作者:HaK_BaN[B.C]   来自:http://www.bnso.net/

首先在这里我要跟你们说说是我已经是最后次写旁注经验和心得体会这次的后我就会真正消失在网络上面本来还想换个号码上上来捣乱但是最近感情上事情我已经没有什么心思去花时间在网络上面了他妈偶手超痛啊！TNND～～～弄伤了！

旁注是种思想种考虑到管理员设置和功能缺陷而产生不是种单纯路线入侵思路方法知道没有？！不要整天看着文章去照着路子入侵这是没有作用只是徒劳无功

1.    旁注条件:

(1).主机要可以执行CMD任意命令

·       如果主机不能执行CMD任意命令话就导致在旁注过程当中不能进入些重要文件夹或者是查看些服务是否开放木马不是固定死如果你们习惯了用其他木马就需要借助CMD命令执行去查看服务开放以及根据开放服务去调整你们所要入侵思路方法

(2).主机需要支持FSO/ADO/WSH/等功能

·       如果主机不能够支持FSO/ADO/WSH话就根本不需要入侵了我们木马不外乎就是利用这种功能进行运行以及功能上实现如果没有这些功能话我建议大家跟管理员说:"小子老子要D你管理服务器如果不想被D就在XXX网站WebSite帮我弄个WEBSHELL上去！"这样子最起码可以避免入侵困难啊！

(3)主机需要安装了SERV-U/诺顿杀毒等其他软件Software

·       如果主机安装了Ser-U话我们就可以利用Serv-U用户配置文件进行目标网站WebSite路径查询从而进行同服务器跨站式入侵进入目标网站WebSite了第 2就是如果没有权限话就可以利用Serv-U本地提升权限漏洞进行权限提升这样子就可以进去文件夹了(这个思路方法是辅助旁注了不属于纯正旁注)

·       如果主机安装了诺顿杀毒等等杀毒软件Software时候你就要熟悉每种杀毒软件Software特性从而想办法在各种杀毒查杀日记当中得到目标网站WebSite路径(这类入侵思路方法是针对黑客网站WebSite以及整天被入侵网站WebSite而进行也可以查看杀毒里面那些无关网站WebSite路径去猜测目标网站WebSite路径以及路径模式)

·       目前在服务器当中第 3方软件Software大多数都是存在着用户配置文件这样子就可以利用这些服务软件Software得到我们需要信息

(4).主机必须是安装了IIS系统(Apache系统我没有测试过)

·       如果主机安装了IIS系统就要针对管理员习惯了如果管理员是负责话大多数都会在IIS设置保存IIS用户配置这样子我们就可以得到黑匣子(IIS日志和用户配置)这样子来我们就可以得到目标网站WebSiteIIS设置/网站WebSite物理路径/脚本支持/等等信息还要介绍说明点是:IIS用户配置文件如果没有备份过话是以IISUPDATE.MDO递进后缀名存在

·       要注意点是如果主机IDC系统是虚拟主机管理系统话你们就要注意了主机权限和用户配置都有所区别第是IIS是没有用户配置文件第 2是Serv-U暴露路径机会并不大虚拟主机管理系统权限设置大多数都是IIS单用户权限

(5).最为重要点了就是主机IIS权限必须是非IIS单用户权限要不然你们就去跟管理员说:"小子老子要D你管理服务器如果不想被D就在XXX网站WebSite帮我弄个WEBSHELL上去！"这样子最起码可以避免入侵困难啊！

2.旁注要注意问题:

(1).如何去确定所入侵主机IIS权限？

·       我们入侵了台主机得到了webshell那我们如何去确定我们所入侵主机IIS权限是如何样了？！以砍客木马为介绍我们要查看是木马首页从那里我们可以得到主机权限设置机器名等等信息






从上面我们可以看到主机IIS权限设置为单用户权限这样子我们就可以基本上确定旁注在这台主机当中可行性是很低了！

(2).从服务列表当中去确定我们可以到路径或者是权限/分析主机管理系统

·       我们从服务器列表当中可以得到pcanywhere和Serv-U路径地址和是否存在也可以得到主机是用来管理员用户网站WebSite！






从上面可以看到主机开放了Pcanywhere和Vhost两个服务而VHost就是虚拟主机管理所以就可以确定这台主机更加不能得到IIS用户配置文件了！
(3).从木马看主机支持什么功能和命令

·       看看主机支持什么功能和命令我们可以查看砍客木马最顶端显示






看到了吧～主机支持以上功能但是权限限制太高了！有这些功能都是废物了啊！
3.各个服务以及黑匣子位置列表:

(1).IIS用户配置列表物理路径

C:\WINDOWS\system32\inetsrv\MetaBack

(2).安全日志文件:%systemroot%\system32\config \SecEvent.EVT
(3).系统日志文件:%systemroot%\system32\config \SysEvent.EVT
(4).应用日志文件:%systemroot%\system32\config \AppEvent.EVT
(5).FTP连接日志和HTTPD事务日志:%systemroot% \system32\LogFiles\下面还有子文件夹分别对应该FTP和Web服务日志其对应后缀名为.Log

(6).诺顿杀毒日志:C:\Documents and Settings\All Users\Application Data\Symantec

文章到了这里已经结束了！我都没有可以说了！所有东西都已经写出来了！我真很累了！很累了！谢谢大家支持以及谢谢大家在我群里面对我忍耐！谢谢！

上篇文章: 基于php+MysqlSQL Injection 攻击技术

下篇文章: black hat2003年黑客大会精彩入侵课程