黑客技术2

ji191359129

黑客技术(3)-Scanner
网络安全上，最有名的我想莫过于Scanner了。。它是一个可以自动侦察系统安全的程序，大部分情况下，用来找出系统的安全弱点。通过对Tcp的ports和服务的侦察，然后将信息记录下来，提供目标的安全分析报告，这是标准的scanner，象unix上的某些服务，如：host,rusers,finger等，只是半个scanner.完全发挥Scanner的功能要求使用者必须掌握相应的tcp,C,Perl,Socket的基本常识。关于socket可以从:http://147.17.36.24/prog/sockets.html得到详细的设计说明。
那么Scanner到底会告诉你什么呢？其实他真的不告诉你什么，呵呵。。他只是将信息完整的记录下来，做为一个系统管理员，会看出内在的弱点才是要命的，因此，我不知道你通常是怎么做的，我是到这些地方去看信息的。
firewalls@greatcircle.com
sneakers@cs.yale.edu
www-security@ns2.rutgers.edu
[email=ntsecurity@iis]ntsecurity@iis[/email]
bugtraq@netspace.org
多了解这些信息对看出由scanner记录的东东很由好处。
比如：finger root@server.com 后我得到这样得信息：
login name: root in real life: 0000-Adim(0000)
^^^^^^^^^^^^^^^
Directory: /shell: /sbin/sh
Last login tue Feb 18 19 04:05:58 1997;
Unread since Web Feb.........
No Plan.
现在我起码知道server.com这台主机上跑Solaris.再用ftp或telnet我可以知道Solaris
的版本号，然后我可以知道那个版本的有什么Bugs, 分别是哪一级的，我如何做。。。。
可见，Scanner能找到网络上的机器，找出机器的信息，提供某些人分析。
一个典型的例子：
1995年，SGI卖出许多“WebForce”的机器，机器很不错，多媒体功能很强，跑的是IRIX ,不幸的是，有个系统的内置帐号“lp”不需要密码。（本市有这样的机器）好了，现在我想看看究竟是哪一台，他的硬盘有些什么，我这样做：
1。我找到一个搜索引擎，查找“EZSetup + root: lp:” （老土的方法）
或者，我用scanner.使用scanner的telnet对202.XXX.XXX.000到202.XXX.XXX.255
全部进行telnet.传回的信息象这样：
Trying 202.XXX.XXX.XXX
Connected to ........
Escape Character is "]"
IRIX 4.1
Welcome .........
Login:
2。我马上离开了。。呵呵。。。。
想了解最后一个使用这个bug的人的ip地址，finger lp@the.sgi.box 这小子很牛。
修改你的passwd 使其中一行这样:lp:*:4:7:lp:/var/spool/lpd： 你的问题解决了。
在unix中，host执行nslookup一样的功能。但是，host是unix中最危险，最有
威胁性的十大工具之一，（我认为）比如：
我host 某个大学。
host -l -v -t any edu.cn
呵呵。。你会看到：
Found 1 addresses for XXX.XXX.edu.cn
Found 5 addresses for XXX.YYY.edu.cn
..
..
Trying 210.XXX.XXX.XXX
XXX.XXX.edu.cn 86400 IN SOA
961112121
900
900
604800
86400
....
XXX.YYY.edu.cn 86400 IN HINFO SUN-SPARCSTATION-10/41 UNIX
XXX.ZZZ.edu.cn 86400 IN HINFO DEC-ALPHA-3000/300LX OSF1
....
XXX.xmu.edu.cn 86400 IN HINFO PC-PENTIUM DOS/WINDOWS
....
一个将近120K的文件。
好了，现在我知道跑dec的机器可能有mount -d -s 的毛病。跑sun的机器可能有patch-ID#100376-01的问题。 跑windows 95 的机器可能有SMB协议，我可以用SAMBA来连上共享目录。
Rraceroute 同样也是unix中的犀利工具，用来确定主机到底在什么地方。具体功能我不说了，他和rusers, finger一样，提供一些看起来好象没什么的资料，但是，你可以利用某些技巧来定位一个目标。
还有一个命令shownount.他的-e参数可以提供某些目录的bug出来。
类似的工具你可以参考这些：
netscan http://www.eskimo.com/~nwps/index.html
NetWork Toolbox http://wwwljriver.com/netbox.html
Tcp/Ip Surveyor ftp://wuarchive.wustl.edu/systems/ibmpc/win95/netutil/wssrv32nz
ip
真正的Scanner:
NSS http://www.giga.or.at/pub/hacker/unix/
Strobe http://sunsite.kth.se/linux/system/network/admin/
SATAN http://www.fish.com
IdentTCPscan http://www.giga.or.at/pub/hacker/unix/ (这是我强力推荐的)
Connect http://ww.giga.or.at/pub/hacker/unix/
SafeSuite (强力推荐的软件，由ISS发展小组开发）
Safesuite提供3个scanner,
Intranet scanner , Web scanner ,firewall scanner.
提供6个攻击测试：
sendmail,ftp,nntp,telnet ,prc,nfs
如果你的主机通过了这个软件，呵呵。。不要命的hacker可能会和你拼了。使用这个软件，我很轻易的就发现了学校一台主机的三个致命弱点。rlogin,ftp,httpd。每个都够你使用root权限。
如何使用和到哪里去下载这个软件我不太清楚，你可以到网上去找。
总之，我相信任何的系统都存在安全上的风险，对于想真正了解网络安全的系统管理员，都应该从很细小的资料上注意起。并且应该时刻注意你所用的系统有没有新的不安全因素出现在网上。
还想谈的安全问题还有sniffer,trojans,fake ip,email bomb,system bugs,
microsoft(oob 139,1031,80),some unix problem.(telnet,nfs..),hacker&cracker.
这些都是我长期收集的资料和实际操作中碰到的。所以只能是整理到哪里贴到哪里。当然，这些只是我的个人看法，能谈到什么程度我不敢说，但是我希望能对关心网络安全问题的人提供一些帮助。也希望大家一起来真正了解我们面对的机器能保存些什么秘密。

黑客技术(4)-Windows和Nt
Microsoft的安全问题一直是一个很敏感的问题，因为网络上有太多的使用者了，在我收集的长达79页的Microsoft技术规范说明中，谈到安全问题的仅仅是一段“比以往的版本，在安全技术上有很大的改善”，显然，Microsoft更关心的是有没有人偷他的软件去使用，而不是用户在使用软件时是否安全。那么，摆在眼前的就是：Microsoft从来就不是一个安全的平台，即使是Nt系统，虽然Nt经过了NSA的安全等级C2鉴定。但是，请注意以下的补充说明：
1·C2在EPL中是很低的等级。
2·NT的C2只在某些硬件上才能达到，（Compaq Poliant 2000,DECpcAXP/150 Alpha）
3·NT的C2认证是假定在没有网络的情况下。
所以，在Microsoft的Windows产品中，基本的安全功能就相当的缺乏，所有密码的功能基本是依赖一个PWL的文件，所以，了解这份文件，你也就了解了Windows的所谓的安全机制。
在Windows中，使用两个函数来计算密码：
WnetCachePassword( )
WnetGetGachedPassword( )

如果你是一个软件设计人员，那么你可以使用相同的这两个函数来获得使用者的密码。但是，更简单的方法是，你可以在Windows系统目录下，直接删除PWL文件，然后再以你的口令生成一个文件。
详细的说明你可以参考：http://199.44.114.223/rharri/tips.htm
或者你可以到http://www.iaehv.nl/users/rvdpeet/unrelate/glide.zip下载这个软件，
然后试试在你的机器上运行。
如何解决上述问题，你可以使用Fortres 101,在http://www.fortres.com/f101.htm
上面说的只是单机的情况，那么，如果你的机器在网络上呢？
这里有我一份在去年3月份的记录。对在记录中出现的任何机器，我很抱歉将你们列出来。
但是我保证没有动改你们的硬盘。呵呵。。。。
1997.3.27 xx:xx:xx
我从internet连线上学校的网络，当时，我用了一个Scanner来扫描整个的网络，
令人惊奇的是，我从结果窗口中看到了这样的一些信息：
Win95client: littlesun
Win95client: tina&ryu
.....
.....
Win95client: subtle
.....
WinNtServer: XXXXXX Domain:XXXXX_XX
.....
Ok, 接下来，我只是用网络邻居来打开某台机器，然后，我立刻就发现了一些的共享目录。其中的某些目录你可以用"guest"来连上，到了这一步，如果你是一个别有用心的人，你会怎么做？我想象的做法应该是：
1. 到95的系统目录下，下载所有的PWL文件。 （其中就有Administrator的）
2. 到我本机后，用glide在一秒中内解出所有的密码。
3. 然后我想，可能有某台机器是连上NT服务器的系统管理员的工作平台，这样的话，
他不太可能使用两个密码来登录Nt域和他本地的Win95系统，通常在服务器上的
Administrator和他在本地的Administrator用户口令相同。
4. 于是，我可以用这个密码来登录发现的那一台服务器，用administrator.
Ok, 脆弱的工作站连累了Nt服务器。这就是结果。
出现这样的安全问题，原因是什么？就是Windows采用的SMB协议所带来的问题。
SMB(Server Message Block) ,Microsoft用这个协议来实现系统在网络中的共享协定。
包括：文件，目录，打印机，通讯口等。这个协议可以加在很多协议上跑，象Tcp/Ip,
NetBios,Ipx/spx
于是，hacker就可以使用telnetd透过SMB来或取windows,Nt的共享目录，然后就可以：
1. 使用SMB的clinet端送"dir ..\"给服务器，造成"denial-of-service"的攻击。
2.使用SAMBA连上共享目录。慢慢观赏你的硬盘。呵呵。。。
解决问题的方法是：不绑定SMB给Tcp/Ip.
去http://ftp.microsoft.com/developr/drg/cifs/中找详细的SMB资料，然后到
http://www.microsoft.com/kb/articles/q140/8/18.htm找一个SMB的patch.
这只是nt系统中普遍存在的问题，实际上，根据我个人的看法，在一个Nt中，你起码
应该注意这些问题：
1.Port 80的远程漏洞。
Telnet到prot 80 ,发送这样的命令：get ../..
ok ,Web服务器立即当掉。 使用Service pack 1a,2来修复这个问题。
2. Denial-of-Service的攻击。
到http://ntinternals.com/cpuhog.htm取cpuhog这个软件，他使你的nt服务器
Cpu达到100%忙碌状态，然后死掉。
3. port 135,1031的问题。
这个OOB的问题相信大家都知道，但是Microsoft对1031口存在的问题却不太关心。
在1997年2月2日的Microsoft报告中就明显指出这个问题，到现在还没有有效的解决方法。
4. 对DNS-Denial的攻击，使用Service Pack 3来修复。
5. 通常hacker会用的由nbtstat来查询机器名称，放入lmhosts文件后，对网络查询
来得到共享目录，使用者信息，等。。。。
这些是我个人对使用Nt的看法，当然，如果你有更好的建议，你可以发E-mail给我。