第四章 Windows NT系统攻防实战 4.4.2 权限突破 权限突破是一种黑客们经常使用到的方法，也是最常见的黑客入侵手段。通常的情况下，当黑客们得到一个Windows NT服务器上的一个正常的普通用户名和有效地密码的时候(此密码不等同于“Administrator”级别的用户名密码)，他们就会利用一些Windows NT本身的漏洞和管理员的疏忽所造成的失误性漏洞，对其掌握的账号进行权限突破，也就是所谓的将自己的普通权限账号升级为特殊权限的账号。 攻击者在得到非管理级账号后，他们首先做的就是对所掌握的目标服务器进行端口和系统信息的探查，黑客们会进行路径的试探性访问，并可以配合前面所提到的NTRK进行共享资源的探查，国内的黑客一般喜欢用网络刺客这一类的工具进行初步的探测。在摸清服务器的情况后，他们一般会选择一个名为“Sechole”的工具来进行下一步的动作，这就是权限突破。 “Sechole”具有的最神奇的功能就是通过黑客手中掌握的普通权限账号升级为“Administrators”级别的用户。“Updated”版的“Secholed”可以很轻松地把普通级别用户升级为特权用户加入“Domain Admins”用户组中。当黑客利用远程开启执行“Sechole”后，“Sechole”会修改“OpenProcess API”调用的内存中的一些指令，然后它会跨越权限，使自己正确的衔接在某个特权的进程之中，当成功的衔接上特权程序后，它会利用一种类似于“DLL Injection”(DLL注射)的方法，把一些恶意代码加入具备能够控制“Administrators”特权的用户进程中进行特权升级。 不过“Sechole”必须要在目标服务器系统上进行本地运行，而想要达到本地运行的目的，目标服务器就要符合几个特定的标准，如服务器需启动IIS(Internet Information Sener)服务等，而通常情况下，黑客很难轻易获取一个既能够读取又能够写入的IIS目录的访问权限。但当黑客们获得权限后，他们会迅速地把“Sechole”上传到几个特定的目录下，这些目录通常为： C：Inerpubmsadc C：InerpubNews C：InerpubCgi-bing C：Inerpubscripts C：Inerpub_vti_bing …… 然后同时上传与“Sechole”关联的几个“Dll”文件和一个Windows NT命令解释器(Ntcmd.exe)，然后再上传一个用于修改用户和用户组及策略的程序，一般是一个名为“Ntuser”的程序。再上传完这些程序后，黑客就可以通过一个“Web”浏览器通过输入“URL”的连接远程的启动“Sechole”程序，黑客此时就能够把他指定的账户添加到到“Administrators”用户组。一般狡猾的黑客为了隐蔽自己的行动会使用“Ntuser”在目标服务器中新添加一个用户。一下就是通过浏览器启动“Ntuser”的URL命令： http：//127.0.0.1/scripts/ntcmd.exe/C%20C：inetpubscriptsntuser.exe%20-s%20server1%20%add%20ma trix%20-password%20thematrix 上面的URL连接中的服务器名字为“Server1”，用户名为“Matrix”，密码为“Thematrix”这一长串的命令在目标服务器上会被“Ntuser”传送给一个“Shell”，命令在服务器中执行的的原意为： ntcmd /c ntusers servername add username password password 而且黑客们还可以把指定的账号加入到“Administrators”用户组中，此命令的URL控制连接为： http：//127.0.0.1/scripts/ntcmd.exe/C%20%C：inetpubscriptsntuser.exe%20-s%20server1%20groupA%20 append%20Administrators%20matrix 在Windows NT中执行的命令为： ntcmd /c ntuser servername LGROUP APPEND groupname username .. 瞧，黑客们就通过把这么几个指令输入到他的浏览器上就可以让自己成为Administrators级别的用户了，他可以想做任何他想做的事情了。 4.4.3 攻破SAM 当一个黑客获取你的Administrator 权限后他会罢手吗，我们希望他会，但是一般来说他们不会仅仅满足一个管理员身份的，他们渴望知道你的秘密，所有的秘密。而想要掌握更多的秘密，Windows NT的SAM就成为了他们抢先下手的首选目标。因为SAM中包含有本地系统及所控制域的所有用户信息和用户名及密码，它类似于UNIX中的Password文件。当然SAM文件是经过加密后的一个文档，但是由于微软考虑到Windows的兼容性致使SAM的加密算法沿用了LanManager的散列单项加密算法，结果直接导致了黑客们很轻松地就可以逆向破解这种算法加密的SAM。其中破解SAM最为常用的工具就是L0phtcrack，如果有一台PII450，黑客们便可以利用L0phtcrack在24小时内破解出所有可能的数字与字母组合。 L0phtcrack破解工具实际上是一个功能强大的猜解器，它会按照入侵者制定的字典中的词汇和字符串组合进行加密计算，然后跟黑客得到的SAM散列加密信息进行对比，由于此过程不用直接连接到目标服务器上，所以管理员很难察觉，也就减少了账号封锁的问题。而且黑客可以在任何他喜欢的时间里进行破解并中断破解或者在以后的日子里继续破解。这一过程只是一个CPU消耗和字典大小的问题。而对于现在的技术而言，这些都不是什么困难的问题。 如果想要破解一个SAM文件我们必须先要获取它，而Windows NT是把它存放在“%systemroot%sys tem32***fig”目录中的，而且在服务器的Windows NT系统运行过程中SAM是被锁死的，甚至Administrator用户也无权限更改，不过我们使用一点诡计就可以打开它的大门，对它的注册表内记录的键值进行调度。 （未完待序）