第55章 (第3/3页)
uis解释道。“但是没有成功,因此 我们不得不使用一种叫作'port barging’的技术。”经过运行HK 程序获得权限之后,他们配置netcat来侦听端口 80;临时“barge” IIS服务器的工作方式,监视接入端口 80的第一个连接。
这样解释barging, “实质上,你只是临时将IIS推离它 的工作方式,窃取一个内核,然后在维持对你的内核访问的同时, 允许IIS暗地里恢复原来的运行方式。”在Windows环境里,不像 Unix类型的操作系统,它允许两个程序同时使用同一个端口。攻 击者可以利用这个特征,通过发现一个防火墙没有过滤掉的端口,第9章人在大陆然后“barging”到这个端口。
和Brock就是这么干的。他们已经具有的对IIS主机内 核的访问权限,以一个可以运行Web服务器的账户的权限为上界。 所以他们运行了 HK和netcat,然后获得了系统的完全访问权-- 可以像系统用户一样操作,就是操作系统中的最高权限。通过使用 标准的方法,这个权限允许他们获得对目标的Windows环境的完 全控制权。
服务器上运行的是Windows NT 4.0.攻击者们想要对安全账 户管理者(SAM)文件进行复制,这个文件包含了用户账户、组、策 略和访问控制的细节信息。在这个旧版本的操作系统下,他们运行 了 “rdisk/s”命令,来创建一个应急恢复盘。这个程序最初在名为 “repair”的目录中创建了几个文件。在这些文件中有一个最新版 本的SAM文件,其中含有服务器上所有账户口令的散列信息。早 些时候,Louis和Brock从一个安全警卫的膝上计算机恢复了 PWL 文件,其中含有敏感的口令信息。而现在,他们获得了公司内部一 个服务器上用户的加密口令信息。他们将这个SAM文件简单复制 到Web服务器的webroot下。“然后,通过一个网络浏览器,我 们从服务器上重新获得了这个文件,文件最终到了我们办公室里自 己的机器上。”当他们从SAM文件破解口令时,他们注意到,在本地机器上 还有另一个管理员账户,这个账户不同于内置的管理员账户。
在花费了两个小时的破解时间之后,我们破解了该账户的口 令,然后尝试着在主域控制器上对它进行认证。接着我们发现, 具有管理员权限的本地账户,就是在Web服务器上我们攻击的那 个账户在域内也有着相同的口令丨这个账户也拥有域管理员权限。
因此,在Web服务器上有一个本地管理员账户,它跟整个域 的域管理员账户有着相同的用户名,同时这两个账户的口令也相 同。显然一个系统管理员偷了懒,他创建了第二个账户,这个账户 和本地系统上的管理员账户的用户名相同,更绝的是,他连口令都 设成了同一个。