我爱黑客网首页 设为首页
加入收藏
联系我们
 首 页  技术文章 下载中心 站长学院 交流论坛
 软件:
 文章:        教程:
 推荐: 我爱黑客网论坛
 
 
 
 
   
黑软: Q Q 软件 木马间谍 探嗅监听 溢出攻击 加密解密 漏洞扫描 脚本注入 远程控制 综合利用 聊天工具  
 
技术文章: 爱黑新闻 | 黑客攻防 | 安全防御 | 程序设计 | 系统操作 | 网络技术 | 本站动态 | 业界动态 | 安全公告 | 病毒公告
 
 
您当前的位置:我爱黑客网 -> 黑客攻防 -> 工具详解 -> 文章内容  
栏目导航
· Q Q 攻防 · 黑客入门
· 攻防实战 · 安全初步
· 工具详解 · 黑客教程
· 漏洞研究 · 黑客编程
· 技术杂谈
热门文章
· 灰鸽子新手完全教程(..
· 关于一句话木马
· 帮老马的ASP站长助手正..
· google 搜索引擎实用技..
· 软件、程序脱壳的各种..
· 开启网络终端连接最简..
· Hacker defender 中文..
· 黑客必备命令-FTP命令..
· 最新版的pcshare的免疫..
· 用好MSN Spaces之新手..
· 视频:ADSL宽带共享上..
· 便捷的数据收集工具—..
相关文章

· MT.EXE程序测试报告..
· GFI MailSecurity f..
· 在windows 2003中为..
· MDaemon SMTP/POP/I..
· Incognito Systems ..
· Microsoft SMTP服务..
· SMTP Proxy远程格式..
· MDaemon SMTP服务程..
· Apple Mac OS X Pos..
· Microsoft SMTP远程..
查看更多与MT.EXE程序测试报告相关内容
MT.EXE程序测试报告
作者:幽火  来源:www.5ihack.com  发布时间:2007-5-6 13:51:26  发布人:ghostfire

减小字体 增大字体


D:\>mt -enumsrv srv

Num ServiceName DisplayName

0 Alerter Alerter
1 ALG Application Layer Gateway Service
2 AppMgmt Application Management
3 aspnet_state ASP.NET State Service
4 AudioSrv Windows Audio
(省略以下大部分的内容)
D:\>mt -enumsrv drv

Num ServiceName DisplayName

0 Abiosdsk Abiosdsk
1 abp480n5 abp480n5
2 ACPI Microsoft ACPI Driver
3 ACPIEC ACPIEC
4 adpu160m adpu160m
5 aec Microsoft Kernel Acoustic Echo Canceller
6 AFD AFD 网络支持环境
7 Aha154x Aha154x
8 aic78u2 aic78u2
(省略以下大部分的内容)
实在是太多了,也不想说什么了,只有一个字----高.
十三, D:\>mt -querysrv

Usage:
mt -querysrv ----Show detial info of a specifies service.
列出服务的详细信息,我们查看系统进程Alerter的信息,输入:
D:\>mt -querysrv Alerter

ServiceName: Alerter
Status: Stopped
ServiceType: Win32 Share Service
Start type: Demand Start
LogonID: NT AUTHORITY\LocalService
FilePath : C:\WINDOWS\System32\svchost.exe -k LocalService
DisplayName: Alerter
Dependency: LanmanWorkstation
Description: 通知所选用户和计算机有关系统管理级警报。如果服务停止,使用管理警
报的程序将不会受到它们。如果此服务被禁用,任何直接依赖它的服务都将不能启动。Start type: Demand Start
LogonID: NT AUTHORITY\LocalService
FilePath : C:\WINDOWS\System32\alg.exe
DisplayName: Application Layer Gateway Service
Dependency:
Description: 为 Internet 连接共享和 Internet 连接防火墙提供第三方协议插件的支

实在是很清楚了,当然我们也可以使用mmc查看服务的详细信息,如图:

再一次看见这个参数了,上次已经忘记的了.
十四, -instsrv ---Install a service.
-cfgsrv ---Changes the configuration of a service.
-remsrv ---Remove a specified service.
-startsrv ---Start a specified service.
-stopsrv ---Stop a specified service.
这写命令四和服务相关的,放在一起测试了,服务程序选择了冰河的服务端server.exe,我现在要作的是将这个工具作为服务安装,然后改变配置,开始服务,停止服务等,输入:
十五, D:\>mt -netget

Usage:
mt -netget ---Download from http/ftp.
这个工具很是实用,直到几个月前,还在安全焦点的论坛上面看见有人需要这样的工具,不过那个时候他们提供的是VBS文件,可惜我现在已经找不到那些代码了,在DOS下下载软件的东西,特别的方便.打建IIS服务器,把server.exe文件放置在根目录下面,在DOS下面输入
D:\>mt -netget http://192.168.0.1/server.exe f:\server.exe

Download File from http://192.168.0.1/server.exe to f:\server.exe.
Download completed 272992 bytes ......
Downloaded 266.6KB @266.6KB/S in 0sec.

File TotalByte : 266 KB.
将下载回来的server.exe文件保存在F盘server.exe文件.

十六, D:\>mt -redirect

Usage:
mt -redirect ----TCP port redirector.
这个功能和FPIPE是一样的,实现端口转换,我们这样测试,将192.168.0.1主机的80端口转化为81端口,这样输入:
D:\>mt -redirect 192.168.0.1 80 81


------Waiting Connection-----
然后另外开一个CMD,telnet到192.168.0.1的81端口,看到这样的情况,第一个CMD显示出了连接的信息,
D:\>mt -redirect 192.168.0.1 80 81


------Waiting Connection-----


Accept client==>192.168.0.1:3027
connect to 192.168.0.1 80 success!
Thread 1988 recv 2 bytes.
Thread 1988 send 2 bytes.
Thread 1988 recv 2 bytes.
Thread 1988 send 2 bytes.
Thread 316 recv 224 bytes.
Thread 316 send 224 bytes.
而第二个CMD也显示出了我们需要得到的信息:
HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.1
Date: Wed, 19 May 2004 13:28:53 GMT
Content-Type: text/html
Content-Length: 87

The parameter is incorrect.

不过这个功能有一点不稳定,也就是说,有时候可以,有时候又不可以,这次的成功也是重新启动以后才出现的,相对于FPIPE,是方便了很多了,置于FPIPE.exe的用法,实在是让我头痛了几天.
17, D:\>mt -clone

Usage:
mt -clone
克隆账号,有点象小榕的cloneuser,测试一下,新建一个用户yun,现在我要将管理员账号lin克隆为账号yun,输入:
D:\hack>mt -clone lin yun

Fail to Open SAM Key, 操作成功完成。
D:\>mt -clone lin yun

Fail to Open SAM Key, 操作成功完成。
可能是不支持XP系统,虽然提示说操作成功,可是事实上,使用yun登陆的时候,还是没有成功,可能也是有其缺陷或者是我自己操作失败吧.

18, D:\>mt -never
-never ---Set account looks like never logged on.
它可以设置使用户看起来从来没有登陆过,在我的系统里面有2个用户,一个是管理员lin,另外一个是公用的帐户316,现在我把316设置为从不登陆的状态.输入
D:\>mt -never 316

Require System Privilege.提示没有权限,于是

D:\>mt -su

打开新的CMD窗口,输入
Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.

C:\WINDOWS\system32>d:

D:\>mt -never 316

Fail to Set F Value.

D:\>net user 316
用户名 316
全名 316
注释
用户的注释
国家(地区)代码 000 (系统默认值)
帐户启用 Yes
帐户到期 从不

上次设置密码 2004/5/19 下午 08:22
密码到期 从不
密码可更改 2004/5/19 下午 08:22
需要密码 Yes
用户可以更改密码 Yes

允许的工作站 All
登录脚本
用户配置文件
主目录
上次登录 从不

可允许的登录小时数 All

本地组成员 *Users
全局组成员 *None
命令成功完成。


D:\>
可以看出来已经修改成功了,虽然显示的是Fail to Set F Value.,但还是成功了.这个功能和never.exe是一样的,只是将特定的的帐户上回登陆时间改为帐户从来没有登陆上过系统.
成功条件:你要有local system权限

18, -killuser ---Del account. Even "guest" account.
删除用户,输入D:\>mt -killuser ziqi

Kill User: ziqi Success!
这个功能有一点问题,输入提示已经删除了,可是然后事实上,这个用户并没有删除,我们输入
D:\>net user

\\LIN 的用户帐户

-------------------------------------------------------------------------------
316 Administrator ASPNET
Guest HelpAssistant IUSR_IMAGE
IWAM_IMAGE lin SUPPORT_388945a0
ziqi
命令成功完成。
还是能够看见ziqi的账号,打开控制面板,用户账号,还是能看见这个用户的身影:

但是如果我们以下面这种方式登陆,也就是先运行MT –su得到系统最高权限,在这个CMD下,我们就可以删除账号了,同时也可以删除GUEST用户,虽然我还没有激活这个账号,不知道是什么原因,因为我本身登陆的就已经是administrator组了.删除GUEST的过程:
D:\>mt -killuser guest

Kill User: guest Success!

D:\>net user

\\ 的用户帐户

-------------------------------------------------------------------------------
316 Administrator ASPNET
HelpAssistant IUSR_IMAGE IWAM_IMAGE
lin SUPPORT_388945a0 yun
命令运行完毕,但发生一个或多个错误。
19, -su ---Run process as Local_System privilege.
以系统特权运行进程,在管理员登陆的情况下输入MT –su,马上弹出另外一CMD窗口,在这个窗口中,可以做任何我们想做的事情,这个也是系统的最高权限了.
20 -regshell ---Enter a console registry editor.
以CMD的方式编辑注册表,输入在CMD下不是很方便,不过有时候也是很使用的,输入:
D:\>mt -regshell

HKLM\>dir

HARDWARE
SAM
SECURITY
SOFTWARE
SYSTEM

Total: 5 SubKey, 0 Value.

HKLM\>quitreg

D:\>
和真实环境没有什么区别.
21, -netstat ---List TCP connections.
列出所有的TCP连接,我让192.168.0.2打开IE,访问192.168.0.1的主页,然后输入:
D:\>mt -netstat

Num LocalIP Port RemoteIP PORT Status
11 192.168.0.1 80 192.168.0.2 1050 Established
如果使用的是系统自带的netstat,得到的结果是一样的:
D:\>netstat

Active Connections

Proto Local Address Foreign Address State
TCP LIN:http 192.168.0.2:1050 ESTABLISHED
只是使用MT能够更直接,更容易理解,比如使用端口80代替使用协议HTTP.
22, D:\>mt -killtcp

Usage:
mt -killtcp ----Kill a specifies TCP connection.
和上面的搭配用,如果先KILL192.168.0.2对本机(192.168.0.1)的连接,可以输入:
D:\>mt -killtcp 11

Waiting connection to be close now.
这个时候再输入:
D:\>mt -netstat

Num LocalIP Port RemoteIP PORT Status

D:\>
已经看不到有它的连接了.
23, -chkdll ---Detect gina dll backdoor.
检查gina木马后门,这个问题以前是很流行了,所以也被考虑进来了,使用很简单:
D:\>mt -chkdll

GinaDll not found.

Winlogon Notification Package Dll:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
crypt32.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
cryptnet.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
cscdll.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
wlnotify.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
wlnotify.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
sclgntfy.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
WlNotify.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
wlnotify.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
wlnotify.dll

Please make sure if they were backdoors.
如果我安装了GINA木马,会出现这样的情况:
D:\>mt -chkdll

GinaDll exist:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDll
c:\windows\system32\ntshellgina.dll
很快就被检测出来了,实在是很方便,呵呵,其实我那个DLL文件早就被KILL了,只是修改了一下注册表而已,不过也显示了这个工具的强大性.
24, -psport ---Map ports to processes.
显示进程的端口,这个功能和哪个工具的功能一样的呢,呵呵,忘记了,对了是FPORT.EXE,呵呵,很久没有用了,还是来看看他们有什么不同的地方:
D:\>mt -psport

Proto Listen PID Path
TCP 0.0.0.0:80 1160 C:\WINDOWS\System32\inetsrv\inetinfo.exe
TCP 0.0.0.0:135 780 C:\WINDOWS\system32\svchost.exe
TCP 0.0.0.0:443 1160 C:\WINDOWS\System32\inetsrv\inetinfo.exe
TCP 0.0.0.0:1025 1160 C:\WINDOWS\System32\inetsrv\inetinfo.exe
TCP 0.0.0.0:1026 4 [System]
TCP 0.0.0.0:3025 960 C:\WINDOWS\System32\svchost.exe
TCP 0.0.0.0:3027 1252 C:\WINDOWS\System32\msdtc.exe
TCP 0.0.0.0:3306 1176 D:\mysql\bin\mysqld-nt.exe
TCP 127.0.0.1:3001 1120 C:\WINDOWS\System32\alg.exe
TCP 127.0.0.1:3002 844 C:\WINDOWS\System32\svchost.exe
TCP 127.0.0.1:3003 844 C:\WINDOWS\System32\svchost.exe
TCP 192.168.0.1:139 4 [System]
TCP 192.168.0.1:3011 4 [System]
UDP 0.0.0.0:500 1160 C:\WINDOWS\System32\inetsrv\inetinfo.exe
UDP 0.0.0.0:3456 780 C:\WINDOWS\system32\svchost.exe
UDP 127.0.0.1:3020 1160 C:\WINDOWS\System32\inetsrv\inetinfo.exe
UDP 127.0.0.1:3026 1160 C:\WINDOWS\System32\inetsrv\inetinfo.exe
UDP 192.168.0.1:137 4 [System]
UDP 192.168.0.1:138 960 C:\WINDOWS\System32\svchost.exe

使用FPORT.EXE得到下面的结果
E:\HACK>fport /ap
FPort v2.0 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com

Pid Process Port Proto Path
1120 -> 3001 TCP
960 -> 3025 TCP
1252 -> 3027 TCP
4 System -> 1026 TCP
4 System -> 139 TCP
4 System -> 3011 TCP
1160 inetinfo -> 1025 TCP C:\WINDOWS\System32\inetsrv\inetinfo.exe
1160 inetinfo -> 443 TCP C:\WINDOWS\System32\inetsrv\inetinfo.exe
1160 inetinfo -> 80 TCP C:\WINDOWS\System32\inetsrv\inetinfo.exe
844 svchost -> 3002 TCP C:\WINDOWS\System32\svchost.exe
844 svchost -> 3003 TCP C:\WINDOWS\System32\svchost.exe
780 svchost -> 135 TCP C:\WINDOWS\system32\svchost.exe
1176 mysqld-nt -> 3306 TCP D:\mysql\bin\mysqld-nt.exe

960 -> 138 UDP
4

    [3] 

上一页  [1] [2] [3]  下一页

查看更多与MT.EXE程序测试报告相关内容
[ ] [返回上一页] [打 印] [收 藏]
上一篇文章:
下一篇文章:
      紧跟潮流:剖折QQ魔法表情实现原理       蓝屏--记录密码绝招!!!
∷相关文章评论∷   (评论内容只代表网友观点,与本站立场无关!) [发表评论]
 
 
 
 
晋ICP备05008232   维护网络安全、传播安全技术才是我们的目标! 
 
关于本站 - 网站帮助 - - 下载声明 - 友情连接 -网站地图