GO~
检查补丁状态:
查看
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\HotFix
或者使用 hfnetchk.exe (微软主页可以找到)
注意,只是看,好心里有个数!
▲ipc$(445 or 139)
主要的问题是因为默认设置允许空会话。通过匿名,可以获得n多的信息。从而进行用户验证攻击。
问题:你不能改密码。
关掉Admin$
服务器:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\LanmanServer\Parameters
AutoShareServer = DWORD:00000000
工作站:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\lanmanserver\parameters
AutoShareWks = DWORD:00000000
问题:ipc$还存在,它只是关掉了诸如Admin$,c$之类的东西。
立刻从新启动lanmanserver服务,使其生效
禁止空会话:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
RestrictAnonymous = DWORD:00000001
或者“控制面板”-“本地(域)安全策略”-“安全选项”里......
立刻从新启动lanmanserver服务,使其生效
问题:
GetAccount.exe这个小工具一样可以轻易的获得用户列表,然后挂字典攻击。
更改帐号锁定阀值5次。
此外,还有bug,445 or139 上还有一个漏洞,直接让机器挂掉。
攻击程序 SMBdie.exe 可以http://packetstorm.linuxsecurity.com找到。
相关的补丁 Q326830_W2K_SP4_X86_CN.exe。
注意,这是在为肉鸡打补丁,不是自己的机器。所以绝对不要安装。
很烦?所以直接关掉445or139,最好。注意,要关,两个端口一起。关一个没用。(注意这是指windows 2000,不是nt机器)
通常,是这样的,先连接445端口,如果失败,就会去连接139,所以一定要两个都关了。
如何关闭?
启用ipsec(路由和远程访问也可以),一个强大的玩意。包括icmp。一样可以关掉。也就是ping不通了。
这里不涉及ipsec如何使用,他确实很强大,建议熟练使用。给出两个相关的连接,给不熟悉的朋友们参考一下。
Internet 协议安全 (IPSec) 循序渐进指南
http://www.microsoft.com/china/technet/windows2000/win2ksrv
/technote/ispstep.asp
IPSec 锁定服务器
http://www.microsoft.com/CHINA/TechNet/windows2000/win2ksrv
/ipsecld.asp
需要注意的是,我们在为肉鸡做安全,不是自己的机器,当然,有些时候是很矛盾的,毕竟你要改的东西很多,相对的,你被管理员发现的可能也增加了。
通常默认的IPSec的设置是这样的(本地(域)安全策略-ip安全策略)
默认的有3个:安全服务器(要求安全设置) 客户端(只响应) 服务器(请求安全设置)
所以,最好不要创建新的策略,直接在原来的基础上改,也就是3个默认设置的其中一个。以免太过于暴露了。连接类型最好指定为远程访问,以免他内网机器访问不到。最后,选中一个策略,右键-指派。立刻生效了。提一下命令行下的操作。以上是通过终端服务上去操作的。要是行命令下,如何做?推荐使用Resource Kit中的ipsecpol.exe。非常强大,也非常复杂。有兴趣的朋友,可以自己看看。
▲iis (80)
iis 默认安装完后,漏洞就像蜂窝。
unicode漏洞:虽然这个漏洞老的已经成为历史,但还是有的,主要是一些默认安装了iis的机器,也别删除它。之所http://www.xxx.com/scripts/..%c1%1c..%c1%1c..%c1%1c..%c1%1c..
/winnt/system32/cmd.exe?/c+dir能够执行命令(相当于一个shell)。其实是scripts目录有执行权限。到iis里去掉就可以了。注意一点的是,把每个虚拟目录的的执行权限都去掉。因为在没打补丁之前,所有的有执行权限的虚拟目录都有这个问题,但不一定能被扫描器扫到。如果已经安装了sp2也就不用忙了,补上了。
单个补丁http://www.microsoft.com/windows2000/downloads/critical
/q269862/default.asp Q269862_W2K_SP2_x86_CN.EXE
二次解码漏洞:这个漏洞很像上面的那个,一个列http://www.xxx.com/scripts/..%255c..%255cwinnt/system32
/cmd.exe?/c+dir+c:\。同样的去掉所有虚拟目录的执行权限。如果安装了sp3,不用忙了,补上了。
单个补丁http://www.microsoft.com/Downloads/Release.asp?ReleaseID=29764 ;
Q293826_W2k_SP3_x86_cn.exe
.printer远程益出:同样,一个成为历史的漏洞。到iis设置里把这个映射删掉就可以了,注意一点的是。ms的iis有点变态。有些时候,你安装删除了一些系统组件。映射可能重新产生。如果安装了sp2,不用忙了,补上了。
单个补丁:Q296576_w2k_sp2_x86_CN.EXE
Index Server远程益出:同样,一个非常危险的漏洞,直接取得system权限。主要是idq.dll有问题,相对应的映射idq,ida。删掉后,也算补上了。如果安装了sp3,不用忙了,补上了。
asp分块编码远程溢出:对于这个漏洞,成功率是很低的。你可以http://packetstorm.linuxsecurity.com找到相关的exploit。而且你所得到的权限是IWAM_computername这个帐号的。但结合一些local exploit。就...。看情况了,如果iis只是被默认安装了,没有网站。把wwwroot目录里的那些默认安装的*.asp删掉,也算是补上了。如果,它已经有web在运做了,这个没办法,或许帮它升级windows update是个不错的注意 :)。安装了sp3,也不要忙了,补上了。
此外,还有一些看asp源码的漏洞,方法n多。如果你肉鸡的没安装sp3的话,最好到iis里把htw和htr删掉。
Frontpage服务器扩展:这个服务所涉及的漏洞特别多,要是肉鸡更本就没用到这个服务建议直接删除它。主要是默认的权限设置问题。允许权限是分配给Everyone组的,有些可以写的,相应的,放后门程序上去(asp.cmd),结合一些local exploit。最后获得admin权限。对“_vti”开头的目录,去掉Everyone组的控制,此外,还有一些拒绝服务漏洞,直接当掉iis。列如:提http://www.xxx.com/_vti_bin/shtml.dll/com1.。或http://www.xxx.com/_vti_inf.html。可以获得服务器的一些信息。多的要死,直接删掉!
snmp服务(udp 161):即简单网络管理协议 。也就是为了方便网络管理而产生的。主要的问题:口令默认。
通常在win2k下,能找到运行这个服务的机器是很少的。相对的*nix和路游比较多些。
在win2k下一旦安装了snmp服务,打开新的端口udp 161、dup 162。通过scan可以轻易的刺探到(推荐LANguard Network Scanner、它带有一个snmp浏览器,或者snscan.exe,一个强劲的snmp扫描器,那它找不同类型的肉鸡,比较方便)主要是口令默认,也别删除这个服务了,改了口令也算补上了,如何改?“服务”-“snmp service”-“属性页”-“安全”那个“接受团体名称”也就是“public”,它就是snmp访问口令。把它改成一个安全的口令。小心!一些暴力破解。这个漏洞,危害虽然没有那么直接,但还是有的,暴露系统的类型和具体的版本,获取帐号列表,运行服务信息.....。
Terminal service(3389) :主要是输入法状态条漏洞,虽然这个已经成了古董级的,但还是有的。有些肉鸡连sp1都没有。也不要去删什么帮助文件了。在注册表里-这个:HKEY_USERS\.DEFAULT\Keyboard Layout\Preload 这也就是登陆时可以用到的输入法。都在这里面,保留一个就可以了E00E0804 微软拼音,免得被人看出破绽。要是全删除了也就没有en图标了。打过sp2的,也不要忙了。补上了。此外,还有一个拒绝服务漏洞。这个没办法。只有打补丁,如果装了sp3也不要忙了,补上了。
ms-sql(tcp 1433 udp 1434): ms-sql这个服务涉及的漏洞也是比较多的,如果肉鸡没安装sp2,更多。
口令问题:sa这个帐号比较特别,不能改名字,也不能删除。加之安装时的“随意”。成了一个漏洞,口令太弱。通过一些小工具,连接以后调用系统存储过程xp-cmdshell,来执行命令。就算你禁用了存储过程xp-cmdshell。也是可以恢复的,就算恢复不了,通过写一些特别的asp文件(cmd.asp)到iis下有执行权限的目录,得到一个shell,最后结合一些local exploit。取得admin权限。 顺便说下,针对win2k+sp3的本地exploit已经有了。所以这个漏洞,没办法补,你不可能改sa口令,要不,等于买了自己,要不让它的asp脚本全部完蛋。这样的问题,永远都有的,像ipc$,本来设计来为了方便管理员管理计算机的。设置一个强壮的口令,本身就是很好的防御措施,就算是默认设置。又能怎么样!意识...
除外,ms-sql还有一个udp remote exploit和一些拒绝服务漏洞,这个没办法,只有打补丁,要是肉鸡装了sp3,不用忙了,补上了。
同行所留下的:
帐号,脚本,木马,服务级后门,内核级后门。
帐号:
1.可能已经被先来的同行全部破解掉了,这个没办法,只能希望admin经常改口令。
2.攻击者添加的帐号,这个针对一些帐号特多的肉鸡,可能有人用这样低级的手法,你一样没办法,你没法判断到底是谁的帐号。
3.帐号被克窿。检查注册表,每个帐号的sid应该是对应的,比如guest的f5,01,如果是f4,01。被克窿了。要是觉得麻烦,用工具ca.exe来检查,只是要记得del掉%windir%\system32下的SASrv.exe,这是ca产生的。应该重点检查系统帐号,比如guest和IUSR_computername等。
4.注意的:有些帐号里来有"$"这个字符,这样的帐号在行命令下,将不会被显示。
脚本:
利用运行的web,这类后门找起来多少有点困难,比如被放了cmd.asp。名字不一定是这个,都会被改的。你要是想完美点,执行一下:regsvr32 scrrun.dll /u /s 那个cmd.asp文件也就没用了。也就是无法创建FileSystemObject 改回来:regsvr32 scrrun.dll /i /s 。此外,针对php、jsp、perl也一样有类似的脚本。找这类后门很困难。
木马:
被中过马儿了,还好,一般比较好的服务器,都装有强力的杀毒软件,比如,Norton AntiVirus、kill nt版等。只是n久没升级了。提示下,顺便把它注册码给弄走(有些在注册表里,有些是一个文件)。都是正版的哦,绝对可以升级。:)。像这类后门只能依靠杀毒软件。种类实在太多了。
服务级后门: 这类后门找起来也即算容易,首先需要一些工具,pslist.exe pskill.exe、fport.exe、sc.exe、结合一些系统命令来找。netstat -an |more 看看端口,fport.exe 来查看端口所对应的程序。常用两种手法,直接加到服务里或者删掉一个系统里无关紧要的服务,在把后门伪装成刚刚哪个删掉的服务。找这类后门,只要你对系统服务和系统进程比较熟悉,应该不是很困难。
1.系统服务都是以大写字母开头的,并有规范的描述。(注意一些软件安装所产生的服务,比如serv-u)
2.系统服务对应的程序,都是版权信息的。(查看属性页)以及生成的时间。
3.端口,不太确定它是干什么用的时候,最好telnet下。
4.不能确定某个服务是干什么用的时候,也就不要del了(用sc.exe)。
内核后门:
这类后门在win2k下是比较少的,不像在*nix系统下,多的要死,比如用的比较爽的lkm后门,在win2k下这类后门不太成熟。弄不好让肉鸡彻底完蛋。我自己不太清楚,不多废话了。
别的废话:这个,只是我太无聊了,写起玩的。可能有用词不准确的或者错误。将就下了。本人工作也和计算机安全没有关系。要批评我的,随便了,我没意见。
http://hackbase.com/tech/2004-09-29/00692.html