海洋頂端2006新版安全解決方案
- 發布于:2023-02-03
- 共 184 人圍觀
可以說,海洋此次新版,功能超級,超牛B, 我嘛,主要*寫小程序混飯吃,還能看得懂.
除了它以前經常使用的對象外,此次還加了可以讓管理員毛骨悚然的ADSI對象,要知道ADSI可是無所不能,在應用軟件編程里可以操縱WINNT的很多東西,比如添加管理員,用戶組,獲取遠程主機的......嚇壞了吧?廢話少說. 以下是進入海洋2006新版后的界面.
如下圖:
海陽頂端網ASP木馬@2006
--------------------------------------------------------------------------------
系統服務信息
服務器相關數據
(系統參數,系統磁盤,站點文件夾,終端端口&自動登錄)
服務器組件探針
系統用戶及用戶組信息
客戶端服務器交互信息
WScript.Shell程序運行器
Shell.Application程序運行器
FSO文件瀏覽操作器
Shell.Application文件瀏覽操作器
微軟數據庫查看/操作器
文件夾打包/解開器
文本文件搜索器
一些零碎的小東西
--------------------------------------------------------------------------------
Powered By Marcos 2005.02
打開源程序研究研究....
<object runat="server" id="ws" scope="page" classid="clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8"></object>
<object runat="server" id="ws" scope="page" classid="clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B"></object>
<object runat="server" id="fso" scope="page" classid="clsid:0D43FE01-F093-11CF-8940-00A0C9054228"></object>
<object runat="server" id="sa" scope="page" classid="clsid:13709620-C279-11CE-A49E-444553540000"></object>
開頭就來四個對象.
明眼人一看就知道是啥了吧?
第一個是:wscript.shell,第二個仍然是,只不過稍不同.wscript.network 好像是.不記得了.
第三個是fso,第四個是shell.application
有的人說,禁止FSO不就萬事大吉了?費這么多功夫做什么?
可以告訴你,不用FSO一樣可以寫入文件和創建文件,adodb.stream就可以做到.
更何況shell.application?
爽快地刪除了wscript.shell,wscript.network,shell.application這些個不安全對象.
FSO可以不用刪除.可保自身安全,也讓那些個不注重安全的網站用戶受受罪.
這就是"不同WEB不同低權限用戶"訪問方法.詳細設置方法請參考其他貼子.
當然了.看看海洋失效與否,肯定得一邊測試一邊來看效果了.
當其他的安全設置:升級FTP到6.X最新版,刪除mssql不安全存儲過程,加強本地安全策略,
限制本地連接端口等等, 再對IIS6.0(Win2003)進行一些比較安全的設置.
再次運行海洋2006, 以上界面所列功能除了一個其他已全部失效.唯有這個"系統用戶及用戶組信息 "還是可以運行,打開源程序.
Sub PageUserList()
Dim objUser, objGroup, objComputer
showTitle("系統用戶及用戶組信息查看")
Set objComputer = GetObject("WinNT://.")
objComputer.Filter = Array("User")
echo "<a href=javascript:showHideMe(userList);>User:</a>"
echo "<span id=userList><hr/>"
For Each objUser in objComputer
echo "<li>" & objUser.Name & "</li>"
echo "<ol><hr/>"
getUserInfo(objUser.Name)
echo "<hr/></ol>"
Next
echo "</span>"
echo "<br/><a href=javascript:showHideMe(userGroupList);>UserGroup:</a>"
echo "<span id=userGroupList><hr/>"
objComputer.Filter = Array("Group")
For Each objGroup in objComputer
echo "<li>" & objGroup.Name & "</li>"
echo "<ol><hr/>" & objGroup.Description & "<hr/></ol>"
Next
echo "</span><hr/>Powered By Marcos 2005.02"
End Sub
關鍵在于這句"Set objComputer = GetObject("WinNT://.")"
把這個對象給殺了不就完事了?對.正是如此.
但這是ADSI,這是WMI的對象.并不在注冊表里可以找得到的.
也就是它應該是一種服務,OK,我們到服務里找吧.
它對應的服務應該是WorkStation,停止此服務后,再次運行.
海洋2006基本上所列功能已失效.為什么說是基本上,因為我只測試了它列出的這些功能.
至于它有沒有隱藏的功能.請原諒我不知道.因為代碼有80K,
兄弟你去一行一行看.至少應該有四萬行代碼.
好像沒什么好說的了.就這樣了.對不起如下這N個兄弟們了.
Sub showTitle(str)
echo "<title>" & str & " - 海陽頂端網ASP木馬2006 - By Marcos & LCX</title>" & vbNewLine
echo "<meta http-equiv='Content-Type' content='text/html; charset=gb2312'>" & vbNewLine
echo "<!--" & vbNewLine
echo "=衷心感謝=====================================================" & vbNewLine
echo "網辰在線、化境編程、桂林老兵、冰狐浪子、藍屏、小路、wangyong、" & vbNewLine
echo "czy、allen、lcx、Marcos、kEvin1986、myth對海陽頂端網asp木馬所" & vbNewLine
echo "做的一切努力!" & vbNewLine
echo "==============================================================" & vbNewLine & vbNewLine
echo "=本版關于=====================================================" & vbNewLine
echo "程序編寫: Marcos" & vbNewLine
echo "聯系方式: QQ26696782" & vbNewLine
echo "發布時間: 2005.02.28" & vbNewLine
echo "出 品 人: Allen, lcx, Marcos" & vbNewLine
echo "官方發布: www.HIDIDI.NET(2) www.HAIYANGTOP.NET(1)" & vbNewLine
echo "==============================================================" & vbNewLine
echo "-->" & vbNewLine
PageOther()
End Sub
只是請所有擁有此版本的朋友們勿以入侵國內主機及服務器為好.
要黑或者要入侵可以去入侵國外.有機會帶上3cts.com,謝謝.
3cts.com 杜雪.Net
2005.05.05
1、卸載wscript.shell對象
regsvr32 WSHom.Ocx /u
2、卸載FSO對象
regsvr32.exe scrrun.dll /u
3、卸載stream對象
regsvr32 /u "C:\\Program Files\\Common Files\\System\\ado\\msado15.dll"
4、卸載Shell.Application對象
regsvr32.exe shell32.dll /u
標簽:
