构建一个工作机[2]

此外，还有一些看asp源码的漏洞，方法n多。如果你肉鸡的没安装sp3的话，最好到iis里把htw和htr删掉。 
Frontpage服务器扩展：这个服务所涉及的漏洞特别多，要是肉鸡更本就没用到这个服务建议直接删除它。主要是默认的权限设置问题。允许权限是分配给Everyone组的，有些可以写的，相应的，放后门程序上去（asp.cmd),结合一些local exploit。最后获得admin权限。对“_vti”开头的目录，去掉Everyone组的控制，此外，还有一些拒绝服务漏洞，直接当掉iis。列如：提交http://www.xxx.com/_vti_bin/shtml.dll/com1.。或者http://www.xxx.com/_vti_inf.html。可以获得服务器的一些信息。多的要死，直接删掉！ 
snmp服务（udp 161）：即简单网络管理协议 。也就是为了方便网络管理而产生的。主要的问题：口令默认。 
通常在win2k下，能找到运行这个服务的机器是很少的。相对的*nix和路游比较多些。 
在win2k下一旦安装了snmp服务，打开新的端口udp 161、dup 162。通过scan可以轻易的刺探到（推荐LANguard Network Scanner、它带有一个snmp浏览器，或者snscan.exe，一个强劲的snmp扫描器，那它找不同类型的肉鸡，比较方便）主要是口令默认，也别删除这个服务了，改了口令也算补上了，如何改？“服务”-“snmp service”-“属性页”-“安全”那个“接受团体名称”也就是“public”，它就是snmp访问口令。把它改成一个安全的口令。小心！一些暴力破解。这个漏洞，危害虽然没有那么直接，但还是有的，暴露系统的类型和具体的版本，获取帐号列表，运行服务信息.....。 
Terminal service（3389） ：主要是输入法状态条漏洞，虽然这个已经成了古董级的，但还是有的。有些肉鸡连sp1都没有。也不要去删什么帮助文件了。在注册表里-这个：HKEY_USERS\.DEFAULT\Keyboard Layout\Preload 这也就是登陆时可以用到的输入法。都在这里面，保留一个就可以了E00E0804 微软拼音，免得被人看出破绽。要是全删除了也就没有en图标了。打过sp2的，也不要忙了。补上了。此外，还有一个拒绝服务漏洞。这个没办法。只有打补丁，如果装了sp3也不要忙了，补上了。 
ms-sql（tcp 1433 udp 1434）: ms-sql这个服务涉及的漏洞也是比较多的，如果肉鸡没安装sp2，更多。 
口令问题：sa这个帐号比较特别，不能改名字，也不能删除。加之安装时的“随意”。成了一个漏洞，口令太弱。通过一些小工具，连接以后调用系统存储过程xp-cmdshell，来执行命令。就算你禁用了存储过程xp-cmdshell。也是可以恢复的，就算恢复不了，通过写一些特别的asp文件（cmd.asp)到iis下有执行权限的目录，得到一个shell，最后结合一些local exploit。取得admin权限。 顺便说下，针对win2k+sp3的本地exploit已经有了。所以这个漏洞，没办法补，你不可能改sa口令，要不，等于买了自己，要不让它的asp脚本全部完蛋。这样的问题，永远都有的，像ipc$，本来设计来为了方便管理员管理计算机的。设置一个强壮的口令，本身就是很好的防御措施，就算是默认设置。又能怎么样！意识... 
除外，ms-sql还有一个udp remote exploit和一些拒绝服务漏洞，这个没办法，只有打补丁，要是肉鸡装了sp3，不用忙了，补上了。 
同行所留下的： 
帐号，脚本，木马，服务级后门，内核级后门。 
帐号： 
1.可能已经被先来的同行全部破解掉了，这个没办法，只能希望admin经常改口令。 
2.攻击者添加的帐号，这个针对一些帐号特多的肉鸡，可能有人用这样低级的手法，你一样没办法，你没法判断到底是谁的帐号。 
3.帐号被克窿。检查注册表，每个帐号的sid应该是对应的，比如guest的f5,01，如果是f4,01。被克窿了。要是觉得麻烦，用工具ca.exe来检查，只是要记得del掉%windir%\system32下的SASrv.exe，这是ca产生的。应该重点检查系统帐号，比如guest和IUSR_computername等。 
4.注意的：有些帐号里来有"$"这个字符，这样的帐号在行命令下，将不会被显示。 
脚本： 
利用运行的web，这类后门找起来多少有点困难，比如被放了cmd.asp。名字不一定是这个，都会被改的。你要是想完美点，执行一下：regsvr32 scrrun.dll /u /s 那个cmd.asp文件也就没用了。也就是无法创建FileSystemObject 改回来：regsvr32 scrrun.dll /i /s 。此外，针对php、jsp、perl也一样有类似的脚本。找这类后门很困难。 
木马：