На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Программа Userlnfo

Программа Userlnfo, которую написал Тим Муллен (Tim Mullen, Thor@ hammer of god. com), позволяет во время нулевого сеанса собирать информацию о пользователях при значении парамет­ра RestrictAnonymous=l. Вызывая функцию API NetUserGetlnfo на уровне выполнения 3, программа Userlnfo получает доступ к той же критически важной информации, которую позволя­ют просмотреть утилиты типа DumpSec, ограничиваемые параметром Res trie tAnonymous=l. Ниже показан пример получения сведений об учетной записи Administrator на удаленной машине с помощью программы Userlnfo при значении параметра RestrictAnonymous=l (листинг4.8).
С:\>ueerin£o \Yvictim.com Administrator
Userlnfo vl.5 - thor@hammerofgod.com Querying Controller Wmgmgrand
USER INFO Username: Full Name: Comment:
User Comment: User ID: Primary Privs:
Administrator
Built-in account for administering the computer/domain
5СС
Grp: 513 Admin Privs
OperatorPrivs: No explicit OP Privs
SYSTEM FLAGS   (Flag dword is 66049) User's pwd never expires.
MT.SC INFO
Password age: Mon Apr 09 01:41:34 2001
LastLogon: МОП Apr 23  09:27:42 2001
LastLogoff: Thu Jan 01 00:00:00 1970

Acct Expires: Max Storage: Workstations: UnitsperWeeK: Bad pw Count: Num logons: Country code! Code page: Profile: scriptPath: Homedir drive Home Dir.-
Never Unlimited
168 0 5 0
1
Logon hours Hours-Sunday Monday Tuesday Wednesday Thursday Friday Saturday

 

 

 

 

 

 

 

 

 

 

at controller, GKT:

 

 

123S5678901N12345676901M 111111111111111111111111

 

 

 

111111111111111111111111

 

 

 

1-lll.lrlllll .. J. XX XX XXXXXXXX
111111111111111111111111

 

 

 

111111111111111111111111

 

 

111111111111111111111111

 


 

liliXJ-llllllllllllllllii

 

 

 

Get hammered at HammerofGod.com!
Программа UserDump
Еше одна программа Тима Муллена — UserDump. Эта программа "собирает" идентификаторы SID удаленной системы, а затем исследует ожидаемые значения RID, чтобы получить всю инфор­мацию об именах учетных записей. Программа UserDump берет известное имя пользователя или группы и "проходит" заданное пользователем количество раз по идентификаторам SID, начиная с номера 100I. Начинает эта программа всегда с идентификатора RID 500 (администратор), а затем продолжает проверку с RID I001 плюс указанное максимальное количество запросов (при значе­нии 0 или неуказанном значении параметра MaxQueries будут выведены сведения об идентифи­каторах SIDSOOh lOOl). Рассмотрим пример работы программы UserDump (9).
Листинг 4.9. Применение UserDump для получения свщениб^б уч Шт':}       запися^удалённой системщ^^^^ ; -
С:\>иявголдтр Wmgmgrand guest 10
UserDump vl.ll - thor@hammerofgod.com Querying Controller Wmgmgrand
USER INFO Username; Administrator Full Name:
Comment; Builc-in account for
administering the computer/domain
User Comment: User ID: 5 00
Primary Grp; 513 Privs: Admin Privs
QperatcrPrivs: No explicit OP Privs [snip]
1007 does not exist..
1008 does not exist..
1009 does not exist..
LookupAccountSid failed LookupAccountSid failed LookupAccountSid failed
Get hammered at HammerofGod.Com!
Программа GetAcct
Программа GetAcct выполняет аналогичный просмотр идентификаторов SID. Эта про­грамма обладает графическим интерфейсом и позволяет экспортировать результаты в тексто­вый файл для последующего анализа. Для ее работы не обязательно присутствие на исследуе­мом сервере учетной записи Administrator или Guest. На 2 показано окно программы GetAcct во время получения данных о пользователе из системы с установленным ограниче­нием RestrictAnonymou5=l.
Утилита walks am
Утилита walksam, одна из трех утилит пакета RPCTools Тодда Сабина, также выполняет просмотр базы данных SAM и выводит информацию о каждом найденном пользователе. Она поддерживает "традиционный" способ работы через именованные каналы и дополнительные механизмы, используемые в контроллерах доменов Windows Server 2003. В случаях, когда су­ществует возможность установить нулевой сеанс, она может обходить ограничение Res trie tftnonymous=l. Здесь приведен сокращенный пример работы утилиты walksam (помните, что с исследуемым сервером уже установлено нулевое соединение).
Листинг 4flO/C6op информации с помощью will
C:\rpctools>WKl)[Btuii 192.168.234.44
rid 500: user Administrator Userid: Administrator Full Name: Hone Dir: Home Drive: Logon Script: Profile:
Description: Built-in account for administering the computer/domain Workstations: Profile: User Comment:
Last Logon:   7/21/2001 5:39:58.975 Last Logoff: never
Last Passwd Change:   12/3/2000 5:11:14.655 Acct.   Expires: never
Allowed Passwd Change:   12/3/2000 5;11;14.655 Rid: 500
Primary Group Rid: 513 Flags: 0x210 Fields Present: Oxffffff
108
Часть II. Проведение анализа
Bad Password Count: 0 Num Logons: 88
rid 501: user Guest Userid: Guest [etc-]
Теперь мы обсудим преимущества систем Windows XP и Windows Server 2003, благодаря которым можно больше не беспокоиться о значении параметра RestrictAnonymous.
г. ■;.
Меры противодействия инвентаризации с помощью SMB

 

 


Бюллетень

Нет

 

 

 

д/л

 

 

 

 

 

Неправлено е SP Нет

 

 

 

Фиксируется

Нет

Инвентаризацию информации хоста под управлением Windows Server 2003 можно предот­вратить несколькими способами:
т заблокировать доступ к ТСР-портам 139 и 445 на уровне сети или узла; ■ Отключить SMIf-службы;
* Установить правильное значение параметра Network Access (Доступ по сети) в Security Policy.
Конечно, лучше всего ограничить доступ злоумышленника к этим службам с помощью сете­вого брандмауэра. Для ограничения доступа к SMB (см. главу 16, "Возможности и средства за­щиты в системах Windows") и создания дополнительной "линии обороны" стоит также подумать об использовании фильтров IPSec на отдельных узлах на случай взлома брандмауэра. Обсудим эти два способа более подробно.
Отключение службы SMB
В действительности, отключение службы SMB в системах Windows Server 2003 может ока­заться непростой задачей. Откройте панель управления Network Connections (Сетевые соеди­нения) выбрав Start (MycKj^Control Panel (Панель управления) ^Network and Internet Connections (Сеть и Internet-соединения)^Network Connections (Сетевые соединения). Выберите Local Area Connection (Локальные соединения), затем найдите в списке Internet Protocol (TCP/IP) и щелкните на кнопке Properties (Свойства). В открывшемся диалоговом окне щелкните на кнопке Advanced (Дополнительные свойства) и откройте вкладку WINS. Здесь можно отключить NetBIOS поверх TCP/IP, выбрав параметр Disable NetBIOS over TCP/IP, как показано на 3.
Большинство пользователей полагают, что отключая работу NetBIOS поверх TCP/IP, они успешно отключают протокол SMB на машине. Это ошибка. Данная настройка отключает только службу NetBIOS Session Service, закрепленную за TCP-портом 139.
В отличие от систем Windows NT4, системы Windows Server 2003 ожидают подключения по протоколу SMB еще и через ТСР-порт 445. Этот порт остается открытым даже при отключенном протоколе NetBIOS поверх TCP/IP. Версии клиентов SMB в системах старше NT4SP 6а автома­тически используют ТСР-порт445 при неудачном подключении к ТСР-порту 139, поэтому с помощью современных клиентов можно устанавливать нулевой сеанс даже в случае заблоки­рованного и отключенного ТСР-порта 139. Чтобы заблокировать работу no SMB через ТСР-порт 445, нужно открыть объект панели управления Network Connections (Сетевые соедине­ния), выбрать пункт меню Advanced (Дополнительно) о Advanced Settings (Дополнительные
параметры) и снять флажок возможности совместного использования файлов и принтеров для сетей Microsoft (File and Printer Sharing for Microsoft Networks) для сооттствуюшего сетевого адаптера, как показано на 4.
После отключения возможности совместного использования файлов и принтеров созда­ние нулевых сеансов через порты 139 и 445 станет невозможным (естественно, станет невоз­можным и совместное использование файлов и принтеров). Для того чтобы эти изменения вступили в силу, перезагрузка не требуется. При сканировании портов ТСР-порт 139 будет показан как открытый, но подключение к нему станет невозможным.
Еще один способ предотвращения несанкционированного доступа к SMB-службам заключается в отключении службы Server с помощью консоли Services (Службы) из набора средств администрирования (файл services.msc). Это позволяет отключить совместное использование файлов и принтеров (File and Print Sharing), предоставить доступ по сети к именованным каналам (Named Pipes) и отключить совместное использование ресурса межпроцессного взаи­модействия (IPCS).

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика