发信人: rawrence()
整理人: jiaxu2000(2004-03-30 09:53:44), 站内信件
|
通过检查nbtstat命令的结果,我们可以找到<03>识别符。如果有人从本地登录到
该
机器上,您就会看到两个<03>识别符。在一般情况下,第一个<03>识别符是机器
的
netbios名字,第二个<03>识别符是本地登录用户的名字。这时,网络入侵者就会
把这台
机器的netbios名字和IP地址映射放到他本地的LMHOSTS文件中,用#PRE和#DOM标
签终止表
目。#PRE标签表示应该把表目预加载到netbios高速缓存器中。#DOM标签表示域活
动。这
时,网络入侵者就会发出一个nbtstat CR命令,把表目预加载到他的高速缓存器
中。从
技术角度来讲,这个预加载会使表目看起来好象已经由一些网络功能解析过,并
使名字解
析起来更加快捷。
下一步,网络入侵者会建立一个空IPC会话。一旦成功地建立了空IPC会话,网络
入侵
者就能启用域用户管理器的本地拷贝,并在用户管理器中利用选择域功能。接着
,远程机
的域就会出现(或者能够人工输入),因为它已经被预加载到高速缓存器中。如
果远程机
的安全性没有保障,用户管理器就会显示远程机上所有用户的列表。如果这是通
过一个很
缓慢的链接(如28.8K调制解调器)来进行的,那么在一般情况下就不会起作用。
但如果
采用较快的网络连接,就会有成效。
既然网络入侵者已经收集到有关您的机器的资料,下一步就是真正渗透您的机器
。我
们要探讨的第一个渗透方法是公开文件共享攻击。网络入侵者会把前面提到的ne
t view命
令和net use命令结合起来实现这一攻击。
我们采用前面的net view命令对网络入侵者的攻击进行论述:
C:\> net view \\0.0.0.0
Share name Type Used as Comment
----------------------------------------------------------------------
---------
Accelerator Disk Agent Accelerator share for Seagate backup
Inetpub Disk
mirc Disk
NETLOGON Disk Logon server share
www_pages Disk
The command completed successfully.
--
阿鲁的阿,阿鲁的鲁!
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.101.167.139]
|
|