一次侵入 NT 的故事

黑客Johnny家里有一台装了Windows NT Server的计算机,为什么呢?因为他知道如果他想攻击NT时,他最好使用同种类型的计算机----它为他提供了所有必要的工具.他安装了RAS( 远程访问服务)并通过拨号连接internet.

一天早晨,大约凌晨2:00,他拨号进入internet.他的IP地址是动态分配的.他打开一个命令提示窗口, 开始工作了.他知道www.company.com的网络服务器运行的是IIS(Internet Information Server).他是怎样知道的?因为他曾经使用Excites搜索引擎作了一次“CGI批处理文件“搜索.这个短语在IIS在线帮助的第8章,而且很不幸的是它被E xcite搜索引擎索引了.

现在Johnny有了一张大约600个运行IIS的网络服务器清单.他以FTP方式连接www.company.com ,他并不清楚这台服务器上是否运行了FTP服务.但是他知道:如果他收到“连接被拒绝“的消息,就表明这台服务器没有运行FTP服务.很幸运, 屏幕上出现了下面的内容:
C:\ftp www.company.com
Connected to www.company.com. (连接到了www.company.com)
220 saturn Microsoft FTP Service (Version 3.0). (220 saturn 微软FTP服务3.0版本)
User (www.comapny.com none)): (用户www.comapny.com(无))

这给他提供了一些非常重要的信息:这台服务器的NetBIOS名为SATURN.从这儿他可以推断出这台NT计算机上允许人们匿名使用WWW,FTP和GO PHER服务的默认因特网帐号(anonymous internet account).如果默认的帐号没有改变的话(他也知道很少有人会去改的这个帐号的),这个默认的帐号就是IUSR_SATURN.如果他要获得这台机器的管理员权限时, 这个信息以后用的着.他输入“ anonymous “作为用户名,接着出现下面的文字:
331 Anonymous access allowed, send identity (e-mail name) as password.
Password:
(331 允许匿名访问,请用身份(电子邮件名)作为口令
口令

Johnny在使用“anonymous“作用户名之前经常用“ guest “帐号.一个刚刚安装的NT计算机上的“guest“帐号是被禁用的,但是有一些管理员又使这个帐号有效了,有趣的是他们通常使用一个很容易破解的口令如“ guest “或者没有口令.这时如果他试图用这个帐号访问FTP,这个帐号就是合法的NT用户帐号了.任何“ guest “帐号可以访问的, Johnny也可以访问,有时候几乎所有的资源都可以访问到. 他知道现在他可以访问他们的站点了,但是他还有很长的路要走.甚至现在他还可能不能访问.现在他甚至连口令也没有给.他只是按回车并且得到一个消息说匿名用户登录成功. 首先他输入“cd/c“,因为一些管理员会把驱动器根目录作为FTP虚拟目录并且默认别名取为:“/c“.

下一步,他看是否他可以“推“一些文件进入这个网站, 即这个FTP网站是否开放了写权限.他很幸运.下一步他输入“dir“来看他访问了什么东西.当他看到一个叫“CGI-BIN“的目录时,他不禁吃吃地笑起来了. 很明显,这个NT管理员把其它WWW网站的内容也放进来了.所以他可以远程对这个目录作些变动. Johnny知道CGI-BIN有执行的权限,所以如果他可以成功地把程序放进这个目录的话,他就可以用浏览器来操作这个程序. 尽管他知道有时候还有别的办法,他还是希望管理员没有使用NTFS文件级安全模式禁止匿名帐号读写这个目录的权限.

他改变了CGI-BIN目录并且通过输入命令“binary“来改变目录类型为I,然后他输入“ put cmd.exe “,很幸运,他得到下面的响应:
200 PORT command successful.
150 Opening BINARY mode data connection for CMD.EXE.
226 Transfer complete.
208144 bytes sent in 0.06 seconds (3469.07 Kbytes/sec)
端口200 命令成功
150 打开CMD.EXE的二进制模式数据连接
226 传输完毕
0.06秒内传送完208144个字节(3469.07 Kbytes/sec)

下一步,他把getadmin.exe和gasys.dll放进入这个目录.用这三个文件,他甚至不必关闭FTP会话.他只是关闭了命令提示窗口,带着微笑斜靠着椅子, 点着一只烟,享受这一刻.他知道他有了这三个文件。在把烟头捻熄在烟灰缸后,他连上了“美国在线“(AOL). 他这样做是因为如果成功登录上NT的话，留在上面的IP地址就是AOL代理服务器的地址，而不是他的地址。当然这也并不重要，因为很快他就要编辑日志文件并抹去他的所有踪迹。打开浏览器，他输入下面的地址： http://www.company.com/cgi-bin/getadmin.exe?IUSR_SATURN
大约15秒后，他浏览器上出现了下面的文字：
CGI Error
The specified CGI application misbehaved by not returning a complete set of HTTP headers. The headers it did return are:
CGI错误

由于没有返回完整的HTTP报头,指定的CGI应用程序功能异常.报头返回的数据为:
哈哈，现在帐号IUSR_SATURN有管理员权限了！他刚才使得匿名因特网帐号拥有全局管理员权限。所以用这个帐号他可以做他想做的事情了。首先，尽管他不得不创建一个自己的帐号, 以便他可以用NT资源管理器(NT Explorer)和大多数管理员工具连接这台NT服务器. 因为他不知道IUSR_SATURN这个帐号随机产生的密码,所以他不能使用这个帐号.为了创建帐号,他输入了下面的URL: http://www.company.com/cgi-bin/cmd.exe?/c c:\winnt\system32\net.exe user cnn news /add
他创建了一个口令为“news“的“cnn“帐号.为了使得这个帐号拥有全局管理员权限,他输入了下面的URL: http://www.company.com/cgi-bin/getadmin.exe?cnn

只用了不到10分钟的时间就做完这些事情了.他断开和“美国在线“的连接并且点击“开始“,继续搜索域名为www.company.com 的计算机.大约一分钟后,计算机找到了. 接着,他用右击“计算机“然后点击资源管理器.NT的资源管理器打开了,过了一会儿,计算机提示johnny输入用户名和口令.他分别输入“cnn“ 和“news“.立刻,他连接上了.计算机www. company.com的管理员权限被加入到他自己的安全标记中了..

现在他可以做任何事.使用域用户管理器,他可以得到所有帐号信息;他可以连上I nternet服务管理器,他可以查看服务器管理器…首先,尽管他使用NT资源管理器映射了一个驱动器到隐藏的系统共享C$.他还是切换到Winn t\system32\logfiles目录并且打开当天的日志文件(logfile).他删除了所有的和他来访有关的日志记录然后保存修改后的日志文件.如果他得到任何关于共享冲突的信息的话, 他所要做的就是改变计算机中下面URL http://www.company.com/cgi-bin/cmd.exe?/c date 02/02/98 的日期.

下一步,使用注册表编辑器,他连上远程计算机的注册表.然后他使用L0phtcrack转储这台NT服务器的SAM(安全帐号管理器---存放帐号信息的) 并且开始破解机器上的所有口令.使用任务管理器他设置优先级低因为L0phtcrack会占用处理器很多时间(NB L0phtcrack 2.0版本可以随意设置低优先级). 现在他只要做很少的事就可以掩饰他的踪迹.他删除了cgi-bin目录中的cmd.exe, getadmin.exe 和gasys.dll，然后他使用事务查看器检查远程NT服务器的安全事务日志来看是否留下了他的踪迹。最后使用域用户管理器他删除了IUSR_ SATURN帐号的管理员权限并且删除了他不久前创建的cnn帐号。他不再需要这个帐号了。L0phtcrack将会取得任何帐号的权限。下次他就可以使用管理员帐号访问这台计算机。他断开连接并设置1 0phtcrack’优先级为高级并让它运行而自己上床了。。

看看他的闹钟，才是凌晨2:30。他嘘了口气，喃喃自语到“呵呵，我变得迟钝了！”然后咧着嘴笑着进入梦乡。