危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2306 浏览20613459

一次快乐的网吧旅途

好久没有去网吧happy了,这天听一朋友说某网吧中的净网先锋既弹广告又下木马,辛辛苦苦玩的游戏号被“脱”的一丝不挂,着实让人心里感觉有些不平衡,按说在六部委的严厉打击以及相关法律的出台下这样的事情应该极少了,但事实上外界的环境只是给“盗号”加了一道坎而已,真正的“战争”远没有结束。作为朋友和哥们儿,在如此“内忧外患”之际,岂能“袖手旁观”,于是就借周末去“探索”了一番!

一、退一步挂起进程——让净网先锋不在耍流氓

付款上机,网吧中使用的是深度的ghost版WindowsXP系统,第三方管理软件使用的是PubWin?007+净网先锋。一开机,净网先锋就弹出了广告,使用360安全卫士扫描内存,并未发现有盗号木马,朋友说是晚上弹广告的次数多盗号木马也多,我猜想这可能和原来买卖流量的事情差不多,只有一段时间弹出木马广告页,不过就算没有盗号木马,这一会儿一弹的广告网页也让人很是气愤。据我所知,本地所有的网吧都必须安装这个垃圾软件,属于政府性行为,到网上搜索了一下净网先锋的相关信息,结果发现借用此软件盗号早已经不是什么新鲜事了,某帖吧里的咒骂声不断,由此可见一斑,我们首先来搞定这个净网先锋,让它不弹广告,卷铺盖滚出系统。

还是使用老办法,通过提升explorer.exe外壳程序的权限为system权限来突破常规的网吧限制,至于详细的原因大家请参看我曾经发表过的文章。目前来说这种突破限制的方法的通用性依然很强,使用范围主要是在网吧,网吧中通常使用的都是XP系统,很少碰到使用Vista或Windows7系统的,更何况即使是在Vista系统中,也可以使用该方法,只是操作相对复杂了一些而已。

我们在“开始”——“运行”栏中输入cmd.exe打开命令提示符,准备好mt.exe,按CTRL+ALT+DELETE键打开任务管理器,结束掉explorer.exe的进程,然后在cmd下执行mt -su explorer.exe,等待shell运行,这时就会发现托盘区已经没有净网先锋的图标了。继续执行dir /s /a mainpro.exe查找净网先锋主程序的文件位置,mainpro.exe就是净网先锋的主进程文件名,结果发现是在system32文件夹下,执行del /f mainpro.exe删除时却提示“拒绝访问”,执行cacls mainpro.exe命令查看该文件的访问权限,发现当前用户有“完全控制”权限,看来没有了图标并不能代表进程已经结束了,这也纠正了我个人的一个误区,原来Windows的外壳程序explorer.exe在创建进程时,创建的都是与explorer.exe无父子关系的进程,也就是说explorer.exe创建的进程都是独立于explorer.exe进程的,结束explorer.exe并不能结束掉所有由它创建的进程。查看任务管理嚣中的确存在mainpro.exe的进程,结束后进程立刻重建了,看来提升权限只是治标不能治本啊!我到百度上搜索了一下,原来网上还有一种净网卸载器,下载后运行,净网先锋再次运行了,看来想通过工具“偷懒”也没那么容易的,还是伟大的毛主席说的好——“自己动手,丰衣足食”!

费话不多说了,直接抄家伙,下载进程管理利器——process explorer.exe,双击运行程序后,界面一闪而过,这是有系统的敏感字符检查所导致的,这种现象在各大网吧已屡见不鲜,改改程序文件名就能避开检测了,修改程序名为test.exe,这回成功的运行了程序,将mainpro.exe进程结束掉,净网先锋再次运行了,看来应该是有外部进程创建,下载syscheck.exe,选择mainpro.exe进程,然后勾选“禁止外部线程创建”,结果syscheck检测测到mainpro.exe由xclient.exe创建,而且很快系统因为大量线程创建而导致了死机,运气看来不怎么好,强烈建议大家在网吧中进行“居心叵测”性操作时,一定要带着U盘,将需要的工具及时保存,以防止重启后的重复操作。

关于xclient.exe这个程序,网上给出的说明太模棱两可,我们暂且不用管它是做什么的,既然知道了父进程是xclient,那么最好的方祛就是直接杀死它,但这种方法很快就被操作失败所否定了,这时我眼前突然一亮,如果我们直接使用process explorer.exe挂起mainpro.exe的进程,那么mainpro.exe就无法做任何事情,这和卸载净网先锋应该是有相同的效果,而且一般我们在网吧玩的时间也不会太久,所以这应该算是一种比较“经济”的方法了。当然如果我们能挂起mainpro.exe,那么就也可以挂起其父进程xciient.exe,挂起xclient.exe后,它就无法创建mainpro.exe进程了,这样我们就可以先结束mainpro.exe然后再删除它。

使用process explorer.exe挂起xclient.exe的进程,然后结束mainpro.exe,再使用del命令成功删除了净网先锋。现在总算是让净网先锋不再耍流氓了,这里也提供给大家一种新的处理进程外部创建线程的方法,先挂起父进程,然后结束子进程,看来很多时候很多事情和做人一样,不能太偏激,使用折中的方法往往会事半功倍的!

二、对MaxDos的思考

我在开机时还注意到有个MaxDos(MaxDos主要就是为安装好的Windows/XP/Vista等加入DOS系统)的选项,后来分析测试了一下,发现这里面的道道还真不少,大家且听我娓娓道来。

1、MaxDos的安全问题

MaxDos相信大家都非常熟悉了,该网吧使用的是7.1的版本,记得以前5.5版本的密码是可以破解的,但是7.1版本虽然使用的MD5加密,但却不是标准的MD5加密算法,所以想通过MDs网站比对密码散列是不可能的,网吧的MaxDos文件夹其中的maxkr文件即为MaxDos的密码文件,使用记事本打开。

MaxDos的安全问题主耍体现在密码的安全性上,对于MaxDos的密码破解有两种常规方法:

(1)MaxDos弱口令问题,管理员为了使用方便,有时会设置一些弱口令,有的甚至可能与Windows登录密码一致或者是一些非常简单的数字密码,这就给了我们反击网吧限制的机会。

(2)MaxDos7.1的密码文件可以被清空,因此可以先破解掉网吧的还原系统,然后再清空MaxDos密码文件中的内容。

针对这两种常见的安全缺陷,我们一是可以通过测试弱口令来确定密码,还可以先通过MaxDos生成可能的密码散列值,然后再通过比对散列值以确定密码。其二就是通过其它方法搞定还原系统,再利用密码替换来实现密码的破解。

我在自己的电脑上测试第二种方法获得了成功,即MaxDos7.1的密码散列文件确实是可以被清空的。对于第一种方法,我想这完全在于你对当前环境的弱口令收集,比如我所在的网吧就提供了网吧维护者的手机号,有了手机号要怎么做就要看个人智商的问题了。

2、由MaxDas想起的新型网吧玩法

MaxDos充其量只能算是一个网吧维护工具,它提供了一种独立于Windows操作系统的网吧玩法,而目前一般来说我们比较喜欢WinPE系统,简单的说WinPE就是一个可以简单的运行于U盘、光盘上的小型Windows系统,只需要有一个U盘,将WinPE装入其中,在网吧中通过U盘来启动WinPE系统,然后就可以进行各种限制的突破了,别说是一个净网先锋,就是把系统内核文件全删除了都行,这要比破解MaxDos密码简单有效的多,但是这种方法也存在局限性,一是必须要有硬件支持U盘启动,对于这点一般的网吧都能达到,如果是古董级的网吧,那只能说你的品味太低了。第二点就是你可以进入BIOS,一般来说网吧电脑的BIOS密码要么是默认的,要么就是简单的要死,还有的干脆就没有设置,当然也有设置的很难破解的,这也要看你的运气了,毕竟任何破解方法都不可能是万能的,下面我就介绍一下使用这种方法的U盘启动工具的制作流程。

我们需要的工具就是flashboot+Mini WinPe镜像,具体的操作如下,运行flashboot,选择“转换BarPE的启动盘到闪盘上”,下一步就是选择PE镜像文件,之所以建议大家使用Mini PE,是因为它比一般Ghost版Windows操作系统中的PE要小,执行效率高,速度快。接下来选择U盘盘符和U盘格式化类型,有USB-HDD和USB-ZIP两种类型,ZIP兼容性好,一般可以先选择ZIP,如果选择ZIP不能引导那就使用USB-HDD,选择好后就会自动生成启动U盘了。

来到网吧中,先搞定BIOS密码,然后进入BIOS,将启动顺序设置为“Removeable Devices”,这样就可以从U盘启动WinPE了。曾几何时,为了在网吧的电脑中放上啊拉QQ大盗,不惜花时间去破解还原系统,有了这种方法后,我们可以修改Windows启动时所加载的项目,休想放多少木马都可以,如果挂上个网页木马,那就更快乐了。

综上所述,不管是从MaxDos下手还是从WinPE入手,问题的关键都是密码,因此我们很有必要努力学习一下关于密码的一些东西。

三、注销引发的密码之争

这部分主要是想澄清过去的一个思路,很久以来我一直认为只要是自动登录,那么用户的登录密码就一定在注册表中,使用它们就可以进行注销登录以及通过Logon session缺陷来攻击其它客户机。不过,这次我上网的网吧中显然杜绝了这种方法。首先我想通过注销的方法来实现所有限制的突破,在以前的文章中我曾提到一款克星之王的工具,但是当我运行该软件时却显示了错误,双击打开“我的电脑”,将“工具”——“文件夹选项”——“查看”中的“使用简单文件共享(推荐)”前面的勾去掉,这样可以看到文件“属性”选项中的“安全”选项,结果却发现我根本无法修改该程序的权限,即便是将文件所有者修改为当前用户,也总是提示错误,当我从其它的站点再次下载该程序,同样的问题再次出现了,修改程序名运行也还是出现了相同的问题,这说明不是程序本身的问题而应该是管理软件所导致的,既然此路不通只好再换条路了。

我们可以通过提升权限或者使用金山毒霸来将其修复,首先电脑没有注销,就是开机时的状态无注销选项,第二是提升权限后的有注销选项,第三是使用金山毒霸的修改功能。使用权限提升方法突破注销限制后,电脑会突然变的反应缓慢,需要等N久才会提示要注销,使用第三种方法进行注销登录时,输入自动登录的用户名和密码会无法登录(如何获取自动登录的用户名与密码,我将会在下面进行说明),再次重启进入系统,分别查看相应的密码信息。

(1)使用psr密码查询工具,自动登录的用户名和密码虽然能够找到,但是注意缓存密码为rzxskj,也就是当前的会话验证是以rzxskj作为密码的。

(2)在注册表中以及使用peekpassword发现的自动登录的用户名为fikj,密码为8777858dong。

(3)在“开始”——“运行”栏中输入compmgmt.msc打开计算机管理,在“本地用户和组”的“用户”中发现只有两个用户。 

因为系统只有两个用户,并且其中一个还是禁用的,因此当前登录用户是rzxskj,密码应该是rzxskj,而自动登录密码完全是一个无用的信息,使用rzxskj用户名和密码rzxskj注销后登录成功。 

无论何时,用户名和密码都是进行任何其它操作的基础,因此一定要保证用户名及密码的有效性.还是推荐大家使用psr强力密码工具,有时候注册表“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”键下的内容是会骗人的,我还没有搞清楚这种现象的具体原因,我觉得有可能是加了域管理环境,通过域来管理客户机用户,如果有谁知道的话,还请告诉我,好了,文章就到这里,希望对大家会有所帮助。