细细想想,Windows 2000 提供的功能实在是太强大了,这大大方便了Admin们的管理工作,不过利弊向来都是并存的,正是因为Windows 2000 提供的强大功能,让您稍微不留神,系统就被黑客们光顾了,系统信息被暴露,是非常可怕的事情,这意味着黑客已经掌握了你的服务器一半的情况,一旦发现了系统的漏洞,就意味着下一步入侵的开始。举个简单的例子:如果你的服务器无意中开了一个共享文件夹,黑客想办法获取了你的服务器信息,发现这个共享文件夹允许访问,呵呵,很可能,就被他做个Pub什么的用用……
说了半天,到底远程能够获取什么样的系统信息呢?很多很多,不完全的说一下比较关键的一些信息吧:
Server Name:服务器的名字
Server Comment::相关的说明信息,很多管理员喜欢在这里写上些敏感信息的:)
Server Type:服务器类型,通过这个,黑客们可以判断出目标服务器是处于什么环境之下,比如可以判断出:A LAN Manager workstation,A LAN Manager server,Windows NT/Windows 2000 workstation or server,Windows NT/Windows 2000 server that is not a domain controller,Server running a browser service as backup,Server running the master browser service
Major_version:,inor_version:这两个分别是服务器大版本号和小版本号,黑客通过这个得到了操作系统的版本信息,比如,大版本号为5,小版本号为0,择说明是一台windows 2000的服务器,而下一步就是查找windows 2000的安全漏洞了
current date,current time is:服务器的日前和时间,通过这个,可以判断出服务器所在的时区,良好掌握渗透的时间
Session:得到当前服务器的会话连接IP地址,这个作用就比较广泛了,可以根据实际情况,灵活的运用
Share Enum:这是个很重要的信息,他展示出了服务器上所有的共享文件夹,包括隐含的共享,一旦发现可利用的共享信息,黑客只需简单的在浏览器中输入\\ip\share,就可以访问到目标主机的共享信息,就是这么危险!
UserEnum:这个东西更可怕了,连服务器的帐号信息都取来了,其中包括用户登陆成功次数,失败次数,帐号使用时间,登陆脚本路径,口令生效时间……这些连系统管理员都看不到哦!此外还有一些信息会被暴露出来,比如:用户名,用户权限,用户说明信息,是否帐号禁用……这很可能造成弱口令的用户名被轻易破解,簇新的系统管理员如果留个user:test,password:123之类的帐号在里面,估计服务器就保不住了。
LocalGroupEnum:枚举本地组,呵呵~~
此外还有UseEnum,FileEnum,ScheduleJobEnum……实在太多了~
下面,来说说最重要的部分――到底这些信息怎么样才能获取呢?
打开你的winnt/system32这个文件夹,找找看,是不是有一个叫做netapi32.dll的文件?从文件名,我们就可以知道,这是个和网络函数相关的动态连接库,这个就是我们需要找的东西哦!上面取得的信息,其实全部是通过这个DLL文件来实现的。对应于这个DLL文件,Windows 2000提供了一组相关的API函数调用,装上Platform SDK这个开发工具包,然后请打开你的MSDN,输入要查找的关键字“Network Management”,然后选择Network Management Reference-Network Management Functions你会看到一组以Net开头的API函数,正确运用这组函数,就可以获取远端服务器的信息了,函数用法是有点复杂,下面举个简单的例子吧:
假如存在一台windows 2000的目标主机,其IP地址为:192.168.10.111,我们现在准备获取他的帐号信息,首先我们建立一个IPC$空会话连接:
建立空会话和断开会话主要用到了两个函数:
DWORD WNetAddConnection2( LPNETRESOURCE lpNetResource, LPCTSTR lpPassword, LPCTSTR lpUsername, DWORD dwFlags);
上面的函数是建立一个会话连接,其中LPCTSTR lpPassword, LPCTSTR lpUsername分别是用户口令和用户名,要想建立空会话,则一定要把这两项置成空。
DWORD WNetCancelConnection2(LPCTSTR lpName, DWORD dwFlags, BOOL fForce);
WNetCancelConnection2的作用则和WNetAddConnection2是相反的,在获取用户信息后,为了确保安全,黑客会用他迅速的断开与服务器之间的会话。
我已经把它写成了一个类,这个是类其中的一部分函数:
BOOL CAhFunc::CreateLine (char * str){
NETRESOURCE netr;
TCHAR netBuf[MAX_PATH] ={0};
memset (&netr, 0, sizeof (NETRESOURCE));
//上面的,都是一些初始化的信息
wsprintf (netBuf, "\\\\%s\\ipc$", str);
//前面一行,生成了一行字符串“\\xxx.xxx.xxx.xxx\ipc$”
netr.dwScope = RESOURCE_GLOBALNET;
netr.dwType = RESOURCETYPE_ANY;
netr.lpLocalName = "";
netr.lpRemoteName = netBuf;
netr.lpProvider = NULL;
if (WNetAddConnection2 (&netr, "", "", NULL) == NO_ERROR)
//ok!到此为止,简单的用上面一条函数建立了一个IPC$连接,其实他是模拟了windows NT/2000下的这样一条命令:net use \\xxx.xxx.xxx.xxx\ipc$ “” /user: “”,具体的net use用法,大家看看help吧。
return TRUE;
return FALSE;
}
下面是断开会话的方法
BOOL CAhFunc::DestoryLine (LPTSTR str){
TCHAR netNB[MAX_PATH] = {0};
wsprintf (netNB, "\\\\%s", str);
if (WNetCancelConnection2 (netNB, CONNECT_UPDATE_PROFILE, TRUE) == NO_ERROR)
return TRUE;
return FALSE;
}
同样的,也是模拟了这条命令net use \\xxx.xxx.xxx.xxx /DEL
刚刚说了,我们要取的是远端服务器上的帐号信息,打开MSDN,输入关键字:NetUserEnum,看到了吧?你可以找到这条函数NET_API_STATUS NetUserEnum( LPCWSTR servername, DWORD level, DWORD filter, LPBYTE *bufptr, DWORD prefmaxlen, LPDWORD entriesread, LPDWORD totalentries, LPDWORD resume_handle );
一大串参数,看起来挺可怕的是吧?:)不要紧,我们一个一个来过:
LPCWSTR servername:注意这个啊,它可是要求LPCWSTR类型的数据,也就是说,要求用Unicode字符了,如果你直接为它赋值,是肯定不行的,要绕点弯了,有这样一个函数MultiByteToWideChar (UINT CodePage, DWORD dwFlags, LPCSTR lpMultiByteStr, int cbMultiByte, LPWSTR lpWideCharStr, int cchWideChar);
这个函数的作用就是用来把单字节转换为双字节
DWORD level:用来指定操作级别,不同的用户访问权限,这个级别是不同的。根据不同的级别,可以获取不同等级的系统信息,根据MSDN上的描述,有以下的级别可供选择:
0
在这个级别里,可以获取用户帐号名,它使用USER_INFO_0 这个结构存储,在ipc空连接的时候是可用的
1
Return detailed information about user accounts. The bufptr parameter points to an array of USER_INFO_1 structures.
2
Return level one information and additional attributes about user accounts. The bufptr parameter points to an array of USER_INFO_2 structures.
3
Return level two information and additional attributes about user accounts. This level is valid only on Windows NT/Windows 2000 servers. The bufptr parameter points to an array of USER_INFO_3 structures. Note that on Whistler and later, it is recommended that you use USER_INFO_4 instead.
4
Whistler: Return level two information and additional attributes about user accounts. This level is valid only on Windows NT/Windows 2000 servers. The bufptr parameter points to an array of USER_INFO_4 structures.
10
Return user and account names and comments. The bufptr parameter points to an array of USER_INFO_10 structures.
11
Return detailed information about user accounts. The bufptr parameter points to an array of USER_INFO_11 structures.
20
Return the user's name and identifier and various account attributes. The bufptr parameter points to an array of USER_INFO_20 structures. Note that on Whistler and later, it is recommended that you use USER_INFO_23 instead.
23
Whistler: Return the user's name and identifier and various account attributes. The bufptr parameter points to an array of USER_INFO_23 structures.
与主机建立空会话,已经可以使用除了4和23以外的所有级别了,4和23被保留了,目前在windows 2000下还不支持这两个级别,他是为了后面的Windows XP版本留的。好了,我们有了上面的信息,就开始写程序了:
为了免去诈骗稿费之嫌,我们就举例最简单的level 0 级别操作,在这个级别,你只能取到系统的帐号名,不过这个对于黑客来说,已经足够了J!
char netNB[MAX_PATH] = {0
