|
 | 作者: yoyo989898 [yoyo989898]
 论坛用户 |
登录 |
| 细想想,Windows 2000 提供的功能实在是太强大了,这大大方便了Admin们的管理工作,不过利弊向来都是并存的,正是因为Windows 2000 提供的强大功能,让您稍微不留神,系统就被黑客们光顾了,系统信息被暴露,是非常可怕的事情,这意味着黑客已经掌握了你的服务器一半的情况,一旦发现了系统的漏洞,就意味着下一步入侵的开始。举个简单的例子:如果你的服务器无意中开了一个共享文件夹,黑客想办法获取了你的服务器信息,发现这个共享文件夹允许访问,呵呵,很可能,就被他做个Pub什么的用用…… 说了半天,到底远程能够获取什么样的系统信息呢?很多很多,不完全的说一下比较关键的一些信息吧: Server Name:服务器的名字 Server Comment::相关的说明信息,很多管理员喜欢在这里写上些敏感信息的:) Server Type:服务器类型,通过这个,黑客们可以判断出目标服务器是处于什么环境之下,比如可以判断出:A LAN Manager workstation,A LAN Manager server,Windows NT/Windows 2000 workstation or server,Windows NT/Windows 2000 server that is not a domain controller,Server running a browser service as backup,Server running the master browser service Major_version:,inor_version:这两个分别是服务器大版本号和小版本号,黑客通过这个得到了操作系统的版本信息,比如,大版本号为5,小版本号为0,择说明是一台windows 2000的服务器,而下一步就是查找windows 2000的安全漏洞了 current date,current time is:服务器的日前和时间,通过这个,可以判断出服务器所在的时区,良好掌握渗透的时间 Session:得到当前服务器的会话连接IP地址,这个作用就比较广泛了,可以根据实际情况,灵活的运用 Share Enum:这是个很重要的信息,他展示出了服务器上所有的共享文件夹,包括隐含的共享,一旦发现可利用的共享信息,黑客只需简单的在浏览器中输入\ipshare,就可以访问到目标主机的共享信息,就是这么危险! UserEnum:这个东西更可怕了,连服务器的帐号信息都取来了,其中包括用户登陆成功次数,失败次数,帐号使用时间,登陆脚本路径,口令生效时间……这些连系统管理员都看不到哦!此外还有一些信息会被暴露出来,比如:用户名,用户权限,用户说明信息,是否帐号禁用……这很可能造成弱口令的用户名被轻易破解,簇新的系统管理员如果留个user:test,password:123之类的帐号在里面,估计服务器就保不住了。 LocalGroupEnum:枚举本地组,呵呵~~ 此外还有UseEnum,FileEnum,ScheduleJobEnum……实在太多了~ 下面,来说说最重要的部分――到底这些信息怎么样才能获取呢? 打开你的winnt/system32这个文件夹,找找看,是不是有一个叫做netapi32.dll的文件?从文件名,我们就可以知道,这是个和网络函数相关的动态连接库,这个就是我们需要找的东西哦!上面取得的信息,其实全部是通过这个DLL文件来实现的。对应于这个DLL文件,Windows 2000提供了一组相关的API函数调用,装上Platform SDK这个开发工具包,然后请打开你的MSDN,输入要查找的关键字“Network Management”,然后选择Network Management Reference->Network Management Functions你会看到一组以Net开头的API函数,正确运用这组函数,就可以获取远端服务器的信息了,函数用法是有点复杂,下面举个简单的例子吧: 假如存在一台windows 2000的目标主机,其IP地址为:192.168.10.111,我们现在准备获取他的帐号信息,首先我们建立一个IPC$空会话连接: 建立空会话和断开会话主要用到了两个函数: DWORD WNetAddConnection2( LPNETRESOURCE lpNetResource, LPCTSTR lpPassword, LPCTSTR lpUsername, DWORD dwFlags); 上面的函数是建立一个会话连接,其中LPCTSTR lpPassword, LPCTSTR lpUsername分别是用户口令和用户名,要想建立空会话,则一定要把这两项置成空。 DWORD WNetCancelConnection2(LPCTSTR lpName, DWORD dwFlags, BOOL fForce); WNetCancelConnection2的作用则和WNetAddConnection2是相反的,在获取用户信息后,为了确保安全,黑客会用他迅速的断开与服务器之间的会话。 我已经把它写成了一个类,这个是类其中的一部分函数: BOOL CAhFunc::CreateLine (char * str){ NETRESOURCE netr; TCHAR netBuf[MAX_PATH] ={0}; memset (&netr, 0, sizeof (NETRESOURCE)); //上面的,都是一些初始化的信息 wsprintf (netBuf, "\\%s\ipc$", str); //前面一行,生成了一行字符串“\xxx.xxx.xxx.xxxipc$” netr.dwScope = RESOURCE_GLOBALNET; netr.dwType = RESOURCETYPE_ANY; netr.lpLocalName = ""; netr.lpRemoteName = netBuf; netr.lpProvider = NULL; if (WNetAddConnection2 (&netr, "", "", NULL) == NO_ERROR) //ok!到此为止,简单的用上面一条函数建立了一个IPC$连接,其实他是模拟了windows NT/2000下的这样一条命令:net use \xxx.xxx.xxx.xxxipc$Content$nbsp;“” /user: “”,具体的net use用法,大家看看help吧。 return TRUE; return FALSE; } 下面是断开会话的方法 BOOL CAhFunc::DestoryLine (LPTSTR str){ TCHAR netNB[MAX_PATH] = {0}; wsprintf (netNB, "\\%s", str); if (WNetCancelConnection2 (netNB, CONNECT_UPDATE_PROFILE, TRUE) == NO_ERROR) return TRUE; return FALSE; } 同样的,也是模拟了这条命令net use \xxx.xxx.xxx.xxx /DEL 刚刚说了,我们要取的是远端服务器上的帐号信息,打开MSDN,输入关键字:NetUserEnum,看到了吧?你可以找到这条函数NET_API_STATUS NetUserEnum( LPCWSTR servername, DWORD level, DWORD filter, LPBYTE *bufptr, DWORD prefmaxlen, LPDWORD entriesread, LPDWORD totalentries, LPDWORD resume_handle ); 一大串参数,看起来挺可怕的是吧?:)不要紧,我们一个一个来过: LPCWSTR servername:注意这个啊,它可是要求LPCWSTR类型的数据,也就是说,要求用Unicode字符了,如果你直接为它赋值,是肯定不行的,要绕点弯了,有这样一个函数MultiByteToWideChar (UINT CodePage, DWORD dwFlags, LPCSTR lpMultiByteStr, int cbMultiByte, LPWSTR lpWideCharStr, int cchWideChar); 这个函数的作用就是用来把单字节转换为双字节 DWORD level:用来指定操作级别,不同的用户访问权限,这个级别是不同的。根据不同的级别,可以获取不同等级的系统信息,根据MSDN上的描述,有以下的级别可供选择: 0 在这个级别里,可以获取用户帐号名,它使用USER_INFO_0 这个结构存储,在ipc空连接的时候是可用的 1 Return detailed information about user accounts. The bufptr parameter points to an array of USER_INFO_1 structures. 2 Return level one information and additional attributes about user accounts. The bufptr parameter points to an array of USER_INFO_2 structures. 3 Return level two information and additional attributes about user accounts. This level is valid only on Windows NT/Windows 2000 servers. The bufptr parameter points to an array of USER_INFO_3 structures. Note that on Whistler and later, it is recommended that you use USER_INFO_4 instead. 4 Whistler: Return level two information and additional attributes about user accounts. This level is valid only on Windows NT/Windows 2000 servers. The bufptr parameter points to an array of USER_INFO_4 structures. 10 Return user and account names and comments. The bufptr parameter points to an array of USER_INFO_10 structures. 11 Return detailed information about user accounts. The bufptr parameter points to an array of USER_INFO_11 structures. 20 Return the user's name and identifier and various account attributes. The bufptr parameter points to an array of USER_INFO_20 structures. Note that on Whistler and later, it is recommended that you use USER_INFO_23 instead. 23 Whistler: Return the user's name and identifier and various account attributes. The bufptr parameter points to an array of USER_INFO_23 structures. 与主机建立空会话,已经可以使用除了4和23以外的所有级别了,4和23被保留了,目前在windows 2000下还不支持这两个级别,他是为了后面的Windows XP版本留的。好了,我们有了上面的信息,就开始写程序了: 为了免去诈骗稿费之嫌,我们就举例最简单的level 0 级别操作,在这个级别,你只能取到系统的帐号名,不过这个对于黑客来说,已经足够了J! char netNB[MAX_PATH] = {0}; sprintf (netNB, "\\%s", str); char lpwStr[MAX_PATH] = {0}; MultiByteToWideChar (CP_ACP, 0, netNB, -1, (unsigned short *)lpwStr, MAX_PATH); //呵呵,看上面一行,转换了单字节到双字节 LPUSER_INFO_0 pBuf_0 = NULL; LPUSER_INFO_0 pTmpBuf_0; DWORD dwPrefMaxLen = -1; DWORD dwEntriesRead = 0; DWORD dwTotalEntries = 0; DWORD dwResumeHandle = 0; DWORD i; DWORD dwTotalCount = 0; NET_API_STATUS nStatus; LPTSTR pszServerName = NULL; nStatus = NetUserEnum((unsigned short *)lpwStr, dwLevel, FILTER_NORMAL_ACCOUNT, // global users (LPBYTE*)&pBuf_0, dwPrefMaxLen, &dwEntriesRead, &dwTotalEntries, &dwResumeHandle); // If the call succeeds, if ((nStatus == NERR_Success) || (nStatus == ERROR_MORE_DATA)) { if ((pTmpBuf_0 = pBuf_0) != NULL) { // Loop through the entries. for (i = 0; (i < dwEntriesRead); i++) { if (pTmpBuf_0 == NULL) { fprintf(stderr, "An access violation has occurredn"); break; } // Print the name of the user account. wprintf(L"username:%sn", pTmpBuf_0->usri0_name); //注意看看这里,是宽字节输出,当然你也可以用printf("username:%Sn", pTmpBuf_0->usri0_name);的方法输出,%S表示宽字节,%s是单字节的,输出的信息,是远程主机上的用户帐号 pTmpBuf_0++; dwTotalCount++; } } } else printf("A system error has occurredn"); }while (nStatus == ERROR_MORE_DATA); // end do 如果你愿意,还可以设计一下弱口令的探测规则,比如如果存在用户名为test,则可以尝试口令为“”,“test”,“test123”,“t”,“123”……这个规则越复杂成功率越高哦!大家熟悉的X-Scan 就是用这种方法获取远程主机信息的,口令探测也是这种方法实现的。 其他的信息获取方法和NetUserEnum差不多,只有很小的一些改动,为了节约篇幅,代码就不给出了,如果你需要更多的资料,请关注我的站_blank>http://BigBall.xici.net,我发布了一个用这种方法制作的全功能扫描器,不久后会公布源代码的 |
| 地主 发表时间: 05-02-21 10:31 |
 | 回复: 286 [unique]  版主 |
登录 |
|
东西是不错,但过时了。 比如读XP用户名就读不出来。 |
| B1层 发表时间: 05-02-21 17:31 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 菜鸟乐园 标题: 获取远端Windows2000服务器系统信息