Windows 版 (精华区)

发信人: seaman (翩翩少年), 信区: OS
标  题: WINDOWS NT WARDOC中文译本-(24)
发信站: 紫 丁 香 (Thu Aug 19 09:48:55 1999), 转信

其它的信息收集与渗透方法
==============================================================================
    （如同那些包括很多不同主题的安全相关文档一样，有些主题似乎有点不合时宜。这
一节将探讨一些确实不适合本文的不同方法。如有内容不完整之处，敬请原谅。）
    如果说Rhino9小组有一个投入大量时间来研究的产品，那就是WinGate。第一个有关
WinGate的问题是通过具有所有后续连接的WinGate进行“弹跳”的功能。这个小缺陷非常
容易使用。入侵者可以远程登录到WinGate端口并看到这样的提示符：
    WinGate>
    在该提示符下，您能发出一个独立的远程登录命令，或者利用WinGate的SOCK功能建  
立其它连接。当该软件产品的开发商急于发布其修复版本和公告栏时，下一个版本的发布
也出现了问题。
    在WinGate的默认安装中，WinGate机器是用记录服务配置的。记录服务监听WinGate
机器的8010端口。通过建立该端口的HTTP连接，入侵者就会得到两个信息：
    “Connection Cannot Be Established”
    或WinGate机器硬驱的列表。请记住，这是一个默认安装，可以通过更改默认安装配
置来修复。
    随着Exchange服务器成为越来越通用的邮件服务器包，其缺陷也开始出现。第一个暴
露出来的缺陷是Exchange结构中的口令高速缓存问题。下面是直接从原版招贴中引用的内
容：
    用提供有POP3服务的Exchange 5.0在您的NT域上新建一个用户xyz。把xyz的口令设置
为a1234。到目前为止一切都正常。现在把xyz的口令更改为b5678。您就会发现无论使用
这两个口令中的哪一个，POP3邮件客户机都能登录。现在再把口令改为另一个值，您会发
现POP3客户机（或直接远程登录到110端口）能够用这三个口令中的任何一个登录。结果
是这些口令都起作用。由于Exchange 5.0服务POP3连接符采用非散列机制对口令进行高速
缓存，因此，所有的口令都能起作用。这一特征既不影响用来接收那些采用不同身份认证
的邮件的Web页面新界面，也不影响NT登录。在非POP3登录信息中，口令不是高速缓存的
（除了NNTP和LDAP以外）。如您所看到的，高速缓存问题在特定环境中是一个非常严重的
问题。
    入侵者用来收集信息的另一个方法是基于目标邮件服务器的SMTP端口的。为了保证适
应SMTP并能与internet上的其它邮件实体完全交互，基于NT的SMTP邮件服务器要掌握验证
特征。通过建立与邮件服务器SMTP端口的远程登录会话，入侵者能够发出连同用户名一起 
的验证命令。如果验证特征被激活，服务器就能告诉入侵者它是否是有效的用户名。攻击
命令是：
    vrfy administrator （该命令会验证用户指定的管理员是否存在）
    在一些邮件系统上，首先要求入侵者完成HELO排序，不过这一步非常简单。显而易
见，这会导致入侵者收集到有效用户名列表，然后用于其它攻击。
结束语
==============================================================================
    本文的作者希望您通过阅读本文能够做到学有所用。另外，我们也想提醒读者的是，
我们希望本文始终能跟上目前业界的发展情况。我们计划在不久的将来发布本文的更新版
本，从而及时提供管理员和安全专业人士都能利用的最新信息。请将您的信息收集与远程
渗透方法寄至neonsurge@hotmail.com。一旦发布本文的新版本，我们会在NTBugTraq等列
表上发出通知。本文的主页在Rhino9 Web站点上（http://rhino9.ml.org）。
    本文的作者在近期内有另外三个文档准备发布。这三个文档都属于NT WarDoc系列，
分别是即将完成的服务拒绝、本地渗透方法以及一篇论述用来警惕其它论文主题的方法的
论文。我们衷心地希望能及时得到业界的反馈信息。                

--
※ 来源:．紫 丁 香 bbs.hit.edu.cn．[FROM: vilab.hit.edu.cn]