发信人: reynolds(闪电雷龙)
整理人: reynolds(2001-02-08 11:25:40), 站内信件
|
WS_FTP.ini: 这个ini文件在使用ws_ftp软件的机器上。尽管适用于这个文件的自
动
口令析取字最近才被推荐给安全界,但所采用的加密机制还不够强壮。口令是被
转换成十
六进制数(2位)的。如果一个数字在N位置,那么N就被增加到该数字上。反向操
作就会
破坏这个加密方案。
(这种方法有时也可破坏PMail.iniCPegasus Mail和Prefs.jsCNetscape。)
IDC文件:IDC(internet数据库连接符)文件一般用于从web服务器到数据库的后
端
连接。因为这种类型的连接一般都需要身份认证,所以,一些IDC文件包含有纯文
本的用
户名/口令。
waruser.dat: 这是适用于通用Win32 FTP服务器——WarFTP的配置文件。这个特
殊
的dat文件可包含FTP服务器本身的管理口令。根据作者掌握的资料,这种情况仅
在
WarFTP 1.70版中发生。
$winnt$.inf:在WindowsNT的独立安装过程中,安装进程需要信息文件。作为这
个
独立安装进程的残余数据,有一个称为$winnt$.inf的文件位于%systemroot%\sy
stem32
目录下。这个文件可包含有在安装过程中要使用的帐户的用户名/口令。因为在这
些类型
的安装中所使用的帐户一般都需要网络上的允许权限设置,所以这是一件很重要
的事。
Sam._:尽管人们很早就知道如果SAM数据库被心怀叵测的人所利用就会出现问题
,
但很多人都不记得这个sam._文件了。如果入侵者能够通过网络安装驱动器,那该
如何拷
贝SAM数据库呢?一般情况下这是不大可能的,因为您所连接的NT服务器正在运行
。当NT
服务器正在运行时,它会锁定SAM。不过,如果管理员已经创建了一个紧急修复盘
,SAM的
拷贝就应该位于%systemroot%\repair\目录下。这个文件将命名为sam._。根据默
认值,
这个拷贝是人人都可读取的。通过利用samdump实用程序的拷贝,您就能从复制的
SAM中转
储用户名/口令。
ExchVerify.log:这个ExchVerify.log文件是由Cheyenne/Innoculan/ArcServe生
成
的。一般情况下,它是通过安装Cheyenne/Innoculan/ArcServe软件生成的,内置
在进行
软件安装的驱动器的根目录下。这个文件可包含有极其敏感的信息,如下所示:
: ExchAuthenticate() called with
NTServerName:[SAMPLESERVER]
NTDomainName[SAMPLESERVER] adminMailbox:[administrator]
adminLoginName:[administrator]
password:[PASSWORD]
很明显,这个文件包含有入侵者用来进一步破坏您的网络完整性的信息。
Profile.tfm:Profile.tfm是一个由POP3客户机软件AcornMail生成的文件。在撰
写
本文时,AcornMail开始引起internet界的广泛关注。在检测该软件时,我们发现
它是一
个很有效的POP3客户机,但其安装并不很好地兼容NTFS。在安装完该软件后,我
们开始检
查AcornMail生成的文件,发现Profile.tfm文件保存有用户名/口令。一开始,我
们断定
该软件完全正常,因为它确实以加密的形式存储口令。接着,我们意识到profil
e.tfm的
允许权限被设置为Everyone/完全控制。这样就有了问题,因为任何人都能得到该
文件的
一个拷贝并把这个文件插入他们自己的AcornMail安装程序中。然后,入侵者就能
用已存
储的信息来登录。下面是网络监测器中的俘获信息:
00000000 00 01 70 4C 67 80 98 ED A1 00 01 01 08 00 45 00 ..pLg........
.E.
00000010 00 4A EA A7 40 00 3D 06 14 88 CF 62 C0 53 D1 36 .J..@.=....b.
S.6
00000020 DD 91 00 6E 04 44 F6 1E 84 D6 00 32 51 EB 50 18 ...n.D.....2Q
.P.
00000030 22 38 64 9E 00 00 2B 4F 4B 20 50 61 73 73 77 6F "8d...+OK.Pas
swo
00000040 72 64 20 72 65 71 75 69 72 65 64 20 66 6F 72 20 rd.required.f
or.
00000050 68 6B 69 72 6B 2E 0D 0A jjohn...
00000000 98 ED A1 00 01 01 00 01 70 4C 67 80 08 00 45 00 ........pLg..
.E.
00000010 00 36 A4 02 40 00 80 06 18 41 D1 36 DD 91 CF 62 [email protected].
..b
00000020 C0 53 04 44 00 6E 00 32 51 EB F6 1E 84 F8 50 18 .S.D.n.2Q....
.P.
00000030 21 AC 99 90 00 00 50 41 53 53 20 67 68 6F 73 74 !.....PASS.xe
rox
00000040 37 33 0D 0A 63..
如您所看到的,用户名/口令确实是用纯文本传送的。这不是AcornMail的错,但
是在
POPvX中已经有问题出现。这个“数据”文件对换/包取样的方法已经由Rhino9小
组在大量
的软件上测试过,因此,这一攻击并不局限于AcornMail。
我们已经对入侵者想要得到的文件(如果获得对您的硬驱的访问权限)进行了探
讨,
现在我们就来讨论一下安放特洛伊木马。如果有一种方法能使攻击者获得大量的
信息,那
就是安放特洛伊木马。公开的文件共享攻击一般都会为安放特洛伊木马提供方便
。在最容
易安放和最广为人知的特洛伊木马中,有一个是捆绑在批处理文件中的PWDUMP实
用程序。
如果准备妥当,这个批处理文件就会最小化执行(也被称为聪明的文件,如viru
scan.cmd
),然后再运行PWDUMP实用程序,在运行了它的进程后删除PWDUMP实用程序,并
最终删去
文件本身。它一般都不会留下证据,并会在该台机器上生成一个完美的所有用户
名/口令
的文本文件。
“游戏”规则:目标必须是NT主机,执行特洛伊木马程序的最终用户必须是管理
员,
这样,攻击者就能把批处理文件放在管理员启动文件夹中,开始等待。当下一次
管理员登
录到机器上时,批处理文件就执行和转储用户名/口令。然后,攻击者就会通过文
件共享
连接到该机器上并收集结果。
入侵者可能尝试的另一个可靠的攻击方法是把按键记录器批处理文件放到启动文
件夹
中。这种方法可适用于任何用户,不仅仅是管理员。这样即可收集所有该用户发
出的按键
信息,但没有最初的登录身份资料(这是NT的结构所致,它会在登录过程中终止
所有用户
方式进程)。然后,攻击者就可以连接到目标机上并收集记录下的按键信息。
最致命的特洛伊木马攻击之一就是一个以管理员的身份运行并采用AT命令建立预
定事
件的批处理文件。因为AT命令能作为系统运行,所以,它能生成SAM数据库和注册
表的拷
贝。可以想象得出攻击者采用这种方法时会享受到多么大的乐趣。
如何防止此类攻击呢?不要把文件共享给Everyone群组,并在您的环境中加强口
令机
制。如果入侵者遇到一台每次都要向他提示输入身份证明信息的服务器,入侵者
就会变得
灰心丧气,随即离开。不过,有耐心的入侵者会继续进行Brute Force攻击。
无庸置疑,Brute Force NetBIOS攻击最常用的工具是NAT。NAT(NetBIOS检查工
具)
工具让用户能够通过可能的用户名/口令列表使网络连接命令自动操作。NAT将通
过所提供
的列表中的每一个用户名和每一个口令试着连接到远程机上。这是一个很漫长的
过程,但
攻击者往往会使用一个常见口令的缩短列表。
一个成功的入侵者会通过上述信息收集方法建立他自己的用户名列表。入侵者准
备使
用的口令列表也是通过收集到的信息建立的。他们通常从不充实的口令列表开始
,然后根
据用户名建立其余的口令列表。这对于那些能找到给用户名设置的口令的安全专
业人士来
说完全是意料之中的事。
攻击者可以指定一个要攻击的IP地址,也可以指定整个范围内的IP地址。NAT会尽
力
完成这项任务,并一直生成格式化报告。
有段时间以来, URL相关的新攻击类型每周都会出现。在上述脚本缺陷之后出现
的是
另一个脚本相关的bug,它使入侵者能够在目标机上生成一个文件,随后再执行该
文件。
其URL结构是:
http://www.someserver.com/scripts/script_name%0A%0D>PATH\target.bat
当这个缺陷首次出现时,业界有很多人都不大重视这个问题。接着,就有消息发
布,
证明了入侵者为获得修复SAM拷贝会采取的具体步骤。其中就包括了上面的URL缺
陷,它是
整个攻击的组成部分。
当Microsoft发布Internet信息服务器3.0时,活动的服务器页面(active server
page)技术开始走向世界。而同时,这一发布也为影响IIS和NT4的大量新缺陷的出
现打开
了大门。
活动的服务器页面为Microsoft界提供了简单的和动态的Web页面。人们可以通过
很多
不同的方法来使用,如数据库连接、标引与搜索文档、身份认证以及用于那些讨
厌的广告
标题的简单图形旋转等。
活动的服务器页面这一概念实际上是相当有创造力的。HTML代码包括有在服务器
端执
行并为最终用户生成动态内容的嵌入式脚本代码。有了这个被广泛使用的新技术
,向公众
发布第一个缺陷也就指日可待了。这个被成为"dot flaw"的第一个缺陷使入侵者
能够在服
务器不执行脚本的情况下查看到脚本。
其标准的URL结构是:
http://www.genericserverhere.com/default.asp
其攻击URL结构是:
http://www.genericserverhere.com/default.asp.
这一攻击会在攻击者的Web浏览器上显示未执行代码。不用说,脚本代码会包含敏
感
信息,如远程连接到数据库上的用户名/口令。在所有信息中,这一类信息是用户
不希望
入侵者接触到的信息。
当dot flaw的修复方法发布时,也发布了对付修复方法的缺陷的变体。第一个变
体是
%2e。%2e是period的十六进制值,因此,这表明所提供的修复方法还不够健壮。
这种缺陷
的各种变体有时还在出现。由于所有变体都产生相同的最终结果,所以这里就不
一一赘述
了。下面是一些攻击URL结构:
http://www.someserver.com/default%2easp
http://www.someserver.com/default%2e%41sp
http://www.someserver.com/default.asp::$DATA
http://www.someserver.com/shtml.dll?.asp
安全界的每一个人都有这样的感觉:近期内,这些方法不会是最后的脚本显示方
法。
随着这些脚本的应用越来越广泛,它们将包含越来越多的敏感信息。这些简单的
方法可导
致入侵者轻而易举地获得敏感信息。
就通过IIS收集信息而言,最常见和容易的攻击之一就是索引服务器(Index Serv
er)
攻击。索引服务器是一个包括在internet信息服务器(IIS)3.0中的小搜索引擎模
块。这个
模块使Web管理员能够向访问其站点的访问者提供搜索Web站点内容的可搜索界面
。虽然索
引服务器本身并没有什么问题,但如果Web站点管理员缺乏培训就会出现问题。索
引服务
器的安装和维护都很简单,不过,它对目录和作用域的使用会导致管理员不能正
确地配置
允许权限和可搜索内容。这一配置问题会使入侵者获得在一般情况下他需要花大
量的时间
和精力才能得到的对信息的访问权限。
这种攻击的默认URL结构是:
http://www.someserver.com/samples/search/queryhit.htm
这个路径反应出了进入样本页面的默认路径。如果这个路径不是一个有效路径,
入侵
者就会仍然点击具有帮助作用的标题“Search This Site”链接,访问相同的信
息。一旦
入侵者成功地访问到该html文档,就会出现一个包含有表格字段的Web页面。在这
个表格
字段中,访问者一般都会输入他想搜索的信息。入侵者会采用一个文件名搜索字
符串,
如:
#filename=*.txt
这个字符串会指示索引服务器通过索引的数据目录搜索任何以该文件扩展名结尾
的文
件。请记住,这个文件扩展名并不局限于索引服务器能理解的扩展名。如果索引
服务器遇
到一个它不知道的文件类型,它就会把这个文件类型当作二进制来处理,并对文
件名、扩
展名、日期及其它属性编写索引。这表明入侵者可搜索任何信息,包括能搜索到
修复sam
的*._。有趣的是,索引服务器与其它internet搜索引擎不同,它不会显示请求者
没有访
问权限的文件。也就是说,如果索引服务器返回一个它找到文件的信息,那么该
文件就是
可访问的。
入侵者会试着利用的另一个默认功能是Internet信息服务器Web管理界面。在IIS
默认
的安装中,Web管理界面内置在Web根目录的”iisadmin”子目录下,这说明它的
URL攻击
结构是:
http://www.someserver.com/iisadmin
如果管理员在这个界面上已经错误地配置了允许权限,那么,入侵者就会通过管
理功
能获得对Web服务器的未授权访问。如果访问成功,就会出现一个管理工具的htm
l界面。
根据IIS和NT处理允许权限的方法,入侵者有可能得到访问界面的权限,但没有真
正采取
任何行动的允许权限。因此,如果您正在检查您自己的网络,一定要作一些小的
更改,以
确定网络是不是有问题。
在97年底和98年初曾经发生过大量的Web服务器攻击。在这些攻击中,大部分攻击
都
具有一个共同点:web服务器正在运行Microsoft Frontpage Extensions。Front
page
Extensions是很小的"web bots",如果您愿意,即可让作者或web站点管理员执行
复杂或
相关的任务。
Frontpage Extensions存在的问题是,默认的Frontpage安装不安全,尤其是在U
NIX
版本中。大量支持这些扩展名的服务器都没有设口令,或者把管理权限分配给Ev
eryone群
组。这里的Everyone群组还是表示每个人,包括匿名连接。
下面,我们来看一看第一个采用Frontpage客户机软件进行的攻击。
支持Frontpage的服务器会有若干个以字母”_vti”开头的工作目录。在任何常用
的
搜索引擎上搜索默认的Frontpage目录会得到大量从引擎上返回的信息。然后,入
侵者就
能对这些服务器进行简单而又反复的攻击。这种攻击的执行过程如下:
1- 打开您自己的Frontpage个人拷贝
2- 进入”Open frontpage web”对话框
3- 输入您要攻击的服务器的URL或IP
如果服务器没有设口令,或者,如果允许权限是分配给Everyone群组的,Frontp
age
就会为您打开远程站点并允许您能够进行更改。这种攻击实际上是很简单的。如
果扩展名
正确,就会出现用户名/口令对话。入侵者可以尝试一些基本的组合如管理员/口
令。如果
入侵者有兴趣,他会一直尝试下去。
另外,入侵者还可以用同样的"open frantpage web"方法来得到完整的用户列表
。这
种方法可以用在brute force攻击中。鉴于对通过这种方法终止用户名的收集进行
解释的
文件资料已经公开发布,您就应该建立一个象FP_www.yourdomain.com:80这样的
限制群
组。这个新的限制群组确实起作用,除非入侵者采用的是您的服务器的IP地址,
而不是域
名。
还有其它一些方法能够与Frontpage一起使用,它们会抓取Frontpage口令文件。
Frontpage一般把口令存储在_vti_pvt目录下,有相同的service.pwd。入侵者会
试着执行
下列URL:
http://www.someserver.com/_vti_pvt
如果允许权限设置不正确并允许目录浏览,入侵者就会得到该目录下的文件,包
括
service.pwd。管理员通常会重视安装和站点的安全性并限制对该目录的访问。尽
管这个
方法不错,但始终要防止NTFS对网络造成破坏。根据NTFS的配置,用户仍然可以
得到口令
文件的访问权限,即使对其父文件夹的访问已经被拒绝。在这种情况下,入侵者
只需在
URL中输入访问该文件的完整路径,如:
http://www.someserver.com/_vti_pvt/service.pwd
尽管Frontpage口令文件是加密文件,但它是用标准DES加密的,因此,任何DES解
密
高手都能在正确诊断该文件后获得口令信息。另外,入侵者也会刺探其它_vti目
录,因为
这些目录有时也会保存敏感信息。在掌握了用户名并对口令解密后,入侵者就会
用他的
Frontpage重新连接并提供身份证明信息;或者,如果相同的用户名/口令在上下
文中能起
作用,入侵者即可通过其它方式利用这些身份证明信息,如映射网络驱动器等。
(注:Service.pwd不是唯一已知的口令文件名。已经掌握的口令文件有Authors
.pwd
, admin.pwd, users.pwd和administrators.pwd等。)
在Frontpage相关的方法中,二进制FTP方法被看作是技术上最成熟的方法,虽然
这种
方法实现起来相当容易。这个二进制攻击会使入侵者通过Frontpage扩展名执行任
意二进
制文件。入侵者必须找到既支持Frontpage又支持FTP匿名可写程序的服务器。在
通过FTP
连接到服务器之后,入侵者就可以新建一个名为_vti_bin的目录。然后他就可以
下载他想
放在新建目录下的任何可执行程序。一旦上载了可执行文件,入侵者就会输入下
列URL:
http://www.someserver.com/_vti_bin/uploaded_file
然后,服务器就会执行这个文件。
在二进制进攻方法被传播开来不久之后就发现了_vti_cnf。这会使入侵者查看到
特定
目录下的所有文件。通过用_vti_cnf替换index.html,入侵者就能看到该目录下
的所有文
件,并有可能获得访问权限。这种攻击结构如下:
标准结构—http://www.someserver.com/some_directory_structure/index.htm
l
攻击结构—http://www.someserver.com/some_directory_structure/_vti_cnf
看起来,能产生类似结果的相同攻击类型数不胜数。遗憾的是,事实确实如此。
在这
些缺陷中,有很多已经被研究缺陷变体的人士所发现,但并不是所有影响NT Web
服务的缺
陷都来自Internet信息服务器。
另外还有其它一些将在NT上运行的Web服务器软件包,象众所周知的Apache Web服
务
器。当然,有了这些第三方Web服务器软件包和在这些第三方软件包上运行的脚本
,新的
缺陷注定会暴露出来。
Webcom Datakommunikation曾经发布了一个允许Web站点的访问者在来宾卡上签名
的
cgi脚本。Cgi脚本的名字是guest.exe。只要发出正确的命令,这个小小的cgi脚
本就会使
攻击者查看到您服务器上的任意文本文件。
访问者要签名的表格页面包含了很多隐藏字段。其中一个隐藏输入字段如下(根
据
David Litchfield的报告):
input type="hidden" name="template"
value="c:\inetpub\wwwroot\gb\template.htm">
or
input type=”hidden” name=”template” value=”/gb/template.htm”>
这里的template.htm是在用户输入信息后通过wguest.exe显示出来的文件。为了
利用
这一点,攻击者会查看源代码并把该文档保存在他的桌面上,然后通过改变他想
查看的任
意文件的路径对这一行进行编辑,例如:
input type="hidden" name="template"
value="c:\winnt\system32\$winnt$.inf">
[如果完成了独立安装,即可通过这个文件得到管理口令]
然后,点击”Submit”,wguest.exe就会显示这个文件。这种方法没有用PWL文件
测
试过。不过,攻击者必须知道他要查看的文件的正确路径。
另一个“类属的”HTTPD方法涉及到一个在WindowsNT上运行的第三方Web服务器产
品,称为Sambar服务器。下面是直接从招贴中引用的内容:
查看攻击对象的HDD是大有可能的。您可通过使用这些关键字
+sambar +server +v4.1
搜索Internet,找到运行Sambar服务器的计算机。
如果您找到的站点是:http://www.site.net/,就做一次测试,运行一个perl脚
本:
http://www.site.net/cgi-bin/dumpenv.pl
现在您看到的是攻击对象的计算机的完整环境,包括他的路径。您可以试着通过
以下
URL以管理员的身份登录:
http://www.site.net/session/adminlogin?Rcpage=/sysadmin/index.html
默认登录为:admin;默认口令为空白。如果攻击对象还没有更改他的设置,您现
在
就能控制他的服务器。另一个特征是查看攻击对象的HDD。如果您能运行perl脚本
,也就
应该能(在大多数情况下)通过他的路径查看目录的脚本。大多数人在路径行中
都有
C:/program files和C:/windows,因此,您可以利用以下URL:
http://www.site.net/c:/program files/sambar41
我们在这里简单提一下Netscape Enterprise Server。有些软件版本通过允许用
户访
问目录对?PageServices参数作出反应。http://www.site.net/?PageServices就
是实现方
法。
最后,我们再来看看FTP。FTP是一个比较安全的协议。很多人会认为平台和版本
冗余
使它更安全,总的来说,这种看法是正确的。但多数经验丰富的安全专业人士会
告诉您,
如果最终管理员没有受过专业培训,版本和平台实在没有多大意义。鉴于Rhino9
按照FTP
允许权限已经能够渗透大量的服务器,我们就在这里给一个简单的提示。有些管
理员不会
注意或理解他们的Web服务器上的”Anonymous world writable”。但Rhino9通过
一个错
误配置的FTP服务器提出了疑问并渗透到整个网络。
通过anon-ftp-writable把NetCat上载到服务器上、通过URL执行这个程序以及把
它绑
定到端口上都很容易实现。从那一刻起,您在NT上就有了一个远程“外壳”。通
过连接到
该远程NetCat绑定,所有从该外壳发出的命令行功能似乎都是从具有在内部用户
上下文中
运行的NetCat绑定的那个外壳发出的。
其它的信息收集与渗透方法
======================================================================
========
(如同那些包括很多不同主题的安全相关文档一样,有些主题似乎有点不合时宜
。这
一节将探讨一些确实不适合本文的不同方法。如有内容不完整之处,敬请原谅。
)
如果说Rhino9小组有一个投入大量时间来研究的产品,那就是WinGate。第一个有
关
WinGate的问题是通过具有所有后续连接的WinGate进行“弹跳”的功能。这个小
缺陷非常
容易使用。入侵者可以远程登录到WinGate端口并看到这样的提示符:
WinGate>
在该提示符下,您能发出一个独立的远程登录命令,或者利用WinGate的SOCK功能
建
立其它连接。当该软件产品的开发商急于发布其修复版本和公告栏时,下一个版
本的发布
也出现了问题。
在WinGate的默认安装中,WinGate机器是用记录服务配置的。记录服务监听WinG
ate
机器的8010端口。通过建立该端口的HTTP连接,入侵者就会得到两个信息:
“Connection Cannot Be Established”
或WinGate机器硬驱的列表。请记住,这是一个默认安装,可以通过更改默认安装
配
置来修复。
随着Exchange服务器成为越来越通用的邮件服务器包,其缺陷也开始出现。第一
个暴
露出来的缺陷是Exchange结构中的口令高速缓存问题。下面是直接从原版招贴中
引用的内
容:
用提供有POP3服务的Exchange 5.0在您的NT域上新建一个用户xyz。把xyz的口令
设置
为a1234。到目前为止一切都正常。现在把xyz的口令更改为b5678。您就会发现无
论使用
这两个口令中的哪一个,POP3邮件客户机都能登录。现在再把口令改为另一个值
,您会发
现POP3客户机(或直接远程登录到110端口)能够用这三个口令中的任何一个登录
。结果
是这些口令都起作用。由于Exchange 5.0服务POP3连接符采用非散列机制对口令
进行高速
缓存,因此,所有的口令都能起作用。这一特征既不影响用来接收那些采用不同
身份认证
的邮件的Web页面新界面,也不影响NT登录。在非POP3登录信息中,口令不是高速
缓存的
(除了NNTP和LDAP以外)。如您所看到的,高速缓存问题在特定环境中是一个非
常严重的
问题。
入侵者用来收集信息的另一个方法是基于目标邮件服务器的SMTP端口的。为了保
证适
应SMTP并能与internet上的其它邮件实体完全交互,基于NT的SMTP邮件服务器要
掌握验证
特征。通过建立与邮件服务器SMTP端口的远程登录会话,入侵者能够发出连同用
户名一起
的验证命令。如果验证特征被激活,服务器就能告诉入侵者它是否是有效的用户
名。攻击
命令是:
vrfy administrator (该命令会验证用户指定的管理员是否存在)
在一些邮件系统上,首先要求入侵者完成HELO排序,不过这一步非常简单。显而
易
见,这会导致入侵者收集到有效用户名列表,然后用于其它攻击。
--
阿鲁的阿,阿鲁的鲁!
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.101.167.204]
www.163.com |
|