Queste sono tecniche di base ma molto utile quando la prova di penetrazione tutta la rete basata su Windows, le tecniche è stata scoperta su WinNT ma sia ancora molto valido sul Windows 2000 ed in alcuni casi su Windows2003 dovuto indietro la compatibilità.
Questo articolo sta scrivendo in un modo procedurale. Mi sono avvicinato tanto come un intruso realmente mi avvicinerei ad una penetrazione della rete. La maggior parte delle tecniche discusse in questo testo sono piuttosto facili da compire una volta che si capisce come e perché qualcosa sta facendo.
Nel designare una rete come bersaglio data, la prima cosa che un intruso avrebbe fatto, sarebbe a portscan la macchina a distanza o la rete. Molte informazioni possono riunirsi da un'esplorazione semplice dell'orificio ma che cosa l'intruso sta cercando è un orificio aperto 139 - l'orificio di Netbios di difetto. È sorprendente quanto metodico un attacco può essere basato sugli orificii aperti di una macchina di obiettivo. Dovreste capire che sia la norma affinchè una macchina del NT visualizzi gli orificii aperti differenti che Unix lavora.
Gli intrusi imparano osservare un portscan e dire se è un NT o Unix lavora con i risultati ragionevolmente esatti. Ovviamente ci sono alcune eccezioni a questo, ma può essere fatto generalmente.
Recentemente, parecchi attrezzi sono stati liberati per prendere le impronte digitali a distanza ad una macchina, ma questa funzionalità non è stata messa a disposizione per il NT.
La riunione di informazioni con Netbios può essere una cosa ragionevolmente facile da compire, anche se una punta che richiede tempo. Netbios generalmente è considerato un protocollo ingombrante con alte spese generali e tende ad essere lento, che sono dove il consumo di tempo entra.
Se i rapporti portscan che l'orificio 139 è aperto sulla macchina di obiettivo, un processo naturale segue. Il primo punto è di pubblicare un ordine di NBTSTAT.
L'ordine di NBTSTAT può essere usato per interrogare le macchine della rete riguardo ad informazioni di Netbios. Può anche essere utile per l'eliminazione dell'inceppo del nascondiglio di Netbios ed il precaricamento della lima di LMHOSTS. Questo un ordine può essere estremamente utile quando effettua le verifiche di sicurezza.
Interpretazione che le informazioni possono rivelare più di si potrebbe pensare.
Uso: nbtstat [- un RemoteName] [- un IP_address] [- c] [- n] [- R] [- r] [- S] [- s] [intervallo]
Interruttori
- a Elenca la tabella di nome del calcolatore a distanza data il relativo nome ospite.
- A Elenca la tabella di nome del calcolatore a distanza data il relativo IP address.
- c Elenca il nascondiglio nome a distanza compreso i IP address.
- n Elenca i nomi locali di Netbios.
- r Nomi delle liste risolti dalla radiodiffusione e via le VITTORIE.
- R Le eliminazioni dei fogli inceppati e le ricariche il nascondiglio a distanza chiamano la tabella.
- S Elenca la tabella di sessioni con i IP address della destinazione.
- s Elenca le conversioni della tabella di sessioni.
Le intestazioni di colonna generate da NBTSTAT hanno i seguenti significati:
Input
Numero dei byte ricevuti.
Uscita
Numero dei byte trasmessi.
In/Out
Se il collegamento proviene dal calcolatore (diretto all'estero)
o da un altro sistema al calcolatore locale (in arrivo).
Vita
Il tempo restante che un'entrata noma del nascondiglio della tabella “vive„
prima del vostro calcolatore lo elimina l'inceppo.
Nome locale
Il nome locale di Netbios dato a collegamento.
Elaboratore remoto
Il nome o il IP address dell'elaboratore remoto.
Tipo
Un nome può avere uno di due tipi: unico o gruppo.
L'ultimo byte del nome di Netbios dei 16 caratteri spesso
significa qualcosa perché lo stesso nome può essere presente
periodi multipli sullo stesso calcolatore. Ciò mostra che duri
il byte del nome ha convertito in sfortuna.
Condizione
I vostri collegamenti di Netbios saranno indicati in uno del
seguire “dichiara„:
Condizione Significato
Accettazione Un collegamento ricevuto è in lavorazione.
Collegato Il punto finale per un collegamento è stato generato
ed il vostro calcolatore lo ha associato con un IP
indirizzo.
Collegato Ciò è una buona condizione! Significa che siete collegato
alla risorsa a distanza.
Collegamento La vostra sessione sta provando a risolvere il nome--IP
riproduzione d'indirizzi della risorsa della destinazione.
Disconnected Il vostro calcolatore ha chiesto una sconnessione ed è
aspettando il calcolatore a distanza per agire in tal modo.
Distacco Il vostro collegamento sta concludendosi.
In ozio Il calcolatore a distanza è stato aperto nella corrente
la sessione, ma attualmente non sta accettando i collegamenti.
In arrivo Una sessione in arrivo sta provando a collegarsi.
Ascolto Il calcolatore a distanza è disponibile.
Diretto all'estero La vostra sessione sta generando il collegamento di TCP.
Ricollegamento Se il vostro collegamento venisse a mancare sul primo tentativo,
visualizzerà questa condizione come prova a ricollegare.
Qui è una risposta del campione NBTSTAT della mia scatola del NT:
>nbtstat di C:\ - 195.171.236.139
Tabella di nome della macchina a distanza di Netbios
Nome Tipo Condizione
---------------------------------------------
MR_B10NDE <00> UNICO Registrato
GRUPPO DEI LABORATORI <00> DI WINSEKURE Registrato
MR_B10NDE <03> UNICO Registrato
MR_B10NDE <20> UNICO Registrato
GRUPPO DEI LABORATORI <1e> DI WINSEKURE Registrato
MAC address = 44-45-53-54-00-00
Usando la tabella qui sotto, che cosa potete imparare circa la macchina?
Nome Numero Tipo Uso
=========================================================================
00 U Servizio della stazione di lavoro
01 U Servizio di messaggero
<> 01 G Browser matrice
03 U Servizio di messaggero
06 U Servizio dell'assistente di RAS
1F U Servizio di NetDDE
20 U Servizio del file server
21 U Servizio del cliente di RAS
22 U Scambio di scambio
23 U Deposito di scambio
24 U Indice di scambio
30 U Modem che riparte servizio dell'assistente
31 U Modem che riparte servizio del cliente
43 U Telecomando del cliente di SMS
44 U Attrezzo di telecomando di SMS Admin
45 U Chiacchierata a distanza del cliente di SMS
46 U Trasferimento a distanza del cliente di SMS
4C U Servizio del dicembre Pathworks TCPIP
52 U Servizio del dicembre Pathworks TCPIP
87 U MTA di scambio
6A U Scambio IMC
SIA U Agente del monitor della rete
BF U Monitor Apps della rete
03 U Servizio di messaggero
00 G Domain Name
1B U Browser matrice di dominio
1C G Regolatori di dominio
1D U Browser matrice
1E G Elezioni di servizio del browser
1C G Assistente di informazioni del Internet
00 U Assistente di informazioni del Internet
[2B] U Assistente di Lotus Notes
IRISMULTICAST [2F] G Lotus Notes
IRISNAMESERVER [33] G Lotus Notes
Forte_$ND800ZA [20] U Servizio di ingresso del DCA Irmalan
(u) unico: Il nome può avere soltanto un IP address assegnato esso. Su un dispositivo della rete, gli avvenimenti multipli di singolo nome possono sembrare essere registrato, ma il suffisso sarà unico, facendo l'intero unico nome.
Gruppo (G): Un gruppo normale; il singolo nome può esistere con molti IP address.
(m) multihomed: Il nome è unico, ma dovuto le interfacce di rete multiple sullo stesso calcolatore, questa configurazione è necessaria da consentire il registro. Il numero massimo degli indirizzi è 25.
Gruppo del Internet (i): Ciò è una configurazione speciale del nome di gruppo usato per dirigere i Domain Name di WinNT.
Domain Name (D): Nuovo in NT 4.0.
Un intruso potrebbe usare la tabella qui sopra e l'uscita da un nbtstat contro le vostre macchine per cominciare loro le informazioni della riunione. Con questi informazioni un intruso può dire, in misura, che servizi stanno funzionando sulla macchina di obiettivo ed a volte che pacchetti di programmi sono stati installati. Tradizionalmente, ogni servizio o pacchetto di programmi principale viene con esso è parte delle vulnerabilità, in modo da questo tipo di informazioni è certamente utile ad un intruso.
Il punto seguente per un intruso sarebbe di provare ed elencare le parti aperte sul calcolatore dato, usando l'ordine netto di vista, qui è un esempio dell'ordine netto di vista usato contro la mia scatola con le parti aperte C:\ e C:\MP3S\
\ \ 195.171.236.139 di vista del >net di C:\
Risorse comuni al \ \ 195.171.236.139
Sharename Tipo Commento
-----------------------------------------------------------------
C Disc Guidi C:\
MP3S Disc La mia accumulazione di MP3s
L'ordine è stato completato con successo.
Questi informazioni davrebbero all'intruso una lista delle parti che allora avrebbe usato insieme con l'ordine netto di uso, un ordine usato per permettere ad un calcolatore di tracciare una parte ad esso sono azionamento locale, sotto sono un esempio di come un intruso avrebbe tracciato la parte di C ad un G locale: guidi che potrebbe allora passare in rassegna:
uso G del >net di C:\: \ \ 195.171.236.139 \ C
L'ordine è stato completato con successo.
>G di C:\:
G:\ >
Tuttavia, se l'intruso stesse designando una grande rete come bersaglio piuttosto che un singolo calcolatore a distanza, il punto logico seguente sarebbe di spigolare i nomi utente possibili dalla macchina a distanza.
Un inizio attività della rete consiste di due parti, di un username e di una parola d'accesso. Una volta che un intruso ha che cosa sa per essere una lista valida dei nomi utente, ha metà di parecchi inizio attività validi.
Ora, usando l'ordine del nbtstat, l'intruso può ottenere il nome di inizio attività di chiunque entrato localmente a quella macchina. Nei risultati dall'ordine del nbtstat, le entrate con <03> il contrassegno sono nomi utente o computernames. I nomi utente di spigolatura possono anche fare tramite una sessione nulla di IPC e gli attrezzi di Sid
La parte di IPC$ (comunicazione tra processi) è una parte nascosta standard su una macchina del NT che pricipalmente è utilizzata per l'assistente alla comunicazione dell'assistente. Le macchine del NT sono state destinate per collegarsi l'un l'altro ed ottenere i tipi differenti di informazioni necessarie attraverso questa parte. Come con molte caratteristiche del progetto in tutto il sistema operativo, gli intrusi hanno imparato usare questa caratteristica per i loro propri scopi. Collegandosi a questa parte un intruso ha, per tutti gli scopi tecnici, un collegamento valido al vostro assistente. Collegandosi a questa parte come posizione di segnale minimo, l'intruso ha potuto stabilire questo collegamento senza fornirgli le credenziali.
Per collegarsi alla parte di IPC$ come posizione di segnale minimo, un intruso pubblicherebbe il seguente ordine da un richiamo di ordine:
c:\ >net uso \ \ [IP address del] \ ipc$ “„ /user della macchina di obiettivo: „ “
Se il collegamento riesce, l'intruso potrebbe fare un certo numero di cose tranne la spigolatura della lista di utente, ma lascia l'inizio con quella in primo luogo. Come accennato più presto, questa tecnica richiede una sessione nulla di IPC e gli attrezzi di Sid. Scritto da Evgenii Rudnyi, gli attrezzi di Sid vengono in due parti differenti, User2sid e Sid2user. User2sid prenderà un nome o un gruppo di cliente e gli darà il Sid corrispondente. Sid2user prenderà un Sid e gli darà il nome dell'utente o del gruppo corrispondente. Come attrezzo solo del basamento, questo processo è manuale e molto che richiede tempo. Userlist.pl è uno scritto del Perl scritto da Mnemonix che automatizzerà questo processo del Sid che frantuma, che drasticamente ha ridotto il tempo che prenderebbe un intruso per spigolare questi informazioni.
A questo punto, l'intruso conosce che che cosa assiste stanno funzionando sulla macchina a distanza, che i pacchetti di programmi importanti sono stati installati (entro i limiti) ed hanno una lista dei nomi utente e dei gruppi validi per quella macchina. Anche se questo può sembrare come una tonnellata di informazioni affinchè uno straniero abbia circa la vostra rete, la sessione nulla di IPC ha aperto altre sedi della riunione per la riunione di informazioni. La squadra Rhino9 ha potuta richiamare l'intera politica di sicurezza natale per la macchina a distanza.
Tali cose come il bloccaggio di cliente, la lunghezza minima di parola d'accesso, l'età che cicla, le regolazioni di parola d'accesso di unicità di parola d'accesso così come ogni utente, i gruppi appartengono a e le diverse limitazioni di dominio per quell'utente - interamente con una sessione nulla di IPC. Questa abilità della riunione di informazioni sembrerà in Rhino9 presto essere attrezzo liberato del Leviathan. Alcuni degli attrezzi disponibili ora che può essere usato per riunirsi più informazioni via la sessione nulla di IPC saranno discussi qui sotto.
Con la sessione nulla di IPC, un intruso potrebbe anche ottenere una lista delle parti della rete che non possono al contrario essere ottenibili. Per gli ovvi motivi, un intruso vorrebbe conoscere che della rete parte a disposizione sulle vostre macchine. Per questa riunione di informazioni, l'ordine netto standard di vista è usato, come segue:
\ \ [di vista del >net di c:\ IP address della macchina a distanza]
Secondo la politica di sicurezza della macchina di obiettivo, questa lista può o può o essere negata. Faccia l'esempio qui sotto (IP address è stato omesso per gli ovvi motivi):
\ \ 0.0.0.0 di vista del >net di C:\
L'errore del sistema 5 ha accaduto.
Accedi a è negato.
uso del >net di C:\ \ \ "" /user di 0.0.0.0 \ ipc$: ""
L'ordine ha completato con successo.
\ \ 0.0.0.0 di vista del >net di C:\
Risorse comuni al \ \ 0.0.0.0
Nome della parte Tipo Usato come commento
---------------------------------------------------------------------
Disc dell'acceleratore Parte dell'acceleratore dell'agente per il sostegno di Seagate
Inetpub Disc
mirc Disc
NETLOGON Disc Parte dell'assistente di inizio attività
www_pages Disc
L'ordine ha completato con successo.
Come potete vedere, la lista delle parti su quell'assistente non era disponibile fino a dopo la sessione nulla di IPC era stata stabilita. A questo punto potete cominciare a rend contoere appena quanto pericoloso questo collegamento di IPC può essere, ma le tecniche di IPC che ora sono conosciute a noi sono realmente molto di base. Le possibilità che sono presentate con la parte di IPC stanno cominciando appena ad essere esplorate.