战术攻防思维撷粹

核心提示： 使用NTRK提供的dumpsec、usestat、showgrps、local和global等实用工具，我们可以得到丰富的用户信息，战术攻防思维撷粹(3)，这里必须讲解下dumpsec，因为它可以得到用户及组、NT系统策略和用户权限，使用user2sid 得到其中一域用户SID的话，就可以

使用NTRK提供的dumpsec、usestat、showgrps、local和global等实用工具，我们可以得到丰富的用户信息。这里必须讲解下dumpsec，因为它可以得到用户及组、NT系统策略和用户权限。以下例子显示了dumpsec获取远程计算机用户信息：

C:\toolkit>dumpsec /computer==\\192.168.1.1 /rpt=usersonly /saveas=tsv /outfile=c:\users.txt
C:\type c:\users.txt
27/2/2003 4：30 PM – Somarsoft DumpSec - \\192.168.1.1
UserName FullName Comment
Hg he gao manager
Lb li bin account
Mjt ma jitao assistant
Papa pu ying saler
……

(注：Somarsoft推出了DumpSec的GUI版本，功能更为强大。)

+应对策略

阻塞空会话，限制注册表RestrictAnonymous键值(NT设REG_DWORD 1,W2K设置为2)，使用NTRK/W2RK的实用工具reg.exe修改如下(以NT为例)：

C:\toolkit>reg add HKLM\SYSTEM\CurrentControlet\Control\LSA /v RestrictAnonymous /t REG_DWORD /d 1 /f

/v：注册表键值

/t: 数据类型

/d: 注册表键值数据

/f: 当要添加的注册表值存在时进行覆盖

帐户名探测工具中，最为杰出的莫过于Evgenii Rudnyi的sid2user和user2side。它们既可通过用户名查询系统SID，也同从SID查询用户。SID即安全表示符，是创建帐户时生成的唯一标识符。Windows NT 使用 SID，独立于用户名之外来跟踪帐户。(关于SID的结构论述，可以参阅Mark Russinovich于1999年2月的文http://www.winnetmag.com/Articles/Index.cfm?ArticleID=4795)。使用user2sid 得到其中一域用户SID的话，就可以利用SID号查询相应的用户名。这里，我对一台W2K机器进行了查询实验：