入侵中用到的三大门派的几个小工具

作者：lcx

这篇文章是写给黑客手册高手专栏2008年10期的。

也许大家知道，我在哪做编辑，负责西线无战事和高手专栏的两个栏目。高手专栏这个栏目投稿的人太少，害得我每期几乎都要费尽心思来写一篇。高手专栏现在欢迎的题目有；

vbs在入侵中的作用、我在入侵中的注意的细节、跨站、入侵中的批处理、入侵过程中用的小工具共有这五个，当然随着期数的变化，出的题目也会增加，现在大家针对这些题目欢迎来稿呀，不要被高手这两个字吓住了。当然，你想看什么最新的专栏想要什么题目的文章也可以向我说一下，集思广益。

下面是10期的文章正文：

这期的专栏还是我打头写一篇吧。三大门派有点夸张了，不过为了方便大家的分类和下载，所以我起了这样的一个题目。这三个门派分别是微软（www.sysinternals.com已被微软收购）、http://www.nirsoft.net和www.diamondcs.com.au。如果有去过以上网站的朋友们，很快就会发现，它们都是做的一些辅助windows系统的小工具。如果用好这三大门派的工具，可以在渗透中起到很好的作用的。当然，我介绍的肯定都是命令行的工具了。

一、微软(www.sysinternals.com)的工具
介绍微软的工具前我来说几句酸葡萄话。我负责编辑的西线无战事栏目作者的投稿，有时会出现这样的话：“拿出的朋友送的一个小工具xxx，试了一下，哈，真 的成功了”。结果文章写完也不附上文章里提到的小工具。也就是说，可能某些人手里都会收藏一些独门的小工具，自己也不愿意以开。不愿意公开有他人的道理 在，其实我真的不羡慕，我觉微软给的东东本身就够多了，何时才能掌握完全？举个最简单的例子，系统自带的PUSHD.exe命令我敢打赌可能100个学黑 客的人里有50个人没用过，30个人根本没留意。10个人不知道有这东东，别外10个人偶尔用过，呵呵。其实很好玩的，如果你在c:下想一下到 d:\hack目录可以一步做到，就是"C:\>PUSHD d:\hack"。这里我用PUSH这个命令来举例，还是希望大家学好基础知识了。如果想了解系统的基本命令行，可以到http://www.ss64.com/nt/这里看一下的。
内网渗透中，有时难免会在肉鸡的命令行下搜索对方机器上的一些文件，有时会想搜索某一段时间到另一段时间的文件。像搜索从2006年1月1日到2008年2月2日里的doc文档，系统命令dir就无能为力了。我自己当初为了解决这个问题，还特意写过一个vbs脚本，放在http://hi.baidu.com/myvbscript/blog/item/47175316835e004f21a4e90b.html/cmtid/cc37a6fdca04991108244d32#cc37a6fdca04991108244d32这 里。有兴趣的读者可以去看一下。但是vbs真是太慢了，而且遇到某个目录对权限做了设置，vbs会死在哪儿（dir可以跳过）。其实微软给出了我们工具 的，就是LogParser.exe。可能很多读者说，这不是一个分析日志的工具吗？错错，LogParser.exe太博大精深了，搜索文件也只是它功 能的九牛一毛，大家自己可以去看一下它的帮助文件。这里我只给出一个命令，让大家吃惊一下：●
LogParser "SELECT TOP 10 Path, Name, Size,LastAccessTime FROM C:\downloads\*.* where LastAccessTime>TIMESTAMP('01/01/2004', 'MM/dd/yyyy') and TO_LOWERCASE(name) like '%a%' ORDER BY Size DESC" -i:FS -useLocalTime:OFF -preserveLastAccTime:ON -recurse:-1●，如图1所示。这里是表示从c:\downloads目录里搜索出名字含有a的前10个文件，并且修改时间要大于2004年1月 1日是，按照大小排序，并且显示它的路径、尺寸和文件名，显示时间按机器的所在时区。强大否？

www.sysinternals.com已被微软收 购，我喜欢它的psexec.exe。psexec.exe我常用的第一个功能是系统权限到用户权限的转换，我在以前的专栏里渗透的细节里提到过了，所以 这里我就不写了。另一个功能，我是把它用在web上提权。大家会有这样的情况，拿到了一个webshell，在对方机器里找到了一些密码信息，像 mssql数据库的密码等。如果mssql的密码不是sa，但却是系统帐户的密码。系统只有80端口，不可能让你反连终端什么的，这时候psexec就可 以派到用处了。我们可以直接在webshell里执行psexec \\127.0.0.1 -u administrator -p password c:\muma.exe，这样就要以直接种上我们的木马了。这里我的示例是psexec v1.21,可能版本不同，用法也略有不同。

[1] [2] 下一页