Tác giả:
Lê Đình Tiến Lâm
Lê Đình Tiến Lâm
CÔNG CỤ TẤN CÔNG : USERINFO
- Userinfo là một tiện ích nhỏ để nhận những thông tin thích hợp về một vài người dùng từ Windows NT/2000 mà bạn có thể tìm ra trên cổng 139.- Cụ thể nó được gọi là NetUserGetinfo API tại Level 3. Userinfo gửi lại những thông tin như :
• SID & nhóm chính
• Ngăn ngừa đăng nhập
• Những nhóm thông ti n đặc biệt.
• Những thông tin về password như hết hạn …
- Ứng dụng của nó là làm việc như một Null Session, nếu RA (Restrict Anonymous)-ngăn ngừa người dùng nặc danh, được thiết lập bằng 1 để ngăn ngừa liệt kê những người dùng nặc danh.• Ngăn ngừa đăng nhập
• Những nhóm thông ti n đặc biệt.
• Những thông tin về password như hết hạn …
Công cụ :
- Userinfo là một tiện ích nhỏ để nhận những thông tin thích hợp về một vài người dùng từ Windows NT/2000 mà bạn có thể tìm ra trên cổng 139. Ứng dụng của nó là làm việc như một Null Session, nếu RA được thiết lập bằng 1 để ngăn ngừa liệt kê những người dùng nặc danh.
- Những phương thức khác mà có ACL’s ít trên chúng, sau khi RA (ngăn ngừa người dùng nặc danh) thiết lập bằng 1 : NetServerTransportEnum & NetUserGetInfo. NetUserGetInfo có một level (cấp độ) khác có thể được chỉ định như : Level0~tên người dùng, Level1~tên, thư mục chủ … Level 2~nhiều chi tiết hơn, Level 3~thông tin dễ bị tấn công. Tiện ích đặc biệt được gọi NetUserGetInfo tại Level 3.
- UserInfo thu thập nhiều thông tin trên tên tài khoản. Nó thu thập được thông tin : thời gian password (hết hạn), tên đầy đủ và những chú thích (comment), RID, thời gian đăng nhập/xuất lần cuối, đặc quyền, những quyền trong HĐH, tất cả những thuộc tính mở rộng của người dùng, tài khoản bị khóa, tài khoản không được kích hoạt, password không hết hạn, người dùng không thể thay đổi password v.v … nó làm việc trên Win 2k, nó tạo ra những thích hợp để thu thập những thông tin mở rộng như yêu cầu thẻ và sự tín nhiệm của người được ủy nhiệm.
Ghi chú :
PasswordDoesNotExpire được ưu tiên trên PasswordExpired. Nếu PasswordDoesNotExpire được thiết lập, Windows NT/2000/XP sẽ bỏ qua hoặc không thiết lập PasswordExpired.CÔNG CỤ TẤN CÔNG :GETACCT
Công cụ :
- Getacct là một phần “RestrictAnonymous=1” và thu thập những thông tin về tài khoản trên máy Windows NT/2000. Đặt địa chỉ IP hoặc tên NetBIOS của máy đích vào trong cột “Remote Computer”. Đặt số 1000 hoặc cao hơn vào trong cột “End of RID”. RID là một chứng nhận quan hệ người dùng bởi Security Account Manager (SAM) cho nó khi người dùng được tạo. Bởi vậy, RID là 1100 nếu ở đó có 100 người dùng.Phương pháp tấn công :
- Việc cho những người dùng nặc danh đăng nhập vào hệ thống, người dùng có thể thu thập nhiều thông tin về người dùng & tài khoản trên PDCs và một vài Server khác. GetAcct hiển thị những thông tin thu thập được bởi người dùng nặc danh đăng nhập vào hệ thống và hiển thị những thông tin sau :
• Liệt kê những IDs người dùng
• Tên tài khoản và tên đầy đủ
• Thời hạn mật khẩu
• Người dùng là thành viên của nhóm nào
• Loại tài khoản
• Tài khoản không được kích hoạt hoặc bị khóa
• Luật password
• Thời gian lần cuối đăng nhập – số lần đăng nhập
• Đếm những password xấu.
• Quota
• Tên tài khoản và tên đầy đủ
• Thời hạn mật khẩu
• Người dùng là thành viên của nhóm nào
• Loại tài khoản
• Tài khoản không được kích hoạt hoặc bị khóa
• Luật password
• Thời gian lần cuối đăng nhập – số lần đăng nhập
• Đếm những password xấu.
• Quota
X. LIỆT KÊ ACTIVE DIRECTORY
- Tất cả những người dùng & nhóm hiện hữu có thể liệt kê với một câu hỏi LDAP đơn giản.
- Chỉ có những yêu cầu thực hiện sự liệt kê này được tạo một chứng nhận phiên làm việc thông qua LDAP.
- Kết nối tới một vài Server sử dụng ldp.exe trên cổng 389.
- Chứng nhận chính mình sử dụng tài khoản Guest chính trên một vài Server.
- Tất cả những người dùng & được xây dựng trong nhóm có thể được liệt kê.
- Quy tắc thay đổi cơ bản nhất được giới thiệu ở Windows 2000 là một phần của Lightweight Directory Access Protocol (LDAP) – giao thức truy cập thư mục ít quan trọng – nền dịch vụ thư mục mà Microsoft gọi Active Directory (AD).
Khái niệm :
- AD gồm nhiều Registry thông thường, không kể những thư mục tồn tại trên mạng và mạng của Windows phụ thuộc vào những thư mục hoạt động tốt. Nguyên nhân cho sự liên quan là nó được mặc định, những người dùng được chứng nhận có thể xem mọi thứ bên trong thư mục mà họ không có khả năng xem được môi trường bảo mật. Cho ví dụ, người dùng có thể xem được cấu hình Domain (DC=Domain, DC=Com), giản đồ (CN=Schema, CN=Configuration, DC=Domain, DC=Com), tên cấu hình (CN=Configuration, DC=Domain, DC=Com) v.v … giản đồ là một phần của thư mục mà được định nghĩa là những thứ có thể lưu trữ trong thư mục.
- AD được thiết kế để chứa đựng những cái hợp nhất, đại diện cho những cái hợp lý của tất cả các đối tượng có liên quan tới tổ chức các bộ phận. Máy trạm LDAP đơn giản trong Windows 2000 được gọi là Active Directory Administration Tool (ldp.exe) mà kết nối tới SD Server và duyệt qua những nội dung trong thư mục.
Cảnh báo :
- Một điểm đơn giản ldp tại Windows 2000 Domain Controller sẽ liệt kê tất cả những người dùng & nhóm hiện hành với một câu hỏi LDAP đơn giản.Phương pháp tấn công :
- Nó kết nối trên cổng 389 TCP. Người tấn công có thể tìm kiếm ldp.exe để sử dụng cho việc tạo một chứng nhận với máy đích sử dụng một tài khoản người dùng được biết trong Domain hoặc xây dựng một tài khoản hoặc Null Session. Nó cho anh ta thời cơ để liệt kê tất cả những người dùng trong Domain và phát hiện ra những vùng dễ bị tấn công. Nó thực sự nguy hiểm khi cấu hình mặc định sử dụng chứng nhận dạng văn bản (không mã hóa) không được thay đổi. Những việc khác được cấu hình mặc định bao gồm tên X.500, tên DNS, địa chỉ IP trong, thời gian hệ thống v.v …- Chúng ta hãy nhìn phương pháp tấn công :
- Người tấn công chạy chương trình ldp.exe. Anh ấy có thể viết những tập lệnh và chạy nó trên máy đích. Anh ấy kết nối tới Server đích và kiểm tra rằng những cổng đã cấu hình được thiết lập tới cổng 389.
- Trên menu Connection, anh ta có thể chọn tới Kết nối (connect) (anh ta có thể truy cập tới tài khoản Guest). Ơ đó anh ta phân loại tên người dùng, mật khẩu, và tên Domain (trong định dạng DNS) trong những phần thích hợp. Nếu việc kết nối thành công, anh ta có thể nhận được tin nhắn chứng thực. Ngay bây giờ anh ta có thể sử dụng “Search” trên menu trình duyệt để thu thập thông tin.
- Anh ấy có thể tìm kiếm những thông tin như là : người dùng, máy tính, liên hệ, nhóm, tên ổ đĩa & máy in. Mặt khác, anh ta có thể chọn lựa những trang Web, subnet, những đường liên kết (links) đến các trang khác & các cấu trúc khác … Cái mà anh ta sẽ quan tâm là User Profile Path & Logon Script Path của người dùng.
- Một ví dụ được xuất ra ở bên dưới : - Trên menu Connection, anh ta có thể chọn tới Kết nối (connect) (anh ta có thể truy cập tới tài khoản Guest). Ơ đó anh ta phân loại tên người dùng, mật khẩu, và tên Domain (trong định dạng DNS) trong những phần thích hợp. Nếu việc kết nối thành công, anh ta có thể nhận được tin nhắn chứng thực. Ngay bây giờ anh ta có thể sử dụng “Search” trên menu trình duyệt để thu thập thông tin.
- Anh ấy có thể tìm kiếm những thông tin như là : người dùng, máy tính, liên hệ, nhóm, tên ổ đĩa & máy in. Mặt khác, anh ta có thể chọn lựa những trang Web, subnet, những đường liên kết (links) đến các trang khác & các cấu trúc khác … Cái mà anh ta sẽ quan tâm là User Profile Path & Logon Script Path của người dùng.
>> Dn: CN=user1,CN=Users,DC=targetdomain,DC=com
> profilePath: \\w2k-dc-01\profiles\user1;
> scriptPath: users.vbs;
>> Dn: CN=user2,CN=Users,DC=targetdomain,DC=com
> profilePath: \\w2k-dc-01\profiles\user2;
> scriptPath: users.vbs;
> profilePath: \\w2k-dc-01\profiles\user1;
> scriptPath: users.vbs;
>> Dn: CN=user2,CN=Users,DC=targetdomain,DC=com
> profilePath: \\w2k-dc-01\profiles\user2;
> scriptPath: users.vbs;
(còn tiếp)
Comment