Verfügbare Informationen zu "NT Angriffsmethoden"
Qualität des Beitrags: Beteiligte Poster: 4dministr4t0r Forum: Newcomer - Board Forenbeschreibung: Forum für alle "Newcomer" (Alter, Geschlecht etc. egal), die sich im Bereich Systemsicherheit weiterbilden wollen. Chatten könnt Ihr am Ende der Seite! aus dem Unterforum: Tutorials (Info-Texte) Antworten: 1 Forum gestartet am: Samstag 23.12.2006 Sprache: deutsch Link zum Originaltopic: NT Angriffsmethoden Letzte Antwort: vor 17 Jahren, 3 Monaten, 29 Tagen, 16 Stunden, 43 Minuten
Alle Beiträge und Antworten zu "NT Angriffsmethoden"
Re: NT Angriffsmethoden
4dministr4t0r - 25.12.2006, 22:46NT Angriffsmethoden
##############################################################################################
Alle hier geposteten Tutorials sind im www zu finden und nicht von mir. Sie werden unverändert hier dargestellt.
Wir weisen ausdrücklich darauf hin, daß wir mit dieser Ansammlung nicht zu Straftaten aufrufen oder animieren wollen!!!
Alle Tutorials dienen ausschließlich zu Informationszwecken.
Solltest Du ein von Dir erstelltes Tutorial hier finden und mit der Veröffentlichung bei Hackressort nicht einverstanden sein, schick mir eine PM oder Email.
Das Tutorial wird dann entfernt.
Hackressort-Team
##############################################################################################
Windows NT Angriffsmethoden:
°°°°°°°°°°°°°°°°°°°°°°°°°°°°
================================
|| von Ernesto Tequila y Mota ||
|| ernesto_tequila@2die4.com ||
|| www.AnthraxLP.de ||
================================
Hi Folks,
willkommen zu meinem Text über Microsofts Windows NT. Obgleich Windows NT, meiner Meinung nach,
so ziemlich das einzige ist, was bei Microsoft mal Hand und Fuss hat, hat es doch immernoch eine
ganz Menge Schwachstellen. Dabei müssen wir jedoch oft auf eine gewisse Dummheit des
Administrators hoffen, da NT richtig konfiguriert, genauso sicher ist wie jedes UNIX-System.
Microsoft hat bei der Entwicklung wieder einmal ein paar (Alte?) Fehler gemacht, die das System
unsicherer machen, als es sein könnte. Da wäre einerseits die Abwärtskompatibilität zu älteren
Client Versionen, oder z.b. die Benutzerfreundlichkeit (alter M$ Fehler). Denn die Benutzung der
alten NetBIOS-, CIFS-, und SMB-Netzwerkprotokolle ist sicherlich eine Schwachstelle im System,
und auch die Verschlüsselung der Benutzerkennwörter nach dem alten LanManager-Algorithmus ist
nicht sehr schlau, aber uns kann das im Prinzip ja egal sein, oder? Die Benutzerfreundlichkeit
verleitet oft unerfahrene Systemverwalter dazu sich bei NT mal als Admin zu versuchen, doch auch
erfahrene Admins wählen unter NT selten starke Passwörter (dazu später mehr). Daher ist es unter
NT immer mal möglich in einem Netzwerk mindestens einen Rechner zu finden, bei dem das Admin-Konto
nicht mit einem Passwort versehen ist.
Deshalb ist es natürlich erstmal nötig festzustellen mit was für einem System wir uns gerade befassen.
Dazu benutzt ihr ja wahrscheinlich einen Portscan. Wenn dabei z.b. Port: 139, 135 offen sind handelt
es sich sehr wahrscheinlich um ein NT System, ist nur Port 139 offen ist es wohl eine Win 9X
Maschine, aber wer wird sich schon mit Win 9X befassen?? Wenn ihr Probleme, oder keine Ahnung von
Portscanning, Footprinting etc.. habt schreibt mir einfach eine Mail, wenn da genug Bedarf ist schreibe ich dazu auch noch einen Text. Der "nmap" Scanner für Linux bietet die Option "-O" mit der
ein OperationSystemGuess ausgeführt wird, d.h. der Scanner versucht aus den Daten die er bekommt das
Betreibssystem zu bestimmen. Aber denkt immer daran, dass schon das abscannen eines Rechners oder
Netzwerkes rechtlich verboten ist. Also versucht da mal ein paar Sachen aus, nmap bietet da relativ gut
Möglichkeiten um seine Aktivitäten zu vertuschen, wobei 99% der Admins sowieso zu faul sind einem
dämlichen Portscann zu verfolgen, aber immerhin sind sie gewarnt, das vielleicht ein Angriff bevorsteht.
Ein gutes Tool, das euch den Aufbau eines Netzwerkes zeigt sei an dieser Stelle noch genannt. "Cheops"
(www.marko.net/cheops) ist ein Nezuwerkerkennungstool, mit einem Grafischen Interface. Es beinhaltet
Portscanning, traceroute, ping, OS-Erkennung in einem. Also wem es zu umständlich ist alles einzeln zu
machen, oder wer lieber schöne bunte Bilder als ASCI mag sollte sich das mal anschauen. Ich bin einfach
ASCI-Konsolen-Fan, tut mir leid ;)
Jetzt wollen wir mal anfangen euch die verschiedenen Angriffsmethoden etwas näher zu bringen. Ich werde
mit den etwas einfacheren Methoden anfangen, und dann zu schwereren übergehen.
Es ist bei NT noch zu beachten, dass der Remote-User solange nichts wert ist, solange er keine
Administratorrechte besitzt, da man unter NT nur als Admin Befehle über die Remoteshell ausführen kann!
Kennwörter raten:
^^^^^^^^^^^^^^^^^
Um unter NT, oder eigentlich bei jedem System, Passwörter raten zu können benötigt man ersteinmal eine
Liste mit funktionierenden Benutzerkonten. Es gibt dann die Methode des manuellen Passwörter ratens, oder
des automatischen, oder per Lauschangriff auf den Anmeldedialog von NT.
Wie bekommt man gültige Benutzerkonten:
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
Es gibt eine ganze Menge an Methoden um an gültige Konten zu kommen, ich möchte mal ein paar davon erklären.
Das NTRK:
°°°°°°°°°
Das NT Ressource Kit, oder auch NT Hacking Kit genannt, beinhaltet eine erstaunliche Sammlung an Tools die
man, ob man es fassen kann oder nicht, gegen NT verwenden kann. Was immer sich M$ dabei gedacht haben mag,
das ist doch wirklich seltsam, aber wir sehen mal wieder, dass NT ZU benutzerfreundlich ist. Das NTRK kann
man für ca $200 im Laden kaufen, da es bei NT nicht standardmässig dabei ist. Aber man findet es auch manchmal
auf Warezseiten.
Ein anderer Befehl ohne NTRK ist
nbtstat -A 123.123.123.123
Wobei 123.123.123.123 natürlich die IP eures NT Rechners ist. Dieser Befehl liest die NetBIOS Namenstabelle
aus, und eine erfolgreiche Ausgabe sähe dann so aus:
NetBIOS Remote Machine Name Table
Name TYPE Status
FRITZ <20> Registered
FRITZ <00> Registered
INTERNET <00> Registered
FRITZ <03> Registered
INTERNET <1E> Registered
ADMINISTRATOR <03> Registered
INTERNET <1D> Registered
..__MSBROWSE__. <01> Registered
Mac Address = 00-C0-4F-86-80-05
Wir erfahren, dass der Systemname FRITZ ist, die Domäne in der sich das System befindet heisst INTERNET und
wir erfahren den Namen aller angemeldeten Benutzer ADMINISTRATOR
Bei dem NTRK sind einige Tools dabei, die noch mehr Informationen geben als nbtstat, und diese sind von einer
Null-Sitzung unabhängig. Beispielsweise usrstat, showgrps, local und global. Aber am besten ist DumpACL, denn
es liefert die Benutzer, Gruppen, NT-Systemrichtlinien und Benutzerprivilegien.
DumpACL wird von der Konsole aus gestartet und könnte z.b. so aussehen:
c:\>dumpacl /computer=\\192.168.202.33 /rpt=useronly /saveas=tsv /outfile=c:\temp\users.txt
c:\>cat c:\temp\users.txt
24/12/00 24.00 PM - Somarsoft DumpACL - \\192.168.202.33
UserName FullName Comment
pvogel Peter Vogel blabla
kknauss Klaus Knauss blabla
Guest Guest Account
max Max Frisch blabla
Ein weiteres sehr taugliches Tool ist das Packet sid2user und user2sid (www.chem.msu.su:8080/~rudnyi/NT/sid.txt)
Diese beiden Tools werden aus der Befehlszeile gestartet und lesen Benutzerkonten aus der NT-SIDs aus
(SID = Security Identifier). Zuerst wird user2sid verwendet um die SID einer Domäne auszulesen:
c:\>user2sid \\192.168.202.33 "domain users"
Sie-1-5-21-8915387-1645822062-1819828000-513
Number of subauthorities is 5
Domain is WINDOWSNT
Length of SID in memory is 28 Bytes
Type of SID ist SidTypeGroup
Die SID ist die Zahlenkombination, die mit S beginnt, und durch Bindestriche getrennt ist. Die letzte Zahl nach
einem Bindestrich ist die RID (Relative Identifier), der für standardmässige Benutzer wie Administrator oder Guest
benutzt wird. Wobei der Admin immer 500 und der Guest immer 501 ist. Jetzt kann man sid2user benutzen und die SID
mit der RID von Administrator benutzen und das sieht dann ungefähr so aus:
c:\>sid2user \\192.168.202.33 5 21 8915387 1645822062 1819828000 500
Name is max
Domain is WINDOWSNT
Type of SID is SidTypeUser
So und schon haben wir den Namen des Administrators S-1 und die Bindestriche wurden weggelassen. Dem ersten
erstellten User wird automatisch die RID 1000 geben, dem zweiten erstellten USer die 1001 etc... Diese RIDs werden
jeweils nur einmal verwendet, so ist es also möglich auch ältere Konten aufzuspüren. Alte Konten sind interessant
weil sie oft noch existieren aber nichtmehr benutzt oder kontrolliert werden. Ausserdem funktioniert sid2suer/
user2sid auch wenn RestrictedAnonymous aktiviert ist, hauptsache port 139 ist aktiv!
Oft kann das SNMP (Simple Network Managment Protocol) zur Auswertung von Benutzerinformationen benutzt werden.
Da Admins dieses Protokoll irgendwie gerne übersehen, gut für uns. Wir benutzen dazu das SNMP-Browser-Tool "snmputil"
aus dem NTRK. Eine Ausgabe könnte so aussehen:
C:\>snmputil walk 192.168.202.33 public .1.3.6.1.4.1.77.1.2.25
Variable = .iso.org.dot.internet.private.enterprises.lanmanager.lanmgr2.server.svUSerTable,svUSerEntry.svUSerName.5.71.117.101.115.116
Value = .iso.org.dot.internet.private.enterprises.lanmanager.lanmgr2.server.svUSerTabel.svUserEntry.svUserName.13
65.100.109.105.110.105.115.116.114...97.116.111.114
Value = OCTET STRING - Administrator
End of MIB subtree
Die Zahl .1.3.6.1.4.1.77.1.2.25 ist der sogenannt OID (Object Identifier) sie bezeichnet eine bestimmte Branche
im MIB (Managment Information Base) von Microsoft gemäss SNMP Protokoll. Wenn man die Zahl ändert um weiter nach
oben im Baum zu wandern erhält man eine grössere Informationsmenge, statt der Zahl kann man aber äquivalent auch
Zeichen verwenden, z.b.:
SNMP MIB (anhängen an .iso.org.dod.internet.private.enterprises.lanmanager.lanmgr2)
Erkannte Dienste:
.server.svSvcTablesvSvcEntry.svSvcName => laufende Dienste
.server.svSvcTable.svShareEntry.svShareName => gemeinsame Dienste (Shares)
.server.svSvcTable.svShareEntry.svSharePath => Kommentare zu Shares
.server.svSvcTable.svUSerEntry.svUserName => Benutzernamen
.domain.domPrimaryDomain => Domänennamen
Wem das zu viel Tipparbeit ist, der kann den SNMP-Browser von www.solarwinds.net herunterladen, und sich das ganze
mit einer Grafischen Oberflächen anschauen. Ansonsten funzt das andere aber auch!
Backdoors/Trojaner:
^°^°^°^°^°^°^°^°^°^
Um einen Trojaner zu installieren, um über ihn an die gecachten Benutzer/Passwörter zu kommen ist natürlich auch
möglich. Ganz einfach per E-Mail, oder was auch immer. Ein etwas eleganterer Weg ist die unterbringung per NetBIOS.
Über dieses Thema habe ich schon einen Tutor geschrieben, den copy/paste ich jetzt einfach mal (ist ja nur von mir
selbst geklaut):
ZITAT ANFANG:
"Ihr habt da ein Netzwerk in das ihr gerne rein wollt, aber ihr habt einfach kein Glück. Dann versucht es mal ein wenig
hinten herum. Über andere Rechner, die an euer Netz gehängt wurden. Als erstes solltet ihr mal eine whois Suche über euer
Unternehmen starten. Unter Linux geht das so:
winnie@nethacker:> whois dummy
oder: whois dummy.de
Dann solltet ihr ein paar Infos über den Administrator den Sitz der Firmenleitung etc.. bekommen. Und wenn ihr Glück habt
noch den/die dns-server, und den IP Bereich den das Netzwerk unseres Unternehmens belegt.
Den dns server könnten wir für dns abfragen nutzen, aber das ist ein anderes Thema, wir wollen jetzt Rechner in dem
Netzwerk suchen, die netBIOS ressourcen zur "freien" verfügung haben.
Dazu suchen wir das gesammte netzwerk (angenommen: 183.254.20.1 -> 183.254.23.23) mit einem Pingsuchlauf ab.
Das heisst, wir testen welches dieser Systeme überhaupt aktiv ist. Also testen wir mal ob Port 80 offen ist.
Dazu benutzen wir nmap auch wieder unter Linux:
nmap -sP -PT80 183.254.20.1-254
nmap -sP -PT80 183.254.21.1-254
nmap -sP -PT80 183.254.22.1-154
nmap -sP -PT80 183.254.23.1-23
Wir scannen hier jeden Bereich einzeln, weil ich die Syntax nicht kenne um alles auf einmal zu scannen, aber egal.
Dann erhaltet ihr eine Liste mit hosts die geantwortet haben, am besten lasst ihr euch die ausgabe in ne datei
speicher, hängt einfach > /tmp/nmap_out
an die befehlszeile an.
Jetzt wechseln wir mal schnell wieder zu Windows, und starten den Legion 2.1 (gibts bei www.nethacker.de) und
suchen das gesamte netzwerk nach netbios ressourcen ab, auf die wir zugreifen können. Natürlich nehmen wir nur
hosts, die vorher beim Ping Suchlauf auch geantwortet haben. Wenn wir jetzt nen Host finden zeigt Legion das an,
ihr braucht nur die IP zu nehmen und in der Form \\183.254.20.180 in euren Browser einzugeben.
Jetzt kann es einige Zeit gehen, und ihr solltet alle offenen Verzeichnisse sehen. Schaut euch jetzt mal nach .PWL files, oder
sonstigen lustigen Sachen um, die euch Zugang zum gesamten Netzwerk, das ihr ja nicht vergessen sollen *fg*, verschaffen könnten."
ZITAT ENDE
So, an dieser Stelle könntet ihr jetzt eine Datei herunterladen (rechtsklick kopieren) und diese dann mit einem Trojaner-Server
versehen. Dann kopiert ihr die File zurück auf den Server, und zwingt ihn dazu die File zu öffnen. (Meistens kann man bei
shared ressources txt files etc.. anzeigen, aber bei exe Dateien sieht das anders aus (vielleicht mache ich was falsch *g*).
Deshalb müsst ihr das System halt zwingen die File zu öffnen die den Trojaner beinhaltet. Dazu steckt ihr den Trojaner am
besten in eine File die beim Windowsstart geöffnet wird. Wie ihr den PC jetzt zum rebooten bringt, und welche Dateien da
in Frage kämen das überlasse ich mal euch)
Auswerten von NT -Bannern und Anwendungen:
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
Die bewährteste Methode zum Auswerten von Banner- und Anwendungsinformationen ist "telnet". Dazu muss man "telnet" öffnen
und eine Verbindung zu einem bestimmten offenen Port am Zielsystem herstellen, dann muss man manchmal die Eingabetaste ein
paar mal betätigen, und dann sollte man eine Meldung erhalten, die ungefähr so aussieht:
telnet www.dummy.org 80 (<- In diesem Beispiel wurde Port 80 gewählt)
HTTP/1.0 400 Bad Request
Server: Netscape-Commerce/1.12
Your Browser sent a non-HTTP compliant message
Diese Methode funktioniert mit vielen gängigen Anwendungen, die auf bestimmten Port Addressen liegen, versuchen sollte man
http (80), ftp (21) SMTP (25), wobei ftp auf NT Maschinen besonders interessant ist.
Für eine genauere Information benutzt man am besten wieder das "Schweizer Taschenmesser des TCP/IP" , auch netcat genannt.
Erhältlich ist es unter www.l0pht.com/~weld/netcat/index.html
Mit netcat kann man wirklich eine ganze Menge anstellen, wie zum beispiel eine Verbindung zu einem TCP/IP Port herstellen
(na toll werden einige sagen, aber wartet ab..), dazu muss man folgendes angeben:
c:\>nc -v www.dummy.org 80
www.dummy.org [192.168.202.33] 80 (7) open
Wenn man jetzt eine Eingabe macht sollte eine Reaktion von der Gegenseite kommen, etwas in der Art:
HTTP/1.1 400 Bad Request
Server: Microsoft IIS/4.0
Date: Sat. 03 Mar 2000 04.23 GMT
Content-Type: text/html
Content-Length: 87
<html><head><title>Error</title><head><body>The parameter is incorrect, </body></html>
Aus diesem Eintrag kann ein Angreifer den Hersteller und die Version des Webservers bestimmen, was einen doch mal ein
gutes Stück weiterbringt.
Eins will ich noch ansprechen, und das ist der NetBIOS Scan. Bei Windows NT ist die erfolgswagrscheinlichkeit sehr hoch.
Wenn ihr das gesammte netzwerk habt (z.b. whois network.de) solltet ihr das gesammt Ding nach shared NetBIOS Ressourcen
abscannen. Dazu nehmt ihr am besten Legion 2.1 (www.nethacker.de), und scannt gleich das ganze Netzwerk ab
z.b. 192.253.19.0 -> 192.253.23.127 (oder wie euer Netzwerk auch immer aussieht). Vorher solltet ihr vielleciht erstmal
noch einen Pingsuchlauf machen, damit ihr wisst welche hosts überhaupt reagieren. Ihr könnt dazu das "nmap" Tool verwenden
(linux only), ich glaube die Sysntax ist "nmap -sP -PT80 <start_ip> <end_ip>" wenn das nicht 100% richtig ist müsstet ihc
nochmal die man zu nmap lesen, oder die Hilfe reicht auch schon. Ihr könnt die Ausgabe von nmap auch in eine Datei umleiten,
und könnt dann Legion später nur diese Datei scannen lassen, so werden nur hosts nach NetBIOS gescannt, die auch wirklich aktiv sind.
Bsp: Ich hatte ein Netzwerk mit jeder Menge Rechner, alles WinNT und Win 9X Machschinen. Dann habe cih die komplette
IP-Range nach geshareten NetBIOS-Ressourcen abgesucht und eine gefunden:
192.253.20.180. Per IE habe ich mich dann zu dem Rechner connected und habe mir ein paar PWL files gezogen, war eigentlich
nicht schlecht. Jetzt kann ich immerhin auf ein System zugreifen dessen Rechner mit dem unternehmen zu dem ich eigentlich wollte,
verbunden ist.
Wie man PWL Dateien anschaut brauche ich wohl nicht zu erklären oder? Klickt mal mit der rechten Maustaste auf die PWL Datei
und geht zu Eigenschaften -> PWL Info:
PWL File: c:\eigene dateien\SERVER.PWL
Type of PWL: OSR2/ServicePack1
Number of c grached REssources: 1
Number of total password changes: 2
Okay wie wir sehen sollten wir aus dieser PWL ein Passwort bekommen, und genau so war es auch ;)
Kennwörter raten:
°°°°°°°°°°°°°°°°°
Da wir jetzt hoffentlich eine Liste mit gültigen Benutzerkonten haben können wir zum raten der PAsswörter übergehen,
der einfachsten aber sehr effektiven Methode des NT "hackens". Mit einer Liste an gültigen Benutzern geht das Raten der
Passwörter fast immer, ist nur eine Frage der Zeit *g*. Ich habe z.b. den Benutzernamen durch "social engineering"
herausbekommen, da sollte dann einfach jeder mal seinen Grips ein wenig anstrengen, dann findet man da immer ne Lösung.
Dummer USer sind Hackers best friend.
Manuelles Kennwörter raten:
°°°°°°°°°°°°°°°°°°°°°°°°°°°
Von dieser Methode ist im Prinzip her abzuraten, da es ziemlich lange dauern kann, aber es lohnt sich kombinationen wie
bn/vorname, bn/bn, bn/nachname, bn/firma, etc.. auszuprobieren, da USer zu einfach Kennwörtern neigen.
Wenn wir jetzt den bn mmeier hätten so könnten wir mmeier/meier, mmeier/martin, etc.. ausprobieren, lasst dabei eurer
Phantasie ein wenig, freien Lauf und ihr werdet was entdecken.
Automatisches Kennwörter raten:
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
Über das automatsiche raten brauche ich ja eigentlich nicht viel zu sagen, da jeder weiss wie das geht. Einfach ein Tool
nehmen (UNSECURE, Brutus,..) und einen Benutzernamen eingeben, dann BruteForce wählen und laufen lassen. Allerdings dauert
diese Methode bei langen Passwörtern, oder Passwörtern mit Sonderzeichen extrem lange. Am besten ist es imernoch Null-Kennwörter
zu finden. Dazu eignen sich Tools wie Mnemonix www.infowar.co.uk/mnemonix . Es scannt Internet und NetBIOS und listet
Benutzerkonten mit Null-Kennwort ganz unten auf.
Andere Angriffsmethoden:
°°°°°°°°°°°°°°°°°°°°°°°°
Jetzt nehmen wir mal den Fall, wir hätten keine ungeschützten Konten, bzw. einfache Passwörter gefunden. Dann können wir
immernoch einen Pufferüberlauf ausprobieren. Allerdings sind unsere Mittel da etwas eingeschränkt, verglichen mit den
Möglichkeiten bei UNIX. Deshalb will ich auch nur kurz auf ein paar BufferOVerRuns eingehen, vielleicht schreibe ich mal
nen Tutor nur über BufferOverRuns, es gibt aber schon nen guten auf unserer Homepage.
Netmeeting 2.x von cDc http://www.dultdeadcow.com/cDc_files/cDC-351 War nur ein Test der Bufferoverrun lädt nur
ein bild aus dem Internet
NT RAS von Mnemonix http://www.infowar.co.uk/mnemonix/ntbufferoverruns.htm Öffnet nen DOS Prompt
mit Systemrechten
Winhlp32 von Mnemonix <siehe oben> Führt eine Stapelverarbeitungsdatei mit Systemrechten aus
IISHACK von Eeye http://www.eeye.com Führt beliebige Anweisungen
an einem NT IIS Webserver aus
Denial of Service:
°°°°°°°°°°°°°°°°°°
Ich persönlich halte nicht viel von DoS Attacken, da sie meist nur aus Zerstörunswut, oder wasweissichwasfür Schwachsinnsgründen,
ausgeführt. Der einzig sinnvolle Grund für eine DoS der mir im Moment einfällt wäre, den Computer zum reeboten zu bewegen,
damit er, von uns eigeschleusten, Code ausführen muss. Z.b. wenn ihr ein Programm ins Startup geschrieben habt, dann startet
ihr den PC per DoS neu, und der Code wird ausgeführt. Aber auch zu diesem Thema wird es vielleicht noch nen Text geben, sagt
mir ob es euch interessiert oder nicht, und dann schaut immer mal wieder bei nethacker rein ;)
Auf der Suche nach dem heiligen Admin:
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
ICh möchte jetzt mal einen kleinen Sprung machen, zu dem Zeitpunkt an dem wir, morgens um halb 5, vor unserem PC hocken und
sehen, dass wir ein Benutzerkonto per Passwortraten o.ä. geknackt haben. Leider hatten wir nicht das Glück ein Admin oder
Systemkonto zu erwischen, sondern nur einen 0815-User. Aber wir wollen ja mal nicht so schnell aufgeben, sondern suchen mal
nach Löchern in NT die uns Adminrechte zuteil werden lassen. Leider beschränken sich einige dieser Methoden auf NT Systeme
die erst das ServicePack 3 installiert haben (ich glaube das neuste ist 6 oder 7). Aber einen Versuch isses wert.
Informationen sammeln:
^^^^^^^^^^^^^^^^^^^^^^
Wir können jetzt wieder beginnen und uns auf die Suche nach Informationen machen, die uns mehr interessieren. Mit dem NTRK
Tool "srvinfo" kann man Festplatten nach Freigaben durchsuchen. Dabei solltet ihr mal \system32 oder \repair
(wegen der Backups der SAM Files) durchsuchen, oder was euch sonst noch so in den Kopf kommt. Zu den SAM Files komm ich später noch...
getadmin:
^^^^^^^^^
getadmin von Konstantin Sobolev trägt einen Benutzer in die Admingruppe ein, ein wirklich tolles Teil. getadmin übernimmt
den "winlogon" Prozess und trägt den Benutzer, dadurch, dass er einen Flag verändert, in die Admingruppe ein. Der Prozess
"winlogon" läuft unter NT mit Systemrechten, und ist deshlab befugt User zu adden etc.. www.ntsecurity.com/security/getadmin.htm
oder bei nethacker.de Leider wurde dieser Bug mit SP 3 behoben.
sechole:
^^^^^^^^
Das schwirige an sechole ist, dass man ein IIS-Verzeichniss braucht, in dem man Schreibzugriff UND das Recht Programme auszuführen
besitzt. Unter http://www.iss.net/xforce/alerts/advise6.html könnte ihr potentielle Ziele nachschlagen!
Mal angenommen das Verzeichniss mit eben diesen Rechten hiesse C:\winnie
/ WINNIE /msadc
/ WINNIE/News
/ WINNIE/Mail
/ WINNIE/cgi-bin
/ WINNIE/SCRIPTS
/ WINNIE/ISSADMPWD
/ WINNIE/_vti_bin
/ WINNIE/_vti_bin/_vti_adm
/ WINNIE/_vti_bin/_vti_aut
Diese Dateien _vti_bin, etc.. gehören zum Frontpage Programm (sieht man doch gleich an der dämlichen Namensgebung,
dass das M$ ist *g*). Jetzt muss der Angreifer die sechole Dateien und die DLLs, den Befehlszeileninterpreter cmd.exe und das
Programm ntuser (www.pedestalsoftware.com)
einspielen. sechole wird jetzt über den Browser ausgeführt, es wir das Programm ntuser gestartet um einen neuen Benutzer zur
Admingruppe zu adden.
http://192.183.24.135/scripts/cmd.exe?/c%20c:\winnie\scripts\ntuser.exe$20-s%20server_name%20add%20winnie%20-password%20nethacker
Erklärung: %20 entspricht einem Leerzeichen!!
=> Es wird der Befehl "cmd /c ntuser -s <server_name> add winnie -password nethacker" ausgehführt, und ein neuer Benutzer winnie
ist als Admin eingetragen!
Fertig sind wir..
Leider git es auch für sechole einen patch von Microsoft, aber wie gesagt, bei NT sind wir ein wenig auf die Dummheit der Admins,
oder der Benutzer angewiesen.
Registry Zugriff:
^^^^^^^^^^^^^^^^^
Leider sind unter NT, ausser den Admins, nur wenig Benutzer vorhanden, die auf die gesammte Registry zugreifen können
(Ausnahme sind Server-OPs). Nichtsdestotrotz habe ich hier mal ein paar interessante REgistry Schlüssel aufgelistet die man
sich unbedingt mal ansehen sollte, wenn man dann auf die Registry zugreifen kann.
\HKLM\Software\Microsoft\CurrentVersion\Run\ Es können alle Werte von Befehlen ausgeführt werden
\HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce Auch hier ist alles möglich
\HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx Wieder mal alles möglich
\HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\AeDebug Debugger
\HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon Userinit
Die SAM File:
°°°°°°°°°°°°°
Das Lieblingsfrass eines jeden Angreifers sind ja wohl Passwortdateien, egal unter welchem OS, wenn man eine PAsswortdatei in
den Händen hält ist es nur eine Frage der Crackingmethode, WANN man als Admin im System ist.
Unter NT heissen die Passwordfiles SAM. NT specihert sie unter \system32\config und die Dateien heissen "SAM" (jaaa, Microsoft
ist ja soooo einfallsreich). Allerdings ist das Verzeichniss nur für Admins zerreichbar, aber wir haben da noch eine Hintertüre.
Wenn der Admin mal rdisk -s ausgeführt hat hat er von den SAM Files ein Backup gemacht, diese Files liegen unter \repair
Verzeichniss und heissen Sam._ ! Ladet sie euch runter und importiert sie dann in den neusten L0pht Crack (der expandiert die
kompressierten Files dann automatisch *fg*) und crackt die File.
Wenn ihr lokalen Zugriff auf den NT Rechner habt nehmt euch eine DOS-Bootdiskette. Wenn die NT Partition mit NTFS (NT File System)
partitioniert worden ist holt euch den NTFS Treiber (NTFSDOS) unter www.sysinternals.com, damit könnt ihr jede NT Partition von DOS
aus angucken, und jetzt zieht euch die SAM Files!
Mit Adminrechten kann man die SAM auch direkt au der Kennwortsequenz
auslesen, aber wenn wir eh admin sind können wir sie auch einfach
aus \system32\config kopieren. Wer wissen will wie man die Kennwörter
ausliest soll mir mailen!
Soo.. wenn wir jetzt noch kein Admin sind tut es mir leid, aber ALLES
werde ich auch nicht erzählen, und ausserdem möchte ich es nicht
so erklären, dass es jedes Kind machen kann (deshlab habe ich auch
keine DoS angesprochen). Ich hoffe ihr hattet bei dem Tutor ne Menge
Spass, und ich konnte euch ein wenig mit NT helfen. Bei Anregungen und Kritik mailt mir bitte,
denn nur so kann ich die Texte vertändlicher machen.
Wenn sie diesen Text auf ihre Internetseite stellen möchten schicken
sie mir vorher eine Mail!
Ernesto Tequila y Mota
(c) Anthrax Leprosy Pi
Man muss schon einiges wissen, um festzustellen dass man nichts weiss
Mit folgendem Code, können Sie den Beitrag ganz bequem auf ihrer Homepage verlinken
Weitere Beiträge aus dem Forum Newcomer - Board
Hallo an die Runde - gepostet von sebuka am Mittwoch 21.03.2007
Hackers - Paradise - gepostet von 4dministr4t0r am Mittwoch 10.01.2007
Ähnliche Beiträge wie "NT Angriffsmethoden"