windows nt wardoc中文译本三

/ns/wz/sys/data/20010129103604.htm

WINDOWS NT WARDOC中文译本（三）


下一步，网络入侵者会建立一个空IPC会话。一旦成功地建立了空IPC会话，网络入侵
者就能启用域用户管理器的本地拷贝，并在用户管理器中利用选择域功能。接着，远程机的域就会出现（或者能够人工输入），因为它已经被预加载到高速缓存器中。如果远程机的安全性没有保障，用户管理器就会显示远程机上所有用户的列表。如果这是通过一个很缓慢的链接（如28.8K调制解调器）来进行的，那么在一般情况下就不会起作用。但如果采用较快的网络连接，就会有成效。
既然网络入侵者已经收集到有关您的机器的资料，下一步就是真正渗透您的机器。我
们要探讨的第一个渗透方法是公开文件共享攻击。网络入侵者会把前面提到的net view命令和net use命令结合起来实现这一攻击。
我们采用前面的net view命令对网络入侵者的攻击进行论述：
C:\> net view \\0.0.0.0
Share name Type Used as Comment
-------------------------------------------------------------------------------
Accelerator Disk Agent Accelerator share for Seagate backup
Inetpub Disk
mirc Disk
NETLOGON Disk Logon server share
www_pages Disk
The command completed successfully.
--

一旦攻击者掌握了远程共享列表，他就会试着映射到远程共享。这一攻击的命令结构
是：
c:\>net use x: \\0.0.0.0\inetpub
只有当共享不设密码或分配给everyone群组时这一攻击才有效（注：everyone群组表
示每个人。如果有人作为空用户连接，他们现在就是everyone群组的组成部分）。如果这 些参数都正确，攻击者就能把网络驱动器映射到您的机器上并开始一系列的渗透攻击。请 记住：网络入侵者并不局限于把驱动器映射到通过net view命令显示出来的共享上。了解 NT的网络入侵者都知道NT隐藏了管理共享。根据默认值，NT为该机器上的每一个驱动器都 创建IPC$共享和一个隐藏共享（即：一台有C、D和E驱动器的机器会有对应的C$、D$和E$的隐藏共享）。另外，还有一个直接映射到NT安装路径的隐藏ADMIN$共享（即：如果您把 NT安装在C:\winnt目录下，ADMIN$就映射到该驱动器的确切位置）。Rhino9小组已经注意 到，大多数NT安全界人士似乎都不大重视这个从一台内部NT机渗透另一台内部NT机的概 念。在我们的专业检查过程中，Rhino9小组已经多次完成了这项任务。问题是，如果网络 入侵者是有心的并能得到对您的一台机器的访问权限，他就会悄悄地潜入其余的网络机器。因此，这些共享攻击会造成严重的威胁。
（旁注：Rhino9小组曾经对位于佛罗里达州的一家大型ISP进行远程渗透检查。我们
先得到其技术人员个人机器上的共享访问权限，然后从那里得到整个网络的访问权限。这 是完全可以办到的。）
首先，有些人可能不会意识到有人在访问您的硬盘时对您的机器所造成的危险。访问
硬盘为收集信息和安放特洛伊木马/病毒提供了新的途径。一般情况下，攻击者会寻找包 含有口令或高度敏感的数据的内容，因为他能利用这些数据来继续深入您的网络。下面列 出的是网络入侵者要寻找和利用的一些文件。我们对每一个文件及其使用方法都进行了简要的介绍。
Eudora.ini: 这个文件用来存储支持eudora电子邮件软件的配置信息。被称为
eudpass.com的工具会提取个人用户名、口令信息以及网络入侵者需要用来窃取用户邮件的所有信息。这时，入侵者可以通过配置自己的电子邮件软件来阅读目标邮件。同样，有 些人要花很长时间才能意识到这一危险的存在。但是，要记住，在一般情况下，人都会很 容易地养成习惯的。用户的电子邮件口令与他们用来登录到网络的口令在大多数情况下都 是相同的。现在攻击者要做的就是不断地窥探用户的硬驱，寻找能为他指出该用户业务场 所的用户简历或一些与工作相关的其它文档，从而使他能够对网络发动强大的攻势 Tree.dat: 这是一个由通用软件CuteFTP用来存储用户ftp站点/用户名/口令的文件。 利用一个称为FireFTP的程序，攻击者就能轻易地破解tree.dat文件。这样，如上所述，
他能不断地收集有关您的信息并对您的业务场所发起攻击。显而易见，如果您在
tree.dat中有一个直接到您业务场所的ftp映射，那么他就能更容易地攻击您的网络。
PWL: PWL一般内置在Win95机上。它们用来为Windows95最终用户存储操作特有的口
令。一个称为glide.exe的工具会破坏PWL文件。另外还有一些介绍如何用计算器人工破坏这些PWL文件加密的文档。接下来，攻击者会继续收集有关用户的信息并拟订攻击方案。
PWD: PWD文件在运行FrontPage或Personal Webserver的机器上。这些文件包括纯文
本用户名和一个与用来管理Web站点的身份证明资料相匹配的加密口令。用于这些口令的 加密方案是标准的DES方案。众所周知，在internet上提供有很多破坏实用程序的DES。
Solar Designer编写的John the Ripper能非常有效的破坏这些口令。
--

WS_FTP.ini: 这个ini文件在使用ws_ftp软件的机器上。尽管适用于这个文件的自动
口令析取字最近才被推荐给安全界，但所采用的加密机制还不够强壮。口令是被转换成十 六进制数（2位）的。如果一个数字在N位置，那么N就被增加到该数字上。反向操作就会 破坏这个加密方案。
（这种方法有时也可破坏PMail.iniCPegasus Mail和Prefs.jsCNetscape。）
IDC文件：IDC（internet数据库连接符）文件一般用于从web服务器到数据库的后端
连接。因为这种类型的连接一般都需要身份认证，所以，一些IDC文件包含有纯文本的用 户名/口令。
waruser.dat: 这是适用于通用Win32 FTP服务器――WarFTP的配置文件。这个特殊
的dat文件可包含FTP服务器本身的管理口令。根据作者掌握的资料，这种情况仅在
WarFTP 1.70版中发生。
$winnt$.inf：在WindowsNT的独立安装过程中，安装进程需要信息文件。作为这个
独立安装进程的残余数据，有一个称为$winnt$.inf的文件位于%systemroot%\system32
目录下。这个文件可包含有在安装过程中要使用的帐户的用户名/口令。因为在这些类型的安装中所使用的帐户一般都需要网络上的允许权限设置，所以这是一件很重要的事。 Sam._：尽管人们很早就知道如果SAM数据库被心怀叵测的人所利用就会出现问题，
但很多人都不记得这个sam._文件了。如果入侵者能够通过网络安装驱动器，那该如何拷 贝SAM数据库呢？一般情况下这是不大可能的，因为您所连接的NT服务器正在运行。当NT 服务器正在运行时，它会锁定SAM。不过，如果管理员已经创建了一个紧急修复盘，SAM的 拷贝就应该位于%systemroot%\repair\目录下。这个文件将命名为sam._。根据默认值 这个拷贝是人人都可读取的。通过利用samdump实用程序的拷贝，您就能从复制的SAM中转 储用户名/口令.
ExchVerify.log：这个ExchVerify.log文件是由Cheyenne/Innoculan/ArcServe生成
的。一般情况下，它是通过安装Cheyenne/Innoculan/ArcServe软件生成的，内置在进行软件安装的驱动器的根目录下。这个文件可包含有极其敏感的信息，如下所示：
: ExchAuthenticate() called with
NTServerName:[SAMPLESERVER]
NTDomainName[SAMPLESERVER] adminMailbox:[administrator]
adminLoginName:[administrator]
password:[PASSWORD]
很明显，这个文件包含有入侵者用来进一步破坏您的网络完整性的信息。

Profile.tfm：Profile.tfm是一个由POP3客户机软件AcornMail生成的文件。在撰写
本文时，AcornMail开始引起internet界的广泛关注。在检测该软件时，我们发现它是一
个很有效的POP3客户机，但其安装并不很好地兼容NTFS。在安装完该软件后，我们开始检 查AcornMail生成的文件，发现Profile.tfm文件保存有用户名/口令。一开始，我们断定该软件完全正常，因为它确实以加密的形式存储口令。接着，我们意识到profile.tfm的 允许权限被设置为Everyone/完全控制。这样就有了问题，因为任何人都能得到该文件的 一个拷贝并把这个文件插入他们自己的AcornMail安装程序中。然后，入侵者就能用已存 储的信息来登录。下面是网络监测器中的俘获信息：
00000000 00 01 70 4C 67 80 98 ED A1 00 01 01 08 00 45 00 ..pLg.........E.
00000010 00 4A EA A7 40 00 3D 06 14 88 CF 62 C0 53 D1 36 .J..@.=....b.S.6
00000020 DD 91 00 6E 04 44 F6 1E 84 D6 00 32 51 EB 50 18 ...n.D.....2Q.P.
00000030 22 38 64 9E 00 00 2B 4F 4B 20 50 61 73 73 77 6F "8d...+OK.Passwo
00000040 72 64 20 72 65 71 75 69 72 65 64 20 66 6F 72 20 rd.required.for.
00000050 68 6B 69 72 6B 2E 0D 0A jjohn...
00000000 98 ED A1 00 01 01 00 01 70 4C 67 80 08 00 45 00 ........pLg...E.
00000010 00 36 A4 02 40 00 80 06 18 41 D1 36 DD 91 CF 62 .6..@....A.6...b
00000020 C0 53 04 44 00 6E 00 32 51 EB F6 1E 84 F8 50 18 .S.D.n.2Q.....P.
00000030 21 AC 99 90 00 00 50 41 53 53 20 67 68 6F 73 74 !.....PASS.xerox
00000040 37 33 0D 0A 63..

如您所看到的，用户名/口令确实是用纯文本传送的。这不是AcornMail的错，但是在
POPvX中已经有问题出现。这个“数据”文件对换/包取样的方法已经由Rhino9小组在大量的软件上测试过，因此，这一攻击并不局限于AcornMail。
我们已经对入侵者想要得到的文件（如果获得对您的硬驱的访问权限）进行了探讨，
现在我们就来讨论一下安放特洛伊木马。如果有一种方法能使攻击者获得大量的信息，那 就是安放特洛伊木马。公开的文件共享攻击一般都会为安放特洛伊木马提供方便。在最容 易安放和最广为人知的特洛伊木马中，有一个是捆绑在批处理文件中的PWDUMP实用程序。
如果准备妥当，这个批处理文件就会最小化执行（也被称为聪明的文件，如viruscan.cmd ），然后再运行PWDUMP实用程序，在运行了它的进程后删除PWDUMP实用程序，并最终删去 文件本身。它一般都不会留下证据，并会在该台机器上生成一个完美的所有用户名/口令 的文本文件。