一般入侵首先是对目标主机进行端口扫描(portscan),建立在开放端口(服务)上的攻击是非常有效的。而通过共享入侵是网络中最最常见也是最基础的攻击方法。很多的网络安全初学者都是由这里开始的。
1 共享必须接触到的知识:
SMB {Server Message Block) Windows协议族用于文件打印共享的服务。
NBT {NETBios Over TCP/IP)使用137(UDP)138(UDP)139(TCP)端口实现基于TCP/IP协议的NETBIOS网络互联。
在Windows NT(windows 9x)以下版本中SMB基于NBT实现,而在Windows2000中,SMB除了基于NBT的实现,还有直接通过445端口实现。当Win2000(允许NBT)作为顾客来连接SMB服务器时,它会同时尝试连接139和445端口,如果445端口有响应,那么就发送RST包给139端口断开连接,以455端口通讯来继续.当445端口无响应时,才使用139端口;当Win2000(禁止NBT)作为顾客来连接SMB服务器时,那么它只会尝试连接445端口,如果无响应,那么连接失败。
如果win2000服务器允许NBT, 那么UDP端口137, 138, TCP 端口 139, 445将开放。如果 NBT 被禁止, 那么只有445端口开放.根据以上特点,当我们对目标主机进行portscan时,如果目标主机开放139,445端口,则基本上可以判断目标主机操作系统为windows NT/2K/XP,若只开放139端口,则目标主机操作系统有可能为windows 9x。但要注意:提供SAMBA服务的linux和UNIX操作系统的139端口也是开放的,用来提供类似windows的文件共享。
扫描到了开放139端口的windows系统,我们就能用BTSTAT命令来查询有关NetBIOS的信息。命令为:
nbtstat [-a RemoteName] [-A IP_address] [-c] [-n] [-R] [-r] [-S
] [-s] [interval]
解释:
-a 列出给定主机名的远程计算机的名字表(name table)
-A 列出给定IP地址的远程计算机的名字表
-c 列出远程名字缓冲区(name cache),包括IP地址
-n 列出本地NetBIOS 名字
-r 列出通过广播(broadcast)和WINS解析的名字
-R 清除和重新装入远程的缓冲的名字表
-S 列出和目标IP地址会话的表
-s 列出会话表转换
NBTSTAT输出(Echo)的列标题具有以下含义:
Input 接收到的字节数。
Output 发出的字节数。
In/Out 无论是从计算机(出站)还是从另一个系统连接到本地计算机(入站)。
Life 在计算机消除名字表高速缓存表目前“度过”的时间。
Local Name 为连接提供的本地NetBIOS名字。
Remote Host 远程主机的名字或IP地址。
Type 一个名字可以具备两个类型之一:unique or group 在16个字符的NetBIOS名中,最后一个字节往往有具体含义,因为同一个名可以在同一台计算机上出现多次。这表明该名字的最后一个字节被转换成了16进制。
State NetBIOS连接将在下列“状态”(任何一个)中显示。 状态含义:
Accepting: 进入连接正在进行中。
Associated: 连接的端点已经建立,计算机已经与IP地址联系起来。
Connected: 这是一个好的状态!它表明您被连接到远程资源上。
Connecting: 您的会话试着解析目的地资源的名字-IP地址映射。
Disconnected: 您的计算机请求断开,并等待远程计算机作出这样的反应。
Disconnecting: 您的连接正在结束。
Idle: 远程计算机在当前会话中已经打开,但现在没有接受连接。
Inbound: 入站会话试着连接。
Listening: 远程计算机可用。
Outbound: 您的会话正在建立TCP连接。
Reconnecting: 如果第一次连接失败,就会显示这个状态,表示试着重新连接
以下是我所在网吧主机的实例:
C:\>nbtstat -A 192.168.0.1
Name Type Status
----------------------------------------------------------------
DOMAIN-V8VIOBQ2 < 00> UNIQUE Registered
DOMAIN-V8VIOBQ2 < 20> UNIQUE Registered
WORKGROUP < 00> GROUP Registered
DOMAIN-V8VIOBQ2 < 03> UNIQUE Registered
JACKY < 03> UNIQUE Registered
WORKGROUP < 1E> GROUP Registered
WORKGROUP < 1D> UNIQUE Registered
.._MSBROWSE_. < 01> GROUP Registered
MAC Address = 00-50-05-15-22-82
2 Microsoft Windows 9x共享密码校验漏洞
受影响的软件及系统:
- Microsoft Windows 95
- Microsoft Windows 98
- Microsoft Windows 98 Second Edition
- Microsoft Windows Me
综述:
NSFOCUS 安全小组发现了微软Windows 9x NETBIOS协议口令校验部分存在一个安全漏洞。这个漏洞允许任意用户访问Windows 9x文件共享服务,即使此共享目录已经受到口令保护。攻击者并不需要知道真实口令。
分析:
Windows 9x系统提供的文件和打印共享服务可以设置口令保护,以避免非法用户的访问。然而微软NETBIOS协议的口令校验机制存在一个严重漏洞,使得这种保护形同虚设。
服务端在对客户端的口令进行校验时是以客户端发送的长度数据为依据的。因此,客户端在发送口令认证数据包时可以设置长度域为1, 同时发送一个字节的明文口令给服务端。服务端就会将客户端发来口令与服务端保存的共享口令的第一个字节进行明文比较,如果匹配就认为通过了验证。因此,攻击者仅仅需要猜测共享口令的第一个字节即可。
Microsoft Windows 9x 的远程管理也是采用的共享密码认证方式,所以也受此漏洞影响
二,windows 2000默认共享IPC
目录 :
一 前言
二 什么是ipc$
三 什么是空会话
四 空会话可以做什么
五 ipc$连接所使用的端口
六 ipc$连接在hack攻击中的意义
七 ipc$连接失败的常见原因
八 复制文件失败的原因
九 如何打开目标的IPC$共享以及其他共享
十 一些需要shell才能完成的命令
十一 入侵中可能会用到的相关命令
十二 ipc$完整入侵步骤祥解
十三 如何防范ipc$入侵
十四 ipc$入侵问答精选
十五 结束的话
一 前言
网上关于ipc$入侵的文章可谓多如牛毛,而且也不乏优秀之作,攻击步骤甚至可以说已经成为经典的模式,因此也没人愿意再把这已经成为定式的东西拿出来摆弄。
不过话虽这样说,但我个人认为这些文章讲解的并不详细,对于第一次接触ipc$的菜鸟来说,简单的罗列步骤并不能解答他们的种种迷惑(你随便找一个hack论坛搜一下ipc$,看看存在的疑惑有多少)。因此我参考了网上的一些资料,教程以及论坛帖子,写了这篇总结性质的文章,想把一些容易混淆,容易迷惑人的问题说清楚,让大家不要总徘徊在原地!
注意:本文所讨论的各种情况均默认发生在win NT/2000环境下,win98将不在此次讨论之列,而鉴于win Xp在安全设置上有所提高,个别操作并不适用,有机会将单独讨论。
二 什么是ipc$
IPC$(Internet Process Connection)是共享"命名管道"的资源,它是为了让进程间通信而开放的命名管道,通过提供可信任的用户名和口令,连接双方可以建立安全的通道并以此通道进行加密数据的交换,从而实现对远程计算机的访问。IPC$是NT/2000的一项新功能,它有一个特点,即在同一时间内,两个IP之间只允许建立一个连接。NT/2000在提供了ipc$功能的同时,在初次安装系统时还打开了默认共享,即所有的逻辑共享(c$,d$,e$……)和系统目录winnt或windows(admin$)共享。所有的这些,微软的初衷都是为了方便管理员的管理,但在有意无意中,导致了系统安全性的降低。
平时我们总能听到有人在说ipc$漏洞,ipc$漏洞,其实ipc$并不是一个真正意义上的漏洞,我想之所以有人这么说,一定是指微软自己安置的那个‘后门’:空会话(Null session)。那么什么是空会话呢?
三 什么是空会话
在介绍空会话之前,我们有必要了解一下一个安全会话是如何建立的。
在Windows NT 4.0中是使用挑战响应协议与远程机器建立一个会话的,建立成功的会话将成为一个安全隧道,建立双方通过它互通信息,这个过程的大致顺序如下:
1)会话请求者(客户)向会话接收者(服务器)传送一个数据包,请求安全隧道的建
立;
2)服务器产生一个随机的64位数(实现挑战)传送回客户;
3)客户取得这个由服务器产生的64位数,用试图建立会话的帐号的口令打乱它,将结
果返回到服务器(实现响应);
4)服务器接受响应后发送给本地安全验证(LSA),LSA通过使用该用户正确的口令来核实响应以便确认请求者身份。如果请求者的帐号是服务器的本地帐号,核实本地发生;如果请求的帐号是一个域的帐号,响应传送到域控制器去核实。当对挑战的响应核实为正确后,一个访问令牌产生,然后传送给客户。客户使用这个访问令牌连接到服务器上的资源直到建议的会话被终止。
以上是一个安全会话建立的大致过程,那么空会话又如何呢?
空会话是在没有信任的情况下与服务器建立的会话(即未提供用户名与密码),但根据WIN2000的访问控