发信人: rawrence()
整理人: jiaxu2000(2004-03-30 09:53:44), 站内信件
|
一旦攻击者掌握了远程共享列表,他就会试着映射到远程共享。这一攻击的命令 结构
是:
c:\>net use x: \\0.0.0.0\inetpub
只有当共享不设密码或分配给everyone群组时这一攻击才有效(注:everyone群 组表
示每个人。如果有人作为空用户连接,他们现在就是everyone群组的组成部分) 。如果这
些参数都正确,攻击者就能把网络驱动器映射到您的机器上并开始一系列的渗透 攻击。请
记住:网络入侵者并不局限于把驱动器映射到通过net view命令显示出来的共享 上。了解
NT的网络入侵者都知道NT隐藏了管理共享。根据默认值,NT为该机器上的每一个 驱动器都
创建IPC$共享和一个隐藏共享(即:一台有C、D和E驱动器的机器会有对应的C$、 D$和E$
的隐藏共享)。另外,还有一个直接映射到NT安装路径的隐藏ADMIN$共享(即: 如果您把
NT安装在C:\winnt目录下,ADMIN$就映射到该驱动器的确切位置)。Rhino9小组 已经注意
到,大多数NT安全界人士似乎都不大重视这个从一台内部NT机渗透另一台内部NT 机的概
念。在我们的专业检查过程中,Rhino9小组已经多次完成了这项任务。问题是, 如果网络
入侵者是有心的并能得到对您的一台机器的访问权限,他就会悄悄地潜入其余的 网络机
器。因此,这些共享攻击会造成严重的威胁。
(旁注:Rhino9小组曾经对位于佛罗里达州的一家大型ISP进行远程渗透检查。我 们
先得到其技术人员个人机器上的共享访问权限,然后从那里得到整个网络的访问 权限。这
是完全可以办到的。)
首先,有些人可能不会意识到有人在访问您的硬盘时对您的机器所造成的危险。 访问
硬盘为收集信息和安放特洛伊木马/病毒提供了新的途径。一般情况下,攻击者会 寻找包
含有口令或高度敏感的数据的内容,因为他能利用这些数据来继续深入您的网络 。下面列
出的是网络入侵者要寻找和利用的一些文件。我们对每一个文件及其使用方法都 进行了简
要的介绍。
Eudora.ini: 这个文件用来存储支持eudora电子邮件软件的配置信息。被称为
eudpass.com的工具会提取个人用户名、口令信息以及网络入侵者需要用来窃取用 户邮件
的所有信息。这时,入侵者可以通过配置自己的电子邮件软件来阅读目标邮件。 同样,有
些人要花很长时间才能意识到这一危险的存在。但是,要记住,在一般情况下, 人都会很
容易地养成习惯的。用户的电子邮件口令与他们用来登录到网络的口令在大多数 情况下都
是相同的。现在攻击者要做的就是不断地窥探用户的硬驱,寻找能为他指出该用 户业务场
所的用户简历或一些与工作相关的其它文档,从而使他能够对网络发动强大的攻 势。
Tree.dat: 这是一个由通用软件CuteFTP用来存储用户ftp站点/用户名/口令的文 件。
利用一个称为FireFTP的程序,攻击者就能轻易地破解tree.dat文件。这样,如上 所述,
他能不断地收集有关您的信息并对您的业务场所发起攻击。显而易见,如果您在
tree.dat中有一个直接到您业务场所的ftp映射,那么他就能更容易地攻击您的网 络。
PWL: PWL一般内置在Win95机上。它们用来为Windows95最终用户存储操作特有的 口
令。一个称为glide.exe的工具会破坏PWL文件。另外还有一些介绍如何用计算器 人工破坏
这些PWL文件加密的文档。接下来,攻击者会继续收集有关用户的信息并拟订攻击 方案。
PWD: PWD文件在运行FrontPage或Personal Webserver的机器上。这些文件包括纯 文
本用户名和一个与用来管理Web站点的身份证明资料相匹配的加密口令。用于这些 口令的
加密方案是标准的DES方案。众所周知,在internet上提供有很多破坏实用程序的 DES。
Solar Designer编写的John the Ripper能非常有效的破坏这些口令。
-- 阿鲁的阿,阿鲁的鲁!
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.101.167.139]
|
|