面的小窗口，输入我们要破解的IP段，我们输入了来看看。（注意如果你要探测的是流光保留的国内的IP段，会被禁止的，也就是探测的时候信息栏出现“地址保留的信息”）

iO~/qo|p4\ 图inputip

@,l6S/mi6p ,S4^XK-rb

W7i}tF,?` H B j1jWF:~|;MV

%{]-Y;`(wR-[cn 4、探测中……

5hB-u.aXGA Xb

bm!hl]-Kn|1F5B 5、有密码了：） 图psss 1→3 I*Xett-^ wY+d:N(Q

`,Te`#p` yc2EJ*i7x%|Qu'e

t:` V9^]

Ee+x-va;W ]F

6uR8p)Crk5\7?

aH0cgLClEGp9I

*{(ShN:n

2H]6I3xJ4V | ip#^/H] My-I g7Z

6、下面我们进一部获取管理员的权限。 4b.RQK4L

用SQL 客户端去连接主机，没有装SQL :( ……………… 没关系，流光自带了连接的工具，以前我一直都是用的天行的工具SQLexec，但现在可以不用它了。 A d-i9MC3O!oZ1g

R`s AB$u@A

打开菜单 工具 → MSSQL工具 → SQL远程命令看看：） f8jZ]/J

图tools

| q^%g{$H|8p6~

D~ fE/Yj'Hyy G4k#X,br(h

+sjL t+N ]j 图SQLcmd 7`;^3d4KdWt\4ir2a

@0|#Zh*I`"U

2^M*O8rLD

zL$n*Gl 4nsB*l+?X

7、获得管理权限、增加后门

s+Ex MDzj*y(N 图cmdline 6R^ {.HtkOe g

5x%G7L_ z;LM A

L0Y?2b:sy

8HNh#wk.f

0f-}8s(Z%Q gO

{9Rhd aD 8、现在我们已经是管理员了：）

3l"eM1G(e.?(U { y.M tn

以前我们是用at命令来远程运行程序，今天顺便说说流光中自带的“种植者”，看看 工具 → nt/iis工具 → 种植者，我们来用它远程启动icmd这个后门。 xW9{5d lp

4o@7Fi.O5Mt{

图lookcrop 5q l.c.nM6k

H V} g.e}_O

oS8D'lL

l e9G1a~(wy

图crop V8XM;u }\0t%_Sd

{j qEC#?Lc/W

)\$_;k,u-K

H(P1e)G;a7E 图cropend d'VHG6@yu

m*XX6A$b N fe3A9u%B]Sk

-VLFBb*N 一分钟后登陆看看：

2@'zrwIB.z b9f]V4V/Ys"q#gr2H

-L-e)L,m yQG1?c

@x3A)}U$I%k1mA

.Y,EMOF

6QNC4w6rs't

7O2l(X;TT;bQp

9、再说说 工具 → 模式文件设定 → ipc简单设置文件 。

0T:s(_)^CdaQt

3}.YUYvi)g8N 图mode U k/dbcw'e4m

Da \[ j;^2m

8eQI H3er!\$R

H-QJ/njtF#c

#v(HkA%{,I9E

@i/V5V`uo “工具”中其他的项目和上面说的两个类似，就不多说了。

:AL A"sF)g\ H2K

8{7e(z[(~0j']zF v

#Rn3O${]K"h9v NR 10、日志清除，断开连接 ，参考IPC探测，记住可以用种植者远程执行命令。

Q]d%H Q Of5b ot-m mFnM8a#Cv3A

!oSO.LF|

关于IPC$补遗：上篇对与IPC$探测的文章，写完后觉得还差点什么没有说：） T)Rlz*v#@gC

b8n2^,y}"Ui1` 1、我们虽然只探测管理员（admin）的弱口令，实际上在真正攻击中是任何一个用户口令都不会放过尝试的，因为我们获得了

E:mJ O#P0M,^EAJ !aF C??5k!qh9CH

普通用户权限后可以提升权限，事实上，一个普通用户的权限在＊nix攻击中是非常重要的。 lCkc)W@m

MN0f:GT%x

2、获得口令后，攻击手法多样，不要局限于我的例程。

XJWu+Q |/U5B/Ffco

3、如果对方没有XXX怎么办？，这类的问题去看看我以前整理的流光FAQ。 v!D+RH z K

'K;t{"S(a?rM

关于其它探测：

O)},m1]u A1J

]6H {0^7C$?U 玩玩3389 ？ Lxk8[l8F

Dc?~'^#mQ/c3L l

首先终端是WIN2K提供的功能，所以我们在扫描的时候就要选择 “NT/98”的主机，在得到主机列表后自定义端

4]vE0~ b/o CY

6J:XH WY{AN"qu 口来扫描这些主机的3389端口，然后……

7ED.O4CM/]NZ 8l3m-J9x'?*B

玩玩cisco路由器？ Y'}L4[x-}:qt

|7l5x\;nm 自己想想怎么作 ？要是想出来了，我的以后的教程就不用看了 ：）

4?` [wxXB"o/}~ y!GGM X}\(H:|'`

1_h(r5b"V1E3ht]%j

G6RK^XE-u 明白了么？我说的意思是要灵活使用流光：）

高二不等式证明

不可以，

证明：

ab+bmab+am

bmam

因为m为正数，两边同时除以m，符号不改变

ba

所以原式成立

电脑突然断电然后就自动重新启动

这个问题我知道,我有台电脑刚好也出现了这个问题,是主板上面电路的问题,你要拿去电脑城修了,应该是有个电容暴开了一点,温度低的时候就可以,长时间开了负荷一大就自动断电重启了