V-zlom.ru » Статьи » Взлом сервера Windows NT

Взлом сервера Windows NT

Итак, приcтупим. 
Шаг 1. Определение ОС.
Сканируем порты. Если видим хоть и закрытые, но порты 135-139, то это WinNT. Если только 139, то это может быть и Windows 9x.
Далее описывается взлом WinNT, т.е. с присутствием 135-139 портов.
Шаг 2. Опись элементов. Сбор сведений.
Процесс извлечения извлечения действующей учетной записи или имен экспортируемых ресурсов мы называем перечнем или описью.
Типы информации перечня подразделяются на следующие группы:
а) Сетевые разделяемые ресурсы;
б) Пользователи и группы;
в) Приложения и заголовки.
Перечень разделяемых ресурсов мы получаем при помощи утилиты Legion. Вводим старт ip что-то пипа 192.143.198.0, а в энд ip что-то типа 192.143.198.255.
И получаем список. Конечно, везде нужен пароль. Но об этом позже.
Далее мы будем пытаться узнать имена пользователей. Поэтому попробуем зателнетиться на порт 23. Если получилось, то просто запускаем на удаленной машине (сервере) nbtstat с параметром -A 192.143.198. И мы получим список пользователей. Если так не получилось, то ладно, потом мы все равно их получим.
Можно также попробовать это сделать утилитой IP Network Browser. Там понятный интерфейс.
Получение перечня приложений можно организовать при поиощи telnet, зателнетившись на порты 80 (http), 25 (smtp), 21 (ftp). Большинство приложений откликнется. Есть замечательная утилита DumpACL, котрая покажет каждую службу Win32 и драйверы ядра удаленной системы.
Шаг 3. Поиск дырявых скриптов.
Дыры то дырами, но проблема в том, что сканеров cgi дыр уйма, а вот asp лично я не нашел.
Как известно на платформе WinNT используются скрипты asp и cgi, это очень хорошо, так как существует множество стандартных скриптов, которые просто усыпаны различного рода дырами. Начнем c asp, тут гланое для нас это увидеть исходный код asp. Эта уязвимость закрыта практически везде, но попробовать стоит. Это все логично, если на сервере распологается Web-сайт. Если к скрипту после его имени в строке браузера добавить точку (file.asp.) или заменить ее в имени на %2e, то иногда мы видим отображение исходного кода сценария. Что нам это даст? Там хранятся некотрые пароли (незашифрованные), например, на сайте xakep.ru в скрипте edit.asp они (пароли) есть абсолютно точно, но там дыры заткнуты. Также можно добавить к имени файла вот такой запрос ::$DATA и тоже получим исходный код. Но это нам не так важно, как просмотр резервной копии SAM. Дело в том, что админ в WinNT никаким образом не может перевести пароли в другое место нежели SAM. При поиске файлов на сервере мы можем наткнуться на скрипт codebrws.asp, он дает нам возможность получения SAM, синтаксис запроса должен быть такой: codebrws.asp?source=/../../../../winnt/repair/sam._
Диагностический сценарий shopdbtest.asp, доступный любому пользователю, позволяет раскрыть местоположение базы данных внутри значения xDatabase. Может пригодиться не каждому.
В установку по умолчанию, файлы конфигурации shopping400.mdb/shopping300.mdb доступны через интернет. В файлах содержится все данные конфигурации, включая детали о пользователях и их кредитных карточках в незашифрованном виде. По умолчанию устанавливается пароль администратора vpasp/vpasp или admin/admin. На многих Web сайтах этот пароль не изменяют.

Также возможно обойти идентификацию имени пользователя и пароля, вводя следующие значения в поле имени и пароля: 'or''=' в сценарии shopadmin.asp. Но это только для интернет-магазинов.

 

Вот еще несколько дырок:
- Уязвимость механизма пакетной передачи данных. В версиях 4.0, 5.0 и 5.1 IIS обнаружена уязвимость данного рода, которая приводит к ошибке присвоения размера буфера передаваемых данных.
- Уязвимость при обработке информации http-заголовка.
- Уязвимость при обработке ?server-side includes¦ и ISAPI
фильтра, отвечающего за HTR файлы.
Кроме названных дыр, также есть следующие проблемы:
- Дыры, приводящие к отказу системы в работе и бесполезности веб-сервера. Одна из них вызвана некорректной работой ISAPI фильтров в сбойных ситуациях, а другая - неправильной обработкой запросов о состоянии текущего соединения FTP службой FTP.
- Три уязвимости ряда ?Cross-Site Scripting¦: одна связана со страницей поиска файлов IIS, другая - со страницей ошибки http-соединения (http error page), и третья - со страницей, сообщающей об ошибке перенаправления URL
Одной из самых перспективных дыр является уязвимость в default.asp. При следующем синтаксисе мы получаем путь с некоторым файлам на серваке:
Использовать эту уязвимость можно следующим путем:
http://www.xxx.com/default.asp?sector=anything 
Например: http://www.xxx.com/zzz/default.asp?sector=lamers 
выдаст вам окно со следующей информацией:
error '80020009' Exception occurred. D:SITIOS_WEBTECTIMESNUEVOzzz../body.htm, 
line 74 Как вы можете прекрасно видеть, что это показан реальный путь к каталогу сайта. В интеренете достаточно документации о дырах в asp можете почитать и там. 128522;
О cgi дырах писать нет смысла (много бо этом говорилось). В WinNT их к тому же затыкают не так часто как на Unix, т.к. в юниксойде перл является стандартным языком, а в виндузе встраиваемым.
Шаг 4. Усилия на SAM или переборщики.
Если уж вы задались целью получить доступ к этому серваку, то вам так или иначе нужны пароли его администраторов или сначала просто пользователей. Можно попробовать стандартный guest во всех его сочетаниях. Еще есть тут одна загвоздка, дело в том, что при пользовании Unix, админ всегда имеет имя пользователя root, a тут это может быть admin, administrator и тп. Понятно вроде.
Если всеми предыдущими способами вам не удалось утянуть "САМку", то наверняка этот сервант круто защищен, чтож придется атаковать в лоб. Тянем с родной хакзоны какой-нибудь переборщик паролей и, соответственно, перебираем. Через неделю труда у вас будет пароль хотя бы одного пользователя. И тут наша задача облегчается. Раз у нас есть пароль пользователя, значит мы можем ПОЛЬЗОВАТЬСЯ серваком. Это базовый закон.
Шаг 5. Повышение прав.
Наверняка, будучи ложным клиентом данного сервака вам можно будет промотреть информацию о других пользователях. Так мы узнаем, у кого есть права админов, кто это. Тут подобрать пароль будет уже легче, чем в предыдущем случае.
Шаг 6. Типа завершения.
Если вам повезло и вы получили доступ ко всем файлам или только к самке и стянули ее. Расшифровать пароли нам помогут уже готовые проги. Вот и готово.
P.S. Я думаю, эта статья дает больше понятия о взломе ВинНТ, чем те никчемные для серваков без фаирвола. Не судите строго, я просто рассказал о нужном.

  • Автор: kennen
  • Комментарии: 0
  • Просмотры: 948
0

Добавить комментарий

Вы не авторизованы и вам запрещено писать комментарии. Для расширенных возможностей зарегистрируйтесь!