下一步,网络入侵者会建立一个空IPC会话。一旦成功地建立了空IPC会话,网络入侵者就能启用域用户管理器的本地拷贝,并在用户管理器中利用选择域功能。接着,远程机的域就会出现(或能够人工输入),因为他已被预加载到高速缓存器中。假如远程机的安全性没有保障,用户管理器就会显示远程机上任何用户的列表。假如这是通过一个很缓慢的链接(如28.8K调制解调器)来进行的,那么在一般情况下就不会起作用。但假如 采用较快的网络连接,就会有成效。既然网络入侵者已收集到有关您的机器的资料,下一步就是真正渗透您的机器 。我 们要探讨的第一个渗透方法是公开文档共享攻击。网络入侵者会把前面提到的net view命 令和net use命令结合起来实现这一攻击。
我们采用前面的net view命令对网络入侵者的攻击进行论述:
C:/> net view //0.0.0.0
Share name Type Used as Comment
----------------------------------------------------------------------
---------
Accelerator Disk Agent Accelerator share for Seagate backup
Inetpub Disk
mirc Disk
NETLOGON Disk Logon server share
www_pages Disk
The command completed successfully.
一旦攻击者掌控了远程共享列表,他就会试着映射到远程共享。这一攻击的命令结构是:
c:/>net use x: //0.0.0.0/inetpub
只有当共享不设密码或分配给everyone群组时这一攻击才有效(注:everyone群组表示每个人。假如有人作为空用户连接,他们现在就是everyone群组的组成部分)。假如这些参数都正确,攻击者就能把网络驱动器映射到您的机器上并开始一系列的渗透攻击。请记住:网络入侵者并不局限于把驱动器映射到通过net view命令显示出来的共享上。了解NT的网络入侵者都知道NT隐藏了管理共享。根据默认值,NT为该机器上的每一个驱动器都创建IPC$共享和一个隐藏共享(即:一台有C、D和E驱动器的机器会有对应的C$、D$和E$ 的隐藏共享)。另外,更有一个直接映射到NT安装路径的隐藏ADMIN$共享(即:假如您把 NT安装在:/winnt目录下,ADMIN$就映射到该驱动器的确切位置)。Rhino9小组已注意到,大多数NT安全界人士似乎都不大重视这个从一台内部NT机渗透另一台内部NT机的概念。在我们的专业检查过程中,Rhino9小组已多次完成了这项任务。问题是,假如网络入侵者是有心的并能得到对您的一台机器的访问权限,他就会悄悄地潜入其余的网络机器。因此,这些共享攻击会造成严重的威胁。 (旁注:Rhino9小组曾对位于佛罗里达州的一家大型ISP进行远程渗透检查。我们 先得到其技术人员个人机器上的共享访问权限,然后从那里得到整个网络的访问 权限。这是完万能够办到的。)
首先,有些人可能不会意识到有人在访问您的硬盘时对您的机器所造成的危险。访问硬盘为收集信息和安放特洛伊木马/病毒提供了新的途径。一般情况下,攻击者会寻找包含有口令或高度敏感的数据的内容,因为他能利用这些数据来继续深入您的网络。下面列出的是网络入侵者要寻找和利用的一些文档。我们对每一个文档及其使用方法都进行了简要的介绍。
Eudora.ini: 这个文档用来存储支持eudora电子邮件软件的配置信息。被称为udpass.com的工具会提取个人用户名、口令信息连同网络入侵者需要用来窃取用户邮件的任何信息。这时,入侵者能够通过配置自己的电子邮件软件来阅读目标邮件。同样,有些人要花很长时间才能意识到这一危险的存在。但是,要记住,在一般情况下,人都会很容易地养成习惯的。用户的电子邮件口令和他们用来登录到网络的口令在大多数情况下都 是相同的。现在攻击者要做的就是不断地窥探用户的硬驱,寻找能为他指出该用户业务场所的用户简历或一些和工作相关的其他文档,从而使他能够对网络发动强大的攻势。
Tree.dat: 这是个由通用软件CuteFTP用来存储用户ftp站点/用户名/口令的文档。利用一个称为FireFTP的程式,攻击者就能轻易地破解tree.dat文档。这样,如上所述,他能不断地收集有关您的信息并对您的业务场所发起攻击。显而易见,假如您在tree.dat中有一个直接到您业务场所的ftp映射,那么他就能更容易地攻击您的网络。
PWL: PWL一般内置在Win95机上。他们用来为Windows95最终用户存储操作特有的口令。一个称为glide.exe的工具会破坏PWL文档。另外更有一些介绍如何用计算器人工破坏这些PWL文档加密的文档。接下来,攻击者会继续收集有关用户的信息并拟订攻击方案。
PWD: PWD文档在运行FrontPage或Personal Webserver的机器上。这些文档包括纯文本用户名和一个和用来管理Web站点的身份证实资料相匹配的加密口令。用于这些口令的加密方案是标准的DES方案。众所周知,在internet上提供有很多破坏实用程式的DES。
Solar Designer编写的John the Ripper能很有效的破坏这些口令。
WS_FTP.ini: 这个ini文档在使用ws_ftp软件的机器上。尽管适用于这个文档的自动 口令析取字最近才被推荐给安全界,但所采用的加密机制还不够强壮。口令是被转换成十六进制数(2位)的。假如一个数字在N位置,那么N就被增加到该数字上。反向操作就会破坏这个加密方案。(这种方法有时也可破坏PMail.iniCPegasus Mail和Prefs.jsCNetscape。)
IDC文档:IDC(internet数据库连接符)文档一般用于从web服务器到数据库的后端连接。因为这种类型的连接一般都需要身份认证,所以,一些IDC文档包含有纯文本的用户名/口令。waruser.dat: 这是适用于通用Win32 FTP服务器--WarFTP的配置文档。这个特别的dat文档可包含FTP服务器本身的管理口令。根据作者掌控的资料,这种情况仅在WarFTP 1.70版中发生。
$winnt$.inf:在WindowsNT的单独安装过程中,安装进程需要信息文档。作为这个单独安装进程的残余数据,有一个称为$winnt$.inf的文档位于%systemroot%/system32 目录下。这个文档可包含有在安装过程中要使用的帐户的用户名/口令。因为在这些类型的安装中所使用的帐户一般都需要网络上的允许权限配置,所以这是一件很重要的事。
Sam._:尽管人们很早就知道假如SAM数据库被心怀叵测的人所利用就会出现问题,但很多人都不记得这个sam._文档了。假如入侵者能够通过网络安装驱动器,那该如何拷贝SAM数据库呢?一般情况下这是不大可能的,因为您所连接的NT服务器正在运行。当NT服务器正在运行时,他会锁定SAM。但是,假如管理员已创建了一个紧急修复盘,SAM的拷贝就应该位于systemroot%/repair/目录下。这个文档将命名为sam._。根据默认值,这个拷贝是人人都可读取的。通过利用samdump实用程式的拷贝,您就能从复制的SAM中转储用户名/口令。ExchVerify.log:这个ExchVerify.log文档是由Cheyenne/Innoculan/ArcServe生成的。一般情况下,他是通过安装Cheyenne/Innoculan/ArcServe软件生成的,内置在进行软件安装的驱动器的根目录下。这个文档可包含有极其敏感的信息,如下所示:
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
