通过NetBios实现端口开放收集与渗透(下)

第二篇，主要讲建立空连接。
 
    希望大家继续捧场！ 
 
    第二个逻辑步骤是通过远程机收集可能的用户名。网络登录包括两个部分：用户名和口令。一旦网络入侵者掌握了有效的用户列表，他就能获得一半的有效登录信息。现在，采用了nbtstat命令，网络入侵者就能掌握从本地注册到该台机器上的任何人的登 录名。 在通过nbtstat命令得到的结果中，采用<03>识别符的表目是用户名或机器名。另 外，还 可以通过空IPC会话和SID工具来收集用户名（详细内容见“SID工具”，附录B） 。 IPC$（进程间通信）共享是NT主机上一个标准的隐藏共享，主要用于服务器到服 务器 的通信。NT主机用来互相连接并通过这个共享来获得各种必要的信息。鉴于在各 种操作系 统中都有很多设计特征，网络入侵者已经懂得利用这种特征来达到他们的目的。 通过连接 这个共享，网络入侵者从技术上就能够实现与您的服务器的有效连接。通过与这 个共享的空连，网络入侵者就能够在不需要提供任何身份证明的情况下建立这一连接。 
要与IPC$共享进行空连接，网络入侵者就在命令提示符下发出如下命令： 
c:\>net use \[目标主机的IP地址]\ipc$Content$nbsp;"" /user:"" 
如果连接成功，网络入侵者就会有很多事情可做，不只是收集用户列表，不过他是以收集用户列表开始的。如上所述，这个方法需要一个空IPC会话和SID工具。由Evgenii Rudnyi编写的SID工具包括两个不同的部分：User2sid和Sid2user。User2sid采 用一个帐户名字或群组，给您一个对应的SID。而Sid2user采用一个SID，给您对 应的用户或群组的名字。作为一个独立的工具，这个进程是手工进行的，要消耗大量的时间。 Userlist.pl是monix编写的一个perl脚本，它将使这个SID进程自动化，从而 大大 缩短网络入侵者收集这些消息所花费的时间。 
这时，网络入侵者就会了解到哪些服务正在远程机上运行以及已经安装了哪些主要的软件包（有限的），同时还能得到该机器上有效的用户名和群组列表。尽管这似乎是一个外来者所要掌握的有关您的网络的信息，但是，空IPC会话已经为信息收集留下了其它隐患。目前，Rhino9小组已经能够检索远程机的全部固有安全约束规则。帐户封锁 、最小口 令长度、口令使用周期、口令唯一性设置以及每一个用户、他们所归属的群组以 及该用户的个人域限制等所有信息都可以通过一个IPC空会话获得。这个信息收集功能将在近期发布的eviathan工具（由Rhino9小组编写）中提供。下面将对目前可用的一些工具进行探讨，这些工具可用来通过空IPC会话收集更多的信息. 
结束了一个星期的外出生活，累死了，没有及时回复大家的问题，请谅解！ 

第三篇，介绍LMHOSTS文件。 

 
现在我们对如何在这个方法中使用LMHOSTS文件进行论述。这是一个绝妙的方法，因为它能说明如何把前面介绍的方法与这个方法结合起来使用从而达到网络入侵者的目的。我们先从端口扫描程序开始，假设端口139是开放的，攻击者就会发出一个nbtstat命令。然后，他会通过nbtstat结果收集远程机的NetBIOS名字。 
让我们来看看得出的nbtstat结果，与前面的结果相同： 
C:\>nbtstat -A x.x.x.x 
NetBIOS Remote Machine Name Table 
Name Type Status 
--------------------------------------------- 
DATARAT <00> UNIQUE Registered 
R9LABS <00> GROUP Registered 
DATARAT <20> UNIQUE Registered 
DATARAT <03> UNIQUE Registered 
GHOST <03> UNIQUE Registered 
DATARAT <01> UNIQUE Registered 
MAC Address = 00-00-00-00-00-00 
通过检查nbtstat命令的结果，我们可以找到<03>识别符。如果有人从本地登录到 该 机器上，您就会看到两个<03>识别符。在一般情况下，第一个<03>识别符是机器的netbios名字，第二个<03>识别符是本地登录用户的名字。这时，网络入侵者就会把这台机器的netbios名字和IP地址映射放到他本地的LMHOSTS文件中，用#PRE和#DOM标 签终止表目。#PRE标签表示应该把表目预加载到netbios高速缓存器中。#DOM标签表示域活动。这 时，网络入侵者就会发出一个nbtstat CR命令，把表目预加载到他的高速缓存器 中。从技术角度来讲，这个预加载会使表目看起来好象已经由一些网络功能解析过，并使名字解析起来更加快捷。 
下一步，网络入侵者会建立一个空IPC会话。一旦成功地建立了空IPC会话，网络入侵者就能启用域用户管理器的本地拷贝，并在用户管理器中利用选择域功能。接着，远程机的域就会出现（或者能够人工输入），因为它已经被预加载到高速缓存器中。如果远程机的安全性没有保障，用户管理器就会显示远程机上所有用户的列表。如果这是通过一个很缓慢的链接（如28.8K调制解调器）来进行的，那么在一般情况下就不会起作用。但如果 采用较快的网络连接，就会有成效。既然网络入侵者已经收集到有关您的机器的资料，下一步就是真正渗透您的机器 。我 们要探讨的第一个渗透方法是公开文件共享攻击。网络入侵者会把前面提到的net view命 令和net use命令结合起来实现这一攻击。 
我们采用前面的net view命令对网络入侵者的攻击进行论述： 
C:\> net view \0.0.0.0 
Share name Type Used as Comment 
---------------------------------------------------------------------- 
--------- 
Accelerator Disk Agent Accelerator share for Seagate backup 
Inetpub Disk 
mirc Disk 
NETLOGON Disk Logon server share 
www_pages Disk 
The command completed successfully. 
一旦攻击者掌握了远程共享列表，他就会试着映射到远程共享。这一攻击的命令结构是： 
c:\>net use x: \0.0.0.0\inetpub 
只有当共享不设密码或分配给everyone群组时这一攻击才有效（注：everyone群组表示每个人。如果有人作为空用户连接，他们现在就是everyone群组的组成部分）。如果这些参数都正确，攻击者就能把网络驱动器映射到您的机器上并开始一系列的渗透攻击。请记住：网络入侵者并不局限于把驱动器映射到通过net view命令显示出来的共享上。了解NT的网络入侵者都知道NT隐藏了管理共享。根据默认值，NT为该机器上的每一个驱动器都创建IPC$共享和一个隐藏共享（即：一台有C、D和E驱动器的机器会有对应的C$、D$和E$Content$nbsp;的隐藏共享）。另外，还有一个直接映射到NT安装路径的隐藏ADMIN$共享（即：如果您把 NT安装在:\winnt目录下，ADMIN$就映射到该驱动器的确切位置）。Rhino9小组已经注意到，大多数NT安全界人士似乎都不大重视这个从一台内部NT机渗透另一台内部NT机的概念。在我们的专业检查过程中，Rhino9小组已经多次完成了这项任务。问题是，如果网络入侵者是有心的并能得到对您的一台机器的访问权限，他就会悄悄地潜入其余的网络机器。因此，这些共享攻击会造成严重的威胁。 （旁注：Rhino9小组曾经对位于佛罗里达州的一家大型ISP进行远程渗透检查。我们 先得到其技术人员个人机器上的共享访问权限，然后从那里得到整个网络的访问 权限。这是完全可以办到的。） 
首先，有些人可能不会意识到有人在访问您的硬盘时对您的机器所造成的危险。访问硬盘为收集信息和安放特洛伊木马/病毒提供了新的途径。一般情况下，攻击者会寻找包含有口令或高度敏感的数据的内容，因为他能利用这些数据来继续深入您的网络。