snmp弱口令在一次常规入侵中的应用

　好这次入侵过程中snmp弱口令给了我很大的启发，于是就把他写了下来，希望给大家一些启发。
　　最近看到某个主页做得很烂，似乎很长时间没有做过维护了，不巧他的网速很快，于是我有了把他做成肉鸡的念头。首先当然是刺探信息了，开了x-scan,扫了一会儿，结果出来了：
　　主机地址
　　端口/服务
　　服务漏洞
　　202.*.*.* ftp (21/tcp) 发现安全提示
　　202.*.*.* telnet (23/tcp) 发现安全提示
　　202.*.*.* unknown (1080/tcp) 发现安全提示
　　202.*.*.* www (80/tcp) 发现安全漏洞
　　202.*.*.* unknown (3389/tcp) 发现安全提示
　　202.*.*.* snmp (161/udp) 发现安全漏洞
　　漏洞 snmp (161/udp) Snmp口令: \"public\"
　　虽然他也开了80端口，但是iis似乎设置的很好，没有什么漏洞，21端口对应的服务又不是serv-u提供的，而是ms的，没有可能溢出。最近的一些入侵都有试过，没有成功，估计是打了sp4及以后的补丁.至于23，3389端口，我没有用户名，爆破基本无望啊，那么剩下的只有snmp的弱口令，在说利用之前，先向大家推荐两款工具：snmputil.exe！他能够提供基本的、低级的SNMP功能，通过使用不同的参数和变量，可以显示设备情况以及管理设备。tscrack.exe这是针对Win2000终端服务的一个密码破解程序.这个程序被微软推荐给用户使用,来检查终端服务密码的强壮性.程序使用msrdp控件。
　　snmputil.exe有三种命令参数：Snmputil get Snmputil getnext 和snmputil walk，对于我们最有入侵有用的，是snmputil walk，这里只说这种命令的使用，其他的命令大家可以看help。
　　snmputil walk 对方ip public .1.3.6.1.2.1.25.4.2.1.2 列出系统进程
　　snmputil walk 对方ip public .1.3.6.1.4.1.77.1.2.25.1.1 列系统用户列表
　　snmputil get 对方ip public .1.3.6.1.4.1.77.1.4.1.0 列出域名
　　snmputil walk 对方ip public .1.3.6.1.2.1.25.6.3.1.2 列出安装的软件
　　snmputil walk 对方ip public .1.3.6.1.2.1.1 列出系统信息
　　好了，工具大家了解了，那么这些命令怎么利用大家有底了吧？我是这样用的：首先snmputil walk 202*。*。* public .1.3.6.1.2.1.25.4.2.1.2 列出系统进程，看了看有防火墙和杀毒软件，然后snmputil walk 202*。*。* public .1.3.6.1.4.1.77.1.2.25.1.1 列系统用户列表,如图1：
　　
　　得到了guest,jin, j*,t*四个用户，接着做一个小的字典。问我怎么做？他不是有开80端口吗？在里面找出电话啊，邮箱名啊，联系人姓名之类的信息(爆力破解的话用工具做个字典)，不时就有字典了吗？好了，现在回到命令行下：tscrack.exe -w pass.dic -l jin 202.*.*.*,参数l后接用户名，一个一个试试吧。功夫不负有心人，看看这个，虽然提示说是without success:图2，
　　
　　但是在破解过程中出现了这个：图3：
　　
　　不让你登陆3389？也就是说密码是正确的，只不过权限不够。再看看扫描结果，不还有23端口吗？telnet上去！如图4：
　　
　　试试权限，如图5：
　　
　　没有权限啊~！试了试几个提升权限的工具以及最近的溢出程序---针对ms04020的posixexp.exe,可惜没有成功，又看了看他开的服务，既没有servu,也没有mssql,更没有什么远程控制服务。不仅如此，他的c盘的许多目录都是设置了权限的，我根本就无法访问（所以没有办法下载sam文件来爆破啊）！似乎无路可走了。无聊的我想起了ntshell这款工具，它可以自己搜索能够开机自启动的地方，并且不像其他木马都是把服务端程序拷贝到系统目录然后设定开机器启动的，像我这种不能读写系统目录的情况，ntshell是最好的选择！只要让管理员重启了，以管理员权限运行了他就可以了！马上下载了下来，运行后。成功连接，如图6：