Prázdná definice relace
Podle modelu řízení přístupu na Win2000 (vezměte jako příklad Win2000), zřízení prázdné relace také vyžaduje token, ale prázdná relace neprochází během procesu zřízení.Ověřování informací o uživateli, takže tento token neobsahuje informace o uživateli.Tato relace proto nemůže umožnit systému odesílat šifrované informace, ale to neznamená, že prázdný token relace neobsahuje identifikátor zabezpečení SID (identifikuje uživatele a skupinu), pro prázdnou relaci poskytnutý Sid of token.LSA je S-1-5-7, což je SID prázdné relace, a uživatelské jméno je: Anonymní přihlášení (toto uživatelské jméno lze vidět v seznamu uživatelů ano, ale nelze jej najít v databázi SAM.Patří k vestavěnému účtu systému).Tento přístupový token obsahuje následující maskované skupiny:
Každý
Síť
Podle omezení bezpečnostní politiky bude tato prázdná relace oprávněna získat přístup ke všem informacím, ke kterým mají výše uvedené dvě skupiny přístup.
Role prázdných relací
Pro NT, v případě výchozího nastavení zabezpečení, s pomocí prázdných připojení mohou být uvezeni uživatelé a akcie na cílovém hostiteli, sdíleni se svolením každého a je přístupný k malé části registrace.Tabulky atd., nemáte velkou hodnotu použití;Má menší účinek na 2000, protože ve výchozím nastavení ve verzích Windows 2000 a pozdějších verzí mají pouze administrátoři a operátoři zálohování právo na přístup k registru ze sítě a je nepohodlné implementovat.Potřebují nástroje.
Z nich můžeme vidět, že tento druh nedůvěryhodné relace není příliš užitečný, ale z úplného narušení IPC $ je prázdná relace nepostradatelným odrazovým můstkem, protože z něj jste můžete získat seznam uživatelů a většinu slabých nástrojů pro skenování hesel.Použijte tento seznam uživatelů a uhodněte heslo.Úspěšný vývoz seznamu uživatelů výrazně zvyšuje úspěšnost odhadu.To samo o sobě stačí k vysvětlení prázdné relace.Bezpečnostní rizika, takže je nesprávné říkat, že prázdné konverzace jsou zbytečné.Níže jsou uvedeny některé konkrétní příkazy, které lze použít v prázdné relaci:
1 Nejprve nejprve vytvoříme prázdné připojení (samozřejmě to vyžaduje, aby cíl otevřel IPC $)
Příkaz: net použití \ \ ip \ ipc $ "" /uživatel: ""
Poznámka: Výše uvedený příkaz zahrnuje čtyři mezery, jeden prostor mezi sítí a používáním, jeden po použití a jeden prostor nalevo a vpravo od hesla.
2 Zobrazit sdílené zdroje vzdáleného hostitele
Příkaz: Net View \\ IP
Vysvětlení: Předpokladem je, že po navázání prázdného připojení lze tento příkaz použít k prohlédnutí sdílených zdrojů vzdáleného hostitele, pokud je otevřen pro sdílení, můžete získat následující výsledky, ale tento příkaz nemůže zobrazit výchozí nastaveníSdílení.
Sdílené zdroje v \\*.*.*.*
KOMENTÁŘ SDÍLENÍ Sdílení zdrojů
---------- -------------------------------------------------< /p>
Sdílet serveru NetLogon Disk
Sdílet serveru Sysvol Disk
Příkaz úspěšně dokončil.
3 Zobrazit aktuální čas vzdáleného hostitele
Příkaz: Čistý čas \\ IP
Vysvětlení: Pomocí tohoto příkazu získejte aktuální čas vzdáleného hostitele.
4 Získejte seznam uživatelských jmen NetBIOS vzdáleného hostitele (musíte si otevřít vlastní NBT)
Příkaz: nbtstat -a ip
Pomocí tohoto příkazu získejte vzdálený seznam uživatelských jmen netbios hostitele, vrátí následující výsledek:
Uzel iPaddress: [*.*.*.*] ID rozsahu: []
Tabulka názvu NetBios Remote Machine
Stav typu jména
------------------------------------ ---------
SERVER <00> UNIQUE Registered
OYAMANISHI-H <00> GROUP Registered
OYAMANISHI-H < ;1C> GROUP Registered
SERVER <20> UNIQUE Registered
OYAMANISHI-H <1B> UNIQUE Registered
OYAMANISHI-H <1E> GROUP Registered
SERVER <03> UNIQUE Registered
OYAMANISHI-H <1D> UNIQUE Registered
..__Msbrowse__.<01> GROUP Registered
p>INet~Services <1C> GROUP Registered
Je ~ server......<00> UNIQUE Registered
MAC adresa = 00-50- 8B-9A-2D-37
5.Někteří lidé přidávají $ k názvu sdílení k dosažení skrytého efektu, ale to lze vidět s čistým podílem pod DOS;
Tento druh úkrytu je pouze omezením standardního klientového síťového zobrazení Microsoft Windows, nikoli omezení serveru.Proces přenosu sítě je zacházen stejně, takže můžete klienta přímo upravit tak, aby odstranil toto omezení nebo pomocí klientského softwaru třetích stran viděl tzv. Skryté sdílení, jako je SMBClient, je typickým reprezentativně.
6.Někteří lidé přidávají heslo do sdílení, ale slyšel jsem, že existuje způsob, jak to rozbít.
Toto praskání závisí na tom, jakou úroveň to je.Nemusí se říkat, že je to praskání čisté brutální síly.Ano, samozřejmě je to vždy možné.V 95 a 98 je další zranitelnost.Je to jeho slavný vredir.VXD.Délka používaná serverem k ověření hesla je skutečně poskytována klientem, což znamená, že nejvýše 256 odhadů (ve skutečnosti ne tolik, zvažte znaky tisknutelné)).Na začátku n mnoho lidí použilo tuto metodu k nelegálnímu procházení strojů jiných lidí.Ohlášeno společnosti Microsoft v roce 2000 a nyní byl opraven.
Mimochodem, použití této zranitelnosti může rychle vyčerpat původní heslo, i když to není při útoku zbytečné.
7.V roce 2000 může SMB běžet přímo na TCP/IP bez další vrstvy NBT pomocí portů TCP 445.Proto by se měl v roce 2000 změnit o něco více než NT.
Ve skutečnosti je to opak.V poli SSAXH_CAPABILITIES je uvedeno, že „prodloužená ověřování zabezpečení“ se nepoužívá.V tomto případě je použit původní mechanismus ověřování a je odstraněn pouze požadavek na relaci vrstvy NBT a 139 /TCP se změní na 445 /TCP, můžete také úspěšně vytvořit prázdnou relaci a úspěšně otevřít // IPC $..
Pokud jde o RPC na vyšší úrovni oproti SMB, není třeba provádět žádné změny.Jinými slovy, od 139/TCP do 445/TCP se během celého komunikačního procesu sníží pár žádosti o relace NBT a následující zprávy jsou zcela stejné pro oba.
Takzvaná vrstva NBT, dokonce ani v komunikaci 445, nebyla odstraněna a vždy existovala.Rozdíl je pouze výše uvedený odstavec.
8.Pokud klient povolí NBT, přistoupí k portům 139 a 445 ve stejnou dobu při připojení.Microsoft nedovolil 139/TCP spravedlivě konkurovat 445/TCP.Syn paket, který iniciuje připojení, je odeslán současně v makroskopickém pohledu.Konkrétní, někdy je požadavek na připojení někdy zahájen na 139/TCP a někdy je požadavek na připojení zahájen na 445/TCP, což je trochu náhodné.
When sending the last ACK message of the three-way handshake to 139/TCP, Windows easily carried the data, here is a deliberately mistaken NetBIOS name (*SMBSERV<00...(8)> ;Make a NBT Session Request.A 445/TCP nepotřebuje relaci NBT.
Vzhledem k názvu úmyslně mylného názvu NetBios je pro 139/TCP obtížné soutěžit s 445/TCP.Server vrací negativní odezvu nbtsission a provedl operaci Close ().Díky tomu je nutné obnovit připojení k 139/TCP (připojení transportní vrstvy TCP).
Je vidět, že název úmyslně mylného netbios je jen pro dávat 445/TCP preventivní příležitost.Bohužel 445/TCP není pro drapáky.Úkoly na tomto portu jsou těžké a zatížení je vysoké.Dokonce i v této nespravedlivé soutěži může být 139/TCP stále schopna znovu získat svůj náskok.Před 445/TCP byla založena relace NBT (všimněte si, že se nejedná o připojení TCP).Poté port 445 pošle zpět první a následné relace SMB jsou zavedeny na připojení 139/TCP.
Microsoft’s own operating system does not recognize"* SMBSERV<00...(8)>", but Samba Server 2.2.5 uznává, že ve skutečnosti vrací pozitivní odpověď na relaci.To se stalo jedním ze způsobů, jak přesně identifikovat server Samba.
Microsoft is in<> ; I won’t mention these, but that 139/TCP and 445/TCP compete fairly and use the earliest response message first.Nevěřte jeho nesmyslům.
Mimochodem, pokud to není způsobeno poptávkou, nemusíte se o tento rozdíl vůbec starat.Když existuje poptávka, je tento rozdíl fatální.
9.Nejviditelnější je, že prázdná relace může být snadno připojena k jiným doménám pro výčet uživatelů a strojů.Atd.Toto je princip skenovacího softwaru pro detekci.
XP a 2003 zakazují ve výchozím nastavení dotaz na prázdnou relaci PolicyAccountdomaininformation.Můžete vidět, že Lsaropenpolicy2 (44) selhala a povolení je odepřeno.Pokud zadáte platný účet předem, heslo stanoví relaci SMB místo prázdné relace.Lsaropenpolicy2 (44) se úspěšně vrátí.
Výše uvedené je to, co často děláme s prázdnými relacemi.Zdá se, že můžeme získat spoustu věcí, ale měli bychom tomu věnovat pozornost.: Operace navázání připojení IPC $ ponechá záznam v protokolu událostí, bez ohledu na to, zda se úspěšně přihlásíte.