WindowsNT: удалённое вторжение. http://www.cherepovets-city.ru/insecure

Этот документ - попытка группы Rhino9 документировать технику и методы, используемые в нападении на основанные на WindowsNT сети. Цель данного документа состоит в том, чтобы научить администраторов и профессионалов защиты способам проникновения в NT-сети. Этот документ пытается следовать шагам классического текста "Как улучшить защиту вашего сайта вторжением в него" , который написали Dan Farmer и Wietse Venema.

Конечно, этот текст не будет содержать все известные методы вторжения в NT. Мы попытались собрать текст, который Администраторы могли бы использовать для изучения основных методов проникновения, чтобы проверить уязвимость их собственных сетей. Администратор должен иметь хорошие знания относительно того, как проникновения происходят и должен быть способен использовать эти знания чтобы далее защитить свою сеть.

Этот файл не предназначен для людей, которые плохо знакомы с защитой или технологиями организации сетей. Авторы предполагают, что люди, читающие этот документ, имеют некоторое понимание протоколов, технологий и архитектуры сервера и сети.

Текст написан в процедурной манере. Мы очень подробно всё описали, чтобы подойти как можно ближе к реальному вторжению. Большинство методов, обсуждаемых в этом тексте, довольно просто выполнить, как только наступит понимание того, как, что и почему делается.

Документ разделен на 3 части: NetBIOS, WebServer, и Разное, каждая из которых описывает различные методы сбора информации и методов проникновения.

Начальный шаг, который делает хакер, это сканирование портов целевой машины или сети. Удивительно, как техника атаки может стать основанной на открытых портах целевой машины. Вы должны понять, что это норма для NT-машины, - иметь различные открытые порты с Unix-машиной. Как правило хакер может по результатам сканирования портов сказать, является ли компьютер NT- или Unix-машиной с довольно точными результатами. Очевидно имеются некоторые исключения из данного правила, но вообще это может быть сделано.

При нападении на NT-сеть, NetBIOS имеет тенденцию брать главный удар на себя. По этой причине, NetBIOS будет первой серьезной темой для обсуждения.

Сбор информации с NetBIOS может быть довольно простой вещью, хотя и занимает некоторое время. NetBIOS вообще имеет тенденцию быть очень медленным, поэтому и требует много времени.

Если при сканировании портов выясняется, что на целевой машине порт 139 открыт, следует естественный процесс. Первый шаг - выполнение команды NBTSTAT.

Команда NBTSTAT может использоваться, чтобы сделать запрос сетевых машин относительно NetBIOS информации. Это может также быть полезно для чистки NetBIOS кэша и предзагрузки файла LMHOSTS. Эта команда может быть чрезвычайно полезна при выполнении ревизий защиты. Результаты её выполнения могут иной раз показать больше, чем вы могли бы подумать.

Использование: nbtstat [-a компьютер] [-A IP-адрес] [-c] [-n] [-R] [-r] [-S] [-s] [интервал]

Ключи:
-a вывести таблицу имён удаленного компьютера по имени.
-A вывести таблицу имён удаленного компьютера по IP-адресу.
-c вывести удаленный кэш имён, включая адреса IP.
-n вывести локальные имена NetBIOS.
-r вывести имена, найденные передачей и через WINS.
-R произвести чистку и перезагрузить удаленный кэш таблицы имён.
-S вывести таблицу сеансов с целевым адресом IP.
-s вывести преобразования таблицы сеансов.

Заголовки столбца, произведенные NBTSTAT имеют следующие значения:

Input
     Число полученных байт.
Output
     Число отосланных байт.
In/Out
     Подключение от локального компьютера или от другой системы к
     локальному компьютеру.
Life
     Остающееся время до того, как ваш компьютер очистит кэш таблицы имён.
Local Name
     Локальное NetBIOS имя, данное подключению.
Remote Host
     Имя или адрес IP удаленного главного компьютера.
Type
     Имя может иметь один из двух типов: уникальный или группа.
     Последний байт из 16-символьного имени NetBIOS часто означает кое-что потому что то же самое имя может присутствовать в нескольких экземплярах на том же самом компьютере. Это показывает последний байт имени, преобразованный в hex-формат.
State
     Ваши NetBIOS подключения будут находиться в одном из следующих "состояний":

Состояние	Значение
Accepting	входящее подключение находится в процессе
Associated	подключение находится в конечной точке и ваш компьютер связал его с адресом IP.
Connected	это хорошее состояние! Оно означает, что вы связаны с удаленным ресурсом
Connecting	ваш сеанс пробует решить преобразование имени в IP-адрес ресурса адресата
Disconnected	сеанс связи закончен
Disconnecting	ваш компьютер запросил разъединение, и ожидает ответа от удаленного компьютера
Idle	удаленный компьютер был открыт в текущем сеансе, но в настоящее время он не принимает подключения
Inbound	входящий сеанс пробует соединиться
Listening	удаленный компьютер доступен
Outbound	ваш сеанс создает подключение TCP
Reconnecting	если ваше подключение потерпело неудачу на первой попытке, это состояние показывает попытку повторного соединения

Имеется образец фактического ответа команды NBTSTAT:

   Name               Type         Status
---------------------------------------------
DATARAT        <00> UNIQUE      Registered
R9LABS            <00> GROUP       Registered
DATARAT        <20> UNIQUE      Registered
DATARAT        <03> UNIQUE      Registered
GHOST             <03> UNIQUE      Registered
DATARAT        <01> UNIQUE      Registered

Используя таблицу ниже, что вы можете сказать о компьютере ?

           Name                 Number    Type            Usage
=========================================================================
<computername>            00             U         Workstation Service
<computername>            01             U         Messenger Service
<\\_MSBROWSE_>       01             G         Master Browser
<computername>            03             U         Messenger Service
<computername>            06             U         RAS Server Service
<computername>            1F             U         NetDDE Service
<computername>            20             U         File Server Service
<computername>            21             U         RAS Client Service
<computername>            22             U         Exchange Interchange
<computername>            23             U         Exchange Store
<computername>            24             U         Exchange Directory
<computername>            30             U         Modem Sharing Server Service
<computername>            31             U         Modem Sharing Client Service
<computername>            43             U         SMS Client Remote Control
<computername>            44             U         SMS Admin Remote Control Tool
<computername>            45             U         SMS Client Remote Chat
<computername>            46             U         SMS Client Remote Transfer
<computername>            4C            U         DEC Pathworks TCPIP Service
<computername>            52             U         DEC Pathworks TCPIP Service
<computername>            87             U         Exchange MTA
<computername>            6A            U         Exchange IMC
<computername>            BE            U         Network Monitor Agent
<computername>            BF            U         Network Monitor Apps
<username>                     03            U          Messenger Service
<domain>                         00            G          Domain Name
<domain>                         1B            U          Domain Master Browser
<domain>                         1C            G         Domain Controllers
<domain>                         1D            U         Master Browser
<domain>                         1E            G         Browser Service Elections
<INet~Services>             1C            G         Internet Information Server
<IS~Computer_name>    00             U         Internet Information Server
<computername>            [2B]          U          Lotus Notes Server
IRISMULTICAST         [2F]           G          Lotus Notes
IRISNAMESERVER     [33]          G          Lotus Notes
Forte_$ND800ZA           [20]           U          DCA Irmalan Gateway Service

Unique (U): имя может иметь только один адрес IP, назначенный для него. Может показаться, что на сетевом устройстве присутствуют многократные случаи одного и того же имени, но суффикс будет уникален, делая имя также полностью уникальным.

Group (G): нормальная группа; одиночное имя может существовать со многими адресами IP.

Multihomed (M): имя уникально, но из-за множественных сетевых интерфейсов на одном и том же компьютере, эта конфигурация необходима чтобы разрешить регистрацию. Максимальное число адресов - 25.

Internet Groupt (I): это специальная конфигурация имени группы, используемая для управления WinNT именами домена.

Хакер может использовать таблицу выше и результат от nbtstat против ваших машин, чтобы начать собирать информацию относительно их. По этой информации хакер может сказать, какие услуги выполняются на целевой машине и иногда, какие пакеты программ были установлены. Традиционно, каждый сервисный или главный пакет программ идет со своими ошибками, так что этот тип информации полезен для хакера.

Следующим логическим шагом был бы подбор возможных имён пользователей удаленной машины. Сетевой вход в систему состоит из двух частей - имени пользователя и пароля. Как только хакер имеет правильный список имен пользователей, он имеет половину из нескольких правильных входов в систему. Теперь, используя команду nbtstat, хакер может получить входное имя любого, кто подключён локально к данной машине. В результатах команды nbtstat, строки с идентификатором <03> - имена пользователей или имена компьютеров. Подбор имён пользователей может также быть выполнен через нулевой сеанс IPC и инструментальные средства SID (для получения дополнительной информации относительно инструментальных средств SID читать приложение B).

IPC$ (меж-процессовая связь) - стандартный скрытый ресурс на NT машине, которая главным образом используется для связи сервер-сервер. NT машины были разработаны для соединений друг с другом и получения различных типов необходимой информации через этот ресурс. Как и со многими особенностями проекта в любой операционной системе, хакеры научились использовать эту особенность в их собственных целях. Соединяясь с этим ресурсом хакер получает, для всех технических целей, допустимое подключение к вашему серверу. Соединяясь с этим ресурсом как нулевое соединение, хакер способен установить подключение без необходимой аутентификации.

Чтобы соединиться с ресурсом IPC$ как нулевое соединение, хакер выполняет следующую команду:

Если подключение успешно, хакер может делать множество других вещей, кроме как подбор имён пользователей, но давайте сначала поговорим именно об этом. Как упомянуто ранее, эта методика требует нулевого сеанса IPC и инструментальных средств SID, которые написал Evgenii Rudnyi. Инструментальные средства SID состоят из двух различных частей, User2sid и Sid2user. User2sid будет брать имя аккаунта или группы и давать Вам соответствующий SID. Sid2user будет брать SID и давать Вам имя соответствующего пользователя или группы. Как автономный инструмент, это - процесс ручной и очень требует время. Userlist.pl - perl скрипт, написанный Mnemonix, который автоматизирует этот процесс размола SID, он решительно сокращает время, трубующееся хакеру на подбор информации.

На данном этапе хакер знает какие услуги выполняются на удаленной машине, какие главные пакеты программ были установлены (в некоторых пределах), и имеет список правильных имён пользователей и групп для данной машины. Хотя это может походить на тонну информации для постороннего, чтобы иметь её относительно вашей сети, нулевой сеанс IPC открыл другие способы сбора информации. Группа Rhino9 разработала полную политику защиты для удаленной машины. Такие вещи, как блокировка аккаунта, минимальная длина пароля, возраст пароля, уникальность пароля для каждого пользователя и группы, которой он принадлежит, и индивидуальные ограничения домена для данного пользователя - все через нулевой сеанс IPC. Некоторые из доступных инструментальных средств для сбора большего количества информации через нулевой сеанс IPC, будут обсуждены ниже.

При помощи нулевого сеанса IPC хакер может также получить список сетевых ресурсов, которые не могут иначе быть доступны. По очевидным причинам, хакер хотел бы знать то, какие сетевые ресурсы Вы имеете доступными на ваших машинах. Для сбора такой информации используется стандартная сетевая команда следующим образом:

В зависимости от политики защиты целевой машины, этот список может или не может быть отклонен. Пример ниже (ip-адрес не был указан по очевидным причинам):

C:\>net use \\0.0.0.0\ipc$ "" /user:""
The command completed successfully.

Share name           Type         Used as Comment
-------------------------------------------------------------------------------
Accelerator            Disk                  Agent Accelerator share for Seagate backup
Inetpub                   Disk
mirc                        Disk
NETLOGON         Disk                  Logon server share
www_pages            Disk

Как Вы можете видеть, список ресурсов на этом сервере не был доступен, пока не был установлен нулевой сеанс IPC. Теперь вы начинаете понимать, насколько может быть опасно это подключение IPC, но методы IPC, известные нам, фактически самые основные. Возможности, предоставленные ресурсом IPC, только начинают исследоваться.

Выпуск WindowsNT 4.0 Resource Kit предоставил новый набор инструментальных средств, доступных и администратору, и хакеру. Ниже - описание некоторых из Resource Kit Utilities, которые группа Rhino9 использовала вместе с нулевым сеансом IPC$ для сбора информации. Читая эти описания инструментов и информацию, которую они выдают, имейте в виду, что нулевой сеанс, который используется, НЕ обеспечивает удалённую сеть любой реальной аутентификацией.

UsrStat: эта утилита командной строки показывает имя пользователя, полное имя, и дату и время последнего входа в систему для каждого пользователя в данном домене. Ниже - фактический результат работы данного инструмента, используемого через нулевой сеанс IPC против удалённой сети:

Users at \\STUDENT4
Administrator -                   - logon: Tue Nov 17 08:15:25 1998
Guest -                               - logon: Mon Nov 16 12:54:04 1998
IUSR_STUDENT4 -          Internet Guest Account - logon: Mon Nov 16 15:19:26 1998
IWAM_STUDENT4 -       Web Application Manager account - logon:   Never
laurel -                                - logon:        Never
megan -                              - logon:        Never

Чтобы полностью понять, что происходит при сборе данных, давайте обсудим это. Прежде, чем фактическое нападение имело место, отображение было помещено в файл lmhosts, который отобразил Student4 машину, и это - состояние деятельности домена, используя #PRE/#DOM теги (объяснены более подробно ниже.). Вход был тогда предзагружен в NetBIOS кэш, и нулевой сеанс IPC был установлен. Как Вы можете видеть, команда запущена против имени домена. Инструмент тогда сделает запрос Первичного Контроллера Домена для данного домена.

Global: эта утилита командной строки отображает членов глобальных групп на удаленных серверах или доменах. Как сказано выше, эта утилита используется вместе с отображением Lmhosts/IPC. Ниже - фактический сбор данных данного инструмента. Например, "пользователи домена" - стандартная, заданная по умолчанию группа, присутствующая в WindowsNT домене. Для этого примера, мы использовали инструмент, чтобы сделать запрос Domain1 для листинга всех пользователей в группе "пользователи домена".

C:\>global "Domain Users" domain1
Bob
SPUPPY$
BILLY BOB$
Bill
IUSR_BILLY BOB
IWAM_BILLY BOB
IUSR_SPUPPY
IWAM_SPUPPY

Local: этот инструмент делает то же, что и Global, но он делает запрос машины на членов локальной группы вместо глобальной. Ниже - пример работы данного инструмента:

NetDom: инструмент, который сделает запрос сервера о его роли в домене, а также на PDC машины. Этот инструмент также работает с отображением Lmhosts/IPC. Ниже - стандартный вывод данного инструмента:

Querying domain information on computer \\SPUPPY ...
The computer \\SPUPPY is a domain controller of DOMAIN4.
Searching PDC for domain DOMAIN4 ...
Found PDC \\SPUPPY
The computer \\SPUPPY is the PDC of DOMAIN4.

NetWatch: инструмент, выдающий список ресурсов на удаленной машине. Опять же, этот инструмент работает с отображением Lmhosts/IPC. Плохая вещь относительно этого инструмента состоит в том, что группа Rhino9 имеет обыкновение использовать его для поиска списка скрытых ресурсов на удаленной машине.

Пустое подключение IPC может позволить хакеру получить доступ к вашему системному реестру. Как только нулевой сеанс IPC был установлен, хакер запустит его локальную утилиту regedit и сделает попытку опции Connect Network Registry. Если это произойдёт успешно, хакер получит доступ для чтения на некоторые ключи и потенциально - на чтением/запись. Но даже доступ для чтения к системному реестру нежелателен с точки зрения защиты.

Другая методика относительно неизвестна и часто не приносит никаких результатов. Мы охватываем её потому что она всё же может давать результаты, и может быть эффективной методикой вторжения. Эта методика включает нулевой сеанс IPC и входы в LMHOSTS файл. LMHOSTS файл - (обычно) локальный файл, живущий на Windows-машинах, для отображения имён NetBIOS в адреса IP. Используемый главным образом в не-WINS средах, или на клиентах, неспособных использовать WINS, файл LMHOSTS может использоваться хакерами многими различными способами. Различные использования для файла LMHOSTS будут обсуждены позже в этом тексте, пока мы обсудим, как LMHOSTS файл используется в этой методике.

Это превосходная методика для обсуждения, потому что она показывает использование одного из предыдущих методов вместе с ней для выполнения цели. Начиная со сканирования портов, и обнаруживая, что порт 139 является открытым, хакер запускает команду nbtstat. Потом хакер подбирает имя NetBIOS удаленной машины по результатам nbtstat. Давайте посмотрим на такой же пример результатов работы nbtstat, как и выше:

   Name               Type         Status
-----------------------------------------------------------------
DATARAT        <00> UNIQUE      Registered
R9LABS            <00> GROUP       Registered
DATARAT        <20> UNIQUE      Registered
DATARAT        <03> UNIQUE      Registered
GHOST             <03> UNIQUE      Registered
DATARAT        <01> UNIQUE      Registered

Исследуя результаты команды nbtstat, мы ищем идентификатор <03>. Если кто-то локально находится в машине, Вы будете видеть два <03> идентификатора. Обычно первый <03> - имя netbios машины, а второй <03> - имя локального пользователя. На данном этапе хакер поместил бы имя netbios и отображение адреса ip машины в его локальный LMHOSTS файл, закончив его тегами #DOM и #PRE. Тег #PRE обозначает, что вход должен быть предзагружен в netbios кэш. Тег #DOM обозначает деятельность домена. Теперь хакер запускает команду nbtstat -R чтобы произвести предзагрузку входа в его кэш.

Затем хакер устанавливает нулевой сеанс IPC. Как только нулевой сеанс IPC будет установлен, хакер запустит его локальную копию Менеджера Пользователя для доменов и использует функцию Select Domain в Менеджере Пользователя. Домен удаленной машины появится (или может быть напечатан вручную) потому что он был предзагружен в кэш. Если защита удаленной машины слаба, Менеджер Пользователя отобразит список всех пользователей на удаленной машине. Если это делается по медленной связи (то есть 28.8-модем) это не будет обычно работать. На более быстрых сетевых подключениях, однако, это имеет тенденцию давать результаты.

Теперь, когда хакер собрал некоторую информацию относительно вашей машины, следующим шагом будет попытка проникновения. Первый метод проникновения, который будет обсуждён, будет нападение на ресурс открытого файла. Хакер соединит предварительно обсужденную команду net view с командой net use для выполнения данной атаки.

-------------------------------------------------------------------------------
Accelerator      Disk                  Agent Accelerator share for Seagate backup
Inetpub             Disk
mirc                  Disk
NETLOGON   Disk                  Logon server share
www_pages      Disk
The command completed successfully.

Как только хакер имеет список удаленных ресурсов, он попытается подсоединиться к удаленному ресурсу. Пример команды для атаки был бы:

Это нападение будет работать только если ресурс не защищён паролем, или разделён между каждой группой (ПРИМЕЧАНИЕ: "каждой" означает именно "каждой". То есть, если кто-то соединяется нулевым сеансом, он теперь - часть каждой группы.). Если эти параметры имеют место, хакер способен подключить сетевой диск к вашей машине и начать проникновение. Имейте в виду, что хакер не ограничен только лишь соединением с дисковыми ресурсами. Хакер, знающий NT, знает, что NT имеет скрытые административные ресурсы. По умолчанию, NT создает ресурс IPC$ и один скрытый ресурс для каждого диска на машине (то есть машина, которая имеет диски C, D, и E имеет соответствующие скрытые ресурсы C$, D$, и E$). Имеется также скрытый ADMIN$ ресурс, который указывает непосредственно на инсталляционный путь NT (то есть, если Вы установили NT на C:\winnt, то ADMIN$ указывает точно на эту часть диска). Одна вещь, которую группа Rhino9 заметила относительно большинства NT сообщества защиты, состоит в том, что они, кажется, забыли о концепции проникновения через одну внутреннюю NT машину в другую внутреннюю NT машину. Группа Rhino9, в течение наших профессиональных ревизий, выполнила эту задачу много раз. Если хакер умён и имеет доступ к одной из ваших машин, он может написать саморазмножающийся вирус и пустить его в остальную часть вашей сети. По этой причине, эти нападения могут представлять серьезную угрозу.

(Обратите внимание, с группой Rhino9 однажды входили в контакт, чтобы выполнить удаленную ревизию проникновения для одного самого большого ISP во Флориде. Мы получили доступ к ресурсу на одной из персональных машин техника, и оттуда получили доступ к полной сети. Это может быть сделано.)

Сначала, может быть, не видно опасности от кого-то, кто имеет доступ к вашему жесткому диску. Но доступ к жесткому диску открывает новые направления для сбора информации и установки трояна/вируса. Хакер обычно ищет кое-что, что могло бы содержать пароль или важные данные, что он мог бы использовать, чтобы продолжть рыть путь в вашу сеть. Некоторые из файлов, которые хакер будет искать и использовать, перечислены ниже, каждый с кратким описанием, чем это является, и как это можно использовать.

Eudora.ini: этот файл используется для хранения информации о конфигурации программного обеспечения для e-mail Eudora. Легко доступный инструмент, называемый eudpass.com, извлечет имя пользователя и информацию пароля, также как всю информацию, необходимую хакеру для подслушивания почты пользователей. Теперь хакер может сконфигурировать его собственное программное обеспечение для электронной почты, чтобы читать почту адресатов. Помните, что люди - существа привычки. Шансы, что пароль пользователя электронной почты является тем же самым паролем, который он использует для входа в сеть на работе, относительно высоки.

Tree.dat: это файл, который используется популярным программным обеспечением CuteFTP для хранения комбинации пользователей ftp site/username/password. Используя программу по имени FireFTP, хакер может легко взломать tree.dat файл. Как уже говорилось выше, хакер может продолжить сбор информации относительно Вас и начать атаку.

PWL: эти файлы проживают на Win95-машинах. Они используются, чтобы хранить определенные пароли для Windows95 конечного пользователя. Инструмент, называемый glide.exe взломает (с меньшей, чем хотелось бы эффективностью) PWL файлы. Имеется также документация о том, как вручную взломать кодирование этих PWL файлов, используя калькулятор. Продолжая сценарий, хакер продолжит собирать информацию относительно пользователя и формулировать нападение.

PWD: PWD файлы существуют на машинах, выполняющих FrontPage или Персональный Webserver. Эти файлы включают имя пользователя открытым текстом и зашифрованный пароль, соответствующий аутентификации, необходимой, чтобы управлять website. Схема кодирования, используемая для этих паролей - стандартная DES-схема. Для взламывания DES существует много утилит, например John the ripper.

WS_FTP.ini: этот ini файл существует на машинах, использующих ws_ftp. Хотя автоматизированное эксустройство подачи пароля для этого файла только недавно было представлено в сообщество защиты, используемый механизм кодирования не очень силен. Пароль преобразован в шестнадцатиричный формат. Если цифра - в позиции N, то N добавлен к цифре. Полностью измените процесс, и Вы взломали эту схему кодирования. (Это, как известно, иногда работает для взламывания PMail.ini - Pegasus Mail и Prefs.js - Netscape.)

IDC files: IDC файлы обычно используются для связности конца к базам данных от webserver. Потому как этот тип подключения вообще требует идентификации, некоторые IDC файлы содержат комбинации имени пользователя/пароля, часто открытым текстом.

Waruser.dat: это один из файлов конфигурации для WarFTP, популярного Win32 FTP сервера. Этот специфический dat файл может содержать административный пароль непосредственно для FTP сервера.

$winnt$.inf: В течение автоматической инсталляции WindowsNT, процесс установки требует информационных файлов. Как остаток этого автоматического инсталляционного процесса, файл, называемый $winnt$.inf, может существовать в каталоге %systemroot%\system32. Этот файл может содержать имя пользователя и комбинацию пароля аккаунта, которая использовалась в течение инсталляции.

Sam _: хотя давно известно, что база данных SAM может представлять проблему, если она попала в неправильные руки, много людей забывают об этом. Много потенциальных хакеров спросили себя, как они могли бы скопировать базу данных SAM, если они могли бы установить диск поперек сети. Хорошо, обычно это не возможно, потому что NT сервер, с которым Вы связаны, выполняется, и в то время как он выполняется, он блокирует SAM. Однако, если администратор создал резервный диск, копия SAM должна быть расположена в каталоге %systemroot%\repair\. Этот файл будет назван Sam _. Эта копия по умолчанию доступна для чтения каждому. Используя копию утилиты samdump, Вы можете извлечь комбинации имени пользователя/пароля из скопированного SAM.

ExchVerify.log: файл ExchVerify.log создан Cheyenne/Innoculan/ArcServe. Обычно создаваемый инсталляцией программного обеспечения Cheyenne/Innoculan/ArcServe, этот файл проживает в корне диска - где программная инсталляция имела место. Этот файл может содержать чрезвычайно важную информацию, как показано ниже:

<EXCH-VERIFY>: ExchAuthenticate() called with
NTServerName:[SAMPLESERVER]
NTDomainName[SAMPLESERVER] adminMailbox:[administrator]
adminLoginName:[administrator]
password:[PASSWORD]

Само собой разумеется, файл содержит информацию, которую хакер может легко использовать, чтобы поставить под угрозу целостность вашей сети.

Profile.tfm: файл Profile.tfm, который создан программным обеспечением AcornMail, клиентом POP3. При написании этого документа, AcornMail начал получать много внимания от сообщества интернета. После осмотра программного обеспечения, мы нашли, что это - эффективный POP3 клиент, но инсталляция не NTFS дружественная. После инсталляции программного обеспечения, мы начали проверять файлы, созданные AcornMail. Мы нашли, что файл Profile.tfm содержит комбинацию имени пользователя/пароля. Сначала, мы решили, что программное обеспечение было вполне ok, потому что оно действительно хранило пароль в зашифрованном состоянии. Но потом мы поняли, что разрешения на файле profile.tfm были установлены в полный доступ для каждого. Это создаёт проблемы, потому что любой может получить копию файла и включить этот файл в свою собственную инсталляцию AcornMail. Тогда хакер войдет в систему с сохраненной информацией. Ниже - сбор данных только при помощи Network Monitor.

00000000 00 01 70 4C 67 80 98 ED A1 00 01 01 08 00 45 00 ..pLg.........E.
00000010 00 4A EA A7 40 00 3D 06 14 88 CF 62 C0 53 D1 36 .J..@.=....b.S.6
00000020 DD 91 00 6E 04 44 F6 1E 84 D6 00 32 51 EB 50 18 ...n.D.....2Q.P.
00000030 22 38 64 9E 00 00 2B 4F 4B 20 50 61 73 73 77 6F "8d...+OK.Passwo
00000040 72 64 20 72 65 71 75 69 72 65 64 20 66 6F 72 20 rd.required.for.
00000050 68 6B 69 72 6B 2E 0D 0A jjohn...
00000000 98 ED A1 00 01 01 00 01 70 4C 67 80 08 00 45 00 ........pLg...E.
00000010 00 36 A4 02 40 00 80 06 18 41 D1 36 DD 91 CF 62 .6..@....A.6...b
00000020 C0 53 04 44 00 6E 00 32 51 EB F6 1E 84 F8 50 18 .S.D.n.2Q.....P.
00000030 21 AC 99 90 00 00 50 41 53 53 20 67 68 6F 73 74 !.....PASS.xerox
00000040 37 33 0D 0A 63..

Как Вы можете видеть, имя пользователя/пароль действительно пропускаютчистым текстом. Это не ошибка AcornMail.

Теперь, когда мы обсудили файлы, которые хакер может желать приобрести, если он получает доступ к вашему жесткому диску, давайте обсудим Троянскую установку. Если и есть одна вещь, которая может получить для хакера тонну информации, то это - троянская установка. Нападение на ресурс открытого файла вообще делает троянскую установку чрезвычайно лёгкой. Один из самых легких и наиболее информативных троянов - утилита PWDUMP, обернутая в пакетном файле. Если всё подготовлено правильно, пакетный файл выполнится свернутым, выполнит утилиту PWDUMP, удалит её после того, как она выполнила ее задачу, и наконец сотрёт себя.

Правила: адресат должен быть NT машиной, и конечный пользователь, выполняющий трояна должен быть администратором, так что хакер помещает пакетный файл в папку запуска Администраторов и ждет. Следующий раз, когда Администратор войдет в машину, пакетный файл выполняется и собирает комбинации имени пользователя/пароля. Тогда хакер соединяется снова с машиной через совместное использование файла и забирает результаты.

Другое хорошее нападение, которое хакер может попробовать, - это размещение пакета keylogger в папке запуска. Это может обычно делаться любым пользователем, не только администратором. Он соберет все нажатия клавиш пользователя, кроме начальных реквизитов входа в систему (из-за архитектуры NT, которая останавливает все процессы режима пользователя в течение входа в систему). Потом хакер соединяется снова с целевой машиной в более позднее время и забирает зарегистрированные нажатия клавиш.

Как предотвратить подобные нападения ? Не использовать элементы, доступные каждой группе, разрабатывать сильные схемы пароля в вашей среде. Если хакер натолкнется на сервер, который запрашивает его относительно аутентификации на каждом повороте, возможно что хакер отстанет. Хотя большинство хакеров продолжит атаку с применением грубой силы.

Несомненно наиболее обычный инструмент для грубой силы NetBIOS-нападения - это NAT. NAT позволит пользователю автоматизировать сетевые команды подключения, использующие список возможных имен пользователя и паролей. NAT будет пытаться соединяться с удаленной машиной, используя каждое имя пользователя и каждый пароль в обеспеченных списках. Это может быть длинный процесс, но часто хакер будет использовать сокращенный список обычных паролей и иногда это выходит. Хакер создаст свой список из имен пользователя, используя информацию, собранную методами, обсужденными выше. Список пользователей, который хакер будет использовать, будет также создан из подбираемой информации.

Хакер может задать конкретный IP-адрес для атаки или он может задать полный диапазон адресов IP. NAT будет старательно работать, чтобы выполнить задачу, все время выдавая сформированные сообщения.

Ниже - фактический файл результатов реального нападения NAT. Хотя разрешение на это нападение было дано, адрес IP был изменен, чтобы защитить адресата.

[*]--- Reading usernames from userlist.txt
[*]--- Reading passwords from passlist.txt

[*]--- Checking host: 0.0.0.0
[*]--- Obtaining list of remote NetBIOS names

[*]--- Attempting to connect with name: *SMBSERVER
[*]--- CONNECTED with name: *SMBSERVER
[*]--- Attempting to connect with protocol: MICROSOFT NETWORKS 1.03
[*]--- Server time is Tue Oct 14 11:33:46 1997
[*]--- Timezone is UTC-4.0
[*]--- Remote server wants us to encrypt, telling it not to

[*]--- Attempting to connect with name: *SMBSERVER
[*]--- CONNECTED with name: *SMBSERVER
[*]--- Attempting to establish session
[*]--- Was not able to establish session with no password
[*]--- Attempting to connect with Username: `ADMINISTRATOR' Password: `ADMINISTRATOR'
[*]--- Attempting to connect with Username: `ADMINISTRATOR' Password: `GUEST'
[*]--- Attempting to connect with Username: `ADMINISTRATOR' Password: `ROOT'
[*]--- Attempting to connect with Username: `ADMINISTRATOR' Password: `ADMIN'
[*]--- Attempting to connect with Username: `ADMINISTRATOR' Password: `PASSWORD'
[*]--- CONNECTED: Username: `ADMINISTRATOR' Password: `PASSWORD'

Sharename      Type      Comment
---------      ----      -------
ADMIN$         Disk:     Remote Admin
C$             Disk:     Default share
D$             Disk:     Default share
E$             Disk:     Default share
HPLaser4       Printer: HP LaserJet 4Si
IPC$           IPC:      Remote IPC
NETLOGON       Disk:     Logon server share
print$         Disk:     Printer Drivers

[*]--- Attempting to access share: \\*SMBSERVER\
[*]--- Unable to access

[*]--- Attempting to access share: \\*SMBSERVER\ADMIN$
[*]--- WARNING: Able to access share: \\*SMBSERVER\ADMIN$
[*]--- Checking write access in: \\*SMBSERVER\ADMIN$
[*]--- WARNING: Directory is writeable: \\*SMBSERVER\ADMIN$
[*]--- Attempting to exercise .. bug on: \\*SMBSERVER\ADMIN$

[*]--- Attempting to access share: \\*SMBSERVER\C$
[*]--- WARNING: Able to access share: \\*SMBSERVER\C$
[*]--- Checking write access in: \\*SMBSERVER\C$
[*]--- WARNING: Directory is writeable: \\*SMBSERVER\C$
[*]--- Attempting to exercise .. bug on: \\*SMBSERVER\C$

[*]--- Attempting to access share: \\*SMBSERVER\D$
[*]--- WARNING: Able to access share: \\*SMBSERVER\D$
[*]--- Checking write access in: \\*SMBSERVER\D$
[*]--- WARNING: Directory is writeable: \\*SMBSERVER\D$
[*]--- Attempting to exercise .. bug on: \\*SMBSERVER\D$

[*]--- Attempting to access share: \\*SMBSERVER\E$
[*]--- WARNING: Able to access share: \\*SMBSERVER\E$
[*]--- Checking write access in: \\*SMBSERVER\E$
[*]--- WARNING: Directory is writeable: \\*SMBSERVER\E$
[*]--- Attempting to exercise .. bug on: \\*SMBSERVER\E$

[*]--- Attempting to access share: \\*SMBSERVER\NETLOGON
[*]--- WARNING: Able to access share: \\*SMBSERVER\NETLOGON
[*]--- Checking write access in: \\*SMBSERVER\NETLOGON
[*]--- Attempting to exercise .. bug on: \\*SMBSERVER\NETLOGON

[*]--- Attempting to access share: \\*SMBSERVER\print$
[*]--- WARNING: Able to access share: \\*SMBSERVER\print$
[*]--- Checking write access in: \\*SMBSERVER\print$
[*]--- WARNING: Directory is writeable: \\*SMBSERVER\print$
[*]--- Attempting to exercise .. bug on: \\*SMBSERVER\print$

[*]--- Attempting to access share: \\*SMBSERVER\ROOT
[*]--- Unable to access

[*]--- Attempting to access share: \\*SMBSERVER\WINNT$
[*]--- Unable to access

Если Вы изучите результаты, Вы можете ясно видеть сообщение CONNECTED, которое сообщает хакеру, что инструмент нашел правильную комбинацию имени пользователя/пароля. Теперь хакер может вручную соединиться с этой машиной, используя недавно найденную комбинацию имени пользователя/пароля и начать свою атаку.

Это конец раздела об удаленном проникновении через NetBIOS. Имейте в виду, что методы, обсужденные выше не являются ни статическими, ни автономными. Хакер, потративший время на изучение проникновения в NT-сети, станет чрезвычайно творческим и будет использовать не только методы выше, но и персональные разновидности этих методов.

Сбор информации и удаленное проникновение через webserver известны сегодня из-за демографического взрыва в интернет. При обсуждении удаленного проникновения и сбора информации с NT Web-серверов, мы сосредоточимся на Internet Information Server, web-сервере, который поставляется с NT4.

Часть информации, которая будет обсуждена, будет несколько устаревшая. Мы включили её вследствие того, что в течение профессиональных ревизий, группа Rhino9 натолкнулась на компании, которые все еще используют старые версии программных пакетов в своих сферах производства.

Давайте начнём обсуждение методов сбора информации. Мы обсудим пути получения информации относительно webserver при нападении, также как использовании webserver, чтобы получить информацию, которая могла бы использоваться в других типах нападений.

Сначала мы обсудим, как можно определить версию пакета программ webserver на целевой машине. Кто-то, кто плохо знаком с сообществом защиты, мог бы задаться вопросом, зачем нужно знать версию webserver целевой машины. Каждая различная версия и распределение программного обеспечения имеет свои различные дырки. По этой причине хакер хотел бы знать версию программного обеспечения webserver.

Самая старая методика определения типа и версии программного обеспечения web-сереверов - подключение telnet к целевой машине на порт HTTP. Как только подключение telnet было установлено, простая команда GET позволит увидеть информацию заголовка HTTP, которая включает тип программного обеспечения webserver и его версию.

Тот, кто не хочет использовать telnet, или не желает копаться в заголовках, может использовать пару доступных инструментальных средств. Первый, и вероятно наиболее популярный инструмент среди несостоявшихся хакеров - Netcraft. Хакер может посетить www.netcraft.com и использовать их поисковый движок, чтобы отыскать webserver информацию удаленного адресата. Netcraft может также использоваться для поиска всех известных webserver имён хоста. Например, если мы хотим найти все webservers, которые принадлежат домену someserver.com, мы можем использовать движок неткрафта, чтобы сделать запрос *.someserver.com, и он возвратит листинг всех главных webserver компьютеров в данном домене. Другие инструментальные средства, которые могут использоваться, чтобы определить версию webserver, включают 1nf0ze by su1d и Grinder by horizon of Rhino9 (URL ко всем инструментальным средствам, обсужденным в этом тексте, может быть найден в конце этого документа).

Как только хакер определил что за пакет webserver установлен, он может начинать формулировать план нападения. Используя методы, обсужденные ниже, хакер может получить доступ к серверу или получить информацию от сервера, чтобы использовать в других нападениях. Поймите, что этот раздел никоим образом не законченное представление всех нападений, а только наиболее общих и известных.

Первое нападение, которое будет охвачено - ошибка .bat/.cmd.

<Цитата>
Ошибка .bat и .cmd - известная ошибка в Netscape сервере и описана в FAQ59 по защите WWW. Выполнение этой ошибки в Internet Information Server бьёт все рекорды.

Давайте рассмотрим новую инсталляцию IIS web сервера, где все параметры настройки заданы по умолчанию:

2) Не имеется никаких файлов abracadabra.bat или abracadabra.cmd в
/scripts каталоге.

3) IIS web сервер связывает .bat и .cmd расширения с cmd.exe.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\ScriptMap

В этом случае хакер со злыми намерениями может дать любую из этих двух командных строк на сервер:

a) /scripts/abracadabra.bat?&dir+c:\+?&time
b) /scripts/abracadabra.cmd?&dir+c:\+?&time

1) Браузер спросит вас, как Вы хотите сохранить документ.

2) Браузер начинает сеанс загрузки. Окно загрузки
появляется на экране.

        3) Хакер щелкает кнопку "cancel" в окне загрузки,
           потому что команда "time" на сервере никогда не
           закончится.

4) На стороне сервера не произойдёт записи в логи, так как процесс не был завершён (благодаря команде "time"). Единственный
способ увидеть, что кое-что случалось, состоит в том, чтобы просмотреть все логи NT. Но они не содержат информацию о REMOTE_IP. Таким образом машина хакера остается полностью анонимной.

1) IIS web сервер позволит хакеру выполнить его "пакетный файл"
напечатав:

В подобной ситуации с Netscape сервером, только
одна команда может быть выполнена.

        2) Не имеется никакого файла abracadabra.bat в /scripts каталоге,
           но .bat расширение связано с C:\WINNT35\System32\cmd.exe
           В подобной ситуации с Netscape сервером, фактически
           .bat файл должен существовать.

        3) В случае, если хакер вводит команду подобную "time" или "date" как
           COMMAND[N], ничего не будет зарегистрировано IIS web сервером.
           В подобной ситуации с Netscape сервером файл регистрации будет иметь                  запись об удаленном IP и командах, которые вы пытались выполнить.
< Конец цитаты >

Если Вы наблюдаете точно то, что описано в ситуации выше, хакер может использовать вышеупомянутую последовательность нападения, чтобы создавать и выполнять файлы на стороне сервера. Это может иметь действительно решительные результаты в зависимости от уровня навыков и намерения хакера. К счастью, большинство сфер производства больше не использует достаточно старые версии Internet Information Server, чтобы все еще можно было пользоваться этой ошибкой.

Вскоре после того, как ошибка bat/cmd была полностью исследована и зарегистрирована, другая ошибка бьёт по сообществу. Снова, к счастью для нас, эта ошибка также работает только в старых версиях Internet Information Server. Эта ошибка, называемая "ошибка двойной точки" дала посетителю website способность уйти из санкционированного webroot каталога и запускать и просматривать файлы. Очевидно сервер может содержать важную информацию, которая существует вне обозначенного webroot, и эта простая ошибка даёт постороннему возможность обращаться к этой информации. Команда запускается как URL, и её структура следующая:

Как будто ошибки двойной точки было не достаточно, вскоре появляется ещё один вариант этой ошибки. Эта недавно найденная ошибка даёт хакеру возможность выполнять скрипты на целевой машине. Вследствие того, что эта новая ошибка - вариант ошибки двойной точки, рассматриваемые скрипты могут существовать вне webroot. Это нападение также структурировано как URL, и выполняется следующим образом:

WindowsNT инсталляции Internet Information Server требуют некоторого типа аккаунта, который нужно использовать для идентификации на блоке для общественных посещений. В Internet Information Server аккаунт, который нужно использовать, - это аккаунт IUSR _ <computername>. Этот аккаунт и его пароль сопровождения созданы в течение инсталляции. По умолчанию, этот аккаунт - член, доступный каждой группе, и по умолчанию каждая группа имеет доступ для чтения ко всему диску NT. Этот факт вместе со способностью вышеупомянутой ошибки уходить из webroot может вести к главным нарушениям защиты.

В течение короткого времени, казалось, что новые ошибки, связанные с URL, выскакивают каждую неделю. После ошибки со скриптами выше была другая ошибка со скриптами, которая позволяет хакеру создавать файл на целевой машине, и возможно выполнять файл после создания. Структура URL для новой атаки была:

Когда эта ошибка появилась, много людей в сообществе игнорировали её и не придали значения. Но вскоре после этого был выпущен документ, точно описывающий шаги, которые хакер должен сделать, чтобы получить копию SAM. Документ включал вышеупомянутую URL ошибку как часть полного нападения.

Когда Microsoft выпустил Internet Information Server 3.0, это принесло технологию активной страницы сервера всему миру. Этот выпуск также открыл ворота новому потоку ошибок, которые воздействовали на IIS и NT4.

Активные страницы сервера принесли простые, динамические web-страницы миру Microsoft. Активные страницы сервера могут использоваться для многих областей, типа связности баз данных, индексируя и ища документы, идентификацию, и простого графического вращения раздражающих рекламных баннеров.

Концепция активных страниц сервера была фактически довольно творческая. Код HTML включал вставленный код скрипта, который выполняет сторону сервера и производит динамическое содержание для конечного пользователя. С этой новой технологией, широко доступной, всё было здорово, пока публика не обнаружила первую ошибку. Эта первая ошибка дублирует "ошибку двойной точки" и позволяет хакеру фактически рассматривать скрипт без сервера, его выполняющего.

Стандартная структура URL выглядит следующим образом:

Это нападение отобразило бы невыполненный код в браузере хакера. Само собой разумеется, код скрипта может содержать важную информацию, типа комбинации имени пользователя/пароля, чтобы удаленно соединиться с базой данных. Этот тип информации, среди других вещей, - не что иное, как то, что хакер хотел бы получить в свои руки.

Когда был выпущен патч для ошибки двойной точки, появились варианты данной ошибки, победившие патч. Первый из вариантов была ошибка %2e. %2e - это шестнадцатиричный эквивалент периода. Таким образом стало ясно, что выпущенный патч не избавлял от неприятностей полностью. Варианты этой ошибки продолжают обнаруживаться при случае. Поскольку все варианты имеют точно тот же самый конечный результат, они не будут обсуждены подробно. Некоторые из известных структур URL атаки перечислены ниже:

http://www.someserver.com/default%2easp
http://www.someserver.com/default%2e%41sp
http://www.someserver.com/default.asp::$DATA
http://www.someserver.com/shtml.dll?<filename>.asp

Каждый имел чувство, что все эти способы выуживания скриптов не будут последними в ближайшем будущем. Поскольку эти скрипты станут все более банальны, они будут содержать все более важную информацию. Эти простые ошибки могут дать хакеру возможность легко захватить эту самую важную информацию.

Возможно один из наиболее популярных и самых легких видов атак - атака на Index Server. Index Server - маленький компактный модуль поискового сервера, который был включен в версию 3.0 Internet Information Server. Этот модуль дает web-мастерам способность обеспечить посетителей их сайта доступным для поиска интерфейсом. Хотя не имеется никаких проблем с Index Server непосредственно, проблемы происходят из недостатка образования со стороны администраторов и web-мастеров. Index Server не труден для понимания, установки и управления, хотя он имеет мультиконфигурацию, с помощью которой хакер может получить доступ к той информации, получить доступ к которой в нормальных условиях ему было бы очень трудно

Заданная по умолчанию структура URL для этого нападения была бы:

Этот путь отражает заданный по умолчанию путь к типовым страницам, которые поставляются с Internet Information Server. Если этот путь неправильный, хакер может все еще нажать по этой полезной небольшой ссылке "Search This Site", чтобы обратиться к той же самой информации. Как только хакер успешно достигает рассматриваемого документа HTML, он (документ) будет представлен в виде страницы, содержащей поле форм. Это поле форм - то, где посетитель вашего сайта обычно ввел бы информацию, которую он желает искать. Хакер может использовать строку для поиска имени файла типа:

Это инструктировало бы Index Server перерывать его каталог индексированных данных для любых файлов, заканчивающихся заданным расширением файла. Имейте в виду, что это расширение файла не ограничено расширениями, которые Index Server понимает. Если Index Server сталкивается с типом файла, который он не понимает, он обработает его как двоичный и индексирует имя файла, расширение, дату и другие признаки. Это означает, что хакер может искать что-нибудь, включая *. _, что может означать резервный SAM. Интересная вещь относительно Index Server состоит в том, что в отличие от других поисковых серверов интернет, Index Server не будет отображать файл, к которому запрашивающий не имеет разрешения обратиться. Другими словами, если Index Server возвращает факт, что он нашёл файл, тогда файл полностью доступен.

Другая любимая заданная по умолчанию функция, к которой хакер попытается обращаться - это интерфейс web-администратора Internet Information Server. В заданной по умолчанию инсталляции IIS, интерфейс web-администратора проживает в подкаталоге 'iisadmin' корня web, что означает, что структура URL для атаки была бы:

Если admin имеет так или иначе разрешение на конфигурацию в этом интерфейсе, то хакер может получить неправомочный доступ к серверу сети с административными функциями. Если всё успешно, хакер будет представлен с интерфейсом HTML административному инструменту. Из-за пути, которым IIS и NT обрабатывает разрешения, это возможно для хакера, чтобы получить доступ к интерфейсу, но не иметь надлежащего разрешения фактически делать что-нибудь с этим. Так, если Вы проводя ревизию вашей собственной сети, убеждаетесь, что есть попытка незначительного изменения, можно гарантировать, что есть проблема.

В конце '97 и начале '98 огромное количество web-серверов были взломаны. Большое количество взломанных серверов имели одну общую черту: они использовали Microsoft Frontpage Extensions. Microsoft Frontpage Extensions - небольшие 'web-роботы', которые позволяют автору или администратору website исполнять сложные или вовлеченные задачи с относительной непринужденностью.

Проблема с Microsoft Frontpage Extensions состояла в том, что заданная по умолчанию инсталляция Frontpage не была безопасна, особенно в unix версии. Огромное число серверов, поддерживающих Microsoft Frontpage Extensions, было оставлено без паролей или допускались административные права на каждую группу. Опять же, "каждый" означает именно "каждый", включая анонимные подключения.

Мы нырнем в первое нападение Frontpage с обсуждением нападения, используя фактическое Frontpage программное обеспечение клиента.

Сервер, который поддерживает FrontPage, будет иметь множество рабочих каталогов, которые начинаются с символов '_vti '. Выполнение поиска в любом из популярных поисковых серверов для любого значения по умолчанию "frontpage каталоги" кончилось бы большим количеством возвращений от движка. Для хакера в таком случае становиться удобно и просто делать попытки атаки, повторяющегося и продолжительного нападения против этих серверов. Атака происходит следующим образом:

1- Откройте вашу собственную персональную копию FrontPage
2- Идите в диалоговое окно "Open frontpage web"
3- Поместите URL или IP сервера, который Вы желаете атаковать

Если сервер без пароля или если разрешён доступ каждой группе, Frontpage откроет удаленный сайт для Вас, и позволит Вам изменять его. Это нападение действительно просто. Если расширения установлены правильно, диалог имени пользователя/пароля появится. Хакер может делать попытку некоторых основных комбинаций типа администратора/пароля, но скорее всего он не будет беспокоиться, и будет двигаться дальше.

Хакер может также использовать ту же самую уловку "open frontpage web" чтобы получить полный листинг пользователей. Это может использоваться в грубой силе при нападении позже. Распространено объяснение, что, чтобы остановить подбор имён пользователей этим путём, нужно создать группу ограничений, такую как FP_www.yourdomain.com:80. Эта новая группа ограничений действительно работает, если хакер не использует адрес IP вашего сервера вместо имени домена.

Некоторые другие уловки, которые могут быть сделаны с поддержкой FrontPage, пытаются захватывать Frontpage файл пароля. Frontpage обычно хранит пароль в _vti_pvt каталоге, с именем service.pwd. Хакер может пытаться выполнить следующий URL:

Если разрешения не установлены корректно и просмотр каталога позволяется, хакер может получить листинг файлов в каталоге, включая service.pwd. Обычно администратор уделяет некоторое внимание инсталляции и защите сайта и ограничивает доступ к данному каталогу. Хотя это - хороший начальный шаг, всегда помните, как NTFS работает. В зависимости от конфигурации NTFS, пользователь может все еще иметь доступ к файлу пароля даже при том, что доступ к родительской папке был отклонен. В этом типе ситуации, хакер просто задаст полный путь к файлу в URL, типа:

Хотя frontpage файл пароля зашифрован, он зашифрован по стандарту DES, так что любой DES-взломщик может подобрать пароль. Хакер может также копать вокруг других _vti каталогов, поскольку иногда они могут содержать важную информацию. После того, как имя пользователя известно, и пароль был взломан, хакер может заново соединиться его копией Frontpage, обкспечить её аутентификацией, или аутентификация может использоваться в других целях, типа подключения сетевого диска, если та же самая комбинация имени пользователя/пароля будет работать в данном контексте.

(Обратите внимание: Service.pwd - не единственное известное имя файла пароля. Authors.pwd, admin.pwd, users.pwd и administrators.pwd также были замечены.)

Ошибка двоичного ftp является наиболее сложным моментом, даже при том, что его также чрезвычайно просто выполнить. Двоичная атака позволяет хакеру выполнять любой двоичный файл через frontpage расширения. Нападавший должен найти сервер, который поддерживает frontpage и также поддерживает записываемый анонимный FTP. После соединения с сервером через FTP, хакер создаёт каталог, названный _vti_bin. Потом он загружает, какой-нибудь исполняемый файл в недавно созданный каталог. Как только исполняемый файл загружен, хакер запускает следующий URL:

Сервер будет больше чем счастлив выполнить файл для посетителя сайта.

Вскоре после того, как двоичная атака заработала свою долю внимания, была найдена ошибка _vti_cnf. Она позволила хакеру рассматривать все файлы в некотором каталоге. Заменяя index.html на _vti_cnf, хакер может видеть все файлы в данном каталоге, и возможно получать доступ к ним. Нападение происходит следующим образом:

Standard structure - http://www.someserver.com/some_directory_structure/index.html
Attack structure - http://www.someserver.com/some_directory_structure/_vti_cnf

Может показаться, что имеется бесчисленное множество вариантов того же самого типа атаки, которая даёт подобные результаты. Печально, но это достаточно точное утверждение. Многие из этих ошибок найдены людьми, играющими с вариантами предыдущих ошибок, но не все ошибки, воздействующие на NT web-сервис происходят от Internet Information Server.

Имеются другие пакеты программ сервера сети, которые выполнятся на NT, например известный web-сервер Apache.

Webcom Datakommunikation выпустил cgi-скрипт, который позволяет посетителям website подписывать guestbook. Имя cgi-скрипта - wguest.exe. Подавая надлежащие команды, этот небольшой cgi-скрипт позволяет хакеру рассматривать любой текстовый файл на вашем сервере.

Страница формы, где посетитель подписывает guestbook, содержит множество скрытых полей. Одно из этих скрытых входных полей (как сообщено Дэвидом Литчфиелдом):

input type="hidden" name="template"
value="c:\inetpub\wwwroot\gb\template.htm">

Template.htm - файл, который будет отображен wguest.exe после того, как пользователь ввел информацию. Чтобы использовать это, хакер рассматривает источник и сохраняет документ на рабочий стол и редактирует эту строку, изменяя путь к любому файлу, который он хочет рассмотреть:

input type="hidden" name="template"
value="c:\winnt\system32\$winnt$.inf">

[ Если была произведена автоматическая установка, пароль админа может подбираться из этого файла]

Потом хакер жмёт на "Submit", и затем wguest.exe отобразит указанный файл. Это не было проверено с pwl файлами. Однако хакер должен знать точный путь файла, который он желает рассмотреть.

Другая HTTPD-ошибка включает продукт по имени Sambar Server. Ниже - прямая цитата из отправления по почте:

<Цитата>
Возможен просмотр HDD жертвы. Вы можете найти компьютер, выполняющий Sambar Server, ища в Internet по этими ключевыми словами: +sambar+server+v4.1

Если Вы найдёте сайт подобно: http://www.site.net/, то проведите тест, выполнив небольшой perl-скрипт ...

Теперь Вы видите полную среду компьютера жертвы, включая его путь. Теперь Вы можете пробовать войти как администратор этим URL:

Заданный по умолчанию вход в систему: admin и заданный по умолчанию пароль пустой. Если жертва не изменила параметры настройки, Вы теперь можете управлять её сервером. Другая фича -это просмотр HDD жертвы. Если Вы выполнили perl-скрипт, Вы должны также (в большинстве случаев) видеть каталог его пути. Большинство людей имеет файлы c:/program и c:/windows в строке path, так что Вы можете сделать:

http://www.site.net/c:/program files/sambar41
<Конец цитаты >

Следующий маленький пункт в этом разделе имеет отношение к Netscape Enterprise Server. Некоторые версии программного обеспечения реагируют на параметр ?PageServices, позволяя пользователям обращаются к листингу каталога.

http://www.site.net/?PageServices - то, как это было бы сделано.

Наконец слово о FTP. FTP может быть безопасной вещью. Тонны людей будут доказывать, что новые платформы и версии делают его более безопасным, и главным образом это правда. Но профессионалы скажут Вам, что версия и платформа не составляет ничего важного без образованного админа. Мы добавляем, что это быстрое примечание здесь из-за числа FTP серверов, в которые проникла группа Rhino9.

Не трудно загрузить NetCat через anon-ftp-writable на сервер, выполнить его через URL, и связать его с портом. Теперь Вы имеете удаленную 'оболочку' на NT машине. Соединяясь с удаленным NetCat, имейте в виду, что все функции командной строки, запущенные из этой оболочки, кажутся посланными из ОБОЛОЧКИ, с которой связан NetCat, выполняющийся в контексте внутреннего пользователя.

Как и любой другой документ, связанный с защитой, который пытается охватывать много различных тем, некоторые темы будут казаться не по теме среди остальной их части. Этот раздел имеет дело с различными методами, которые действительно не имели места где-нибудь еще в документе. Извините за несколько фрагментированный характер этого раздела.

Если и есть одна программа, на которую группа Rhino9 потратила время, разрывая её на части, то это - WinGate. Первая проблема, с которой сталкиваются в WinGate это способность 'отскакивания' через WinGate со всеми последующими подключениями, кажущимися от WinGate непосредственно. Эта небольшая ошибка чрезвычайно проста в использовании. Telnet к WinGate порту и подсказка типа:

При этой подсказке, Вы можете запускать команды telnet или воспользоваться возможностью WinGates для установки других подключений. В то время как разработчик этого программного продукта был скор в выпусках патчей и бюллетеней для него, следующий выпуск также имел проблемы.

В заданной по умолчанию инсталляции WinGate v2.1, WinGate машина сконфигурирована службой регистрации. Служба регистрации слушает на порту 8010 из WinGate машины. Устанавливая подключение HTTP к этому порту, хакер может получить ответ:

Или же он получит листинг wingate жесткого диска машины. Имейте в виду, что это - заданная по умолчанию установка и может легко быть установлена другая конфигурация установки.

Как только Exchange server стал более популярным пакетом почтовых серверов, начали появляться ошибки. Первая ошибка, которая появилась, была проблема кэширования пароля в пределах архитектуры Exchange. Это - цитата непосредственно из первоначального отправления по почте:

<Цитата>
Создайте пользователя xyz на вашем NT домене с Exchange server 5.0 со службой POP3. Установите пароль xyz на a1234. Всё пока работает на ура. Теперь измените пароль xyz на b5678. Вы обнаружите, что почтовые клиенты POP3 могут войти, используя пароль a1234 или b5678 для пользователя xyz. Теперь измените пароль на кое-какой еще. Вы увидите, что POP3 клиент (или telnet на порту 110) позволит Вам войти как xyz, использовав любой из этих трех паролей. Они все работают. POP3-сервис Exchange server 5.0 кэширует пароли не-hashing механизмом, так что все пароли остались активными. Это не затрагивает новый интерфейс web-страницы, чтобы получить вашу почту, которая использует различную идентификацию. И при этом это не затрагивает входы в систему NT. Во входах в систему non-POP3, пароли не кэшируются (кроме NNTP и LDAP). Как Вы можете видеть, проблема кэширования может быть очень серьезна в некоторых случаях.
<Конец цитаты>

Другая методика, которую хакер может использовать чтобы собрать информацию, основана на порту SMTP целевого сервера почты. Чтобы быть SMTP-совместимыми и иметь способность полностью взаимодействовать с другими почтовыми объектами в интернет, почтовые серверы, основанные на NT, понимают фичу идентификации. Устанавливая сеанс telnet на порт почтового сервера SMTP, хакер может запустить проверяющую команду вместе с именем пользователя. Если проверка допускается, сервер сообщит хакеру, правильное ли имя пользователя или нет. Команда атаки была бы также:

vrfy administrator (проверка, существует ли пользователь с именем administrator)

На некоторых системах почты, хакеру требуется сначала пройти HELO последовательность, но это чрезвычайно тривиально. Само собой разумеется, это может помочь хакеру, собирающему список правильных имен пользователей чтобы использовать его в других нападениях.

Net Accounts: эта команда показывает текущие параметры настройки для пароля, ограничений входа в систему, и информации домена. Она также содержит опции для обновления базы данных аккаунтов пользователей и изменения требований входа в систему и пароля.

Net Computer: добавляет или удаляет компьютеры из базы данных доменов.

Net Config Server или Net Config Workstation: информация конфигурации относительно службы сервера. Когда используется без определения сервера или рабочей станции, команда отображает список конфигурируемых услуг.

Net Continue: реактивирует службу NT, которая была приостановлена командой NET PAUSE.

Net File: эта команда выводит список открытых файлов на сервере и имеет опции для закрытия общедоступных файлов и удаления блокировок файлов.

Net Group: отображает информацию относительно имен группы и имеет опции, которые Вы можете использовать, чтобы добавлять или изменить глобальные группы на серверах.

Net Helpmsg message#: даёт справку по специфической сетевой ошибке или функциональному сообщению.

Net Localgroup: используйте это, чтобы увидеть список локальных групп на серверах. Вы можете также изменять эте группы.

Net Name: показывает имена компьютеров и пользователей, которым сообщения посланы на компьютере.

Net Pause: используйте эту команду, чтобы приостановить некоторую службу NT.

Net Print: задания по выводу на печать и общедоступных очередей.

Net Send: используйте эту команду, чтобы послать сообщения другим пользователям, компьютерам или передачи имён по сети.

Net Session: показывает информацию относительно текущих сеансов. Также имеет команды для разъединения некоторых сеансов.

Net Share: используйте эту команду, чтобы увидеть информацию относительно всех ресурсов, разделяемых на компьютере. Эта команда также используется, чтобы создать сетевые ресурсы.

Net Statistics Server или Workstation: показывает файл регистрации статистики.

Net Stop: останавливает NT службу, отменяя любые подключения, которые служба использует. Знайте, что остановка одной службы может останавливать другие службы.

Net Time: команда используется, чтобы установить время для компьютера или домена.

Net Use: отображает список связанных компьютеров и имеет опции для соединения и разъединения от общедоступных ресурсов.

Net User: команда отобразит список аккаунтов пользователей компьютера и имеет опции для создания и изменения аккаунтов.

Net View: команда отображает список ресурсов, разделяемых на компьютере. Включая серверы сетевого обеспечения.

**Специальное примечание относительно DOS и старых Windows машин: команды, перечисленные выше доступны на Windows NT Server и Workstation. DOS и старые клиенты Windows имеют такие NET команды:

Net Config
Net Diag (запускает программу диагностики)
Net Help
Net Init (загружает драйверы протокола и сетевого адаптера)
Net Logoff
Net Logon
Net Password (изменяет пароль)
Net Print
Net Start
Net Stop
Net Time
Net Use
Net Ver (показывает тип и версию сетевого редиректора)
Net View

Эта ошибка работает с User2Sid и Sid2User утилитами. Утилиты делают функции LookupAccountName и LookupAccountSid WIN32 Функциями. Эти функции должны быть выполнены пользователем с полным доступом, не очень трудно, чтобы выполнить. То что получилось:

1)SID ищет любой аккаунт домена, например Domain Users

Теперь мы знаем все подвласти для текущего домена. Аккаунты домена отличаются только последним номером SID, называемым RID.

2) Поиск встроенного имени администратора (RID - всегда 500)

Теперь возможен поиск всех аккаунтов домена от самого первого (RID = 1000 для первого аккаунта, 1001 для второго и так далее, RID никогда не используются снова для текущей инсталляции).

sid2user 5 21 201642981 56263093 24269216 1000
sid2user 5 21 201642981 56263093 24269216 1001
...

Помните, что анонимный аккаунт - также часть каждой группы. Также случается, что анонимный аккаунт не имеет фичи входа в систему/выхода из системы.

Ниже - пример, показывающий, к чему могут привести открытые netbios порты (листинг вымышленный).

nslookup www.xyz.com
Non-authoritative answer:
Name: www.xyz.com
Address: 131.107.2.200
net use \\131.107.2.200\ipc$ "" /user:""

Number of subauthorities is 5
Domain is XYZ_domain
Length of SID in memory is 28 bytes
Type of SID is SidTypeGroup

DOMAINNAME\ADMINISTRATOR
S-1-5-21-917267712-1342860078-1792151419-500 (=0x1F4)

DOMAINNAME\DOMAIN ADMINS
S-1-5-21-917267712-1342860078-1792151419-512 (=0x200)

DOMAINNAME\DOMAIN USERS
S-1-5-21-917267712-1342860078-1792151419-513 (=0x201)

DOMAINNAME\DOMAIN GUESTS
S-1-5-21-917267712-1342860078-1792151419-514 (=0x202)

BUILTIN\ADMINISTRATORS S-1-5-32-544 (=0x220)
BUILTIN\USERS S-1-5-32-545 (=0x221)
BUILTIN\GUESTS S-1-5-32-546 (=0x222)
BUILTIN\ACCOUNT OPERATORS S-1-5-32-548 (=0x224)
BUILTIN\SERVER OPERATORS S-1-5-32-549 (=0x225)
BUILTIN\PRINT OPERATORS S-1-5-32-550 (=0x226)
BUILTIN\BACKUP OPERATORS S-1-5-32-551 (=0x227)
BUILTIN\REPLICATOR S-1-5-32-552 (=0x228)

\CREATOR OWNER S-1-3-0
\EVERYONE S-1-1-0
NT AUTHORITY\NETWORK S-1-5-2
NT AUTHORITY\INTERACTIVE S-1-5-4
NT AUTHORITY\SYSTEM S-1-5-18

Приложение C - "Расположения по умолчанию структур IIS"

C:\InetPub\wwwroot                                                                      <Home>
C:\InetPub\scripts                                                                          /Scripts
C:\InetPub\wwwroot\_vti_bin                                                         /_vti_bin
C:\InetPub\wwwroot\_vti_bin\_vti_adm                                         /_vti_bin/_vti_adm
C:\InetPub\wwwroot\_vti_bin\_vti_aut                                           /_vti_bin/_vti_aut
C:\InetPub\cgi-bin                                                                           /cgi-bin
C:\InetPub\wwwroot\srchadm                                                         /srchadm
C:\WINNT\System32\inetserv\iisadmin                                        /iisadmin
C:\InetPub\wwwroot\_vti_pvt                                                          /_vti_pvt
C:\InetPub\wwwroot\samples\Search\QUERYHIT.HTM             пример Internet Information Index Server
C:\Program Files\Microsoft FrontPage\_vti_bin
C:\Program Files\Microsoft FrontPage\_vti_bin\_vti_aut
C:\Program Files\Microsoft FrontPage\_vti_bin\_vti_adm
C:\WINNT\System32\inetserv\iisadmin\htmldocs\admin.htm       /iisadmin/isadmin

/_vti_inf.html - гарантирует, что frontpage server extensions установлены.
/_vti_pvt/service.pwd - содержит зашифрованые файлы паролей. Не используется на IIS и WebSite.
/_vti_pvt/authors.pwd - только в Netscape server. Зашифрован. Имена и пароли авторов.
/_vti_pvt/administrators.pwd
/_vti_log/author.log - если существует, должен быть очищен чтобы закрыть дорожки хакера.

Я получил бесчисленное количество почты относительно NT служб. Люди спрашивают что делать если некоторые заблокированны. Ниже следует список служб, объяснение каждой, и рекомендации для установки. - NeonSurge

ALERTER: сидит на NetBIOS по TCP/IP для сетевой связи. Эта служба позволяет пользователю получать сообщения от других машин. Эти сообщения могут быть предупреждениями или некоторого типа предопределенной сетевой информацией. Я рекомендую отключить ALERTER службу на машине из-за использования им NetBIOS и факта, что это едва ли когда-либо используется.

CLIPBOOK SERVER: живёт на NetBIOS по TCP/IP для сетевой связи. Эта служба сервера позволяет содержанию буфера обмена быть разделенным по сети. Лучше заблокировать из-за способности удаленного хакера подобраться к данной информации.

COMPUTER BROWSER: служба COMPUTER BROWSER позволяет рассматривать доступные сетевые ресурсы, просматривая через Network Neighborhood. Когда активно на сервере, сервер регистрирует его имя через передачу NetBIOS или непосредственно на сервер WINS. Я рекомендую отключить эту службу.

DHCP CLIENT: эта служба должна быть установлена автоматически, если машина - dhcp клиент, если нет, отключите это.

DIRECTORY REPLICATOR: эта служба позволяет NT системам импортировать и экспортировать содержание каталога. Если вам это не нужно, отключите эту службу.

EVENT LOG: я рекомендую всегда использовать эту службу, потому что это - служба, ответственная за регистрацию деятельности на сервере, включая деятельность защиты.

LICENSE LOGGING SERVICE: используется чтобы проследить использование лицензий различными приложениями, это не имеет никакого серьезного воздействия на сеть и должно быть установлено автоматически (параметр по умолчанию).

MESSENGER SERVICE: торчит на NetBIOS по TCP/IP для сетевой связи. Подобна службе ALERTER по дизайну и функциям. Я рекомендую остановить эту службу чтобы предотвратить перечисление имени пользователя через команды NBTSTAT.

NET LOGON: эта служба используется Server и Workstation чтобы обеспечить идентификацию пользователя. TSERhis служба, как считают, требуется всегда и запущена как встроенный СИСТЕМНЫЙ пользователь.

NETWORK DDE и DDE DSDM: эта служба обеспечивает динамический обмен данных. DDE используется для таких приложений как Chat (так важный!), и других приложений, которые могут требовать этого типа функциональных возможностей. Эти услуги, как рассматривается, являются умеренным риском из-за их подключения TCP.

NETWORK MONITOR AGENT: используется, чтобы контролировать движение, проходящее через плату сетевого адаптера. Если SMS версия этого программного обеспечения находится в использовании, администратор может удаленно контролировать движение на других платах сетевого адаптера.

NT LM SECURITY SUPPORT PROVIDER: эта служба присутствует, чтобы помочь с совместимостью и идентификацией в старых пакетах программ.

PLUG AND PLAY: используется чтобы конфигурировать PnP устройства.

REMOTE PROCEDURE CALL LOCATOR AND SERVICES: RPC - протокол, который используется при запросах по сети. Его конфигурация по умолчанию автоматическая, является стандартной и должна быть оставлена. Эта служба представляет высокий риск безопасности, но зависимости, существующие на этой службе, слишком большие, чтобы отключить её.

ROUTING AND REMOTE ACCESS SERVICE: это добавочная служба, которая увеличивает функциональные возможности WindowsNT. Если Вы используете модем для коммутируемого соединения из вашей NT системы, эта служба должна быть установлена автоматически. Если Вы используете её фичи маршрутизации, она также устанавливается автоматически.

SCHEDULE: эта служба позволяет приложению запуститься в указанное время и дату. Может излагать серьезную угрозу защите, поскольку эта служба может использоваться, чтобы запустить приложения под СИСТЕМНЫМ контекстом.

SERVER: используется как ключ ко всем приложениям стороны NetBIOS сервера, эта служба несколько необходима. Без этой службы некоторые из административных инструментальных средств, типа Server Manager, не могут использоваться. Если удаленная администрация или доступ к машине не необходимы, я настоятельно рекомендую отключить эту службу. Вопреки популярной вере, эта служба не необходима на web-сервере.

SPOOLER: служба спулера используется, чтобы принять просьбы о заданиях по выводу на печать от клиентов, и позволить локальной системе помещать в очередь задания на сетевой принтер. Эта служба должна быть установлена автоматически.

TCP/IP NETBIOS HELPER: эта служба помогает и увеличивает NBT и службу Net Logon. Поскольку служба Net Logon должна быть установлена автоматически, то эта служба - также.

TELEPHONY SERVICE: эта служба используется чтобы управлять драйверами телефонии и свойствами для набора номера. На системе, которая не использует какой-либо тип телефонии или RAS устройств, надо отключить эту службу.

UPS: эта служба используется в последовательной связи с бесперебойным питанием.

WORKSTATION: эта служба учитывает внешние NetBIOS подключения. Поскольку она используется только на внешних подключениях, она обычно не представляет риска для защиты и должна быть установлена автоматически.

Sid Tools: http://www.technotronic.com/microsoft.html
Eudpass: http://rhino9.ml.org/wardoc
1nf0ze: http://rhino9.ml.org/wardoc
FireFTP: http://rhino9.ml.org/wardoc
Grinder: http://rhino9.ml.org/software
Glide: http://rhino9.ml.org/wardoc
John The Ripper (DES Cracker): http://www.false.com/security/john/index.html
WS_FTPBug: http://rhino9.ml.org/wardoc
L0phtCrack (NT Password Cracker): http://www.l0pht.com
PWDump: http://rhino9.ml.org/wardoc
NAT: http://www.technotronic.com/microsoft.html

Хотя большинство профессионалов защиты привыкло работать с файлом HOSTS, WindowsNT фактически использует два текстовых файла, чтобы преобразовать имена хостов в их адреса. WindowsNT все еще использует файл HOSTS, но также использует файл LMHOSTS.

Во многом подобен файлу HOSTS, LMHOSTS - плоский, последовательный текстовый файл, который используется, чтобы преобразовать компьютерные имена (NetBIOS) в адреса. Файл LMHOSTS также позволяет использовать ключевые слова, которые дают ему большие функциональные возможности и гибкость чем у файла HOSTS.

Ключевые слова, которые использует LMHOSTS - #PRE, #DOM:domain, #INCLUDE filename, #BEGIN_ALTERNATE, и #END_ALTERNATE. Если что-то следует за маркой мусора, которая - не одно из этих ключевых слов, это обработано как замечание.

#PRE: если это ключевое слово следует за входом в LMHOSTS файле, это означает, что WindowsNT надо предзагрузить этот вход в кэш имени. Это позволяет системе Windows преобразовывать имя намного быстрее.

#DOM: вход тега #DOM заставляет WindowsNT связывать этот вход с любым доменом, который Вы определяете (то есть #DOM:accounting). Это помогает NT преобразовать некоторые имена более эффективно, потому что не нужно консультироваться с таблицами маршрутизации, чтобы выяснить, которому домену вход принадлежит.

#INCLUDE: этот вход сообщает WindowsNT, где искать другие LMHOSTS файлы, которые проживают на других машинах. При использовании этой функции, нужно определить UNC путь к другому LMHOSTS файлу. #BEGIN_ALTERNATE и #END_ALTERNATE используются вместе с тегом #INCLUDE и должны появиться прежде и после тега #INCLUDE.

Авторы этого документа (и особенно я, AnSer, переводивший это среди ночи :-) надеются, что вам понравилось читать это и что Вы узнали кое-что из этого. Авторы также хотели бы напомнить читателям, что мы желаем продолжить выпуски этого документа. Пошлите вашу информацию и методы удаленного проникновения в neonsurge@hotmail.com. Как только новые версии этого документа станут доступными, уведомление выйдет на таких списках как NTBUGTRAQ. Дом самого документа будет на Rhino9 website (http://rhino9.ml.org).

Авторы этого документа имеют три других документа, запланированные в выпуск в ближайшем будущем, все из них часть ряда NT WarDoc. Мы ожидаем обратной связи от сообщества.