20CN网络安全小组论坛 - 菜鸟乐园 - ＜WIN常见漏洞攻击与防范实战＞第四章Ａ

论坛: 菜鸟乐园标题: ＜WIN常见漏洞攻击与防范实战＞第四章Ａ

作者: wish [wish259]

论坛用户

第四章 Windows NT系统攻防实战
在现有的网络应用中，以Windows NT作为服务器的操作系统的用户越来越多。而在计算机网络的社会中，在保证效率的同时，信息的安全则显得更加重要。这里，我们从用户的角度对Windows NT的安全性做一些探讨。

Windows NT通过一系列的管理工具，以及对用户账号，口令的管理，对文件、数据授权访问，执行动作的限制，以及对事件的审核达到C2级安全，从用户的角度看，通过这一套完整、可行、易用而非繁琐的措施可以达到较好的效果。

Windows NT的安全机制的基础是所有的资源和操作都受到选择访问控制的保护，可以为同一目录的不同文件设置不同的权限。这是NT的文件系统的最大特点。NT的安全机制不是外加的，而是建立在操作系统内部的，可以通过一定的设置使文件和其他资源免受在存放的计算机上工作的用户和通过网络接触资源的用户的威胁(破坏、非法的编辑等等)。安全机制甚至提供基本的系统功能，例如设置系统时钟。NT对用户账号、用户权限及资源权限的合理组合，可以有效地保证安全性。

4.1 NT自身的安全策略

对于用户而言，Windows NT有以下几种管理手段，这些对安全性有着极大的影响：

1.用户账号和用户密码

2.域名管理

3.用户组权限

4.共享资源的权限

4.1.1 用户账号和用户密码

Windows NT的安全机制通过请求分配用户账号和用户密码来帮助保护计算机及其资源。给值得信任的使用者，按其使用的要求和网络所能给与的服务分配合适的用户账号，并且给其容易记住的账号密码。使用对账号的用户权力的限制以及对文件的访问管理权限的策略，可以达到对服务器的数据的保护。其中用户账号有用户名、全名、描述三个部分。用户名是用户账号的标识，全名是对应用户名的全称，描述是对用户所拥有的权限的较具体的说明。组有组名和描述两个部份，组名是标识，描述是说明。一定的用户账号对应一定的权限，NT 对权限的划分比较细，例如：备份、远程管理、更改系统时间等等，通过对用户的授权(在规则菜单中)可以细化一个用户或组的权限。用户的账号和密码有一定的规则，包括账号长度，密码的有效期，登录失败的锁定，登录的历史记录等等，通过对这些的综合修改可以保证用户账号的安全使用。

4.1.2 域名管理

以Windows NT组建的网络是一个局域网范围的网。所谓“域”是指网络服务器和其他计算机的逻辑分组，凡是在共享域范围内的用户都使用公共的安全机制和用户账号信息。每个用户有一个账号，每次登录的是整个域，而不是某一个服务器。即使在物理上相隔较远，但在逻辑上可以在一个域上，这样便于管理。在网络环境下，使用域的管理就显得更为有效。这里我们应该注意到在NT中，关于域的所用的安全机制信息或用户账号信息都存放在目录数据库中(称为安全账号管理器SAM数据库)。目录数据库存放在服务器中，并且复制到备份服务器中。通过有规律的同步处理，可以保证数据库的安全性、有效性。在用户每次登录时，通过目录数据库检查用户的账号和密码。所以在对 NT进行维护时应该特别小心目录数据库的完整性，一般来讲只有管理员才具有对此的编辑权限。

域的最大的优点是域中的控制器服务器形成了共享的安全机制和用户账号信息的单个管理单元，大大地节省了管理员和用户的精力和时间，在管理上较方便，也显得集中。在使用“域”的划分时，我们应该注意到“域”是建立在一个子网范围内，其基础是相互之间的信任度。由NT组网区别于一般的TCP/IP的组网，TCP/IP是一种较松散的组网型式，靠路由器完成子网之间的寻径通讯；而NT组网是一种紧密的联合，服务器之间是靠安全信任建立他们的联系的。主从关系，委托关系是建立在信任度上的。

4.1.3 用户组权限

管理员一般根据用户访问网络的类型和等级给用户分组。组有全局组和本地组。全局组由一个域的几个用户账号组成，所谓全局是指可以授与该组使用多个(全局)域资源的权力和权限。全局组只能在域中创建。本地组有用户账号和一个或多个域中的全局组构成，这些用户在同一个线账号下，只有非本地域的用户和全局组处于受托域中时，才可以将其添加到本地组中。本地组可以包含用户和全局组，但不能包含其它本地组。

Windows NT域控制器包含内置本地组，它决定了用户登录到域控制器时可以进行的操作，域控制器上的内置本地组给管理员在管理域安全机制方面明显的起始位置。每一个内置本地组都有一套预先确定的权力，这些权力自动地应用于添加到该组中的每一个用户账号，假若需要对组中的某些用户的权限做一些修改，可以在用户管理器中进行。建议在使用其默认权力时，对用户进行仔细的筛选，防止在组员中有信用度不高的用户，而对网络资源造成损坏。

4.1.4 共享资源权限

Windows NT允许用户指定他人共享的资源。资源共享后，可以通过网络限制某些用户对他的访问权限，这称为共享权限的限制。针对不同的用户，可以利用资源共享及资源权限来创建不同的资源安全级别。

Windows NT的较大特点在其文件系统NTFS。在NTFS文件系统中，可以使用权限对单个文件进行保护，并且可以把该权限应用到本地访问和网络访问中。在NTFS卷上，可以对文件设置文件权限，对目录设置目录权限。用于指定可以访问的组和用户以及允许的访问等级时，NTFS卷的共享权限与文件及目录的权限共同起作用。共享目录时，通过共享目录设置的权限允许用户连接到共享资源，反之改变设备则可以中断与用户的共享资源的连接。资源拥有者或管理员使用NTFS的共享目录的默认权限(空全控制)，可以使用目录与文件权限来管理文件的安全性问题。

文件属性有四种：只读、隐藏、存档、系统。这决定了文件的基本操作属性。资源的共享权限有五种：不共享、只读、安全、根据口令访问、Web共享。

4.2 NT在网络中的安全性

作为一种针对网络应用的操作系统，安全性通过其本身的内部机制得到了一定的基本的保证，比如：用户账号、用户密码、共享资源权限、用户管理器等等。在实践中的应用也证明Widnwos NT的安全性的可靠程度还能支持应用。但是，随着网络的不断扩大，以及通过Internet互联，资源的共享和系统的安全、用户的隐私(Privacy)、运行的效率这些矛盾日益的突出。在用户获得较大的自由度和灵活性而与世界各地的人和计算机通讯(Who You Want To Communication)的同时，在另一方面增加了系统的冒险性――有人也可以自由通过网络访问你的机器或资源，甚至于你的隐私，给你的系统增加负担，降低运行效率。我们认为，为了更好发挥服务器的作用同时减轻其在安全性上的冒险性，有必要在Windows NT安全模型的基础上结合IIS(Internet Information Server)的安全机制，这样在客观上讲，可以较好的解决上面所说的矛盾。

在网络中，有三种方式可以访问Windwos NT服务器：

1.通过用户账号、密码、用户组方式登录到服务器上，在服务器允许的权限内对资源进行访问、操作。这种方式的可控制性较强，可以针对不同的用户。

2.在局部范围内通过资源共享的形式，这种方式建立在NetBIOS的基础之上。对共享的访问不能经过路由器，范围被限制在一个子网范围内，在使用的灵活性上受到限制，通过对共享资源的共享权限的控制达到安全保护。但不能针对不同的用户，当一个用户在通过共享对某一个资源进行操作时(这时共享权限有所扩大)，其他用户趁虚而入，而造成对资源的破坏。

3.在网络中通过TCP/IP协议，对服务器进行访问。目前典型应用有FTP、HTTP、WWW等。通过对文件权限的限制和对IP的选择，对登录用户的认证可以在安全性上做到一定的保护。但由于Windows NT是微软的产品，其透明度并不高，安全隐患有可能就隐藏于此。第一，Windwos NT本身有可能存在BUG，一但被发现，就有可能造成损失。第二，由于网络的日益庞大，使通过Internet访问某个国家的机密成为可能，假如在编写网络操作系统的同时，为以后通过TCP/IP 入侵留下隐藏的人为的漏洞。

以下是针对上面三种情况在安全措施上作一些介绍：

1.设置用户账号

Windows NT的用户管理器指定允许那些用户或用户组可以在服务器上操作，可以控制对Web节点的访问。可以通过Web客户请求提供在完成请求之前定制的IIS用户名和密码，这样可以进一步控制在网络中对服务器的访问。通过公共的管理工具中的“策略”设置用户权力，在“用户管理器”中配置在计算机上授权用户所进行的操作。用户“Basic”身份验证时用户所要求用于Internet服务的权力，若使用“Windows NT Challege/Response”身份验证，用户使用Internet服务则须要有“从网络访问本机”的权力。

2.设置必要的WWW目录访问权限

在Internet Server Manager中创建Web发布目录(文件夹)时，可以为定义的主目录或虚拟目录及其中所有的文件夹设置访问权限，这些权限是NTFS文件系统提供的权限之外的部分，其中的权限是：只读，只执行，这样可以防止用户修改。

3.通过IP地址控制访问权限

可以配置IIS以允许或拒绝特定的IP地址访问你的服务器或整个网络。在实际应用中，对于一些未知的用户，若从安全的角度出发，可以通过IP设置排出。假若在日志分析中通过分析可以发现某些用户或用户组有不良倾向或侵犯倾向，那Administrator可以通过IIS设置，不再允许这些用户或组的IP地址访问本机及本网络。

4.使用SSL(安全套接字层)保护数据在网络中的传输

在网络应用中数据在网络上的传输的安全是关系到整个网络应有安全的重要问题。使用密码技术保护数据从服务器到客户端的双向传输，从某种意义上说也是保护Windows NT资源不受侵犯的有效途径。SSL为TCP/IP连接提供数据加密，服务器身份验证和消息的完整性。它被视为Internet上的Web浏览器和服务器的标准安全措施。SSL加密的传输较之未加密的传输速度要慢，为了避免整个节点的性能受到影响，所以一般考虑对于较敏感的信息数据才采取SSL加密。目前使用较多的是身份验证、信用卡、电子银行等业务。

还有一点应该考虑到：及时地为数据和文件作好备份，以防止最坏情况的发生。备份应注意几点：有效性，及时性，安全性。根据不同的使用情况在以上几点和价格之间作出一定的折衷。

总之，为了确保基于Windwos NT的服务器在网络中的安全，应该注意到在Windows NT本身的安全模型上加以IIS等外挂的保证安全的应用，这样才能针对不同的问题，相互促进，对一些不足之处进行弥补。在尽力发挥Widnows NT性能的同时，保证其运行的安全，稳定。

4.3 NT攻击理论基础

4.3.1 NT内置组的权限

Windows NT 中内置了几个组，这些组有下面这些权限：

1.Server operators：可以关闭服务器，包括远程关闭，重置服务器的时间，进行备份和还原工作；

2.Backup operations：可以关闭服务器，进行备份和还原工作；

3.Account operations：可以关闭服务器；

4.Print operations：可以关闭服务器。

4.3.2 NT缺省状态下对目录的权限

1.(root)，system32，win32app――Server Operations和Everyone可以读和执行文件，显示文件权限和对文件属性进行改变。

2.system32config――Everyone可以列出这个目录的文件名称。

3.system32drivers，systemrepl――Server Operations有完全控制权限，Everyone有读权限。

4.system32spool――Server Operations和Print Operations有完全控制权限，Everyone有读权限。

5.system32replexport――Server Operations可以读和执行文件，显示文件权限和改变文件属性。Everyone有读权限。

6.system32replimport――Server Operations和Replicator可以读和执行文件，显示文件权限，修改该文件属性。Everyone可以读文件。

7.users――Account Operations可以读写删除执行。Everyone可以列出这个目录的文件。

8.usersdefault――Everyone可以读写和执行。

4.3.3 系统管理员的管理工具的执行权限

1.Disk Administrator――必须是Administrators的组的成员，Event Logeveryone可以执行这个工具，但是只有Administrators组的成员才能看Security Log并且清除Log；

2.Backup――Everyone可以执行这个工具备份他们有权备份的文件，只有Administrators和Back Operations可以超越一般的权限限制；

3.User Manager――Users和Power Users可以建立和管理本地组；

4.User Manager for Domains――当Users和power Users登陆到服务器控制台就可以建立和管理本地组，其他的工作就被限制为只有Administrators和Account Operations才能进行；

5.Server Manager――只有Administrators，Domain Admins，Server Operations可以用这个工具，Account operations只能增加Domain的账号，另外有些额外的功能只有Administrators和Domain Administrators才能使用。

4.3.4 NT的口令

Windows NT的口令信息存储在“WinNTSysem32ConfigSam”文件中，总的来说Windows NT的口令加密方式是比较脆弱的，由于没有象Unix样考虑的更加周全，类似时间机制没有加入到加密口令的条件中，所以一个长度在5位以下的，普通密码的破解速度可能会让你大吃一惊。

在破解Windows NT口令之前需要把“Passwd”信息从数据库中“Dump”出来，那些Samdump，Pwdump等就是为了这种目的设计出来的，然后需要使用“Crack”工具来破解，其中比较有名的就是Lopht破解工具。

4.3.5 一个攻击NT的案例

下面我们来看看一个简单的针对Windows NT的攻击过程：

1.搜集信息对于Windows NT的主机，一般通过默认的共享“Ipc$”(对应服务“Server”)进行，如果主机启动了Server服务，就可以建立不需要账号和密码的空连接，通过建立“Ipc”连接，就可以利用工具或者自己编写程序(“Windows Api”函数的“Net”部分)得到主机的账号列表和共享(默认的和设置的)列表。

2.得到账号列表后，可以通过暴力试验的方法得到密码(比较费劲，但是根据统计，使用12345(6)作密码的占1-5%，使用账号做密码的占0.5-2%)一般如果一个主机的User账号比较多，希望还是有的。

3.得到一个User账号密码后如何得到Administrator的密码，需要进一步研究(抓winntrepairsam，然后用工具Pwdump破解；缓冲区溢出的方法在Windwos NT下看到的甚少：IISHACKER)。

4.得到管理员特权后留后门：

(1) 用微软的“Netsvc.exe”工具，它可以启动远程计算机上的服务：netsvc \1.1.1.1 tlntsvr /start 一般启动“Schedule”服务和“Tlntsvr”服务；

(2) 把“Netcat.exe”放到远端计算机上，然后用“At”命令启动它；

(3) Telnet 1.1.1.1 99；

(4) 把Guest用户激活：net user guest /active：yes；

(5) 给Guest用户设置一个密码：net user guest abcd；

(6) 把Guest加入到administrators组中：net localgroup administrators guest /add

(7) 如果是Windows 2000的Telnet服务要求NTLM认证，如何启动NTLM或者如何禁止Telnet的认证要求：使用telnet管理工具“WinNTsystem32tlntadmn.exe”在注册表选项把NTLM设置为“0”；

(8) 用管理员身份建立远程计算机的Ipc连接后，可以用事件查看器，注册表编辑器，各种管理工具连接到远程计算机进行管理(但是有些还没有实验成功) ；

(9) 把远程计算机上“WinNTrepair”下的“Sam”文件抓回来，用工具破解。

针对此类攻击的防御方法：

1.停止“Server”服务，该服务提供 RPC 支持、文件、打印以及命名管道共享。(“Net stop server”，在“开始”→“管理工具”→“服务”中把“Server”服务停止并改为手动或禁止)，单独删除共享的方法：“Net share ipc$ /delete”，加上共享的方法。

2.用“Net Share”命令确认默认的共享(Ipc$，c$，d$...admin$，system$)已经删除，查看手工设置的共享，删除不需要的共享，最好全部删除。

3.停止TCP/IP Services服务，该服务支持以下 TCP/IP 服务：Character Generator、Daytime、Discard、Echo以及 Quote Of The Day。它对应多个端口，如“7、9、17”等，可能导致DOS攻击。

4.用“Net Start”命令查看启动的服务，确认停止所有不必要的服务，特别是：停止“Telnet、Ftp”服务等。

5.用net user和net localgroup命令查看异常的用户和本地组，删除或禁用不必要的账号：“Guest”、“Iusr_hostname”等。

6.用扫描工具检查开放的可疑端口，查找木马。

7.禁止一般用户从网络访问计算机，在“管理工具”→“本地安全策略”→“用户权利指派”→“拒绝从网络登陆计算机”中设置。

4.3.6 得到NT的Admin以后能做什么

现在的企业当中一般都是使用的NT系统，也不得不承认，NT系统的确是非常适合企业使用的操作系统，然而“黑客”的攻击引来了企业信息安全危机……

当有人看了这个标题也许会说：“得到了NT的Admin还能做什么，还不是想做什么就做什么呗。”但到底能做什么呢？能详细答出来的只怕不会很多，而且很多企业系统管理员就认为密码为空没什么，因为他们压根就不知道“黑客”会怎么做。本文介绍的就是得到NT的Admin密码以后入侵一个企业计算机群的初级和中级手法，尤其是在一个大型企业当中，企业系统管理员的密码往往关系着整个公司的信息泄密，以及公司的数据的丢失，严重的影响到一个企业的发展和生存。

首先，我们先假定得到了某个企业的一台服务器192.168.0.1的Administrator的密码，而对方没有关闭139端口。

地主发表时间: 04-07-06 01:02

论坛: 菜鸟乐园