精华区 [关闭][返回]

当前位置:网易精华区>>讨论区精华>>电脑技术>>● WinNT系统>>【安全与防毒】>>NT安全指南六

主题:NT安全指南六
发信人: rawrence()
整理人: jiaxu2000(2004-03-30 09:53:44), 站内信件
正如您所看到的,该服务器上的共享列表在建立了空IPC会话后才可用。这时,您
就 
会意识到这个IPC连接有多么的危险,但我们现在已经掌握的IPC方法实际上是很
基本的方 
法。与IPC共享一起出现的可能性还有待进一步研究。 
WindowsNT 4.0资源工具的发布使得象管理员和网络入侵者这样的人能够用到新的
工 
具。下面对一些资源工具实用程序进行描述。Rhino9小组运用这些实用程序与IP
C$空会话 
一起收集信息。当您阅读这些工具的描述以及它们所提供的信息时,请记住:所
采用的空 
会话不向远程网络提供任何真实的身份证明。 
UsrStat: 这个命令行实用程序显示特定域中各个用户的用户名、全名以及最后一
次登 
录的日期和时间。下面是根据远程网络通过一个空IPC会话采用这个工具进行的实
际剪切和 
粘贴: 
C:\NTRESKIT>usrstat domain4 
Users at \\STUDENT4 
Administrator - - logon: Tue Nov 17 08:15:25 1998 
Guest - - logon: Mon Nov 16 12:54:04 1998 
IUSR_STUDENT4 - Internet Guest Account - logon: Mon Nov 16 15:19:26 19
98 
IWAM_STUDENT4 - Web Application Manager account - logon: Never 
laurel - - logon: Never 
megan - - logon: Never 

我们现在来探讨一下整个俘获过程是怎么样发生的,以便于加深读者的理解。在
真正 
的攻击发生前,把一个映射放到通过#PRE/#DOM标记映射Student4机器及其域活动
状态的 
lmhosts文件中(下面详述)。然后把表目预加载到NetBIOS高速缓存器中,同时
建立一个 
空IPC会话。正如您所看到的,这个命令是根据域名发出的。最后,该工具会向主
域控制 
器查询这个域。 

--
阿鲁的阿,阿鲁的鲁!

※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.101.167.139]

[关闭][返回]