Windows NT攻擊大全

　　在當今的潮流下Windows NT已經成為了一種服務器操作系統的潮流，無論在局域網還是在互聯網中，我們似乎都可以看到Windows NT的身影。但是由於它的源代碼保密性和簡單的圖形接口，致使Windows NT成為了黑客們攻擊的首選目標，尋找NT的漏洞也成為了黑客的一項基本工作。 　　　　為什麼黑客會認為Windows NT的安全機制很脆弱呢？一個突出的問題是它的操作簡單與便捷，還有就是它對於反向兼容的依賴，特別值得注意的是為了擴展市場不得不繼續遵循一些網絡中原有的通訊協議，這使得Windows NT的一些安全措施沒有達到預想的方案。特別是Windows NT的底層網絡支撐體系依然沿用NetBIOS/CIFS（Common Internet File System，公共廣域網文件系統）和SMB（Server Message Block，服務器消息模塊）等網絡協議，這使得那些有入侵經驗的老手對Windows NT的一些新的防范措施不屑一顧，他們能夠利用舊有的一些協議漏洞和原理同樣的讓他們在NT的身上奏效。而且NT對一些用戶信息保密字的加密處理也不是很完善，它依然沿用了舊有的Lan Manager算法，使得破解工作變得異常的簡單。 　　　　本文詳細介紹黑客在攻擊Windows NT系統時常用的一些方法和具體攻擊步驟，讓網絡系統管理員在維護系統時盡量做到有的放矢。有一句話非常有道理：“世界上沒有絕對愚蠢的系統，只有絕對愚蠢的管理員。”只要我們的網絡管理員能夠細心地維護系統，相信黑客們是沒有可乘之機的。 　　　　通常情況下，攻擊者會采取以下方式對NT發起進攻： 　　1、猜解密碼（手工猜解、自動猜解、監聽猜解）； 　　2、遠程漏洞攻擊（緩沖區溢出、拒絕服務DDos）； 　　3、升級權限（虹吸信息、修改注冊表、Getadmin、Sechole、木馬）； 　　4、破解SAM文件（獲取SAM、使用軟件對SAM進行破解）； 　　5、尋找信任漏洞（更改注冊表鍵值）； 　　6、遠程監聽（NetCat監聽、BO2000、WinVNC）。 　　　　黑客們又是如何使用這些方法對NT進行破壞性攻擊？以下介紹運用這些手段時的具體步驟。 　　獲取Administrator權限帳號 　　　　在NT中如果一個攻擊者如果獲得不了Administrator權限的帳號，那麼這個攻擊這對於你的系統就無可奈何。而NT恰恰又不提供遠程執行命令的權限，即便是提供了權限，能夠進行遠程交互管理的也僅僅局限在幾個特權帳號上，這樣的舉措讓NT的安全性大大的提高，同時限制了普通型和非管理級別用戶搞破壞的能力。但是那些老謀深算的黑客們會像狡詐的狐狸一樣依靠靈敏的感官洞察你的每一個弱點，而當我們的管理員面對這些久經殺場的入侵者時，那些看似安全的防范似乎都變為了一個漏洞百出的系統。 　　　　對於手工猜解和自動暴力破解這兩種方法，攻擊者首先要做的是搞到一份用戶名單。黑客們通常會先對目標服務器進行一些端口的掃描，小榕的流光和很多國外的軟件都具備這種功能。通過對端口信息的掃描黑客通常會找到許多有價值的信息。 　　　　在獲取到端口信息後，黑客們可以根據端口的對一些防范不當的主機進行用戶列表的索取，黑客們通常使用一個空連接命令去打開已知的通道，其中最為簡單的方法就是使用nbtstat命令了： 　　　　瞧！我們看到了什麼，這些就是這台服務器系統上NetBIOS的信息，當然還有系統名和這台計算機所在的域，我們也得到了一些已經登陸這台服務器用戶的信息。當然我們任何一個人都知道，那些老謀深算的黑客不會單純的就憑借著這些信息來攻擊你的，他們需要更多的情報，更多的更詳細的關於他們獵物的詳細情況，而且每一個黑客都有足夠的耐心來等待完成這些信息的獲取。一般來說他們會憑借一些工具來獲取更詳細的信息，在這些工具中有幾個是他們的最愛，其中有被稱之為黑客工具箱的Windows NT Resource Kit（簡稱NTRK），還有著名的DumpACL與NetCAT，當然開發這些工具的初衷是為了網管們更加方便的獲取網絡和自己系統的信息，以方便網管對網絡和服務器進行方便的管理。但是如果黑客用上這些工具後，此時他們也會像一個網管一樣方便的獲取你的信息。所以我提倡網管們先用一下這些工具，看看自己有哪些漏洞可以被黑客利用。 　　　　看我們現在就用DumpACL連接了一台計算機，我們可以看到這台服務器有哪些可以共享的資源，當然黑客也可以看到了。像這樣的工具還有比較著名的Legion，它可以圖形界面查詢整個C類網的所有計算機的共享資源，而且最新的版本中還包括了一個可以由入侵者來設定密碼的猜解共享資源密碼的小東西。 　　　　另外我們國內也有非常出色的共享探測工具，用戶名和一些計算機名稱，包括域的信息我們都可以用追捕來簡單探測出來，而共享資源天行的網絡刺客應該是我們的首選，特別指出的是網絡刺客的功能非常的強大，有些國內的黑客就是單純地利用它就攻破了許多的NT或者是UINX的服務器，而且國內著名的黑客探測軟件開發者小榕在和我聊天時也對網絡刺客贊不絕口，可以想象它的功能有多麼的強大。 　　　　好了，既然黑客們已經用這些工具獲得了一些他們認為對他們有價值的東西，那麼他們就應該采取下一個階段的行動了，這就對服務器進行突破入侵。一些狡詐的黑客一般不會選擇從服務器下手，而是從你的局部工作站開始突破，因為他們知道本地工作站更能夠讓管理員疏忽，而且也是所有網絡中最脆弱的環節之所在。而中心服務器會有更嚴格的密碼管理手段，往往不是很輕易就能夠突破的，而且服務器的工作站分機的一般都允許用戶交互登陸，允許遠程執行一些命令，這些都會成為黑客以後突破服務器的一個入口。 　　　　就在我們的網管睡覺的時候，黑客們便開始了他們的工作，他們在破解你的密碼的時候一般會選擇諸如NetBIOS Auditing Tool（俗稱NAT）和Legion這樣的工具。然後他們只需要用亂刀等工具生成或者是在互聯網上下載一個猜解密碼用的字典就可以了。當黑客具備一切條件後，他們只需要用NAT連接到一個目標，NAT就會根據用戶名清單和密碼字典進行自動破解，一個簡單的FOR命令足以攻破一個脆弱的密碼，具體操作如下： 　　　　D:\FOR /L %i IN(1,1,254)Do nat -u userlist.txt -p passlist.txt [輸入服務器IP地址，例如：202.11.22.33] %I >> nat_output.txt 　　　　---Checking host: 202.11.22.33 　　　　---Obtaining list of remote NetBIOS names 　　　　---Attempting to connect with Username : ‘ADMINISTRATOR’ Password: ’ADMINISTRATOR’ 　　　　---Attempting to connect with Username : ‘ADMINISTRATOR’ Password: ‘GUEST’ 　　… 　　　　---CONNECTED:USERNAME:’ADMINISTRATOR’ Password: ’PASSWORD’ 　　　　---Attempting to access share :\\*SMBSERVER\TEMP 　　　　---WARNING:Able to access share:\\* SMBSERVER\TEMP 　　　　---Checking write access in:\\* SMBSERVER\TEMP 　　　　---WARNING:Directory is writeable:\\* SMBSERVER\TEMP 　　　　---Attempting to exercises..bug on:\\ *SMBSERVER\TEMP 　　… 　　　　OK，這樣一個密碼我們就搞到手了。當然像這樣的好工具我們還有許多。均可以實現暴力破解。對於一些職業的黑客或者是一些骨灰級的黑客，他們通常會選用一些商業性的破解工具，這些工具運行速度非常快，，且可以分許多線程進行破解和並行grinding session，由於這種工具是需要付費的，所以一般黑客不容易得到。 　　權限突破 　　　　權限突破是一種黑客們經常使用到的方法，也是最常見的黑客入侵手段。通常的情況下，當黑客們得到一個NT服務器上的一個正常的普通用戶名和有效地密碼的時候（此密碼不等同於Administrator級別的用戶名密碼），他們就會利用一些NT本身的漏洞和管理員的疏忽所造成的失誤性漏洞，對其掌握的帳號進行權限突破，也就是所謂的將自己的普通權限帳號升級為特殊權限的帳號。 　　　　攻擊者在得到非管理級帳號後，他們首先做的就是對所掌握的目標服務器進行端口和系統信息的探查，黑客們會進行路徑的試探性訪問，並可以配合前面所提到的NTRK進行共享資源的探查，國內的黑客一般喜歡用網絡刺客這一類的工具進行初步的探測。在摸清服務器的情況後，他們一般會選擇一個名為sechole的工具來進行下一步的動作，這就是權限突破。 　　　　Sechole具有的最神奇的功能就是通過黑客手中掌握的普通權限帳號升級為Administrators級別的用戶。Updated版的Secholed可以很輕松地把普通級別用戶升級為特權用戶加入Domain Admins用戶組中。當黑客利用遠程開啟執行Sechole後，sechole會修改OpenProcess API調用的內存中的一些指令，然後它會跨越權限，使自己正確的銜接在某個特權的進程之中，當成功的銜接上特權程序後，它會利用一種類似於DLL injection（DLL注射）的方法，把一些惡意代碼加入具備能夠控制Administrators特權的用戶進程中進行特權升級。 　　　　不過sechole必須要在目標服務器系統上進行本地運行，而想要達到本地運行的目的，目標服務器就要符合幾個特定的標准，如服務器需啟動IIS（Internet InFORMation Sener）服務等，而通常情況下，黑客很難輕易獲取一個既能夠讀取又能夠寫入的IIS目錄的訪問權限。但當黑客們獲得權限後，他們會迅速地把sechole上傳到幾個特定的目錄下，這些目錄通常為： 　　C:\Inerpub\msadc\ 　　C:\Inerpub\News\ 　　C:\Inerpub\Cgi-bing\ 　　C:\Inerpub\scripts\ 　　C:\Inerpub\_vti_bing\ 　　…… 　　　　然後同時上傳與sechole關聯的幾個DLL文件和一個NT命令解釋器(ntcmd.exe)，然後再上傳一個用於修改用戶和用戶組及策略的程序，一般是一個名為ntuser的程序。再上傳完這些程序後，黑客就可以通過一個WEB浏覽器通過輸入URL的連接遠程的啟動sechole程序，黑客此時就能夠把他指定的帳戶添加到到Administrators用戶組。一般狡猾的黑客為了