跳转ESP,跳转!:黑客攻陷Windows 95第二部分
在《黑客攻陷Windows 95第一部分》博客文章中,我们介绍了影响Windows 95/98/ME的一个严重漏洞,可以在短时间内猜出共享密码。在本文中,我将尝试利用此漏洞实现远程代码执行(仅使用公开可用的工具)。
当我们通过共享获得对Windows目录的读取访问权限时,第一件事是定位c:\windows目录中的所有*.pwl文件,将它们复制到安装有Cain的机器上,切换到Cracker选项卡,选择pwl文件,加载pwl文件,根据文件名添加用户名,并尝试破解它。如果无法破解,您仍然可以尝试在远程Windows目录中添加一个您已知密码的.pwl文件。尽管这是一个有趣的后期利用任务,但仍然没有远程代码执行。没有物理访问权限,这些密码是无用的。
有人可能认为,在获得共享密码和用户密码后,很容易实现远程代码执行。问题是:
- 没有“at”命令(自Windows 95 plus!起可用)
- 没有管理共享
- 没有RPC
- 没有命名管道
- 没有远程注册表
- 没有远程服务管理
如果您考虑安全最佳实践,禁用不必要的服务始终是首要任务。因为Windows 95缺少所有这些服务,所以它相当安全!
在我寻找黑客工具攻陷Windows 95的过程中,我遇到了一些很酷的东西:
- Internet periscope
- Winfingerprint
- LanSpy
但最好的是Fluxay,由中国黑客编写。它是2000年的metasploit。一张截图胜过千言万语。4张截图 > 4千字 :)
很难找到安装程序,但它仍然存在!
但最终,我没有实现远程代码执行。
我的想法是,如果我能找到一个定期执行的文件(按计划),我可以将该可执行文件替换为我的后门,就完成了。尽管默认的Windows 95中没有调度程序,我还是尝试了一下。
让我们启动taskman.exe来了解正在运行的进程:
看起来我们需要一个更强大的工具,即Process Explorer。让我们尝试从oldapps.com下载它:
LOL,IE3挂起,无法渲染页面。将文件复制到Win95 VM并不简单,因为Win95 VM中没有共享文件夹。而且您也不能使用U盘,Win95无法处理USB(至少零售版本如此)。使用较新的浏览器从oldapps下载应用程序后,让我们在测试Windows 95上启动Process Explorer。
不要尝试从官方MS站点下载Winsocks 2补丁,它已经不存在了,但您可以从其他站点下载。
现在让我们看看正在运行的进程:
盯着它几分钟后,发现它是恒定的,没有新进程出现。看下一张截图,可以注意到这个操作系统没有运行很多后台进程……
我当前的Win7有1181个线程和84个进程在运行,难怪它慢得要命 :)
我们至少有以下选项:
- 您很幸运,安装的不是普通Windows 95,而是Windows 95 Plus!主要区别在于Windows 95 Plus!有内置调度程序,特别是“at”命令。只需覆盖计划执行的文件,然后等待。任务完成!
- Ping of Death - 您可以使用长(超过65535字节)ICMP ping命令使机器崩溃(没有BSOD,只是崩溃),然后等待某人重新启动它。只需在崩溃之前将您的后门放在共享上并将其添加到autoexec.bat中。
- 如果您的目标是普通Windows 95,我相信您运气不佳。没有at命令,没有命名管道,没有管理共享,什么都没有。也许您可以尝试模糊端口137、138、139,并为这些端口编写漏洞利用程序。甚至Ping of Death也可能是可利用的?
让我们执行第一个选项,黑客攻陷Windows 95 plus!
看看安装Win95 Plus!后我们拥有的酷功能:
酷的新启动闪屏!
但我们的主要兴趣是新的计划任务!
现在我们可以用我们的后门可执行文件替换diskalrm.exe,并等待最多一小时被调度。
与其做一个无聊的基于文本的教程,我为您创建了一个YouTube视频。根据我先前教程的反馈,结果证明我太老了,无法做有趣的教程。这就是为什么我分析了酷炫的skiddie视频,发现我必须执行以下操作,这样我的视频才不会再次糟糕:
- 使用酷炫的黑色Windows主题
- 在侧边栏放置无意义的性能监视器小工具
- 使用酷炫的背景,与黑客和骷髅有关的东西
- 尽可能多地犯opsec错误
- 使用带有拼写错误的记事本而不是字幕
- 金属只有一条规则:他妈的大声播放!!!!