Jump ESP, jump!: 黑客攻击Windows 95,第二部分
在《黑客攻击Windows 95,第一部分》博客文章中,我们介绍了影响Windows 95/98/ME的一个严重漏洞,可以在短时间内猜出共享密码。在本文中,我将尝试利用此漏洞实现远程代码执行(仅使用公开可用的工具)。
当我们通过共享对Windows目录具有读取访问权限时,第一件事是定位c:\windows目录中的所有*.pwl文件,将它们复制到安装有Cain的机器上,切换到Cracker选项卡,选择pwl文件,加载pwl文件,根据文件名添加用户名,并尝试破解它。如果无法破解,您仍然可以尝试在远程Windows目录中添加一个您已经知道密码的.pwl文件。尽管这是一个有趣的后渗透任务,但仍然没有远程代码执行。没有物理访问权限,这些密码是无用的。
有人可能认为,在拥有共享密码和用户密码之后,实现远程代码执行很容易。问题是:
- 没有“at”命令(自Windows 95 plus!起可用)
- 没有管理共享
- 没有RPC
- 没有命名管道
- 没有远程注册表
- 没有远程服务管理
如果您考虑安全最佳实践,禁用不必要的服务始终是您应该做的第一项任务。因为Windows 95缺少所有这些服务,所以它相当安全!
在我寻找黑客攻击Windows 95的工具的过程中,我遇到了一些非常酷的东西:
- Internet periscope
- Winfingerprint
- LanSpy
但最好的是Fluxay,它是由中国黑客编写的。它是2000年的metasploit。一张截图胜过千言万语。4张截图 > 四千字 :)
很难找到安装程序,但它仍然存在!
但最终,我没有实现远程代码执行。
我的想法是,如果我能找到一个定期执行的文件(按计划执行),我可以将该可执行文件更改为我的后门,我就完成了。尽管默认的Windows 95中没有调度程序,我还是尝试了一下。
让我们启动taskman.exe来了解正在运行的进程:
看起来我们需要一个更强大的工具,即Process Explorer。让我们尝试从oldapps.com下载它:
LOL,IE3挂起,无法渲染页面。将文件复制到Win95 VM并不简单,因为Win95 VM中没有共享文件夹。而且您也不能使用U盘,Win95无法处理USB(至少零售版本如此)。使用较新的浏览器从oldapps下载应用程序后,让我们在测试Windows 95上启动Process Explorer。
不要尝试从官方MS站点下载Winsocks 2补丁,它已经不存在了,但您可以从其他站点下载它。
现在让我们看看正在运行的进程:
盯着它几分钟后,发现它是恒定的,没有出现新进程。看下一张截图,可以注意到这个操作系统没有运行很多后台进程……
我当前的Win7有1181个线程和84个进程在运行,难怪它慢得要命 :)
我们至少有以下选项:
- 您很幸运,安装的不是普通的Windows 95,而是Windows 95 Plus! 这里的主要区别是Windows 95 Plus! 有内置的调度程序,特别是“at”命令。只需覆盖计划执行的文件,然后等待。任务完成!
- Ping of death - 您可以使用长(超过65535字节)ICMP ping命令使机器崩溃(没有BSOD,只是崩溃),并等待某人重新启动它。只需在崩溃之前将您的后门放在共享上并将其添加到autoexec.bat中。
- 如果您的目标是普通的Windows 95,我相信您运气不好。没有at命令,没有命名管道,没有管理共享,什么都没有。也许您可以尝试模糊端口137、138、139,并为这些端口编写漏洞利用程序。甚至Ping of Death也可能是可利用的?
让我们执行第一个选项,并黑客攻击Windows 95 plus!
看看安装Win95 Plus! 后我们拥有的酷功能:
酷的新启动启动屏幕!
但我们的主要兴趣是新的计划任务!
现在我们可以用我们的后门可执行文件替换diskalrm.exe,并等待最多一小时被调度。
与其做一个无聊的基于文本的教程,我为您创建了一个YouTube视频。根据我先前教程的反馈,结果证明我太老了,无法做有趣的教程。这就是为什么我分析了酷炫的skiddie视频,并发现我必须执行以下操作,以便我的视频不再糟糕:
- 使用酷炫的黑色Windows主题
- 在侧边栏上放置无意义的性能监视器小工具
- 使用酷炫的背景,与黑客和骷髅有关的东西
- 尽可能多地犯opsec错误
- 使用带有拼写错误的记事本而不是字幕
- 金属只有一条规则:他妈的大声播放!!!!