Windows 版 (精华区)

发信人: seaman (翩翩少年), 信区: OS
标  题: WINDOWS NT WARDOC中文译本-(8）
发信站: 紫 丁 香 (Tue Aug 17 09:04:00 1999), 转信

    正如您所看到的，该服务器上的共享列表在建立了空IPC会话后才可用。这时，您就
会意识到这个IPC连接有多么的危险，但我们现在已经掌握的IPC方法实际上是很基本的方
法。与IPC共享一起出现的可能性还有待进一步研究。
    WindowsNT 4.0资源工具的发布使得象管理员和网络入侵者这样的人能够用到新的工
具。下面对一些资源工具实用程序进行描述。Rhino9小组运用这些实用程序与IPC$空会话
一起收集信息。当您阅读这些工具的描述以及它们所提供的信息时，请记住：所采用的空
会话不向远程网络提供任何真实的身份证明。
    UsrStat: 这个命令行实用程序显示特定域中各个用户的用户名、全名以及最后一次登
录的日期和时间。下面是根据远程网络通过一个空IPC会话采用这个工具进行的实际剪切和
粘贴：
C:\NTRESKIT>usrstat domain4
Users at \\STUDENT4
Administrator - - logon: Tue Nov 17 08:15:25 1998
Guest - - logon: Mon Nov 16 12:54:04 1998
IUSR_STUDENT4 - Internet Guest Account - logon: Mon Nov 16 15:19:26 1998
IWAM_STUDENT4 - Web Application Manager account - logon: Never
laurel - - logon: Never
megan - - logon: Never

    我们现在来探讨一下整个俘获过程是怎么样发生的，以便于加深读者的理解。在真正
的攻击发生前，把一个映射放到通过#PRE/#DOM标记映射Student4机器及其域活动状态的
lmhosts文件中（下面详述）。然后把表目预加载到NetBIOS高速缓存器中，同时建立一个
空IPC会话。正如您所看到的，这个命令是根据域名发出的。最后，该工具会向主域控制
器查询这个域。                                 

--
※ 来源:．紫 丁 香 bbs.hit.edu.cn．[FROM: vilab.hit.edu.cn]