3.IPC$連接入侵的高級手段
然而每個“黑客”都不可能那么笨,非要一直等到下次企業(yè)系統(tǒng)管理員登陸以后才可以占有,往往“黑客”會使用更加巧妙的手法,迅速的留下后門。首先他們還是先建立IPC$連接,連接以后他們會使用各種手法開后門,比如打開Telnet服務(wù),“黑客”怎么打開Telnet服務(wù)呢?其實有很多種方法,比如微軟公司自己就出了一個小程序“netsvc.exe”就是專門讓系統(tǒng)管理員在建立IPC$連接以后遠程打開服務(wù)用的管理工具,但這個工具到了“黑客”手中自然也成了必不可少的“黑客”工具了。在命令符下輸入“netsvc \\192.168.0.1 telnet /start”大概等5分鐘對方的Telnet服務(wù)就打開了,然后“telnet 192.168.0.1”嘿嘿……等!需要NTLM驗證,這下又把“黑客”攔在了外面了,這時他們又會用到一個小程序了,就是專門關(guān)閉一個NTLM驗證的程序ntlm.exe。(當(dāng)然也可以是其他名字)“copy ntlm.exe \\192.168.0.1\admin$\system32”把ntlm.exe復(fù)制到對方企業(yè)服務(wù)器的system32目錄下。復(fù)制過去了,可怎么讓他運行呢?當(dāng)然多的是辦法了?!皀et time \\192.168.0.1”看看對方系統(tǒng)時間為多少假設(shè)為18:00。現(xiàn)在再輸入“at \\192.168.0.1 18:02 ntlm.exe”,等一會后,命令提示符顯示新加任務(wù) ID=1,意思是對方系統(tǒng)在18:02時運行ntlm.exe這個程序,等到18:02以后,然后再“telnet 192.168.0.1”嘿嘿~這回是提示需要輸入用戶和密碼了,輸入所得到的管理員用戶名和密碼以后就成功的Telnet到了企業(yè)服務(wù)器了……
不過這樣一下是Netsvc,一下又是At實在是麻煩,現(xiàn)在就介紹另一個方法,首先還是先感謝微軟為NT系統(tǒng)管理員提供的方便的管理功能,這一功能到了“黑客”手中可說是“黑客”的福音,不用“黑客”再這么麻煩的輸入這樣那樣的命令了。建立好IPC$連接以后(IPC$連接果然是一種功能非常強大的管理連接),打開本地計算機里的“計算機管理”,用鼠標(biāo)右鍵點計算機管理窗口里的“計算機管理(本地)”里面有“連接到另一臺計算機”選擇它,在“名稱”里輸入“192.168.0.1”確定以后,首先你的NT系統(tǒng)會看是否建立IPC$連接,“有”就連接上去了,現(xiàn)在你就可以直接管理192.168.0.1了,比如看他的日志,啟動他的服務(wù)(當(dāng)然包括Telnet了),管理他的IIS,什么都有。多研究一下,連注銷對方系統(tǒng)當(dāng)前登陸的用戶,重新啟動對方計算機,關(guān)閉對方計算機都有,真是強大。NT系統(tǒng)到了“黑客”手中,整個系統(tǒng)都成了一個“黑客”工具了,而且是功能非常強大的“黑客”工具。啟動了Telnet了,可還是要NTLM驗證怎么辦?簡單,在本地計算機建立一個用戶名和密碼相同的用戶,如果已有就把密碼改為相同,然后使用這個用戶在本地重新登陸,“telnet 192.168.0.1”嘿嘿~連密碼都不用輸入了!因為通過NTLM驗證了啊。
現(xiàn)在那些安全意識差的企業(yè)系統(tǒng)管理員們知道了暴露了管理員密碼的危險性了吧?還沒完呢。都到這一步了還沒完?機器都被“黑客”完全控制了呀——是的,還沒完,看吧!
4.深入入侵
這一步就需要“黑客”有豐富的經(jīng)驗,實戰(zhàn)操作能力要求很高,也不再是文字能描述清楚的了,下面就只能粗略的介紹一下。
“黑客”當(dāng)然不會僅僅在攻餡一臺服務(wù)器以后就立刻罷手了,他會深入入侵你的內(nèi)網(wǎng),尤其是在一個企業(yè)中,往往都是計算機群。那些商業(yè)間諜“黑客”當(dāng)然就更加的想入侵到企業(yè)內(nèi)部去了。而很多企業(yè)系統(tǒng)管理員喜歡把所有的服務(wù)器的密碼設(shè)為相同,就給“黑客”提供了一個良好的入侵條件。Telnet到對方服務(wù)器以后,輸入“net view”企業(yè)中整個一個工作組或域的計算機這時都一展無余。同樣在Telnet里建立IPC$連接以后象入侵這臺服務(wù)器一樣的入侵了。前面說的建立IPC$連接都是使用的圖形界面,然而這時候已經(jīng)不再擁有圖形界面了,現(xiàn)在假設(shè)企業(yè)內(nèi)網(wǎng)的192.168.0.2的密碼和這臺服務(wù)器密碼相同,這時可以使用“net use \\192.168.0.2\IPC$ passwd/user:username”來建立IPC$連接了,然后是映射驅(qū)動盤,輸入“net use z: \\192.168.0.2\c$”這樣就把192.168.0.2的C盤映射到192.168.0.1的Z盤去了。輸入“z:”就可以象瀏覽192.168.0.1的硬盤一樣,瀏覽192.168.0.2的C盤。而如果他是商業(yè)間諜“黑客”,一旦發(fā)現(xiàn)里面有價值的東西自然不用說將來會發(fā)生什么事了。當(dāng)然這往往還算是最好的條件,其實還是有相當(dāng)一部分企業(yè)系統(tǒng)管理員不會把密碼設(shè)為一樣的?,F(xiàn)在就看網(wǎng)絡(luò)的情況了,如果入侵的正好是一臺主域控制器,嘿嘿,那對于商業(yè)間諜來說可是高興死了,趕快把自己升級成域管理員,這下整個企業(yè)的一個域的機器都落在了他的手中。當(dāng)然在“黑客”手中這也算是一種非常好的情況,但現(xiàn)在微軟行行色色的漏洞越來越多,同時也根據(jù)“黑客”的經(jīng)驗的多少,決定著入侵內(nèi)網(wǎng)的機會的大小。
在一個企業(yè)中,往往直接連接Internet的是Web服務(wù)器。而一個有耐性的“黑客”,一個想入侵這個企業(yè)的商業(yè)間諜當(dāng)然會不惜一切手段入侵,其中一個手法就是利用Web服務(wù)。微軟公司在今年出現(xiàn)的MIME漏洞就有很好的利用價值。這里順便介紹一下MIME漏洞,MIME在處理不正常的MIME類型中存在問題,攻擊者可以建立一個包含可執(zhí)行文件的附件的HTML,E-mail并修改MIME頭,使IE不正確處理這個MIME,而執(zhí)行所指定的可執(zhí)行文件附件。有了這個漏洞,“黑客”將會更換Web服務(wù)器的主頁,在主頁里把MEMI漏洞攻擊代碼插進HTML中,使得企業(yè)內(nèi)部的員工在瀏覽自己公司主頁時運行指定的程序。(企業(yè)內(nèi)部絕對不可能從來不看自己的主頁的,尤其是企業(yè)負責(zé)人,他們一般都會不定期的檢查主頁。)那么他們在瀏覽自己的主頁時就無聲無熄的執(zhí)行了“黑客”所指定的程序,這個程序可能是木馬,也可能同樣是添加用戶的批處理文件。
由上面可以看出一旦NT系統(tǒng)的密碼泄露是一件多么危險的事情,尤其在一個企業(yè)當(dāng)中。同時一個企業(yè)網(wǎng)絡(luò)的拓撲是否合理也起著非常重要的作用,并且“黑客”尤其是商業(yè)間諜所利用的手法遠遠不只有這些,他們還可以利用其它方式,比如電子郵件等各種途徑來得到企業(yè)內(nèi)部的敏感信息或保密信息。
5.其它入侵
其它還可以通過3389端口入侵。3389是Win2000系統(tǒng)的自帶的,并且是圖形界面的,遠程管理服務(wù)的端口?!昂诳汀币坏┯辛斯芾韱T密碼,危險性也更加直觀化。另外就是通過IIS的管理入侵,在默認情況下IIS提供一個Web方式的管理服務(wù),在c:\inetpub\wwwroot里有一個叫iisstar.asp的東西,如果可以訪問,而且有管理員密碼(NT4里不是管理員也可以,只要是NT的合法賬號)就可以遠程通過Web方式管理IIS信息服務(wù),然后通過特殊手法進一步控制整個機器,然后是整個企業(yè)……
