发信人: rawrence()
整理人: jiaxu2000(2004-03-30 09:53:44), 站内信件
|
正如您所看到的,该服务器上的共享列表在建立了空IPC会话后才可用。这时,您
就
会意识到这个IPC连接有多么的危险,但我们现在已经掌握的IPC方法实际上是很
基本的方
法。与IPC共享一起出现的可能性还有待进一步研究。
WindowsNT 4.0资源工具的发布使得象管理员和网络入侵者这样的人能够用到新的
工
具。下面对一些资源工具实用程序进行描述。Rhino9小组运用这些实用程序与IP
C$空会话
一起收集信息。当您阅读这些工具的描述以及它们所提供的信息时,请记住:所
采用的空
会话不向远程网络提供任何真实的身份证明。
UsrStat: 这个命令行实用程序显示特定域中各个用户的用户名、全名以及最后一
次登
录的日期和时间。下面是根据远程网络通过一个空IPC会话采用这个工具进行的实
际剪切和
粘贴:
C:\NTRESKIT>usrstat domain4
Users at \\STUDENT4
Administrator - - logon: Tue Nov 17 08:15:25 1998
Guest - - logon: Mon Nov 16 12:54:04 1998
IUSR_STUDENT4 - Internet Guest Account - logon: Mon Nov 16 15:19:26 19
98
IWAM_STUDENT4 - Web Application Manager account - logon: Never
laurel - - logon: Never
megan - - logon: Never
我们现在来探讨一下整个俘获过程是怎么样发生的,以便于加深读者的理解。在
真正
的攻击发生前,把一个映射放到通过#PRE/#DOM标记映射Student4机器及其域活动
状态的
lmhosts文件中(下面详述)。然后把表目预加载到NetBIOS高速缓存器中,同时
建立一个
空IPC会话。正如您所看到的,这个命令是根据域名发出的。最后,该工具会向主
域控制
器查询这个域。
--
阿鲁的阿,阿鲁的鲁!
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.101.167.139]
|
|