当前位置: 金桥电子资料网-电器维修行业资料门户网站 → 电脑相关网络安全 → 利用Win2K下的空会话(null session)入侵服务器
内容详细

利用Win2K下的空会话(null session)入侵服务器

作者:佚名  来源:本站整理  发布时间:2010-03-21 14:50:38

i、 introduction
ii、 about tcp port 445
iii、the null session
iv、 break through "restricanonymous=1"
v、 conclusion
终于有时间可以写自己的东西了。呵呵,直入主题,不废话了。
i、 introduction
关于win2k下面的空会话,已经是一个很老的话题了。当然,也一直被认为是win2
k自带的一个后门。当建立一个空会话之后,对于一台配置不到位的win2k服务器来说,
那么将能够得到非常多的信息,比如枚举帐号等等。
ii、 about tcp port 445, win2000的tcp 445端口
smb(server message block)协议在nt/2000中用来作文件共享,在nt中,smb运行
于nbt(netbios over tcp/ip)上,使用137,139(udp),139(tcp)端口。在2000中
,smb可以直接运行在tcp/ip上,而没有额外的nbt层,使用tcp 445端口。因此在2000上
应该比nt稍微变化多一些。
可以在“网络连接/属性/tcpip协议/属性/高级/wins中设置启用或者禁用nbt(net
bios over tcp/ip)。
当2000使用网络共享的时候,就面临着选择139或者445端口了。下面的情况确定会
话使用的端口:
1、如果客户端启用了nbt,那么连接的时候将同时访问139和445端口,如果从445端口得
到回应,那么客户端将发送rst到139端口,终止这个端口的连接,接着就从445端口进行
smb的会话了;如果没有从445端口而是从139得到回应,那么
就从139端口进行会话;如果没有得到任何回应,那么smb会话失败。
2、如果客户端禁用了nbt,他就将只从445端口进行连接。当然如果服务器(开共享端)
没有445端口进行smb会话的话,那么就会访问失败了,所以禁用445端口后,对访问nt机
器的共享会失败。
3、如果服务器端启用nbt,那么就同时监听udp 137、138端口和tcp139,445。如果禁用
nbt,那么就只监听445端口了。
所以对于2000来说,共享问题就不仅仅是139端口,445端口同样能够完成。
iii、the null session,关于空会话
null会话(空会话)使用端口也同样遵循上面的规则。null会话是同服务器建立的
无信任支持的会话。一个会话包含用户的认证信息,而null会话是没有用户的认证信息
,也就好比是一个匿名的一样。
没有认证就不可能为系统建立安全通道,而建立安全通道也是双重的,第一,就是
建立身份标志,第二就是建立一个临时会话密匙,双方才能用这个会话进行加密数据交
换(比如rpc和com的认证等级是pkt_privacy)。不管是经过ntlm还是经过kerberos认证
的票据,终究是为会话创建一个包含用户信息的令牌。(这段来自joe finamore)
根据win2000的访问控制模型,对于空会话同样需要提供一个令牌。但是空会话由于
是没有经过认证的会话,所以令牌中不包含用户信息,因此,建立会话双方没有密匙的
交换,这也不能让系统间发送加密信息。这并不表示空会话的令牌中不包含sid,对于一
个空会话,lsa提供的令牌的sid是s-1-5-7,这就是空会话建立的sid,用户名是 anony
mous logon。这个用户名是可以在用户列表中看到的。但是是不能在sam数据库中找到,
属于系统内置的帐号。
(关于这部分对null session的分析,可以参照:《null sessions in nt/2000》http
://rr.sans.org/win/null.php)
null会话几乎成为了微软自己安置的后门,但是微软为什么要来设置这样一个“后
门”呢?我也一直在想这个问题,如果null会话没有什么重要的用途,那么微软也应该
不会来设置这样一个东西。好不容易才在微软上找到这个:
当在多域环境中,要在多域中建立信任关系,首先需要找到域中的pdc来通过安全通
道的密码验证,使用空会话能够非常容易地找到pdc,还有就是关于一些系统服务的问题
。而且lmhosts的#include就需要空会话的支持,可以参考文章:
http://support.microsoft.com/default.aspx?scid=kben-us;q121281
还有http://support.microsoft.com/default.aspx?scid=kben-us;q124184
其实建立一个空会话的条件也非常严格。首先要能够满足上面的,也就是打开tcp
139和tcp 445端口。我们可以从一次关闭这两个端口的情况中看得出来。服务器关闭44
5和139端口,然后我们来进行空会话的连接。首先,客户端打算
连接的是445端口,然后再试图连接139端口。当然最后还是失败了。
仅仅开放这两个端口还不行,服务器还必须得打开ipc$共享。如果没有ipc共享,即
使共享一个文件,有权限为anonymous logon,也不能建立会话,即使权限设置为完全控
制,出现的连接错误依然是权限不够。这和其他帐号是不一样的。如果要允许一个文件
夹共享能够类似ipc$(命名管道而非共享)能够使用空会话,那么需要修改注册表:
hkey_local_machine/system/currentcontrolset/services/lanmanserver/parameters
/中的:nullsessionshares,
添加新的共享名,这样才能建立一个共享的空会话。这时,将不依赖ipc的存在了。(即
使这样的空会话对于后面的突破也是一点没可取之处的,因为没有了ipc$命名管道,rp
c不可取了,这下知道ipc这个命名管道的具体实现了。呵呵)
虽然空会话建立的要求很严格,但是那都是默认建立的。既然是默认的,对于使用
win2k系统的服务器来说,就还是有利用的价值。最明显的就是空会话可以很方便地连接
到其他的域,枚举用户、机器等。这也就是扫描软件进行探测的原理。我举个简单的程序
例子来说明这个用途,并枚举用户组和用户。
#include <windows.h>
#include <stdio.h>
#include <lm.h>
#pragma comment (lib, "mpr.lib")
#pragma comment (lib, "netapi32.lib")
void explorer_groups(char *);
void main( int argc, char *argv[ ] )
{
dword ret;
char username[100] = "", password[100] = "";

[1] [2] [3]  下一页

  • 好的评价如果您觉得此文章好,就请您
      0%(0)
  • 差的评价如果您觉得此文章差,就请您
      0%(0)



文章评论
   评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论
栏目导航

本类热门
  

下载排行

关于我们 | 网站帮助 | 广告合作 | 下载声明 | 免责声明 | 申请连接 | 付款方式 | 网站地图 | 返回顶部
  • 版权:Copyright©2009-2013 www.jqdzw.Com.  All Rights Reserved . 金桥电子资料网 版权所有| 苏ICP备11037958号|DMOZ中文网站分类目录||
  • 中国互联网协会 不良信息举报中心 江苏网络警察