获取远端Windows 2000服务器系统信息
细细想想,Windows 2000 提供的功能实在是太强大了,这大大方便了Admin们的管理工作,不过利弊向来都是并存的,正是因为Windows 2000 提供的强大功能,让您稍微不留神,系统就被黑客们光顾了,系统信息被暴露,是非常可怕的事情,这意味着黑客已经掌握了你的服务器一半的情况,一旦发现了系统的漏洞,就意味着下一步入侵的开始。举个简单的例子:如果你的服务器无意中开了一个共享文件夹,黑客想办法获取了你的服务器信息,发现这个共享文件夹允许访问,呵呵,很可能,就被他做个Pub什么的用用……
说了半天,到底远程能够获取什么样的系统信息呢?很多很多,不完全的说一下比较关键的一些信息吧:
Server Name:服务器的名字
Server Comment::相关的说明信息,很多管理员喜欢在这里写上些敏感信息的:)
Server Type:服务器类型,通过这个,黑客们可以判断出目标服务器是处于什么环境之下,比如可以判断出:A LAN Manager workstation,A LAN Manager server,Windows NT/Windows 2000 workstation or server,Windows NT/Windows 2000 server that is not a domain controller,Server running a browser service as backup,Server running the master browser service
Major_version:,inor_version:这两个分别是服务器大版本号和小版本号,黑客通过这个得到了操作系统的版本信息,比如,大版本号为5,小版本号为0,择说明是一台windows 2000的服务器,而下一步就是查找windows 2000的安全漏洞了
current date,current time is:服务器的日前和时间,通过这个,可以判断出服务器所在的时区,良好掌握渗透的时间
Session:得到当前服务器的会话连接IP地址,这个作用就比较广泛了,可以根据实际情况,灵活的运用
Share Enum:这是个很重要的信息,他展示出了服务器上所有的共享文件夹,包括隐含的共享,一旦发现可利用的共享信息,黑客只需简单的在浏览器中输入\\ip\share,就可以访问到目标主机的共享信息,就是这么危险!
UserEnum:这个东西更可怕了,连服务器的帐号信息都取来了,其中包括用户登陆成功次数,失败次数,帐号使用时间,登陆脚本路径,口令生效时间……这些连系统管理员都看不到哦!此外还有一些信息会被暴露出来,比如:用户名,用户权限,用户说明信息,是否帐号禁用……这很可能造成弱口令的用户名被轻易破解,簇新的系统管理员如果留个user:test,password:123之类的帐号在里面,估计服务器就保不住了。
LocalGroupEnum:枚举本地组,呵呵~~
此外还有UseEnum,FileEnum,ScheduleJobEnum……实在太多了~
下面,来说说最重要的部分——到底这些信息怎么样才能获取呢?
打开你的winnt/system32这个文件夹,找找看,是不是有一个叫做netapi32.dll的文件?从文件名,我们就可以知道,这是个和网络函数相关的动态连接库,这个就是我们需要找的东西哦!上面取得的信息,其实全部是通过这个DLL文件来实现的。对应于这个DLL文件,Windows 2000提供了一组相关的API函数调用,装上Platform SDK这个开发工具包,然后请打开你的MSDN,输入要查找的关键字“Network Management”,然后选择Network Management Reference->Network Management Functions你会看到一组以Net开头的API函数,正确运用这组函数,就可以获取远端服务器的信息了,函数用法是有点复杂,下面举个简单的例子吧:
假如存在一台windows 2000的目标主机,其IP地址为:192.168.10.111,我们现在准备获取他的帐号信息,首先我们建立一个IPC$空会话连接:
建立空会话和断开会话主要用到了两个函数:
DWORD WNetAddConnection2( LPNETRESOURCE lpNetResource, LPCTSTR lpPassword, LPCTSTR lpUsername, DWORD dwFlags);
上面的函数是建立一个会话连接,其中LPCTSTR lpPassword, LPCTSTR lpUsername分别是用户口令和用户名,要想建立空会话,则一定要把这两项置成空。
DWORD WNetCancelConnection2(LPCTSTR lpName, DWORD dwFlags, BOOL fForce);
WNetCancelConnection2的作用则和WNetAddConnection2是相反的,在获取用户信息后,为了确保安全,黑客会用他迅速的断开与服务器之间的会话。
我已经把它写成了一个类,这个是类其中的一部分函数:
BOOL CAhFunc::CreateLine (char * str){
NETRESOURCE netr;
TCHAR netBuf[MAX_PATH] ={0};
memset (&netr, 0, sizeof (NETRESOURCE));
//上面的,都是一些初始化的信息
wsprintf (netBuf, "\\\\%s\\ipc$", str);
//前面一行,生成了一行字符串“\\xxx.xxx.xxx.xxx\ipc$”
netr.dwScope = RESOURCE_GLOBALNET;
netr.dwType = RESOURCETYPE_ANY;
netr.lpLocalName = "";
netr.lpRemoteName = netBuf;
netr.lpProvider = NULL;
if (WNetAddConnection2 (&netr, "", "", NULL) == NO_ERROR)
//ok!到此为止,简单的用上面一条函数建立了一个IPC$连接,其实他是模拟了windows NT/2000下的这样一条命令:net use \\xxx.xxx.xxx.xxx\ipc$ “” /user: “”,具体的net use用法,大家看看help吧。
return TRUE;
return FALSE;
}
下面是断开会话的方法
BOOL CAhFunc::DestoryLine (LPTSTR str){
TCHAR netNB[MAX_PATH] = {0};
wsprintf (netNB, "\\\\%s", str);
if (WNetCancelConnection2 (netNB, CONNECT_UPDATE_PROFILE, TRUE) == NO_ERROR)
return TRUE;
return FALSE;
}
同样的,也是模拟了这条命令net use \\xxx.xxx.xxx.xxx /DEL
刚刚说了,我们要取的是远端服务器上的帐号信息,打开MSDN,输入关键字:NetUserEnum,看到了吧?你可以找到这条函数NET_API_STATUS NetUserEnum( LPCWSTR servername, DWORD level, DWORD filter, LPBYTE *bufptr, DWORD prefmaxlen, LPDWORD entriesread, LPDWORD totalentries, LPDWORD resume_handle );
一大串参数,看起来挺可怕的是吧?:)不要紧,我们一个一个来过:
LPCWSTR servername:注意这个啊,它可是要求LPCWSTR类型的数据,也就是说,要求用Unicode字符了,如果你直接为它赋值,是肯定不行的,要绕点弯了,有这样一个函数MultiByteToWideChar (UINT CodePage, DWORD dwFlags, LPCSTR lpMultiByteStr, int cbMultiByte, LPWSTR lpWideCharStr, int cchWideChar);
这个函数的作用就是用来把单字节转换为双字节
DWORD level:用来指定操作级别,不同的用户访问权限,这个级别是不同的。根据不同的级别,可以获取不同等级的系统信息,根据MSDN上的描述,有以下的级别可供选择:
0
在这个级别里,可以获取用户帐号名,它使用USER_INFO_0 这个结构存储,在ipc空连接的时候是可用的
1
Return detailed information about user accounts. The bufptr parameter points to an array of USER_INFO_1 structures.
2
Return level one information and additional attributes about user accounts. The bufptr parameter points to an array of USER_INFO_2 structures.
3
Return level two information and additional attributes about user accounts. This level is valid only on Windows NT/Windows 2000 servers. The bufptr parameter points to an array of USER_INFO_3 structures. Note that on Whistler and later, it is recommended that you use USER_INFO_4 instead.
4
Whistler: Return level two information and additional attributes about user accounts. This level is valid only on Windows NT/Windows 2000 servers. The bufptr parameter points to an array of USER_INFO_4 structures.
10
Return user and account names and comments. The bufptr parameter points to an array of USER_INFO_10 structures.
11
Return detailed information about user accounts. The bufptr parameter points to an array of USER_INFO_11 structures.
20
Return the user's name and identifier and various account attributes. The bufptr parameter points to an array of USER_INFO_20 structures. Note that on Whistler and later, it is recommended that you use USER_INFO_23 instead.
23
Whistler: Return the user's name and identifier and various account attributes. The bufptr parameter points to an array of USER_INFO_23 structures.
与主机建立空会话,已经可以使用除了4和23以外的所有级别了,4和23被保留了,目前在windows 2000下还不支持这两个级别,他是为了后面的Windows XP版本留的。好了,我们有了上面的信息,就开始写程序了:
为了免去诈骗稿费之嫌,我们就举例最简单的level 0 级别操作,在这个级别,你只能取到系统的帐号名,不过这个对于黑客来说,已经足够了J!
char netNB[MAX_PATH] = {0};
sprintf (netNB, "\\\\%s", str);
char lpwStr[MAX_PATH] = {0};
MultiByteToWideChar (CP_ACP, 0, netNB, -1, (unsigned short *)lpwStr, MAX_PATH);
//呵呵,看上面一行,转换了单字节到双字节
LPUSER_INFO_0 pBuf_0 = NULL;
LPUSER_INFO_0 pTmpBuf_0;
DWORD dwPrefMaxLen = -1;
DWORD dwEntriesRead = 0;
DWORD dwTotalEntries = 0;
DWORD dwResumeHandle = 0;
DWORD i;
DWORD dwTotalCount = 0;
NET_API_STATUS nStatus;
LPTSTR pszServerName = NULL;
nStatus = NetUserEnum((unsigned short *)lpwStr,
dwLevel,
FILTER_NORMAL_ACCOUNT, // global users
(LPBYTE*)&pBuf_0,
dwPrefMaxLen,
&dwEntriesRead,
&dwTotalEntries,
&dwResumeHandle);
// If the call succeeds,
if ((nStatus == NERR_Success) || (nStatus == ERROR_MORE_DATA))
{
if ((pTmpBuf_0 = pBuf_0) != NULL)
{
// Loop through the entries.
for (i = 0; (i < dwEntriesRead); i++)
{
if (pTmpBuf_0 == NULL)
{
fprintf(stderr, "An access violation has occurred\n");
break;
}
// Print the name of the user account.
wprintf(L"username:%s\n", pTmpBuf_0->usri0_name);
//注意看看这里,是宽字节输出,当然你也可以用printf("username:%S\n", pTmpBuf_0->usri0_name);的方法输出,%S表示宽字节,%s是单字节的,输出的信息,是远程主机上的用户帐号
pTmpBuf_0++;
dwTotalCount++;
}
}
}
else
printf("A system error has occurred\n");
}while (nStatus == ERROR_MORE_DATA); // end do
如果你愿意,还可以设计一下弱口令的探测规则,比如如果存在用户名为test,则可以尝试口令为“”,“test”,“test123”,“t”,“123”……这个规则越复杂成功率越高哦!大家熟悉的X-Scan 就是用这种方法获取远程主机信息的,口令探测也是这种方法实现的。
|