УК Украины УК РФ  
Защита... потому что это наше дело

Захист. Бо то є наша справа

Автора!
 

eManual.ru - вся техническая документация
Система авторегистрации в каталогах, статьи про раскрутку сайтов, web дизайн, flash, photoshop, хостинг, рассылки; форум, баннерная сеть, каталог сайтов, услуги продвижения и рекламы сайтов

Аналитика

WindowsNT: удалённое вторжение

Содержание:

     - Введение
     - Использование
     - NetBIOS
     - Web-сервер
     - Разное
     - Приложение A
     - Приложение B
     - Приложение C
     - Приложение D
     - Приложение E
     - Приложение F
     - Эпилог


Часть 2 - "Web-сервер"
Сбор информации и удаленное проникновение через webserver известны сегодня из-за демографического взрыва в интернет. При обсуждении удаленного проникновения и сбора информации с NT Web-серверов, мы сосредоточимся на  Internet Information Server, web-сервере, который поставляется с  NT4.

Часть информации, которая будет обсуждена, будет несколько устаревшая. Мы включили её вследствие того, что в течение профессиональных ревизий, группа Rhino9 натолкнулась на компании, которые все еще используют старые версии программных пакетов в своих сферах производства.

Давайте начнём  обсуждение  методов сбора информации. Мы обсудим пути получения информации относительно webserver при нападении, также как использовании webserver, чтобы получить информацию, которая могла бы использоваться в других типах нападений.

Сначала мы обсудим, как можно определить версию пакета программ webserver  на целевой машине. Кто-то, кто  плохо знаком с сообществом защиты, мог бы задаться вопросом, зачем нужно знать версию webserver целевой машины. Каждая различная версия и распределение программного обеспечения имеет свои различные дырки. По этой причине хакер хотел бы знать версию программного обеспечения webserver.

Самая старая методика определения типа и версии программного обеспечения web-сереверов - подключение telnet к целевой машине на порт HTTP. Как только подключение telnet было установлено,  простая команда GET позволит увидеть информацию заголовка HTTP, которая включает тип программного обеспечения webserver и его версию.

Тот, кто не хочет использовать telnet, или не желает копаться в  заголовках, может использовать пару доступных инструментальных средств. Первый, и вероятно наиболее популярный инструмент среди несостоявшихся хакеров - Netcraft. Хакер может посетить www.netcraft.com и использовать их поисковый движок, чтобы отыскать webserver информацию удаленного адресата. Netcraft может также использоваться для поиска всех известных webserver имён хоста. Например, если мы хотим найти все webservers, которые принадлежат домену someserver.com, мы можем использовать движок неткрафта, чтобы сделать запрос *.someserver.com, и он возвратит листинг всех главных webserver компьютеров в данном домене. Другие инструментальные средства, которые могут использоваться, чтобы определить версию webserver, включают 1nf0ze by su1d и Grinder by horizon of Rhino9 (URL ко  всем инструментальным средствам, обсужденным в этом тексте, может быть найден в конце этого документа).

Как только хакер определил  что за пакет webserver установлен,  он может начинать формулировать план нападения. Используя методы, обсужденные ниже, хакер может получить доступ к серверу или получить информацию от сервера, чтобы использовать в других нападениях. Поймите, что этот раздел никоим образом не законченное представление всех нападений, а только наиболее общих и известных.

Первое нападение, которое будет охвачено - ошибка .bat/.cmd.

<Цитата>
Ошибка .bat и .cmd  - известная ошибка в Netscape сервере и описана в FAQ59 по защите WWW. Выполнение этой ошибки в Internet Information Server бьёт все рекорды.

Давайте рассмотрим новую инсталляцию IIS web сервера, где все параметры настройки заданы по умолчанию:

        1) CGI каталог - /scripts

        2) Не имеется никаких файлов abracadabra.bat или abracadabra.cmd в
           /scripts каталоге.

        3) IIS web сервер связывает .bat и .cmd расширения с cmd.exe.

    Поэтому ключ системного реестра

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\ScriptMap

    имеет следующую строку:

      .bat or .cmd=C:\WINNT35\System32\cmd.exe /c %s %s

В этом случае хакер со злыми намерениями может дать любую  из этих двух командных строк на сервер:

        a) /scripts/abracadabra.bat?&dir+c:\+?&time
        b) /scripts/abracadabra.cmd?&dir+c:\+?&time

    Произойдёт следующее:

        1) Браузер спросит вас, как Вы хотите сохранить документ.

        2) Браузер начинает сеанс загрузки. Окно загрузки
           появляется на экране.

        3) Хакер щелкает кнопку "cancel" в окне загрузки,
           потому что команда "time" на сервере никогда не
           закончится.

        4) На стороне сервера не произойдёт записи в логи, так как процесс не был            завершён (благодаря команде "time"). Единственный
           способ увидеть, что кое-что случалось, состоит в том, чтобы просмотреть                  все логи  NT. Но они не содержат информацию о REMOTE_IP. Таким образом            машина хакера остается полностью анонимной.

    Давайте продолжим:

        1) IIS web сервер позволит хакеру выполнить его "пакетный файл"
           напечатав:

         /scripts/abracadabra.bat?&COMMAND1+?&COMMAND2+?&...+?&COMMANDN

           В подобной ситуации с Netscape сервером, только
           одна команда может быть выполнена.

        2) Не имеется никакого файла abracadabra.bat в /scripts каталоге,
           но .bat расширение связано с C:\WINNT35\System32\cmd.exe
           В подобной ситуации с Netscape сервером, фактически
           .bat файл должен существовать.

        3) В случае, если хакер вводит команду подобную "time" или "date" как
           COMMAND[N], ничего не будет зарегистрировано IIS web сервером.
           В подобной ситуации с Netscape сервером файл регистрации будет иметь                  запись об удаленном IP и командах, которые вы пытались выполнить.
< Конец цитаты >

Если Вы наблюдаете точно то, что описано в ситуации выше, хакер может использовать вышеупомянутую последовательность нападения, чтобы создавать и выполнять файлы на стороне сервера. Это может иметь действительно решительные результаты в зависимости от уровня навыков и намерения хакера. К счастью, большинство сфер производства больше не использует достаточно старые версии  Internet Information Server, чтобы все еще можно было пользоваться этой ошибкой.

Вскоре после того, как ошибка bat/cmd была полностью исследована и зарегистрирована, другая ошибка бьёт по сообществу. Снова, к счастью для нас, эта ошибка также работает только в старых версиях  Internet Information Server. Эта ошибка, называемая "ошибка двойной точки" дала посетителю website способность уйти из санкционированного webroot каталога и запускать и просматривать файлы. Очевидно сервер может содержать важную информацию, которая существует вне обозначенного webroot, и эта простая ошибка  даёт постороннему возможность обращаться к этой информации. Команда запускается как URL, и её структура следующая:

http://www.someserver.com/..\..

Как будто ошибки двойной точки было не достаточно, вскоре появляется ещё один вариант этой ошибки. Эта недавно найденная ошибка даёт хакеру возможность выполнять скрипты на целевой машине. Вследствие того, что эта новая ошибка - вариант ошибки двойной точки, рассматриваемые скрипты могут существовать вне webroot. Это нападение также структурировано как URL, и выполняется следующим образом:

http://www.someserver.com/scripts..\..\scriptname

WindowsNT инсталляции Internet Information Server требуют некоторого типа аккаунта, который нужно использовать для идентификации на блоке для общественных посещений. В Internet Information Server аккаунт, который нужно использовать, - это аккаунт IUSR _ <computername>. Этот аккаунт и его пароль сопровождения созданы в течение инсталляции. По умолчанию, этот аккаунт - член, доступный каждой группе, и по умолчанию каждая группа имеет доступ для чтения ко всему диску NT. Этот факт вместе со способностью вышеупомянутой ошибки уходить из webroot может вести к главным нарушениям защиты.

В течение короткого времени, казалось, что новые ошибки, связанные с URL,   выскакивают каждую неделю. После ошибки со скриптами выше была другая ошибка со скриптами, которая позволяет хакеру создавать файл на целевой машине, и возможно выполнять файл после создания. Структура URL для новой атаки была:

http://www.someserver.com/scripts/script_name%0A%0D>PATH\target.bat

Когда эта ошибка появилась, много людей в сообществе игнорировали её и не придали значения. Но вскоре после этого был выпущен документ, точно описывающий шаги,  которые хакер должен сделать, чтобы получить копию SAM. Документ включал  вышеупомянутую URL ошибку как часть полного нападения.

Когда Microsoft выпустил Internet Information Server 3.0, это принесло  технологию активной страницы сервера всему миру. Этот выпуск также открыл ворота  новому потоку ошибок, которые воздействовали на IIS и NT4.

Активные страницы сервера принесли простые, динамические web-страницы  миру Microsoft. Активные страницы сервера могут использоваться для многих областей, типа связности баз данных, индексируя и ища документы, идентификацию, и простого графического вращения  раздражающих  рекламных баннеров.

Концепция активных страниц сервера была фактически довольно творческая. Код HTML включал вставленный код скрипта, который выполняет сторону сервера и производит динамическое содержание для конечного пользователя. С этой новой технологией, широко доступной, всё было здорово, пока публика не обнаружила первую ошибку. Эта первая ошибка дублирует "ошибку двойной точки" и позволяет хакеру фактически рассматривать скрипт без сервера, его выполняющего.

Стандартная структура URL выглядит следующим образом:

http://www.genericserverhere.com/default.asp

А структура URL атаки выглядит так:

http://www.genericserverhere.com/default.asp.

Это нападение отобразило бы невыполненный код в браузере хакера. Само собой разумеется, код скрипта может содержать важную информацию, типа комбинации имени пользователя/пароля, чтобы удаленно соединиться с базой данных. Этот тип информации, среди других вещей, - не что иное, как то, что хакер хотел бы получить в свои руки.

Когда  был выпущен патч для ошибки двойной точки, появились варианты данной ошибки, победившие патч. Первый из вариантов была ошибка %2e. %2e - это шестнадцатиричный эквивалент периода. Таким образом стало ясно, что выпущенный патч не избавлял от неприятностей полностью. Варианты этой ошибки продолжают обнаруживаться при случае. Поскольку все варианты имеют точно тот же самый конечный результат, они не будут обсуждены подробно. Некоторые из известных структур URL атаки перечислены ниже:

http://www.someserver.com/default%2easp
http://www.someserver.com/default%2e%41sp
http://www.someserver.com/default.asp::$DATA
http://www.someserver.com/shtml.dll?<filename>.asp

Каждый  имел чувство, что все эти способы выуживания скриптов не будут последними в ближайшем будущем. Поскольку эти скрипты станут все более банальны, они будут содержать все более важную информацию. Эти простые ошибки могут дать хакеру возможность легко захватить эту самую важную информацию.

Возможно один из наиболее популярных и самых легких видов атак - атака на Index Server.  Index Server - маленький компактный модуль поискового сервера, который был включен в версию 3.0 Internet Information Server. Этот модуль дает web-мастерам способность обеспечить посетителей их сайта доступным для поиска интерфейсом. Хотя не имеется никаких  проблем с   Index Server непосредственно, проблемы происходят из недостатка образования со стороны администраторов и web-мастеров.  Index Server не труден для понимания, установки и управления, хотя он имеет мультиконфигурацию, с помощью которой хакер может получить доступ к той информации, получить доступ к которой в нормальных условиях ему было бы очень трудно

Заданная по умолчанию структура URL для этого нападения была бы:

http://www.someserver.com/samples/search/queryhit.htm

Этот путь отражает заданный по умолчанию путь к типовым страницам, которые поставляются с Internet Information Server. Если этот путь неправильный, хакер может все еще нажать по этой полезной небольшой ссылке "Search This Site", чтобы обратиться к той же самой информации. Как только хакер успешно достигает рассматриваемого документа HTML, он (документ) будет представлен в виде страницы, содержащей поле форм. Это поле форм - то, где посетитель вашего сайта обычно ввел бы информацию, которую он  желает искать. Хакер может использовать строку для поиска имени файла типа:

#filename =*.txt

Это инструктировало бы  Index Server перерывать его каталог индексированных данных для любых файлов, заканчивающихся заданным расширением файла. Имейте в виду, что это расширение файла не ограничено расширениями, которые  Index Server понимает. Если  Index Server сталкивается с типом файла, который он не понимает, он обработает его как двоичный и индексирует имя файла, расширение, дату и другие признаки. Это означает, что хакер может искать что-нибудь, включая *. _, что может означать резервный SAM. Интересная вещь относительно  Index Server состоит в том, что в отличие от других поисковых серверов интернет,  Index Server не будет отображать файл, к которому запрашивающий не имеет разрешения обратиться. Другими словами, если  Index Server возвращает факт, что он нашёл файл, тогда файл полностью доступен.

Другая любимая заданная по умолчанию функция, к которой хакер попытается обращаться -  это интерфейс web-администратора Internet Information Server. В заданной по умолчанию инсталляции IIS,  интерфейс web-администратора проживает в подкаталоге 'iisadmin' корня web, что означает, что  структура URL для атаки была бы:

http://www.someserver.com/iisadmin

Если admin имеет так или иначе  разрешение на конфигурацию в этом интерфейсе, то хакер может получить неправомочный доступ к серверу сети с административными функциями. Если всё успешно, хакер будет представлен с интерфейсом HTML административному инструменту. Из-за пути, которым IIS и NT обрабатывает разрешения, это возможно для хакера, чтобы получить доступ к интерфейсу, но не иметь надлежащего разрешения фактически делать что-нибудь с этим. Так, если Вы проводя ревизию вашей собственной сети, убеждаетесь, что есть попытка незначительного изменения, можно гарантировать, что есть проблема.

В конце '97 и начале '98 огромное количество web-серверов были взломаны. Большое количество взломанных серверов имели одну общую черту: они использовали Microsoft Frontpage Extensions. Microsoft Frontpage Extensions - небольшие 'web-роботы',  которые позволяют автору или администратору website исполнять сложные или вовлеченные задачи с относительной непринужденностью.

Проблема с Microsoft Frontpage Extensions состояла в том, что заданная по умолчанию инсталляция Frontpage не была безопасна, особенно в unix версии. Огромное число серверов, поддерживающих Microsoft Frontpage Extensions, было оставлено без паролей или допускались административные права на  каждую группу. Опять же, "каждый" означает именно "каждый", включая анонимные подключения.

Мы нырнем в первое нападение Frontpage с обсуждением нападения, используя фактическое Frontpage программное обеспечение клиента.

Сервер, который поддерживает FrontPage, будет иметь множество рабочих каталогов, которые начинаются с символов '_vti '. Выполнение поиска в любом из популярных поисковых серверов для любого значения по умолчанию "frontpage каталоги" кончилось бы большим количеством возвращений от движка. Для хакера в таком случае становиться удобно и просто делать попытки атаки, повторяющегося и продолжительного нападения против этих серверов. Атака происходит следующим образом:

1- Откройте вашу собственную персональную копию FrontPage
2- Идите в диалоговое окно "Open frontpage web"
3- Поместите URL или IP сервера, который Вы желаете атаковать

Если сервер без пароля или если разрешён доступ   каждой группе, Frontpage откроет удаленный сайт для Вас, и позволит Вам изменять его. Это  нападение действительно  просто. Если расширения установлены правильно, диалог имени пользователя/пароля появится. Хакер может делать попытку некоторых основных комбинаций типа администратора/пароля, но скорее всего  он не будет беспокоиться, и будет двигаться дальше.

Хакер может также использовать ту же самую уловку "open frontpage web" чтобы получить полный листинг пользователей. Это может использоваться в грубой силе при нападении позже. Распространено объяснение, что, чтобы остановить подбор  имён пользователей этим путём, нужно создать группу ограничений, такую как FP_www.yourdomain.com:80. Эта новая группа ограничений действительно работает, если хакер не использует адрес IP вашего сервера вместо имени домена.

Некоторые другие уловки, которые могут быть сделаны с поддержкой FrontPage,  пытаются захватывать Frontpage файл пароля. Frontpage обычно хранит пароль в _vti_pvt каталоге, с именем service.pwd. Хакер может пытаться выполнить следующий URL:

http://www.someserver.com/_vti_pvt

Если разрешения  не установлены корректно и просмотр каталога позволяется, хакер может получить листинг файлов в каталоге, включая service.pwd. Обычно администратор уделяет некоторое внимание инсталляции и защите сайта и ограничивает доступ к данному каталогу. Хотя это - хороший начальный шаг, всегда помните, как NTFS работает. В зависимости от конфигурации NTFS, пользователь может все еще иметь доступ к файлу пароля даже при том, что доступ к родительской папке был отклонен. В этом типе ситуации, хакер просто задаст полный путь к файлу в URL, типа:

http://www.someserver.com/_vti_pvt/service.pwd

Хотя frontpage файл пароля зашифрован, он зашифрован по стандарту DES, так что любой DES-взломщик  может подобрать пароль. Хакер может также копать вокруг других _vti каталогов, поскольку иногда они могут содержать важную информацию. После того, как имя пользователя известно, и пароль был взломан, хакер может  заново соединиться его копией Frontpage, обкспечить её аутентификацией, или аутентификация может использоваться в других целях, типа подключения сетевого диска, если та же самая комбинация имени пользователя/пароля будет работать в данном контексте.

(Обратите внимание: Service.pwd - не единственное известное имя файла пароля. Authors.pwd, admin.pwd, users.pwd и administrators.pwd также были замечены.)

Ошибка двоичного ftp  является наиболее сложным моментом, даже при том, что его также чрезвычайно просто выполнить. Двоичная атака позволяет хакеру выполнять любой двоичный файл через frontpage расширения. Нападавший должен найти сервер, который поддерживает frontpage и также поддерживает записываемый анонимный FTP. После соединения с сервером через FTP, хакер создаёт каталог, названный _vti_bin. Потом он загружает, какой-нибудь исполняемый файл в недавно созданный каталог. Как только исполняемый файл  загружен, хакер запускает следующий URL:

http://www.someserver.com/_vti_bin/uploaded_file

Сервер будет  больше чем счастлив выполнить файл для посетителя сайта.

Вскоре после того, как двоичная атака заработала свою долю внимания, была найдена ошибка  _vti_cnf. Она позволила хакеру рассматривать все файлы в некотором каталоге. Заменяя index.html на _vti_cnf, хакер может видеть все файлы в данном каталоге, и возможно получать доступ к ним. Нападение происходит  следующим образом:

Standard structure - http://www.someserver.com/some_directory_structure/index.html
Attack structure - http://www.someserver.com/some_directory_structure/_vti_cnf

Может показаться, что имеется бесчисленное множество вариантов того же самого типа атаки, которая даёт подобные результаты. Печально, но это достаточно точное утверждение. Многие из этих ошибок найдены людьми, играющими с вариантами предыдущих ошибок, но не все ошибки, воздействующие на NT web-сервис происходят от  Internet Information Server.

Имеются другие пакеты программ сервера сети, которые выполнятся на NT, например известный web-сервер Apache.

Webcom Datakommunikation выпустил cgi-скрипт, который позволяет посетителям website подписывать guestbook. Имя cgi-скрипта - wguest.exe. Подавая надлежащие команды, этот небольшой cgi-скрипт позволяет хакеру рассматривать любой текстовый файл на вашем сервере.

Страница формы, где посетитель подписывает guestbook, содержит множество скрытых полей. Одно из этих скрытых входных полей (как сообщено Дэвидом Литчфиелдом):

        input type="hidden" name="template"
        value="c:\inetpub\wwwroot\gb\template.htm">

    или

        input type="hidden" name="template" value="/gb/template.htm">

Template.htm - файл, который будет отображен wguest.exe после того, как пользователь ввел  информацию. Чтобы использовать это,  хакер рассматривает источник и сохраняет документ на  рабочий стол и редактирует эту строку,  изменяя путь к любому файлу, который он хочет рассмотреть:

        input type="hidden" name="template"
        value="c:\winnt\system32\$winnt$.inf">

[ Если была произведена автоматическая установка,  пароль админа  может подбираться из этого файла]

Потом хакер жмёт на  "Submit", и затем wguest.exe отобразит указанный файл. Это не было проверено с pwl файлами. Однако хакер должен знать точный путь  файла, который он желает рассмотреть.

Другая HTTPD-ошибка включает продукт  по имени Sambar Server. Ниже - прямая цитата из отправления по почте:

<Цитата>
Возможен просмотр HDD жертвы. Вы можете найти компьютер, выполняющий Sambar Server,  ища в Internet по этими ключевыми словами: +sambar+server+v4.1

Если Вы найдёте сайт подобно: http://www.site.net/, то проведите тест, выполнив небольшой perl-скрипт ...

http://www.site.net/cgi-bin/dumpenv.pl

Теперь Вы видите полную среду компьютера жертвы, включая его путь. Теперь Вы можете пробовать войти как администратор этим URL:

http://www.site.net/session/adminlogin?RCpage=/sysadmin/index.stm

Заданный по умолчанию вход в систему: admin и заданный по умолчанию пароль пустой. Если жертва не изменила параметры настройки, Вы теперь можете управлять её сервером. Другая фича -это просмотр HDD жертвы. Если Вы выполнили perl-скрипт, Вы должны также  (в большинстве случаев) видеть каталог его пути. Большинство людей имеет файлы c:/program и c:/windows в строке path, так что Вы можете сделать:

http://www.site.net/c:/program files/sambar41
<Конец цитаты >

Следующий маленький пункт в этом разделе имеет отношение к Netscape Enterprise Server. Некоторые версии программного обеспечения реагируют на параметр ?PageServices,  позволяя пользователям обращаются к листингу каталога.

http://www.site.net/?PageServices - то, как это было бы сделано.

Наконец слово о FTP. FTP может быть безопасной вещью. Тонны людей будут доказывать, что новые платформы и версии делают его более безопасным, и главным образом это правда. Но профессионалы скажут Вам, что версия и платформа не составляет ничего важного без образованного админа. Мы добавляем, что это быстрое примечание здесь из-за числа FTP серверов, в которые проникла группа Rhino9.

Не трудно загрузить NetCat через anon-ftp-writable на сервер, выполнить его через URL, и связать его с портом. Теперь Вы имеете удаленную 'оболочку' на NT машине. Соединяясь с удаленным NetCat, имейте в виду, что все функции командной строки, запущенные из этой оболочки, кажутся посланными из ОБОЛОЧКИ, с которой связан NetCat,  выполняющийся в контексте внутреннего пользователя.


Часть 3 - "Разное"
Как и любой другой документ, связанный с защитой, который пытается охватывать много различных тем, некоторые темы будут казаться не по теме среди остальной их части. Этот раздел имеет дело с различными методами, которые действительно не имели места где-нибудь еще в документе. Извините за несколько фрагментированный характер этого раздела.

Если и есть одна программа, на которую группа Rhino9 потратила время, разрывая её на части, то это - WinGate. Первая проблема, с которой сталкиваются в WinGate это способность 'отскакивания' через WinGate со всеми последующими подключениями, кажущимися от WinGate непосредственно. Эта небольшая ошибка чрезвычайно проста в использовании. Telnet к WinGate порту и  подсказка типа:

WinGate>

При этой подсказке, Вы можете запускать команды  telnet или воспользоваться возможностью WinGates для установки других подключений. В то время как разработчик этого программного продукта был скор в выпусках патчей и бюллетеней для него, следующий выпуск также имел проблемы.

В заданной по умолчанию инсталляции WinGate v2.1, WinGate машина  сконфигурирована службой регистрации. Служба регистрации слушает на порту 8010 из WinGate машины. Устанавливая подключение HTTP к этому порту, хакер может получить ответ:

"Connection Cannot Be Established"

Или же он получит листинг wingate жесткого диска машины. Имейте в виду, что это - заданная по умолчанию установка и может легко быть установлена другая  конфигурация установки.

Как только  Exchange server стал более популярным пакетом почтовых серверов,  начали появляться ошибки. Первая ошибка, которая появилась, была проблема кэширования пароля в пределах архитектуры Exchange. Это - цитата непосредственно из первоначального отправления по почте:

<Цитата>
Создайте пользователя xyz на вашем NT домене с Exchange server 5.0  со службой POP3. Установите пароль xyz на a1234. Всё пока работает на ура. Теперь измените пароль xyz на b5678. Вы обнаружите, что почтовые клиенты POP3 могут войти, используя  пароль a1234 или b5678 для пользователя xyz. Теперь измените пароль на кое-какой еще. Вы увидите, что POP3 клиент (или telnet на порту 110) позволит Вам войти как xyz, использовав любой из этих трех паролей. Они все работают. POP3-сервис Exchange server 5.0 кэширует пароли не-hashing механизмом, так что все пароли остались активными. Это не затрагивает новый интерфейс web-страницы, чтобы получить вашу почту, которая использует различную идентификацию. И при этом это не затрагивает входы в систему NT. Во входах в систему non-POP3, пароли  не кэшируются (кроме NNTP и LDAP). Как Вы можете видеть, проблема кэширования может быть очень серьезна в некоторых случаях.
<Конец цитаты>

Другая методика, которую хакер может использовать чтобы собрать информацию, основана на порту SMTP целевого сервера почты. Чтобы быть SMTP-совместимыми и иметь способность полностью взаимодействовать с другими почтовыми объектами в  интернет, почтовые серверы, основанные на NT, понимают фичу идентификации. Устанавливая сеанс telnet на порт почтового сервера SMTP, хакер может запустить проверяющую команду вместе с именем пользователя. Если проверка допускается, сервер сообщит хакеру,  правильное ли имя пользователя или нет. Команда атаки была бы также:

vrfy administrator (проверка, существует ли пользователь с именем administrator)

На некоторых системах почты, хакеру требуется сначала пройти HELO последовательность, но это чрезвычайно тривиально. Само собой разумеется, это может помочь хакеру, собирающему список правильных имен пользователей чтобы использовать его  в других нападениях.


Приложение А - "Команда NET"
Ниже - список всех команд NET и их функций:

Net Accounts: эта команда  показывает текущие параметры настройки для пароля, ограничений входа в систему, и информации домена. Она также содержит опции для обновления базы данных аккаунтов пользователей и изменения требований входа в систему и пароля.

Net Computer: добавляет или удаляет компьютеры из базы данных доменов.

Net Config Server или Net Config Workstation: информация конфигурации  относительно службы сервера. Когда используется без определения сервера или рабочей станции, команда отображает список конфигурируемых услуг.

Net Continue: реактивирует службу NT, которая была приостановлена командой NET PAUSE.

Net File: эта команда выводит список открытых файлов на сервере и имеет опции для закрытия общедоступных файлов и удаления блокировок файлов.

Net Group: отображает информацию относительно имен группы и имеет опции, которые Вы можете использовать, чтобы добавлять или изменить глобальные группы на серверах.

Net Help: справка по этим командам.

Net Helpmsg message#: даёт справку по специфической сетевой ошибке или функциональному сообщению.

Net Localgroup: используйте это, чтобы увидеть список локальных групп на серверах. Вы можете также изменять эте группы.

Net Name: показывает имена компьютеров и пользователей,  которым сообщения посланы на компьютере.

Net Pause: используйте эту команду, чтобы приостановить некоторую службу NT.

Net Print: задания по выводу на печать и общедоступных очередей.

Net Send: используйте эту команду, чтобы послать сообщения другим пользователям, компьютерам или передачи имён по сети.

Net Session: показывает информацию относительно текущих сеансов. Также имеет команды для разъединения некоторых сеансов.

Net Share: используйте эту команду, чтобы увидеть информацию относительно всех ресурсов,  разделяемых на компьютере. Эта команда также используется, чтобы создать сетевые ресурсы.

Net Statistics Server или Workstation: показывает файл регистрации статистики.

Net Stop: останавливает NT службу, отменяя любые подключения, которые служба использует. Знайте, что остановка одной службы может останавливать другие службы.

Net Time: команда используется, чтобы установить время для компьютера или домена.

Net Use: отображает список связанных компьютеров и имеет опции для соединения  и разъединения от общедоступных ресурсов.

Net User: команда отобразит список аккаунтов пользователей  компьютера и имеет опции для создания и изменения аккаунтов.

Net View: команда отображает список ресурсов,  разделяемых на компьютере. Включая серверы сетевого обеспечения.

**Специальное примечание относительно DOS и старых Windows машин: команды, перечисленные выше доступны на Windows NT Server и Workstation. DOS и старые клиенты Windows имеют такие NET команды:

Net Config
Net Diag (запускает программу диагностики)
Net Help
Net Init (загружает драйверы протокола и сетевого адаптера)
Net Logoff
Net Logon
Net Password (изменяет пароль)
Net Print
Net Start
Net Stop
Net Time
Net Use
Net Ver (показывает тип и версию сетевого редиректора)
Net View


Приложение B - "Использование SID"
Ниже - пример SID в действии:

Эта ошибка работает с User2Sid и Sid2User утилитами. Утилиты делают функции  LookupAccountName и LookupAccountSid WIN32 Функциями. Эти функции должны быть выполнены пользователем с полным доступом, не очень трудно, чтобы выполнить. То что получилось:

1)SID ищет любой аккаунт домена, например Domain Users

user2sid "domain users"

S-1-5-21-201642981-56263093-24269216-513

Теперь мы знаем все подвласти для текущего домена. Аккаунты домена отличаются только последним номером SID, называемым RID.

2) Поиск встроенного имени администратора (RID - всегда 500)

sid2user 5 21 201642981 56263093 24269216 500

Name is SmallUser
Domain is DomainName
Type of SID is SidTypeUser

Теперь возможен поиск всех аккаунтов домена от самого первого (RID = 1000 для первого аккаунта, 1001 для второго и так далее, RID  никогда не используются снова для текущей инсталляции).

sid2user 5 21 201642981 56263093 24269216 1000
sid2user 5 21 201642981 56263093 24269216 1001
...

Помните, что анонимный аккаунт - также часть каждой группы. Также случается, что анонимный аккаунт не имеет фичи входа в систему/выхода из системы.

Ниже - пример, показывающий, к чему могут привести открытые netbios порты (листинг вымышленный).

nslookup www.xyz.com
Non-authoritative answer:
Name: www.xyz.com
Address: 131.107.2.200
net use \\131.107.2.200\ipc$ "" /user:""

The command completed successfully.

user2sid \\131.107.2.200 "domain users"

S-1-5-21-201642981-56263093-24269216-513

Number of subauthorities is 5
Domain is XYZ_domain
Length of SID in memory is 28 bytes
Type of SID is SidTypeGroup

sid2user \\131.107.2.200 5 21 201642981 56263093 24269216 500

Name is XYZAdmin
Domain is XYZ_domain
Type of SID is SidTypeUser

sid2user \\131.107.2.200 5 21 201642981 56263093 24269216 1000

Name is
Domain is XYZ_domain
Type of SID is SidTypeDeletedAccount

sid2user \\131.107.2.200 5 21 201642981 56263093 24269216 1001

Name is Simpson
Domain is XYZ_domain
Type of SID is SidTypeUser

sid2user \\131.107.2.200 5 21 201642981 56263093 24269216 1112

LookupSidName failed - no such account

Default NT Install SID's are:

DOMAINNAME\ADMINISTRATOR
S-1-5-21-917267712-1342860078-1792151419-500 (=0x1F4)

DOMAINNAME\GUEST
S-1-5-21-917267712-1342860078-1792151419-501 (=0x1F5)

Built-In Global Groups

DOMAINNAME\DOMAIN ADMINS
S-1-5-21-917267712-1342860078-1792151419-512 (=0x200)

DOMAINNAME\DOMAIN USERS
S-1-5-21-917267712-1342860078-1792151419-513 (=0x201)

DOMAINNAME\DOMAIN GUESTS
S-1-5-21-917267712-1342860078-1792151419-514 (=0x202)

Built-In Local Groups

BUILTIN\ADMINISTRATORS S-1-5-32-544 (=0x220)
BUILTIN\USERS S-1-5-32-545 (=0x221)
BUILTIN\GUESTS S-1-5-32-546 (=0x222)
BUILTIN\ACCOUNT OPERATORS S-1-5-32-548 (=0x224)
BUILTIN\SERVER OPERATORS S-1-5-32-549 (=0x225)
BUILTIN\PRINT OPERATORS S-1-5-32-550 (=0x226)
BUILTIN\BACKUP OPERATORS S-1-5-32-551 (=0x227)
BUILTIN\REPLICATOR S-1-5-32-552 (=0x228)

Special Groups

\CREATOR OWNER S-1-3-0
\EVERYONE S-1-1-0
NT AUTHORITY\NETWORK S-1-5-2
NT AUTHORITY\INTERACTIVE S-1-5-4
NT AUTHORITY\SYSTEM S-1-5-18


Приложение C - "Расположения по умолчанию структур IIS"

C:\InetPub\wwwroot <Home>
C:\InetPub\scripts /Scripts
C:\InetPub\wwwroot\_vti_bin /_vti_bin
C:\InetPub\wwwroot\_vti_bin\_vti_adm /_vti_bin/_vti_adm
C:\InetPub\wwwroot\_vti_bin\_vti_aut /_vti_bin/_vti_aut
C:\InetPub\cgi-bin /cgi-bin
C:\InetPub\wwwroot\srchadm /srchadm
C:\WINNT\System32\inetserv\iisadmin /iisadmin
C:\InetPub\wwwroot\_vti_pvt /_vti_pvt
C:\InetPub\wwwroot\samples\Search\QUERYHIT.HTM пример Internet Information Index Server
C:\Program Files\Microsoft FrontPage\_vti_bin  
C:\Program Files\Microsoft FrontPage\_vti_bin\_vti_aut  
C:\Program Files\Microsoft FrontPage\_vti_bin\_vti_adm  
C:\WINNT\System32\inetserv\iisadmin\htmldocs\admin.htm /iisadmin/isadmin

Спецификация файлов Frontpage и их функции:

/_vti_inf.html  - гарантирует, что frontpage server extensions установлены.
/_vti_pvt/service.pwd - содержит зашифрованые файлы паролей. Не используется на IIS и WebSite.
/_vti_pvt/authors.pwd - только в Netscape server. Зашифрован. Имена и пароли авторов.
/_vti_pvt/administrators.pwd
/_vti_log/author.log - если существует, должен быть очищен чтобы закрыть дорожки хакера.


Приложение D - "Службы"
Я получил бесчисленное количество почты относительно NT служб. Люди спрашивают  что  делать  если некоторые  заблокированны. Ниже следует список служб, объяснение каждой, и рекомендации для установки. - NeonSurge

ALERTER: сидит на NetBIOS по TCP/IP для сетевой связи. Эта служба позволяет пользователю получать сообщения от других машин. Эти сообщения могут быть предупреждениями или некоторого типа предопределенной сетевой информацией. Я рекомендую отключить ALERTER службу на машине из-за использования им  NetBIOS  и факта, что это едва ли когда-либо используется.

CLIPBOOK SERVER: живёт на NetBIOS по TCP/IP для сетевой связи. Эта служба сервера позволяет содержанию буфера обмена быть разделенным по сети. Лучше заблокировать из-за способности удаленного хакера подобраться к данной информации.

COMPUTER BROWSER: служба COMPUTER BROWSER позволяет рассматривать доступные сетевые ресурсы,  просматривая через Network Neighborhood. Когда активно на сервере, сервер регистрирует его имя через передачу NetBIOS или непосредственно на сервер WINS. Я рекомендую отключить эту службу.

DHCP CLIENT: эта служба должна быть установлена автоматически, если машина - dhcp клиент, если нет, отключите это.

DIRECTORY REPLICATOR: эта служба позволяет NT системам импортировать и экспортировать содержание каталога. Если вам это не нужно,  отключите эту службу.

EVENT LOG: я рекомендую всегда использовать эту службу, потому что это - служба, ответственная за регистрацию деятельности на сервере, включая деятельность защиты.

LICENSE LOGGING SERVICE: используется чтобы проследить использование лицензий различными приложениями, это не имеет никакого серьезного воздействия на сеть и должно быть установлено автоматически (параметр по умолчанию).

MESSENGER SERVICE: торчит на NetBIOS по TCP/IP для сетевой связи. Подобна службе ALERTER по дизайну и функциям. Я рекомендую остановить эту службу чтобы предотвратить перечисление имени пользователя через команды NBTSTAT.

NET LOGON: эта служба используется  Server и Workstation чтобы обеспечить идентификацию пользователя. TSERhis служба,  как считают,  требуется всегда и запущена как встроенный СИСТЕМНЫЙ пользователь.

NETWORK DDE и DDE DSDM: эта служба обеспечивает динамический обмен данных. DDE используется для таких приложений как Chat (так важный!), и других приложений, которые могут требовать этого типа функциональных возможностей. Эти услуги, как рассматривается,  являются умеренным риском из-за их подключения TCP.

NETWORK MONITOR AGENT:  используется, чтобы контролировать  движение, проходящее через плату сетевого адаптера. Если SMS версия этого программного обеспечения находится в использовании, администратор может удаленно контролировать движение на других платах сетевого адаптера.

NT LM SECURITY SUPPORT PROVIDER: эта служба присутствует, чтобы помочь с  совместимостью и идентификацией в старых пакетах программ.

PLUG AND PLAY: используется чтобы конфигурировать PnP устройства.

REMOTE PROCEDURE CALL LOCATOR AND SERVICES: RPC - протокол, который используется при запросах по сети. Его  конфигурация по умолчанию автоматическая, является стандартной и должна быть оставлена. Эта служба  представляет высокий риск безопасности, но зависимости, существующие на этой службе, слишком большие, чтобы отключить её.

ROUTING AND REMOTE ACCESS SERVICE: это добавочная служба, которая увеличивает функциональные возможности WindowsNT. Если Вы используете модем для коммутируемого соединения из вашей NT системы, эта служба должна быть установлена автоматически. Если Вы используете её фичи маршрутизации, она также устанавливается автоматически.

SCHEDULE: эта служба позволяет приложению запуститься в указанное время и дату. Может излагать серьезную угрозу защите, поскольку эта служба может использоваться, чтобы запустить приложения под СИСТЕМНЫМ контекстом.

SERVER: используется как ключ ко всем приложениям стороны NetBIOS сервера, эта служба несколько необходима. Без этой службы некоторые из административных инструментальных средств, типа Server Manager, не могут использоваться. Если удаленная администрация или доступ к машине не необходимы, я настоятельно рекомендую отключить эту службу. Вопреки популярной вере, эта служба не необходима на web-сервере.

SPOOLER: служба спулера используется, чтобы принять просьбы о заданиях по выводу на печать от клиентов, и позволить локальной системе помещать в очередь задания на сетевой принтер. Эта служба должна быть установлена автоматически.

TCP/IP NETBIOS HELPER: эта служба помогает и увеличивает NBT и службу Net Logon. Поскольку служба Net Logon должна быть установлена автоматически, то эта служба - также.

TELEPHONY SERVICE: эта служба используется чтобы управлять драйверами телефонии и свойствами для набора номера. На системе, которая не использует какой-либо тип телефонии или RAS устройств, надо отключить эту службу.

UPS: эта служба используется в последовательной связи с бесперебойным питанием.

WORKSTATION: эта служба учитывает внешние NetBIOS подключения. Поскольку она используется только на внешних подключениях, она обычно не представляет риска  для защиты и должна быть установлена автоматически.


Приложение E - "URL's"
Sid Tools: http://www.technotronic.com/microsoft.html
Eudpass: http://rhino9.ml.org/wardoc
1nf0ze: http://rhino9.ml.org/wardoc
FireFTP: http://rhino9.ml.org/wardoc
Grinder: http://rhino9.ml.org/software
Glide: http://rhino9.ml.org/wardoc
John The Ripper (DES Cracker): http://www.false.com/security/john/index.html
WS_FTPBug: http://rhino9.ml.org/wardoc
L0phtCrack (NT Password Cracker): http://www.l0pht.com
PWDump: http://rhino9.ml.org/wardoc
NAT: http://www.technotronic.com/microsoft.html

Приложение F - "Файл LMHOSTS"
Хотя большинство профессионалов защиты привыкло работать с файлом HOSTS, WindowsNT фактически использует два текстовых файла, чтобы преобразовать имена хостов в их адреса. WindowsNT все еще использует файл HOSTS, но также использует файл LMHOSTS.

Во многом подобен файлу HOSTS, LMHOSTS - плоский, последовательный текстовый файл, который используется, чтобы преобразовать компьютерные имена (NetBIOS) в адреса. Файл LMHOSTS также позволяет использовать ключевые слова, которые дают  ему большие функциональные возможности и гибкость чем у файла HOSTS.

Ключевые слова, которые использует LMHOSTS  - #PRE, #DOM:domain, #INCLUDE filename, #BEGIN_ALTERNATE, и #END_ALTERNATE. Если что-то следует за маркой мусора, которая - не одно из этих ключевых слов, это обработано как замечание.

#PRE: если это ключевое слово следует за входом в LMHOSTS файле, это означает, что  WindowsNT надо предзагрузить этот вход в кэш имени. Это позволяет системе Windows преобразовывать имя намного быстрее.

#DOM: вход тега #DOM заставляет WindowsNT связывать этот вход с любым доменом, который Вы определяете (то есть #DOM:accounting). Это помогает NT преобразовать некоторые имена более эффективно, потому что  не нужно консультироваться с таблицами маршрутизации, чтобы выяснить, которому домену вход принадлежит.

#INCLUDE: этот вход сообщает WindowsNT, где искать другие LMHOSTS файлы, которые проживают на других машинах. При использовании этой функции, нужно определить UNC путь к другому LMHOSTS файлу. #BEGIN_ALTERNATE и #END_ALTERNATE используются вместе с тегом #INCLUDE и должны появиться прежде и после тега #INCLUDE.


Эпилог
Авторы этого документа (и особенно я, AnSer, переводивший это среди ночи :-) надеются, что вам понравилось читать это и что Вы узнали кое-что из этого. Авторы также хотели бы напомнить читателям, что мы желаем продолжить выпуски этого документа. Пошлите вашу информацию и методы удаленного проникновения в neonsurge@hotmail.com. Как только новые версии этого документа станут доступными, уведомление выйдет на таких списках как NTBUGTRAQ. Дом самого документа будет на Rhino9 website (http://rhino9.ml.org).

Авторы этого документа имеют три других документа, запланированные в выпуск в ближайшем будущем, все из них часть ряда NT WarDoc. Мы ожидаем обратной связи от сообщества.


Оригинальный текст - группы Rhino9 (http://rhino9.ml.org)

Русский перевод - AnSer (http://anser.webjump.comfycth@iname.com)

21.03.1999
Сайт создан в системе uCoz