要和IPC$共享进行空连接,网络入侵者就在命令提示符下发出如下命令:
c:/>net use //[目标主机的IP地址]/ipc$ "" /user:""
假如连接成功,网络入侵者就会有很多事情可做,不只是收集用户列表,但是他是以收集用户列表开始的。如上所述,这个方法需要一个空IPC会话和SID工具。由Evgenii Rudnyi编写的SID工具包括两个不同的部分:User2sid和Sid2user。User2sid采 用一个帐户名字或群组,给您一个对应的SID。而Sid2user采用一个SID,给您对 应的用户或群组的名字。作为一个单独的工具,这个进程是手工进行的,要消耗大量的时间。 Userlist.pl是monix编写的一个perl脚本,他将使这个SID进程自动化,从而 大大 缩短网络入侵者收集这些消息所花费的时间。
这时,网络入侵者就会了解到哪些服务正在远程机上运行连同已安装了哪些主要的软件包(有限的),同时还能得到该机器上有效的用户名和群组列表。尽管这似乎是个外来者所要掌控的有关您的网络的信息,但是,空IPC会话已为信息收集留下了其他隐患。现在,Rhino9小组已能够检索远程机的全部固有安全约束规则。帐户封锁 、最小口 令长度、口令使用周期、口令唯一性配置连同每一个用户、他们所归属的群组以 及该用户的个人域限制等任何信息都能够通过一个IPC空会话获得。这个信息收集功能将在近期发布的eviathan工具(由Rhino9小组编写)中提供。下面将对现在可用的一些工具进行探讨,这些工具可用来通过空IPC会话收集更多的信息.
有了这个空IPC会话,网络入侵者也能获得网络共享列表,否则就无法得到。为此,网络入侵者希望了解到在您的机器上有哪些可用的网络共享。为了收集到这些信息,要采用下列这个标准的net view命令:
c:/>net view //[远程主机的IP地址]
根据目标机的安全约束规则,能够拒绝或不拒绝这个列表。举例如下:
C:/>net view //0.0.0.0
System error 5 has occurred.
Access is denied.
C:/>net use //0.0.0.0/ipc$ "" /user:""
The command completed successfully.
C:/>net view //0.0.0.0
Shared resources at //0.0.0.0
Share name Type Used as Comment
----------------------------------------------------------------------
---------
Accelerator Disk Agent Accelerator share for Seagate backup
Inetpub Disk
mirc Disk
NETLOGON Disk Logon server share
www_pages Disk
The command completed successfully.
正如您所看到的,该服务器上的共享列表在建立了空IPC会话后才可用。这时,您就会意识到这个IPC连接有多么的危险,但我们现在已掌控的IPC方法实际上是很基本的方法。和IPC共享一起出现的可能性更有待进一步研究。WindowsNT 4.0资源工具的发布使得象管理员和网络入侵者这样的人能够用到新的工具。下面对一些资源工具实用程式进行描述。Rhino9小组运用这些实用程式和IPC$空会话 一起收集信息。当您阅读这些工具的描述连同他们所提供的信息时,请记住:所 采用的空 会话不向远程网络提供任何真实的身份证实。
UsrStat: 这个命令行实用程式显示特定域中各个用户的用户名、全名连同最后一次登录的日期和时间。下面是根据远程网络通过一个空IPC会话采用这个工具进行的实际剪切和粘贴:
C:/NTRESKIT>usrstat domain4
Users at //STUDENT4
Administrator - - logon: Tue Nov 17 0855 1998
Guest - - logon: Mon Nov 16 124:04 1998
IUSR_STUDENT4 - Internet Guest Account - logon: Mon Nov 16 1596 1998
IWAM_STUDENT4 - Web Application Manager account - logon: Never
laurel - - logon: Never
megan - - logon: Never
我们现在来探讨一下整个俘获过程是怎么样发生的,以便于加深读者的理解。在真正的攻击发生前,把一个映射放到通过#PRE/#DOM标记映射Student4机器及其域活动状态的mhosts文档中(下面详述)。然后把表目预加载到NetBIOS高速缓存器中,同时建立一个空IPC会话。正如您所看到的,这个命令是根据域名发出的。最后,该工具会向主域控制器查询这个。
其他涉及到IPC共享的渗透方法包括打开远程机的注册表连同远程域用户管理器。空IPC连接使网络入侵者能够对您的注册表进行访问。一旦建立了空IPC会话,网络入侵者就能启用其本地注册表编辑器实用程式,并尝试连接网络注册表选项。假如尝试成 功,入侵者就会对一定的注册表键具备只读访问权限,甚至是读/写权限。无论如何,就算对注册表只有只读访问权限,从安全角度来讲这也是很有害的。
另外,网络入侵者还会利用IPC域用户管理器方法。这个方法鲜为人知。我们在这里涉及到这个问题是因为他是个很有效的入侵方法。这个方法涉及到一个空IP C会话和输入LMHOSTS文档的表目。LMHOSTS文档(在一般情况下)是个保存在基于Wind ows的机器上的本地文档,用于把NetBIOS名字映射到IP地址。LMHOSTS文档主要用在非WI NS环境中或不能使用WINS的客户机上,而实际上,网络入侵者能够通过很多种不同的方式来使用这个文档。我们将在下文中对LMHOSTS文档的不同使用方法进行探讨.
===========================================================================现在我们对如何在这个方法中使用LMHOSTS文档进行论述。这是个绝妙的方法,因为他能说明如何把前面介绍的方法和这个方法结合起来使用从而达到网络入侵者的目的。我们先从端口扫描程式开始,假设端口139是开放的,攻击者就会发出一个nbtstat命令。然后,他会通过nbtstat结果收集远程机的NetBIOS名字。
让我们来看看得出的nbtstat结果,和前面的结果相同:
C:/>nbtstat -A x.x.x.x
NetBIOS Remote Machine Name Table
Name Type Status
---------------------------------------------
DATARAT <00> UNIQUE Registered
R9LABS <00> GROUP Registered
DATARAT <20> UNIQUE Registered
DATARAT <03> UNIQUE Registered
GHOST <03> UNIQUE Registered
DATARAT <01> UNIQUE Registered
MAC Address = 00-00-00-00-00-00
通过检查nbtstat命令的结果,我们能够找到<03>识别符。假如有人从本地登录到 该 机器上,您就会看到两个<03>识别符。在一般情况下,第一个<03>识别符是机器的netbios名字,第二个<03>识别符是本地登录用户的名字。这时,网络入侵者就会把这台机器的netbios名字和IP地址映射放到他本地的LMHOSTS文档中,用#PRE和#DOM标 签终止表目。#PRE标签表示应该把表目预加载到netbios高速缓存器中。#DOM标签表示域活动。这 时,网络入侵者就会发出一个nbtstat CR命令,把表目预加载到他的高速缓存器 中。从技术角度来讲,这个预加载会使表目看起来好象已由一些网络功能解析过,并使名字解析起来更加快捷。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
