Windows NT攻击大看台
2007-07-26 09:05:56 来源:WEB开发网攻击者在得到非管理级帐号后,他们首先做的就是对所掌握的目标服务器进行端口和系统信息的探查,黑客们会进行路径的试探性访问,并可以配合前面所提到的NTRK进行共享资源的探查,国内的黑客一般喜欢用网络刺客这一类的工具进行初步的探测。在摸清服务器的情况后,他们一般会选择一个名为sechole的工具来进行下一步的动作,这就是权限突破。
Sechole具有的最神奇的功能就是通过黑客手中掌握的普通权限帐号升级为Administrators级别的用户。Updated版的Secholed可以很轻松地把普通级别用户升级为特权用户加入Domain Admins用户组中。当黑客利用远程开启执行Sechole后,sechole会修改OpenProcess API调用的内存中的一些指令,然后它会跨越权限,使自己正确的衔接在某个特权的进程之中,当成功的衔接上特权程序后,它会利用一种类似于DLL injection(DLL注射)的方法,把一些恶意代码加入具备能够控制Administrators特权的用户进程中进行特权升级。
不过sechole必须要在目标服务器系统上进行本地运行,而想要达到本地运行的目的,目标服务器就要符合几个特定的标准,如服务器需启动IIS(Internet Information Sener)服务等,而通常情况下,黑客很难轻易获取一个既能够读取又能够写入的IIS目录的访问权限。但当黑客们获得权限后,他们会迅速地把sechole上传到几个特定的目录下,这些目录通常为:
C:Inerpubmsadc
C:InerpubNews
C:InerpubCgi-bing
C:Inerpubscripts
C:Inerpub_vti_bing
……
然后同时上传与sechole关联的几个DLL文件和一个NT命令解释器(ntcmd.exe),然后再上传一个用于修改用户和用户组及策略的程序,一般是一个名为ntuser的程序。再上传完这些程序后,黑客就可以通过一个WEB浏览器通过输入URL的连接远程的启动sechole程序,黑客此时就能够把他指定的帐户添加到到Administrators用户组。一般狡猾的黑客为了隐蔽自己的行动会使用ntuser在目标服务器中新添加一个用户。一下就是通过浏览器启动ntuser的URL命令:
更多精彩
赞助商链接