服務(wù)器滲透和攻擊技術(shù)審計

1、34章節(jié)服務(wù)器滲透和攻擊技術(shù)審計 知道那些對象容易遭受攻擊 討論滲透策略和手法 列舉潛在的物理、操作系統(tǒng)和TCPIP 堆棧攻擊 識別和分析暴力攻擊、社會工程和拒絕 服務(wù)攻擊 實施反滲透和攻擊的方法 常見攻擊類型和特征字典攻擊：黑客和用一些自動執(zhí)行的程序猜測用戶命和密碼，審計這類攻擊通常需要做全面的日志記錄和入侵監(jiān)測系統(tǒng)(IDS)。Man-in-thc-middle攻擊：黑客從合法的傳輸過程中嗅探到密碼和信息。防范這類攻擊 的有效方法是應(yīng)用強壯的加密。劫持攻擊：在雙方進行會話時被第三方(黑客)入侵，癱瘓其中一方，并冒充他繼續(xù)與另一方進行會話。雖然不是個完全的解決方案，但強的驗證方法將有助于防范這

2、種 攻擊。典型的就是tcp通信劫持病毒攻擊：病毒是能夠自我復(fù)制和傳播的小程序，消耗系統(tǒng)資源。在審計過程中，你應(yīng) 當(dāng)安裝最新的反病毒程序，并對用戶進行防病毒教育。非法服務(wù)：非法服務(wù)是任何未經(jīng)同意便運行在你的操作系統(tǒng)上的進程或服務(wù)。你會在接 下來的課程中學(xué)到這種攻擊。拒絕服務(wù)攻擊：利用各種程序(包括病毒和包發(fā)生器)使系統(tǒng)崩潰或消耗帶寬。容易遭受攻擊的目標(biāo) 路由器，竊聽配置通信（telnet，snmp).Dos 數(shù)據(jù)庫 ,著重是在內(nèi)網(wǎng)的保護Web，F(xiàn)tp:操作系統(tǒng)和服務(wù)存在眾所周知的漏洞導(dǎo)致拒絕服務(wù)攻擊或破壞系統(tǒng).舊有操作系統(tǒng)中以root權(quán)限初始運行的服務(wù),一旦被黑客破壞，入侵者便可以在shell中

3、運行任意的代碼。注意runlevel。Cgi腳本郵件服務(wù)：pop3口令明文傳輸，暴力破解，以及spam，系統(tǒng)本身漏洞。Sunrpc，常見于NFS，sunrpc本身的漏洞Dns 服務(wù) Smaba ，Smb ，被暴力破解 http:/ http:/ 有助于加強系統(tǒng)的安全性 常用技術(shù) 基本的TCP connect()掃描 TCP SYN掃描(半開連接掃描, half open) TCP Fin掃描(秘密掃描，stealth) TCP ftp proxy掃描(bounce attack) 用IP分片進行SYN/FIN掃描(躲開包過濾防火墻) UDP recvfrom掃描 UDP ICMP端口不可達掃描

4、 Reverse-ident掃描IP欺騙：雙向欺騙 欺騙的過程攻擊者H被假冒者A目標(biāo)機器B假冒包：A - B回應(yīng)包：B - AH能看到這個包嗎？ 讓回應(yīng)包經(jīng)過H H和A在同一個子網(wǎng)內(nèi)部 使用源路由選項如何避免IP欺騙 主機保護，兩種考慮 保護自己的機器不被用來實施IP欺騙 物理防護、登錄口令 權(quán)限控制，不允許修改配置信息 保護自己的機器不被成為假冒的對象 無能為力 網(wǎng)絡(luò)防護 路由器上設(shè)置欺騙過濾器 入口過濾，外來的包帶有內(nèi)部IP地址 出口過濾，內(nèi)部的包帶有外部IP地址 保護免受源路由攻擊 路由器上禁止這樣的數(shù)據(jù)包電子郵件欺騙 電子郵件欺騙的動機 隱藏發(fā)信人的身份，匿名信 挑撥離間，唯恐世界不亂

5、 騙取敏感信息 欺騙的形式 使用類似的電子郵件地址 修改郵件客戶軟件的賬號配置 直接連到smtp服務(wù)器上發(fā)信 電子郵件欺騙成功的要訣 與郵局的運作模式比較 基本的電子郵件協(xié)議不包括簽名機制 發(fā)信可以要求認(rèn)證Web欺騙 Web是應(yīng)用層上提供的服務(wù)，直接面向Internet用戶，欺騙的根源在于 由于Internet的開放性，任何人都可以建立自己的Web站點 Web站點名字(DNS域名)可以自由注冊，按先后順序 并不是每個用戶都清楚Web的運行規(guī)則 Web欺騙的動機 商業(yè)利益，商業(yè)競爭 政治目的 Web欺騙的形式 使用相似的域名 改寫URL 劫持Web會話使用類似的域名 注冊一個與目標(biāo)公司或組織相似

6、的域名，然后建立一個欺騙網(wǎng)站，騙取該公司的用戶的信任，以便得到這些用戶的信息 例如，針對ABC公司，用來混淆 如果客戶提供了敏感信息，那么這種欺騙可能會造成進一步的危害，例如： 用戶在假冒的網(wǎng)站上訂購了一些商品，然后出示支付信息，假冒的網(wǎng)站把這些信息記錄下來(并分配一個cookie)，然后提示：現(xiàn)在網(wǎng)站出現(xiàn)故障，請重試一次。當(dāng)用戶重試的時候，假冒網(wǎng)站發(fā)現(xiàn)這個用戶帶有cookie，就把它的請求轉(zhuǎn)到真正的網(wǎng)站上。用這種方法，假冒網(wǎng)站可以收集到用戶的敏感信息。 對于從事商業(yè)活動的用戶，應(yīng)對這種欺騙提高警惕改寫URL 一個HTTP頁面從Web服務(wù)器到瀏覽器的傳輸過程中，如果其中的內(nèi)容被修改了的話，則欺

7、騙就會發(fā)生，其中最重要的是URL改寫 URL改寫可以把用戶帶到不該去的地方，例如： Welcom to Hollywood-Movie site. 有一些更為隱蔽的做法 直接指向一些惡意的代碼 把url定向放到script代碼中，難以發(fā)現(xiàn) 改寫頁面的做法 入侵Web服務(wù)器，修改頁面 設(shè)置中間http代理 在傳輸路徑上截獲頁面并改寫 在客戶端裝載后門程序 Web會話劫持 HTTP協(xié)議不支持會話(無狀態(tài))，Web會話如何實現(xiàn)？ Cookie 用url記錄會話 用表單中的隱藏元素記錄會話 Web會話劫持的要點在于，如何獲得或者猜測出會話ID防止Web欺騙 使用類似的域名 注意觀察URL地址欄的變化

8、不要信任不可靠的URL信息 改寫URL 查看頁面的源文本可以發(fā)現(xiàn) 使用SSL Web會話劫持 養(yǎng)成顯式注銷的習(xí)慣 使用長的會話ID Web的安全問題很多，我們需要更多的手段來保證Web安全TCP會話劫持(session hijacking) 欺騙和劫持 欺騙是偽裝成合法用戶，以獲得一定的利益 劫持是積極主動地使一個在線的用戶下線，或者冒充這個用戶發(fā)送消息，以便達到自己的目的 動機 Sniffer對于一次性密鑰并沒有用 認(rèn)證協(xié)議使得口令不在網(wǎng)絡(luò)上傳輸 會話劫持分兩種 被動劫持，實際上就是藏在后面監(jiān)聽所有的會話流量。常常用來發(fā)現(xiàn)密碼或者其他敏感信息 主動劫持，找到當(dāng)前活動的會話，并且把會話接管過來

9、。迫使一方下線，由劫持者取而代之，危害更大，因為攻擊者接管了一個合法的會話之后，可以做許多危害性更大的事情會話劫持示意圖被劫持者A服務(wù)器B1 A遠程登錄，建立會話，完成認(rèn)證過程攻擊者H2 監(jiān)聽流量3 劫持會話4 迫使A下線會話劫持的原理 TCP協(xié)議 三次握手建立TCP連接(即一個TCP會話) 終止一個會話，正常情況需要4條消息 如何標(biāo)識一個會話：狀態(tài)：源IP:端口+SN 目標(biāo)IP:端口+SN 從TCP會話的狀態(tài)入手 要了解每一個方向上的SN(數(shù)據(jù)序列號) 兩個方向上的序列號是相互獨立的 TCP數(shù)據(jù)包，除了第一個SYN包之外，都有一個ack標(biāo)志，給出了期待對方發(fā)送數(shù)據(jù)的序列號 所以，猜測序列號是

10、成功劫持TCP會話的關(guān)鍵關(guān)于TCP協(xié)議的序列號在每一個ACK包中，有兩個序列號 第一個(SEG_SEQ)是當(dāng)前包中數(shù)據(jù)第一個字節(jié)的序號 第二個(SEG_ACK)是期望收到對方數(shù)據(jù)包中第一個字節(jié)的序號假設(shè)客戶(CLT)向服務(wù)器(SVR)發(fā)起一個連接，我們用以下的表示 SVR_SEQ: 服務(wù)器將要發(fā)送的下一個字節(jié)的序號 SVR_ACK: 服務(wù)器將要接收的下一個字節(jié)的序號(已經(jīng)收到的最后一個字節(jié)的序號加1) SVR_WIND: 服務(wù)器的接收窗口 CLT_SEQ: 客戶將要發(fā)送的下一個字節(jié)的序號 CLT_ACK: 客戶將要接收的下一個字節(jié)的序號 CLT_WIND: 客戶的接收窗口關(guān)系 CLT_ACK

11、= SVR_SEQ = CLT_ACK + CLT_WIND SVR_ACK = CLT_SEQ B包TCP Packet ID (from_IP.port-to_IP.port): IP_A.PortA-IP_B.PortB SEQ (hex): 5C8223EA ACK (hex): C34A67F6 FLAGS: -AP- Window: 7C00，包長為1A攻擊者BB回應(yīng)一個包，B-ATCP Packet ID (from_IP.port-to_IP.port): IP_B.PortB-IP_A.PortA SEQ (hex): C34A67F6 ACK (hex): 5C8223EB

12、 FLAGS: -AP- Window: 2238，包長為1A回應(yīng)一個包，A-BTCP Packet ID (from_IP.port-to_IP.port): IP_A.PortA-IP_B.PortB SEQ (hex): 5C8223EB ACK (hex): C34A67F7 FLAGS: -A- Window: 7C00，包長為0會話劫持過程詳解(2)攻擊者模仿A插入一個包給B，假設(shè)這個包正常跟在第一個包之后TCP Packet ID (from_IP.port-to_IP.port): IP_A.PortA-IP_B.PortB SEQ (hex): 5C8223EB ACK (h

13、ex): C34A67F6 FLAGS: -AP- Window: 7C00，包長為10(一定的長度)A攻擊者BB回應(yīng)一個包，B-ATCP Packet ID (from_IP.port-to_IP.port): IP_B.PortB-IP_A.PortA SEQ (hex): C34A67F7 ACK (hex): 5C8223F5 FLAGS: -AP- Window: 2238，包長不定(比如20)此時，A會按照它所理解的SEQ/ACK發(fā)送包TCP Packet ID (from_IP.port-to_IP.port): IP_A.PortA-IP_B.PortB SEQ (hex):

14、5C8223EB ACK (hex): C34A67F7 FLAGS: -A- Window: 7C00一陣廣播風(fēng)暴會話劫持過程詳解(3)攻擊者已經(jīng)劫持了會話，它可以與B正常通訊(用A的地址)TCP Packet ID (from_IP.port-to_IP.port): IP_A.PortA-IP_B.PortB SEQ (hex): 5C8223F5 ACK (hex): C34A680B FLAGS: -AP- Window: 7C00，包長不定(比如37)A攻擊者BB回應(yīng)這個包，B-ATCP Packet ID (from_IP.port-to_IP.port): IP_B.PortB

15、-IP_A.PortA SEQ (hex): C34A680B ACK (hex): 5C82241A FLAGS: -AP- Window: 2238，包長不定關(guān)于會話劫持的參考 三篇文章 Simple Active Attack Against TCP, /stf/iphijack.txt A short overview of IP spoofing: PART I, /dittrich/papers/IP-spoof-1.txt A short overview of IP spoofing

16、: PART II , /dittrich/papers/IP-spoof-2.txt “Hackers Beware”“Hackers Beware”，中文版，中文版黑客黑客攻擊透析攻擊透析與防范與防范，第五章，第五章“會話劫持會話劫持”審計系統(tǒng)本身的bug TrapDoor是系統(tǒng)上的bug， Root kit是用木馬替代合法程序 審查端口與進程關(guān)聯(lián)性 fport netstat 審查md5sum 審查是否有多余的shell命令， 審查path路徑是否正確 審查注冊表，審查系統(tǒng)服務(wù) 審查rundll32。exe審計拒絕服務(wù)攻擊 緩沖區(qū)溢出

17、審計非法服務(wù)，特洛伊木馬和蠕蟲 消耗資源類型 軟件實現(xiàn)缺陷類型DoS的技術(shù)分類 從表現(xiàn)形式來看 帶寬消耗 用足夠的資源消耗掉有限的資源 利用網(wǎng)絡(luò)上的其他資源(惡意利用Internet共享資源)，達到消耗目標(biāo)系統(tǒng)或網(wǎng)絡(luò)的目的 系統(tǒng)資源消耗，針對操作系統(tǒng)中有限的資源，如進程數(shù)、磁盤、CPU、內(nèi)存、文件句柄，等等 程序?qū)崿F(xiàn)上的缺陷，異常行為處理不正確，比如Ping of Death 修改(篡改)系統(tǒng)策略，使得它不能提供正常的服務(wù) 從攻擊原理來看 通用類型的DoS攻擊，這類攻擊往往是與具體系統(tǒng)無關(guān)的，比如針對協(xié)議設(shè)計上的缺陷的攻擊 系統(tǒng)相關(guān)的攻擊，這類攻擊往往與具體的實現(xiàn)有關(guān) 說明：最終，所有的攻擊都

18、是系統(tǒng)相關(guān)的，因為有些系統(tǒng)可以針對協(xié)議的缺陷提供一些補救措施，從而免受此類攻擊DoS的技術(shù)歷史 早期的Internet蠕蟲病毒 消耗網(wǎng)絡(luò)資源 分片裝配，非法的TCP標(biāo)志，SYN Flood，等 利用系統(tǒng)實現(xiàn)上的缺陷，點對點形式 Ping of Death, IP分片重疊 分布式DoS(DDoS)攻擊 最著名的smurf攻擊一些典型的DoS攻擊 Ping of Death 發(fā)送異常的(長度超過IP包的最大值) Land 程序發(fā)送一個TCP SYN包，源地址與目的地址相同，源端口與目的端口相同，從而產(chǎn)生DoS攻擊 SYN Flood 快速發(fā)送多個SYN包 UDP Flood Teardrop IP

19、包的分片裝配 Smurf 給廣播地址發(fā)送ICMP Echo包，造成網(wǎng)絡(luò)阻塞 SYN Flood 原理：利用TCP連接三次握手過程，打開大量的半開TCP連接，使得目標(biāo)機器不能進一步接受TCP連接。每個機器都需要為這種半開連接分配一定的資源，并且，這種半開連接的數(shù)量是有限制的，達到最大數(shù)量時，機器就不再接受進來的連接請求。 受影響的系統(tǒng)：大多數(shù)操作系統(tǒng) 攻擊細(xì)節(jié) 連接請求是正常的，但是，源IP地址往往是偽造的，并且是一臺不可達的機器的IP地址，否則，被偽造地址的機器會重置這些半開連接 一般，半開連接超時之后，會自動被清除，所以，攻擊者的系統(tǒng)發(fā)出SYN包的速度要比目標(biāo)機器清除半開連接的速度要快 任何

20、連接到Internet上并提供基于TCP的網(wǎng)絡(luò)服務(wù)，都有可能成為攻擊的目標(biāo) 這樣的攻擊很難跟蹤，因為源地址往往不可信，而且不在線SYN Flood(續(xù)) 攻擊特征 目標(biāo)主機的網(wǎng)絡(luò)上出現(xiàn)大量的SYN包，而沒有相應(yīng)的應(yīng)答包 SYN包的源地址可能是偽造的，甚至無規(guī)律可循 防止措施 針對網(wǎng)絡(luò) 防火墻或者路由器可以在給定時間內(nèi)只允許有限數(shù)量的半開連接 入侵檢測，可以發(fā)現(xiàn)這樣的DoS攻擊行為 打補丁 Linux和Solaris使用了一種被稱為SYN cookie的技術(shù)來解決SYN Flood攻擊：在半開連接隊列之外另設(shè)置了一套機制，使得合法連接得以正常繼續(xù)Smurf 原理：向廣播地址發(fā)送偽造地址的ICMP

21、 Echo數(shù)據(jù)包。攻擊者向一個廣播地址發(fā)送ICMP Echo請求，并且用受害者的IP地址作為源地址，于是，廣播地址網(wǎng)絡(luò)上的每臺機器響應(yīng)這些Echo請求，同時向受害者主機發(fā)送ICMP Echo-Reply應(yīng)答。于是，受害者主機會被這些大量的應(yīng)答包淹沒 受影響的系統(tǒng)：大多數(shù)操作系統(tǒng)和路由器 變種：fraggle，使用UDP包，或稱為udpsmurf 比如，7號端口(echo)，如果目標(biāo)機器的端口開著，則送回應(yīng)答，否則，產(chǎn)生ICM端口不可達消息 技術(shù)細(xì)節(jié) 兩個主要的特點：使用偽造的數(shù)據(jù)包，使用廣播地址。 不僅被偽造地址的機器受害，目標(biāo)網(wǎng)絡(luò)本身也是受害者，它們要發(fā)送大量的應(yīng)答數(shù)據(jù)包Smurf攻擊示意圖

22、Smurf攻擊 攻擊特征 涉及到三方：攻擊者，中間目標(biāo)網(wǎng)絡(luò)，受害者 以較小的網(wǎng)絡(luò)帶寬資源，通過放大作用，吃掉較大帶寬的受害者系統(tǒng) Smurf放大器 Smurf放大器網(wǎng)絡(luò)：不僅允許ICMP Echo請求發(fā)給網(wǎng)絡(luò)的廣播地址，并且允許ICMP Echo-Reply發(fā)送回去 這樣的公司越多，對Internet的危害就越大 實施Smurf攻擊 需要長期的準(zhǔn)備，首先找到足夠多的中間網(wǎng)絡(luò) 集中向這些中間網(wǎng)絡(luò)發(fā)出ICMP Echo包Smurf攻擊的防止措施 針對最終受害者 沒有直接的方法可以阻止自己接收ICMP Echo Reply消息 在路由器上阻止這樣的應(yīng)答消息，但是，結(jié)果是，路由器本身遭受了DoS攻擊

23、與中間目標(biāo)網(wǎng)絡(luò)聯(lián)系 針對中間網(wǎng)絡(luò) 關(guān)閉外來的IP廣播消息，但是，如果攻擊者從內(nèi)部機器發(fā)起攻擊，仍然不能阻止smurf攻擊 配置操作系統(tǒng)，對于廣播地址的ICMP包不響應(yīng) 在每個路由節(jié)點上都記錄log，以備查 流量大的路由節(jié)點上能夠記錄所有的流量嗎一般性的分布式攻擊(如DDoS)模型DoS工具 每一種攻擊被揭示出來的時候，都會有一些試驗性的代碼，例如teardrop.c、synflood.c等，由于DoS攻擊往往比較簡單，所以這些代碼也比較短小 通常，要涉及到IP欺騙 一些現(xiàn)有的工具 Targa：把幾種DoS集中在一起 Trinoo：分布式DoS工具 TFN2K：Targa的增強，可實施DDoS攻

24、擊 stacheldraht防止DoS 對于網(wǎng)絡(luò) 路由器和防火墻配置得當(dāng)，可以減少受DoS攻擊的危險 比如，禁止IP欺騙可以避免許多DoS攻擊 入侵檢測系統(tǒng)，檢測異常行為 對于系統(tǒng) 升級系統(tǒng)內(nèi)核，打上必要的補丁，特別是一些簡單的DoS攻擊，例如SYN Flooding 關(guān)掉不必要的服務(wù)和網(wǎng)絡(luò)組件 如果有配額功能的話，正確地設(shè)置這些配額 監(jiān)視系統(tǒng)的運行，避免降低到基線以下 檢測系統(tǒng)配置信息的變化情況 保證物理安全 建立備份和恢復(fù)機制結(jié)合所有攻擊定制審計策略 滲透策略 物理接觸 操作系統(tǒng)策略 較弱的密碼策略 較弱的系統(tǒng)策略 IPIP欺騙和劫持控制階段的安全審計 獲得root的權(quán)限 收集信息 開啟新

25、的安全漏洞 擦除滲透痕跡 攻擊其他系統(tǒng) 獲得rootroot的權(quán)限 創(chuàng)建額外賬號 獲得信息 擦除滲透的痕跡 Web服務(wù)器 防火墻 SMTP,HTTP和FTP服務(wù)器 數(shù)據(jù)庫 日志文件：類型包括： 事件：日志 應(yīng)用程序日志 安全日志 Linux的日志文件 日志文件的控制 首先要打開日志記錄功能 其次要經(jīng)常檢查日志文件中的內(nèi)容 /var/log/wtmp：用戶登錄歷史/var/run/utmp：當(dāng)前用戶登錄日志。每條記錄包括登錄類型、登錄進程的pid、tty設(shè)備名、用戶id、用戶名、遠程登錄的主機名、退出狀態(tài)、會話id、時間、遠程主機的ip地址 用utmpdump可以查看上面兩個日志文件的內(nèi)容 /v

26、ar/log/messages：內(nèi)核消息日志，文本文件，可以直接輸出。其中，系統(tǒng)啟動、退出，用戶su命令的成功和失敗、ipchains丟棄或拒收數(shù)據(jù)包等消息都記錄在此文件中 var/log/pacct：進程審計日志。pacct記錄系統(tǒng)中運行過的所有進程的信息?？梢杂胐ump-acct來查看內(nèi)容。 還有其他一些日志文件，位于var/log目錄下Windows NT/2000日志文件 日志文件 三個日志文件 Sysevent.evt Secevent.evt Appevent.evt 三個緩沖區(qū)文件 System.log Security.log Application.log 事件瀏覽器(Eve

27、nt Viewer)可以查看日志文件 要在NT上直接通過這些文件來消除痕跡并不很容易 如果攻擊者有管理員權(quán)限的話，可以直接用事件瀏覽器刪除記錄作為跳板攻擊其它系統(tǒng) 肉雞 跳板的鏈接方式ssh 日志清除一次針對Windows 2000的入侵過程(一) 1. 探測 選擇攻擊對象，了解部分簡單的對象信息。 這里，針對具體的攻擊目標(biāo)，隨便選擇了一組IP地址，進行測試，選擇處于活動狀態(tài)的主機，進行攻擊嘗試； 針對探測的安全建議 對于網(wǎng)絡(luò)：安裝防火墻，禁止這種探測行為 對于主機：安裝個人防火墻軟件，禁止外部主機的ping包，使對方無法獲知主機當(dāng)前正確的活動狀態(tài)一次針對Windows 2000的入侵過程(二

28、) 2. 掃描 使用的掃描軟件 這里選擇的掃描軟件是SSS（Shadow Security Scanner），目前的最高版本是5.3.1，SSS是俄羅斯的一套非常專業(yè)的安全漏洞掃描軟件，能夠掃描目標(biāo)服務(wù)器上的各種漏洞，包括很多漏洞掃描、端口掃描、操作系統(tǒng)檢測、賬號掃描等等，而且漏洞數(shù)據(jù)可以隨時更新。（呵呵，使用的是盜版軟件，數(shù)據(jù)更新功能好像無效。） 掃描遠程主機 開放端口掃描 操作系統(tǒng)識別 SSS本身就提供了強大的操作系統(tǒng)識別能力，也可以使用其他工具進行主機操作系統(tǒng)檢測。 主機漏洞分析 掃描結(jié)果：端口掃描 可以看出幾個比較知名的端口均處于打開狀態(tài)，如139、80等 嘗試使用Unicode漏洞攻

29、擊，無效。可能主機已經(jīng)使用了SP進行補丁或未開放遠程訪問權(quán)限 掃描結(jié)果：操作系統(tǒng)識別 結(jié)果顯示該主機操作系統(tǒng)為Windows 2000，正是我們期望的操作系統(tǒng)類型掃描結(jié)果：漏洞掃描 SSS可對遠程主機進行漏洞檢測分析，這更方便了我們了解遠程主機的狀態(tài)，選擇合適的攻擊入口點，進行遠程入侵 該主機存在的漏洞較多，我們可以確定選擇該主機作為攻擊對象。另外，主機的帳號密碼使用的是“永不過期”方式，我們可以在下面進行帳號密碼的強行破解 一次針對Windows 2000的入侵過程(三) 3. 查看目標(biāo)主機的信息 在完成對目標(biāo)主機的掃描后，我們可以利用Windows NT/2000對NetBIOS的缺省信賴

30、，對目標(biāo)主機上的用戶帳號、共享資源等進行檢查。事實上，在利用SSS進行掃描的過程中，SSS已經(jīng)向我們報告了眾多有效的信息。這里，我們再利用Windows2000的IPC空會話查詢遠程主機 一次針對Windows 2000的入侵過程(四) 4. 滲透 IIS攻擊 嘗試?yán)肐IS中知名的Unicode和“Translate:f”漏洞進行攻擊，沒有成功。目標(biāo)主機可能已修復(fù)相應(yīng)漏洞，或沒有打開遠程訪問權(quán)限 Administrator口令強行破解 目標(biāo)主機是一臺個人主機，絕大部分情況下，均使用Administrator帳號進行登陸，且個人防范意識較差的話，選擇的密碼一般都較簡單，如“主機名”、“11111”、“12345”之類的簡單密碼（方便自己的快速登陸）。所以考慮利用NetBIOS會話服務(wù)（TCP 139）進行遠程密碼猜測。 這里我們使用NAT（NetBIOS Auditing Tool）進行強行破解：