Ну а в этой части мы изложим основные принципы взлома защиты сетевых операционных систем Windows NT, Windows 2000, и сответственно особо не оличающимся от них в этом плане Windows XP.

 

 

Взлом Microsoft Windows 2000

Часть 1: Основные принципы взлома защиты сетевых операционных систем Windows NT и Windows 2000

 

В этой части мы изложим основные принципы взлома защиты сетевых операционных систем Windows NT и Windows 2000.

 

Почему нами выбрана группа операционных систем Windows NT/2000? Семейство операционных систем Windows NT/2000 (в дальнейшем просто Windows NT, т.к. Windows 2000 является по своей сути пятой версией NT) имеет богатейшие возможности работы с конфигурацией операционной среды, поддерживает устаревшее программное обеспечение для операционных систем DOS, Windows З.хх/95/98, что влечет за собой возможность с большей вероятностью найти в защите системы слабое место. Всегда надо помнить принцип: Обычно ломается лифт, а не лестница. Следовательно, чем проще, тем надежней.

 

Вторая причина, почему мы остановили свой выбор на семействе Windows NT — из-за популярности этих систем и распространенности их в мире. С одной стороны, украсть информацию из Windows NT/2000 затруднительно, т. к. сложность похищения информации вызвана, конечно, не безупречностью TCP/IP стека Windows NT, a его убогостью и отсутствие в стандартной поставке сетевых демонов и крайне ограниченный набор клиентских утилит (host, nslookup, talk и т.д.). Хакеры со всех концов света обратили на нее свое внимание и, естественно, нашли и находят прорехи в системе безопасности Windows NT.

 

Методы взлома, изложенные здесь, будут доступны для хакера не высокой квалификации. Те программы или средства, которые потребуются для подрыва защиты и проникновения в систему можно свободно найти на страницах Interneta. Кроме того, еще не все системные администраторы осознали необходимость комплексного подхода при защите информации для сетей под Windows NT. Обычно затраты на сохранность ценностей составляют от Ю до 30% от их стоимости. Но как оценить интеллектуальную собственность? Тут вступает в действие всемирный пофигизм, вот он — главный друг хакера.

 

Безопасности компьютерной системы или сети обычно присущи три составляющие:

 

1. Физический доступ к компьютеру;

 

2. Доступ в локальной сети;

 

3. Доступ в глобальной сети.

 

Эти три составляющие очень тесно связаны между собой, поэтому мы последовательно рассмотрим их. Приведенные ниже способы преодоления защиты этих трех уровней помогут понять сам принцип взлома системы. Кроме того, хакерские инструменты первого и второго уровня часто могут помочь взломщику компьютерных систем, если он работает удаленно через Internet.

 

Сделаем небольшое отступление. Необходимо понять один простой принцип. Все течет, все изменяется, и на любые каверзы хакеров умные программеры и системные администраторы придумают свои препоны и защиты. Но принцип взлома они победить не смогут, ибо, что один человек сделал, другой завсегда разобрать сможет. А те программы, которыми необходимо пользоваться, могут устареть или те конкретные дыры в защите, описанные в этой главе, через некоторое время будут залатаны песочно-бизэшным Билли... Начнем с простого.

 

Часть 2: Физический доступ к компьютеру

 

Что такое физический доступ к компьютеру? Это значит, что вы имеете доступ к компьютеру, на котором находится интересующая вас информация. Причем доступ этот физический, т.е. вы можете подойти к этой машине, потрогать ее ручками. Желательно, чтобы трогание ручками было воспринято окружающими без эмоций, а лучше вообще не воспринято, т.е. вы там частый гость, или лучший друг своего недруга (зачем друзей подставлять), или.., ну в общем, вы — ужас, летящий на крыльях ночи, никем не замеченный. Вот что значит физический доступ.

 

Сначала немного общеобразовательных моментов.

 

В семействе операционных систем Windows NT реализована возможность контроля за локальным доступом (т.е. доступом к локальному диску, винту, если так понятнее). Реализуется эта возможность с помощью новой (по сравнению с FAT) файловой системой NTFS на основе расширений файловой системы. Вообще-то, Windows NT поддерживает две системы FAT и NTFS. Поэтому мы рассмотрим способ взлома сначала для FAT.

 

Самый простой и надежный — загрузка с дискеты и копирование данных на zip-дисковод. Таким образом, вам становится доступным вся та часть информации, которая хранится с помощью FAT. Но такую халяву вам вряд ли когда подсунут. Скорее всего придется повозиться с NTFS. Вот тут и начинается наша песня.

 

NTFS используют всегда, когда требуется защитить информацию и распределить доступ к ней. Но вот беда — все это работает только при работе под Windows NT. А вот если вам удастся загрузить MS-DOS , дискеты, то любая информация из разделов, работающих под NTFS, может быль считана с помощью драйвера NTSFDOS.EXE (автор — Mark Russinovich, поклон ему земной). И никакая система безопасности Windows NT тут не поможет, ну кроме злобного сисадмина, который с дубинкой дежурил бы рядом. Но, естественно, нужен дисковод. Если его нет, а такое может быть, или он каким-то образом вам не доступен, и такое может быть тоже искать не судьба — надо искать другой способ.

 

Ну, вот вы незаметно загрузились с дискеты, запустили программку NTSFDOS.EXE и обнаруживаете, что ничего не видите или видите, но понять или прочесть не можете. А это значит, что сисадмин оказался чуть-чуть умнее, чем мы предполагали, и зашифровал информацию на диске посредством программных или аппаратных средств. Зашифровать он ее мог или средствами какой-либо посторонней программы (аппарата) или с помощью Windows NT (такая возможность уже появилась в Windows 2000). Так как мы в этой главе освещаем методы взлома Windows NT, то про методы взлома систем шифрования мало чего скажем. Мы просто перечислим некоторые из них:

 

SeNTry2020(http://www.sonwinter.com);

 

SecurityPlus (http://www.softbytelabs.com);

 

Cryptext (http://www.tip.net.au/~njpayne).

 

А если вдруг объектом вашего внимания стала машина, находящаяся на госпредприятии или на предприятии, на котором размещен госзаказ, то можно однозначно определить, что используемая там система шифрования — “Верба-OW” (http://www. security, ru), которая сертифицирована ФАПСИ. Конечно, это может быть и не эта система шифрования, но обязательно сертифицированная ФАПСИ. А таких систем не так уж много. Да и список таких систем можно легко узнать, так как нет лучшей рекламы для продажи, чем сертификат ФАПСИ.

 

В том случае, если информация зашифрована с помощью какой-либо программы, то самый простой способ — это найти ключ, способ потруднее — его отгадать. А вот если установлено аппаратное шифрование, то тут без ключа никак не обойтись. Ключ может быть программный, выносной (на внешнем носителе) и комбинированный. У нас и России распространены шифрующие контроллеры дисков серии КРИПТОН, имеющие сертификат ФАПСИ.

 

Если вам удалось получить физический доступ к информации на машине, то вы приступаете к следующей стадии взлома системы, а именно получению паролей пользователей системы и/или прав администратора. Существует такой файл SAM, в нем хранятся учетные записи пользователей и их пароли. Получить к нему доступ возможно, загрузившись с дискеты и скопировав этот файл. Сам файл располагается в каталоге WINNT SYSTEM32CONFIG. Когда Windows NT запущена и работает, доступ к файлу SAM, который располагается в директории WINNTSYSTEM32CONFIG, имеет только администратор, но файл можно скопировать, загрузившись с системной дискеты.

 

Если вам удалось заполучить файл SAM, то для взлома вы можете использовать программу LOPHTCrack. Найти ее возможно в поисковой системе Rambler.ru или Alta Vista. Ниже приведено более подробное описание данной программы.

 

Для того чтобы избежать просмотра паролей, их подвергают хешированию. Но, как известно, что зашифровали, то расшифровать можно. Хотя хеширование имеет одну неприятность: для восстановления пароля надо перебрать все возможные значения. А, следовательно, существует пропорциональная зависимость между временем, требуемым для дехеширования, длиной пароля и количеством применяемых символов.

 

Стандартно программы ограничивают длину пароля до 13-16 символов, хотя Windows NT поддерживает до 128 символов. Еще одна хитрость в том, что файл SAM содержит два хешированных представления одного и того же пользовательского пароля, полученные с помощью разных алгоритмов. Один из них — в стандарте Windows NT, другой — в стандарте LAN Manager. Вообще стандарт LAN Manager применяют для того, чтобы добиться совмещения с другими ОС, установленными на рабочих станциях, например: Windows 3.11 for Workgroups и Windows 95/98. Вот то, о чем мы писали выше: всевозможные достоинства можно обратить в недостатки: ведь хешированный пароль стандарта LAN Manager слабо устойчив к взлому, так как каждая из двух половин 14-байтового символьного пароля хэшируется независимо, а результаты затем соединяются. Таким образом, вычисление 14-байтового пароля эквивалентно взлому двух 7-байтовых паролей, что значительно сокращает число возможных комбинаций для перебора. По этой причине, если вы будете взламывать пароль, то сначала займитесь паролем, захэшированным по стандарту LAN Manager.

 

Существующая программа LOphtCrack, работающая на Pentium 11-450, может вскрыть пароль любой длины, как спелый арбуз, примерно за трое суток (ниже мы рассмотрим работу этой утилиты подробнее). Обычно наивные администраторы защищаются с помощью утилиты SYSKEY, входящей в состав Service Pack 3. SYSKEY позволяет дополнительно зашифровать данные в SAM, после чего программы извлечения и восстановления паролей не смогут корректно обрабатывать информацию из этого файла.Это надо учитывать. Но • помните — все течет, все изменяется, и последняя версия программы LOphtCrack позволяет пробить и дополнительное шифрование этой утилиты.

 

Часть 3: Извлечение и вскрытие текстовых паролей из украденной SAM

 

Рассмотрим взлом SAM файла более подробнее, углубимся, влетали... Итак, как было сказано ранее, информация обо всех пользователях Windows NT/2000 и их паролях хранится в базе данных системы .(registry), которая физически расположена в файле %SystemRoot%SYSTEM32CONFlGSAM-базе данных безопасности системы. Данный файл является по умолчанию заблокированным, т.к. используется прочими. компонентами системы. Поэтому вам не удастся напрямую скопировать этот файл. Однако, если администратор системы регулярно выполняет операцию создания диска ERD (Emergency Repair Disk), то относительно свежая копия данного файла содержится в директории %SystemRoot%REPAIR. Но если администратор системы не выполнял данную операцию, то полученная база будет содержать пользователей Administrator и Guest, с паролями присвоенными во время инсталляции операционной системы. Пароли в данном файле хранятся в 16-байтном значении, зашифрованном (в кодировке UNICODE) с использованием хэш-алгоритма MD4. Поэтому для взлома паролей Windows NT/2000, вам необходимо выделить из базы данных безопасности системы имя пользователя и соответствующее ему хэш-значение. Данная процедура может быть выполнена с использованием программного обеспечения, доступного через Internet и которое описано ниже.

 

Часть 4: Программа LOphtCrack

 

Программа LOphtCrack позволяет вычислять пароли, используя два различных метода. При использовании первого метода применяется поисковая словарная таблица, которую определяет специальный файл словаря. Хешированные пароли для всех слов в файле словаря уже являются вычисленными и сравниваются со всеми паролями для пользователей данной SAM. Когда имеется соответствие — пароль известен. Этот метод чрезвычайно быстр. Тысячи пользователей могут быть проверены при помощи 300 КБ файла словаря всего за несколько минут на обычном PII. Недостаток этого метода состоит в том, что при помощи словаря можно определить только очень простые пароли, которые существуют в английском языке (словарный запас которого не превышает 100 тыс. слов).

 

Для открытия словаря word-english вам необходимо выполнить команду “File” (Файл) “Open Woralist File” (Открыть словарь).

 

Второй метод использует последовательный перебор набора символов типа A-Z или A-Z и 0-9 (и также других наборов) и вычисляет хеш для каждого возможного пароля для этих символов. Единственный недостаток данного метода — время. Данный метод использует интенсивный перебор значений, что требует больших вычислительных мощностей. Чем больший набор символов вы указали в меню “Tools” (Сервис) ““Options” (Параметры), тем дольше времени требуется для перебора всех значений.

 

Набор символов A-Z требует приблизительно 7 часов вычислений на 600 герцовых процессорах PIII или Athlon. Представьте себе, что через каких-нибудь 7 часов вы будете иметь ключи от системы, и будете эдаким маленьким богом, местного значения или не местного, как повезет.

 

Набор А-Z и 0-9 требует приблизительно трое суток.

 

Однако программа LOphtCracks разработана с учетом возможности интенсивных и долговременных вычислений и может использовать преимущества многопроцессорных систем. Если вы не хотите, чтобы программа присутствовала в панели задач, выберите в меню “Window” (Окно)  “Hide, Ctrl+Alt+L to Show” (Спрятать, для вывода на экран нажмите Ctrl+Alt+L). При запуске данной программы на многопроцессорном сервере, она будет выполняться низким приоритетом, используя вычислительные возможности неактивного центрального процессора. Программа регулярно, через каждые пять минут, сохраняет результаты вычислений, что позволяет восстанавливать состояние вычислений в случаях отключения питания или перезагрузок.

 

Открытие файла, с которым программа работала до перезагрузки можно из меню “File” (Файл)  “Open Password File” (Открыть файл паролей).

 

Инсталляция

 

Для инсталляции просто разархинируйте дистрибутивный архив в любой каталог на жестком лиске. Создайте ярлык к программе lOphtcrack.exe (или 10phtcrack95.exe для Windows 95/98). Кроме того, если вы физически подключены к данной локальной сети и используете Windows NT 4.0 (или Window 2000), вы можете использовать сетевой sniffer readsmb.exe, при помощи которого можно получить пароли клиентских машин Windows 3.11/95/95 и MS-DOS-Перед использованием сетевого sniffer'a необходимо предварительно, установить сетевой NDIS-драйвер, который входит в дистрибутивный комплект. Этот драйвер может работать только поверх драйвера реально присутствующей в системе сетевой Ethernet-платы и использует протокол CSMA-CD. Для установки NDIS-драйвера откройте апплет “Network” (Сеть) в панели управления. На вкладке “Protocols” (Протоколы) нажмите кнопку “Add” (Добавить). Затем нажмите кнопку “Have Disk” (Установить с диска) и определите каталог, в который вы установили LOphtCrack и в котором находится файл ОепкеЦфлпГфайл. После перезагрузки вы сможете использовать сетевой sniffer readsmb.exe, для перехвата паролей клиентских машин Windows.

 

Получение хешированных паролей

 

Перед вычислением паролей необходимо получить доступ к хешированным паролям. Существуют три основных метода получения хешированных паролей:

 

непосредственно из системного реестра, из файла SAM или при помощи сетевого sniffer'a.

 

Получение хешированных паролей непосредственно из реестра

 

Если вы обладаете административными привилегиями, вы можете получить хешированные пароли, используя команду “Tools” (Сервис)  “Dump Password from Registry” (Получить дамп пароля из реестра). Для этого укажите имя компьютера или адрес IP в формате Computer_name или IP-address.

 

Однако сервер Windows NT/2000 может запретить попытку доступа к системному реестру по сети, если сконфигурирован надлежащим образом.

 

Кроме того, если версия Windows NT/2000 локализована, для группы “Administrator” используется переведенное на другой язык слово, например для русского языка “Администратор”. Для того, чтобы программа LOphtCrack корректно обратилась к дампу системного реестра удаленного компьютера, вам необходимо изменить ключ системного реестра на вашем локальном компьютере. Для этого запустите программу regedit.exe и отредактируйте значение ключа HKEY_CLIRRENT_USER SoftwareLHILOphtCrackAdminGroupName.

 

Присвойте значению этого ключа название группы “Administrator” для локализованной версии Windows NT (2000).

 

Получение хешированных паролей из файла SAM

 

Вы можете получить хеширонанные пароли из файла SAM на жестком диске, с резервной ленты или дискеты ERD (Emergency Repair Disk). Системный реестр NT фактически сохранен в нескольких различных файлах на системном диске в каталоге %SystemRoot%SYSTEM32CONFIG.Если вы имеете физический доступ в компьютеру с установленной операционной системой Windows NT/2000, вы можете загрузить машину при помощи системной дискеты DOS и использовать программу типа NTFSDOS (http://www.ntinternals.com/ntfs20r) чтобы скопировать файл SAM на гибкий диск. Затем вы можете использовать команду программы LOphtCrack “Import SAM File” (Импорт SAM-файла), которая расположена в меню “File” (Файл) чтобы извлечь хешированный пароль из файла SAM. Если вы работаете с компьютером Windows NT (2000) удаленно, то вам остается только воспользоваться резервной копией базы SAM, которая хранится в каталоге

 

%SystemRoot%REPAIR. Кроме того, если у вас имеется возможность получить доступ к кассетам стримера, на который производи гся ежедневный backup или к дискетам ERD, то вы можете скопировать файл SAM оттуда. Если вам удалось использовать дискету ERD, скопируйте оттуда сжатый файл sam._ и затем выполните команду:

 

EXPAND SAM._ SAM

 

Затем разжатый файл sam._ может импортироваться в LOphtCrack.

 

Однако, если администратор системы установил Service Pack 3 for NT 4.0 и использует утилиту 5У5КЕУдля дополнительной криптоустойчивой шифрации файлов реестра, то программа LOphtCrack (это справедливо для версий более ранних, чем LOphtCrack 2.5) не сможет произвести импорт файла SAM.

 

Использование сетевого sniffer'a для получения хешированных паролей.

 

Если администратор системы использует утилиту SYSKEY, и вам отказано в доступе к системному реестру по сети, имеется третий метод для получения хешированных паролей. Для этого используется сетевой sniffer, который выполняет прослушивание и отбор пакетов для всех устройств в физическом сегменте Ethernet-сети. Сетевой sniffer, включенный с LOphtCrack, реализован в виде файла readsmb.exe, который работает только в Windows NT 4.0 (в последней версии программы реализован сетевой sniffer” Windows 95/98).

 

Для запуска сетевого sniffer'a следует использовать команду:

 

READSMB > PASSWD

 

Как вы видите из данной команды, вся информация, полученная сетевым sniffer'ом, будет перенаправляться в текстовый файл passwd. Для сбора всех хешированных паролей пользователя достаточно запустить sniffer один раз утром, в период времени, когда большинство пользователей приходит на работу и производит регистрацию в сети. Затем вы можете прервать работу этой программы и открыть файл passwd в LOphtCrack.

 

Для включения режима отладки sniffer'a используйте команду –v:

 

REAOSMB -V

 

На медленных машинах -v опция может приводить к тому, что readsmb будет пропускать некоторые пакеты, так что эта опция действительна только для отладки и исследования.

 

Выделение паролей из хеша

 

После того, как вы получили набор хешированных паролей, и загрузили их в программу LOphtCrack, а также открыли словарь word-english, вы можете приступить к вычислению настоящих текстовых паролей. Для начала этой операции выполните команду “Run” (Запуск) из меню “Tools” (Сервис). Опции, установленные в диалоговом окне “Tools Options” по умолчанию, определяют, что сначала будет произведено вычисление паролей при помощи словаря word-english. Затем будет производится определение паролей при помощи последовательного перебора заданных значений, что требует уже более длительного времени. LOphtCrack сохраняет состояние вычислений каждые 5 минут в *.LСфайл.

 

Новые возможности LOphtCrack 2.52

 

• Увеличение быстродействия на 450% за счет оптимизированного ассемблерного кода для Pentium, Pentium MMX, Pentium Pro, и Pentium II и III. Это приводит к увеличению быстродействия. Все алфавитно-цифровые пароли могут быть найдены за трое суток на Pentium 11/450.

 

• Новый гибридный метод

 

расшифровки объединяет самые лучшие качества словарного и метода прямого подбора.

 

• Возможность подключения национальных словарей.

 

• Реализация сетевого 8MB sniffer'a для операционных систем Windows 95/98.

 

• Встроенная утилита PWDUMP2, которая позволяет произвести извлечение хешированных паролей из файла SAM, который зашифрован при помощи утилиты SYSKEY из SP3.

 

Утилита PWDUMP2 http://www.web-span.net/~tas/pwduinp2/ позволяет получить список хешированных паролей даже в системе с включенной утилитой SYSKEY. Данная программа может функционировать, если только, пользователь, ее запустивший, имеет привилегию “Отладка программ” и является членом группы Administrators. Кроме того, данная утилита может использоваться в том случае, если с атакуемой системы удалось получить копию базы данных безопасности системы.

 

• Получение паролей Windows NT при помощи PWL-фаилов.

 

Если вы получили доступ к клиентским компьютерам Windows 3.11/95/98, которые функционируют в локальной сети, вы можете узнать пароль системного администратора или других бюджетов в домене Windows NT косвенным образом. Для этого необходимо собрать все доступные *.PWL файлы, которые располагаются в системных каталогах Windows 3.11/95/98. Для расшифровки этих файлов вы можете использовать программу repwl.exe, которую можно найти по адресу http://web-don.com /vitas/pwltool.htm. Это одна из лучших программ для вычисления паролей из PWL-фаилов, которая почти мгновенно может вычислить любой пароль.

 

Открыв при помощи кнопки “Browse” (Пролистать) PWL-файл, выберите в списке нужный набор символов и затем нажмите кнопку “Search Password” (Поиск пароля). Найденные таким образом пароли помогут вам, затем получить доступ к главному доменному серверу Windows NT.

 

Но помните, что для более совершенной защиты, системные администраторы, которые посообразительней, могут не ограничиться применением специальных утилит, но могут установить вручную еще более жесткие права на объекты файловой системы. В частности, за рекомендациями по установке таких ограничений они могут обратиться по адресу:

 

http://www.microsoit.com/ntserver/security/exec /overview/ Secure_NTInstall.asp

 

Соответственно там же можно искать и противоядие от их мощной защиты.

 

К счастью, у дяди Билли работают еще такие люди, которые могут совершить ошибку, и благодаря таким людям мы можем проникнуть в систему через те дыры, которые они нам предоставляют. В частности, одной из таких дыр является возможность повысить свой уровень привилегий и войти в группу администраторов, а потом... Достигается это с помощью программы GetAdmin.exe (автор — Константин Соболев). Правда в Service Pack 4 возможность эта устранена, но рискнуть стоит. Идея, заложенная в ней, довольно таки проста и гениальна. Системные процессы в NT работают, как правило, под System Account, а значит, имеют на локальном рабочем месте администраторские права. Делайте вывод. Но, к сожалению Billy сработал оперативно, в SP4 это уже залатали. Но не стоит отчаиваться, кто ищет, тот всегда найдет.

 

Часть 5: Доступ в локальной сети

 

Если вы получили полный доступ к одной из рабочих станций в локальной или глобальной сети домена, вы можете использовать недостаточность защиты сетевых соединений серверов Windows NT. Слабая защита сетевых соединений приводит к тому, что, используя специализированное программное обеспечение, вы сможете

 

завесить сервер Windows NT (“отказ в обслуживании”) или даже получить права администратора путем перехвата административных сетевых соединений. Для этого применяются следующие виды атак:

 

• Использование Named Pipe File System

 

• Использование средств удаленного управления

 

Часть 6: Использование Named Pipe File System

 

Named Pipe File System является виртуальной файловой системой, которая не управляет файлами, а управляет каналами named pipes. Каналы named pipes относятся к классу файловых объектов вместе с файлами, дисковыми директориями, устройствами и почтовыми ящиками (mailslots). Поэтому большинство функций, предназначенных для работы с файлами (в том числе Create File, ReadFile и Write File), работают и с каналами. Канал named pipes представляет собой виртуальное соединение, по которому передается информация от одного процесса к другому. Информация может передаваться как в одну сторону (однонаправленный канал), так и в обе стороны (двунаправленный или дуплексный канал)- Создание виртуального канала в Windows NT происходит следующим образом:

 

• Серверный процесс создает канал на локальном компьютере с помощью функции программного интерфейса Win32 “CreateNamedPipe”.

 

• Серверный процесс активизирует канал при помощи функции “ConnectNamedPipe”, после чего к каналу могут подключаться клиенты.

 

• Далее производится подключение к каналу

 

computer_namepipepipe_name посредством вызова функции “Create File”.

 

Клиентский процесс может отключиться от канала в любой момент с помощью функции “CloseHandle”. Серверный процесс может отключить клиента в любой момент с помощью функции “DisconnectNamedPipe”.

 

После прекращения связи с клиентом серверный процесс может повторно использовать канал с помощью повторного вызова функции “ConnectNamedPipe”.

 

При помощи одного и того же канала сервер может одновременно обслуживать нескольких клиентов. Для этого серверный процесс может создать N-ное количество экземпляров канала, вызвав N-ное количество раз функцию “CreateNamedPipe” (при этом в каждом вызове должно быть, указано одно и то же имя канала).

 

Если канал имеет несколько экземпляров, клиент может быть подключен к любому свободному (не занятому другим клиентом) экземпляру этого канала.

 

После установления виртуального соединение серверный процесс и клиентский процесс могут обмениваться информацией при помощи пар функций “ReadFile” и “WriteFile”. Если один участник информационного обмена записывает данные в канал при помощи функции “WriteFile”, то другой участник может прочитать, используя функцию “ReadFile”.

 

Интерфейс Named Pipe File System широко используется операционной системой Windows NT для множества задач, некоторые из которых играют важную роль в обеспечении безопасности операционной системы. Например, удаленный вызов процедур (RPC) в Windows NT реализован как надстройка над NPFS. Однако в смысле защиты информации и устойчивости программам, интерфейс Named Pipe File System может использован для взлома или выведения из строя операционной системы. Ниже приведены две программы PipeBomb и AdminTrap, которые используют непродуманность реализации Named Pipe File System.

 

Часть 7: Программа PipeBomb

 

Прикладная программа PipeBomb производит открытие на запись в вечном цикле новых экземпляров определенного системного канала и записывает в них порции бесполезной информации. Через довольно короткий промежуток времени все свободные экземпляры канала будут заняты, после чего серверный процесс определяет, что все экземпляры его канала заняты, после чего начинает создавать новые экземпляры канала.

 

Каждый новый экземпляр канала обслуживается новым потоком (thread), под который отводится новый буфер в оперативной памяти для хранения информации. Клиентский процесс постоянно открывает новые экземпляры канала, поэтому серверному процессу приходится создавать новые потоки. Это приводит к максимальной загрузке процессора сервера, а объем свободной оперативной памяти этого компьютера быстро уменьшается. Через несколько минут атакованный компьютер становится практически неработоспособным. Данная программа одинаково эффективно работает как для атак на рабочие станции, так и на сервера Windows NT 4.0. Для начала атаки необходимо запустить программу PipeBomb и в поле ввести имя атакуемого компьютера.

 

Затем следует нажать кнопку “Create” (Создать) или “Write” (Записать), после чего любой сервер Windows NT будет завешен в течение двух минут. Эту атаку можно применять через Internet, инкапсулируя пакеты SMB в пакеты TCP/IP (сетевая составляющая интерфейса Named Pipe File System организована как надстройка над протоколом SMB).

 

Часть 8: Программа AdminTrap

 

Программа AdminTrap производит создание троянского экземпляра одного из системных каналов и ждет, когда к нему подключится клиент. Затем AdminTrap выполняет вызов функции Win32 “ImpersonateNamedPipeClient”, которая назначает маркер доступа (access token) клиента экземпляра канала, handle серверного конца которого указан в качестве параметра функции. Если выполнение функции прошло успешно, один из потоков программы AdminTrap получает полномочия пользователя-клиента троянского экземпляра канала.

 

Вероятность того, что программа AdminTrap после вызова “ImpersonateNamedPipeClient” получит полномочия администратора, весьма велика, если случайно удастся перехватить следующие сетевые соединения:

 

• winreg — удаленное управление реестром, списком сервисов, репликацией и административными оповещениями (alerts), удаленный просмотр системных журналов, удаленное диагностирование и оценка производительности;

 

• spoolss — удаленное управление принтером.

 

После запуска программа ожидает подключения администратора.

 

Когда администратор начнет выполнять одну из административных операций, сетевое соединение администратора перехватывается, программа выдает на экран окно, содержащее имя и список привилегий этого администратора, и предлагает осуществить создание нового пользователя с именем AdminTrap, который входит в группу “Administrators”.

 

Часть 9: Использование средства удаленного управления Back Oriffice 2000

 

Программа Back Orifice (дословный перевод — задний проход) является еще одним средством взлома серверов Windows NT и удаленного управления ими через Internet. В02К состоит из клиентской, серверной части и утилит, позволяющих добавлять некоторые новые функции и производить настройку серверной части.

 

Данное программное обеспечение может работать на компьютерах с установленными операционными системами Windows 95/98 и Windows NT.

 

Клиентская часть В02К (файл bo2kgui.exe) используется на компьютере хакера и позволяет получить доступ к машине с установленной серверной части по протоколам TCP или UPD по порту 31337.

 

Обычно перед внедрением серверной части (размер 120 Кб) производится сканирование подсети и выявление по конкретного IP-адреса. Затем серверная часть запускается на сервере при помощи любого локального бюджета. Хакер, используя клиентскую часть, может выполнять следующие действия:

 

• производить редактирование реестра;

 

• осуществлять полный контроль над файловой системой через браузер;

 

• получать информацию о введённых паролях;

 

• просматривать текущее состояние экрана на сервере;

 

• просматривать сетевые ресурсы, подключенные к серверу;

 

• управлять системными процессами;

 

• выполнять удалённую перезагрузку;

 

• удалённо выполнять программы с возможностью перенаправления консоли на компьютер хакеру.

 

Перед внедрением серверная часть конфигурируется при помощи Мастера конфигурирования В02К Configuration Wizard (файл bo2kcfg.exe). Мастер В02К Configuration Wizard позволяет выбрать файл сервера В02К (bo2k.exe) и задать пароль, который затем будет использоваться для доступа по сети. Кроме того, мастер позволяет выбрать порт для IP-соединения, метод шифрования соединений между клиентом и сервером. Вам необходимо указать, какой сетевой модуль будет использоваться в IP-соединениях TCP или LJPD. TCP-соединения обычно используются для организации управления через сеть Internet. UPD-соединения применяются для работы в ЛВС.

 

Кроме того, данная утилита используется для добавления к основному запускаемому модулю bo2k.exe дополнительных возможностей, которые реализованы в виде Plugins DLL.

 

Часть 10: Удаленный взлом Windows NT через Internet

 

Самым трудным взломом Windows NT считается удаленный взлом через Internet. В самом начале у атакующего отсутствует вообще, какая либо информация, кроме имени хоста и его IP-адреса. Если на удаленном сервере работает Web-сервер, вы тоже сразу же сможете интуитивно определить, с какой операционной системой вы имеете дело. Для этого следует, используя браузер, провести исследование страничек и отрытых для просмотра каталогов Web-сервера. Для Web-серверов IIS 3.0/4.0/5.0, которые являются продуктами Microsoft и работают исключительно под Windows NT, характерны следующие особенности: Web-страницы имеют расширения *.htm, *.asp; страницы имеют кодировку Win 1253, а не K018-R (для русскоязычных страниц) и прочие косвенные признаки.

 

Кроме того, следует тщательно просмотреть структуру каталогов документов и скриптов. Каталоги документов, в которых отсутствуют файлы index, htm покажут вам полный список файлов и расположенных ниже директорий. Случайно бродя по Internety, вы можете случайно наткнуться на такой Web-сервер новостей штата Айдахо http://www.ida-honews.com/, который полностью соответствует описанным критериям. Но самое смешное, то, что у этого сервера открыты для просмотра каталоги скриптов scripts и cgi-bin.

 

Если каталоги скриптов scripts и cgi-bin открыты для просмотра, то этот сервер просто находка для опытного хакера. Используя браузер, удаленный клиент может запускать любые файлы из этих директорий на Web-сервере. Остается каким-либо способом загрузить одну из программ, описанных раннее, в каталоги скриптов scripts и cgi-bin. Для этого исследуем открытые каталоги более подробно.

 

Как вы можете видеть из рисунка, открытый каталог

 

cgi-bin позволил нам получить информацию о том, что данный сервер Windows NT использует язык Perl. Используя обычный браузер, вы можете скачать все скрипты из этих директорий и произвести их анализ на получение различного рода информации об удаленном сервере. Кроме того, в каталоге cgi-bin находится подкаталог MSWin32-x86-object. Войдем в него и просмотрим его содержимое.

 

Как мы видим из рисунка, подкаталог MSWin32-x86-object содержит инсталлированную версию языка Perl 5.0, а также сам дистрибутив Perl 5.00502.exe. Затем скачаем из этой директории файл регистрации ошибок PerlIS-Err.log:

 

*** 'E:docs' error message at: 1998/11/24 13:23:57

 

Can’t open perl script 'E:docs": Permission denied

 

*** 'E:docs' error message at: 1998/12/25 04:49:16

 

Can't open perl script "E:docs': Permission denied

 

*** 'E:docs' error message at: 1999/03/26 16:05:43

 

Can't open perl script "E:docs": Permission denied

 

*** 'E:docs' error message at: 1999/09/08 11:39:54

 

Can't open perl script "E:docs"' Permission denied

 

*** 'E:docs' error message at: 1999/09/08 11;:58:34

 

Can't open perl script "E:docs": Permission denied

 

*** 'E:docs/idaho8' error message at: 1999/10/25 13:51:51

 

Can't open perl script 'E:docsldaho8": Permission denied

 

Конечно, данный журнальный файл дает не слишком много информации, кроме той, что основные документы расположены на диске Е: в каталоге docs, и также PerI.exe использовался раннее для неудачных попыток проникновения в систему. Затем следует просмотреть документацию в сети Internet по ошибкам и дырам в реализации Perl 5.0 для Windows NT и, исходя из этого, произвести анализ находящихся в каталогах scripts и cgi-bin *.р1-скриптов.

 

Производим просмотр каталога scripts.

 

Открытый каталог scripts дает нам следующую информацию:

 

• Подкаталог /scripts/centralad/

 

содержит средства для централизованного администрирования какой-то информационной системы.

 

• Подкаталог scripts/iisadmin/

 

содержит HTML-версию для администрирования Web-сервера IIS, которая очень может пригодиться при взломе системы.

 

• Подкаталог scripts/tools/ содержит различные утилиты для IIS.

 

• Файл General.mdb — файл базы

 

данных Microsoft Access, говорит о том, что возможно на сервере установлена СУБД MS Access;

 

• Файлы PASSWRD2.EXE и

 

PASSWRD2.CPP имеют очень странное имя PASSWRD2.*, которое напоминает одно из известных хакерских инструментов. Создается впечатление, что данный сервер уже ломали раннее, т.к. возможно эти файлы были загружены на сервер хакерами.

 

Затем можно просканировать данный хост на наличие открытых портов, и, следовательно, сервисов, на нем установленных. Для сканирования портов вы можете использовать следующие сканеры портов Windows:

 

• 7th Sphere PortScan v 1.1

 

• All Around Internet

 

• Ogre v0.9b

 

• Port Scannerv1.1

 

• Port Scan Plus

 

• SiteScan by Rhino9/Intercore

 

• TCP Port Scanner

 

• UltraScanvl.2.

 

Данные утилиты вы можете получить со страницы

 

http://208.234.248.19:81/hack/genar/archive5.ht ml. Наиболее полезным и простым сканером портов является Ogre v0.9b (Rhino9). Другие сканеры портов под Windows или UNIX вы сможете отыскать при определенном упорстве в сети Internet.

 

Утилита Ogre обеспечивает взломщика эффективным инструментом для сбора информации об уязвимых местах для серверов Windows NT и прочих хостов Internet.

 

Ogre позволяет выполнить ряд тестов для выбранной подсети класса С и проверить хосты на известные дыры в операционных системах Windows 95 и Windows NT, а также в установленном программном обеспечении. Утилита Ogre позволяет:

 

• Определить активные хосты в данной подсети класса С;

 

• Просмотреть выявленные хосты, чтобы определить доступные удаленные службы и порты, по которым к ним можно обратиться;

 

• Получить информацию

 

относительно состояния netbios (Nbtstat);

 

• Просмотреть доступные сетевые ресурсы, выделенные в совместное использование (net view);

 

• Проверить существование

 

серверных расширений Microsoft Frontpage;

 

• Проверить присутствия в системе средства администрирования НТМ1для115;

 

• Проверить существование

 

индексированных по умолчанию документов Index Server.

 

Часть 11: Использование утилиты Ogre для проверки подсети сервера новостей штата Айдахо

 

Перед использованием этой утилиты необходимо получить IP-адрес сервера http://www.idahonews.com/.

 

Для этого выполним команду ping www.idahonews.com:

 

Pinging www.idahonews.cum [198.60.102.4] with 32 bytes of data:

 

Request timed out.

 

Request timed out.

 

Request timed out.

 

Request timed out.

 

IP-адрес сервера отображается через DNS, однако ping не проходит. Это означает, что данный сервер прикрыт firewall'ом и сканирование его портов будет неудачным. Однако сканирование данной подсети позволит выявить другие сервера домена idahonews.com.

 

Для тестирования подсети, в которой находится сервер новостей штата Айдахо, введем первый адрес подсети в IP в поле “Starting IP” (Начальный IP-адрес) 198.60.102.1. Затем, введем последний адрес подсети в “Ending Octet” 254 (Конечный октет). Для начала сканирования нажмем кнопку “Start scan” (Начать сканирование).

 

После сканирования получим следующие результаты:

 

Scanning - 198.60.102.1

 

===================

 

Commencing Port Scan:

 

 

 

Port 21: Closed

 

Port 23: Open

 

Port 26: Closed

 

Port 53: Closed

 

Port 79: Open

 

Port 80: Closed

 

Port 110: Closed

 

Port 111: Closed

 

Port 139: Closed

 

Port 443: Closed

 

Port 1080: Closed

 

Port 8181: Closed

 

 

Scanning - 198.60.102.2

 

 

* Inactive IP address*

 

 

Scanning - 198.60.102.39

 

*Inactive IP address*

 

Scanning - 198.60.102.3

 

*Inactive IP address*

 

Scanning - 196.60.102.4

 

*Inactive IP address*

 

Scanning - 198.60.102.5

 

Commencing Port Scan:

 

Port 21: Closed

 

Port 23: Closed

 

Port 25: Open

 

Port 53: Open

 

Port 79: Open

 

Port 80: Closed

 

Port 110. Closed

 

Port 111: Closed

 

Port 139: Closed

 

Port 443: Closed

 

Fort 1080. Closed

 

Port 8181: Closed

 

Scanning - 198.60.102.6

 

*Inactive IP address*

 

 

 

Scanning - 198.60 102.38

 

Commencing Port Scan:

 

Port 21: Closed

 

Port 23: Closed

 

Port 25: Open

 

Port 53: Open

 

Port 79: Open

 

Port 80: Closed

 

Port 110: Open

 

Port 111: Closed

 

Port 139: Closed

 

Port 443: Closed

 

Port 1080: Closed

 

Port 8181: Closed Scanning - 198.60.102.40

 

*Inactive IP address*

 

Scanning - 198.60.102.54

 

 

 

 

*Inactive IP address*

 

Scanning - 198.60.102.55

 

Commencing Port Scan:

 

Port 23: Closed

 

Port 21: Closed

 

Port 25: Open

 

Port 53: Open

 

Port 79: Open

 

Port 80: Closed

 

Port 110: Open

 

Port 111: Closed

 

Port 139: Closed

 

Port 443: Closed

 

Port 1080: Closed

 

Port 8181: Closed

 

Scanning - 198.60.102.56

 

*Inactive IP address*

 

Scanning - 198.60.102.254

 

*Inactive IP address*

 

Идеальным вариантом при взломе Windows NT были бы открытые порты 135-139. Тогда бы мы смогли получить массу познавательной информации о сервере, его сервисах и прочих ресурсах. Однако при сканировании мы получили:

 

Scanning - 198.60.102.4

 

*Inactive IP address*

 

Действительно, данный сервер прикрыт firewall'ом. Попробуем определить его тип, выполнив трейсинг соседних активных хостов. Для этого выполним команду tracert 198.60.102.1 (для UNIX команда traceroute):

 

Tracing route to Cisco, idahonews. com

 

[198.60.102.1] over a maximum of 30 hops:

 

11 240 ms 241 ms 240 ms gbr2-

 

pO1.wswdc.ip.att.net [12.123.8.241] 12 261 ms

 

260 ms 251 ms gbr1-p40.oc-48.sl9mo.ip.att.net

 

[12.122.2.82] 13 330 ins 301 ms 390 ms

 

gbr2-p50.oc-12.sffca.ip.att.net [12.122.3.17] 14

 

301 ms 320 ins 311 ms ar2-

 

a3120s4.sffca.ip.att.net [12.127.1.145] 15 401

 

ms 350 ms 351 ms 12.126:207.46 16 381 ms

 

350 ms 371 ms cisco: idahonews.com

 

[198.60.102.1]

 

Trace complete

 

Еще одной распространенной ошибкой администраторов небольших сетей является манера давать названия хостам, исходя из выполняемой ими функций. Благодаря этому мы получили информацию, что хостом по адресу 198.60.102.1 является Firewall корпорации Cisco. Его так просто нс хакнешь. Хотя, конечно, существует шанс, что ленивый админ забыл сменить заводской пароль. У хоста cisco.idahonews.com открытыми являются полученные при сканировании Ogre порты: 23 (Telnet), 79.

 

Затем выполним команду tracert

 

198.60.102.5:

 

Tracing route to router. idahonews.com

 

[198.60.102.5] over a maximum of 30 hops:

 

12 260 ins 270 ms 261 ms gbr1-p40.oc-

 

48.sl9mo. ip.att.net [12.122.2.32] 13 321 ms

 

310 ms 300 ms gbr2-p50.oc-12.sffca.ip.att.net

 

[12.122 ЗЛ/] 14 310 ms 3?1 ms 320 ms

 

ar2-a300s3.sffca.ip att. not [12.127.b.177] 15

 

341 ms 340 ms 371 ms 12.126.207.34 16 371

 

ms * * 198.60.104.181 17 361

 

ms 361 ins 370 ms router, idahonews. com

 

[198.60.102.5]

 

Trace complete

 

Опять мы получили информацию, что хостом по адресу 198.60.102.5 является маршрутизатор router (который может быть реализован в виде аппаратного устройства или обычного UNIX-роутера). У хоста router.idahonews.com открыты порты:

 

25 (SMNP-почта), 53 (DNS-сервср), 110 (POP-сервер). Исходя из открытых портов, можно с уверенностью заявить, что данный сервер является почтовым и DNS-сервером. Можно с большой уверенностью сказать, что данный маршрутизатор передает пакеты во внутреннюю л скальную подсетку idahonews.com 192.168.0.*.

 

Трассировка других хостов подсетки 198.60.102.6-253 дала информацию, что другие IP-адреса не имеют никакого отношения к домену idahonews.com.

 

Как мы видим, полученной полезной информации явно не хватает для проникновения в систему. Для взлома www.idahonews.com необходимо собрать наиболее полную информацию обо всех трех хостах. Кроме того, взлом Firewall'ов Cisco и Unix-роутерон выходит за границы данной темы. Поэтому мы рассмотрим идеальный вариант, при котором сервер Windows NT не был прикрыт Firewall'ом, и порты 135-139 были бы открыты.

 

Часть 12: Взлом сервера Windows NT

 

Идеальный вариант

 

Итак, рассмотрим идеальный вариант, при котором к сети Internet подключен сервер Windows NT, который не прикрыт Firewall'ом и хотя бы один порт в диапазоне 135-139 открыт. Такое иногда бывает и сейчас, когда молодая компания недавно начала свой бизнес, не имеет ни малейшего понятия о том, зачем ей firewall, а также пытается сэкономить деньги. Кроме того, может быть, в такой компании работает неопытный системный администратор, который просто инсталлирует Windows NT и устанавливает последний Service Pack. Затем ставится и настраивается I1S, после чего админ успокаивается, хотя ему следовало, прежде всего, включить аудит, сконфигурировать реестр, поставить последние патчи и fix'ы, а также отключить все ненужные службы и привязки (Binding) в настройках аппрета “Network” (Сеть).

 

Если сервер новостей штата Айдахо не был подвергнут вышеописанным настройкам, утилита Ogre выдала бы следующую . информацию:

 

Scanning - 198.60.102.4

 

Commencing Port. Scan:

 

Port 21: Open

 

Допустим, что открыта служба FTP, которая входит в состав IIS.

 

Port 23: Closed

 

Purl: 25: Open

 

Допустим, что открыта служба SMNP, которая “ходит в состав I1S

 

Purl 53: Open

 

Port 79: Closed

 

Port 80: Open

 

Допустим, что открыта служба HTTP, которая входит в состав IIS.

 

Port 110: Open

 

Port 111: Closed

 

Port 139: Open

 

Допустим, что возможен File Sharing.

 

Port 443: Closed

 

Port 1080: Closed

 

Port 81Ц1: Closed

 

Surveying Web Server:

 

--Checking for Vulnerable URLs:

 

Frontpage Extensions: Not Present

 

IIS HIML Adniini strati on Interface:

 

Present

 

Допустим, что возможно управление сервером через IIS.

 

I1S Samples: Present Commencing Nbtstat Scan:

 

NetBIOS Remote Machine Name Table

 

Name Type Status

 

Registered Registered Registered

 

Registered Registered Registered Registered

 

Registered Registered Registered Registered

 

 

 

MAC Address = XX-XX-XX-XX-XX-XX

 

Символами X, Y и Z, заменены реальные значения, которые мы получили бы, если бы сервер не был бы firewall'ом.

 

YYYYY <00> UNIQUE ----- Имя машины

 

YWYY <20> UNIOUE

 

ZZZZZZZZZ <00> CROUP

 

ZZZZZZZZZ <1C> GROUP

 

ZZZZZZZZZ <1B> UNIOUE

 

ZZZZZZZZZ <1E> GROUP

 

YYYYY <03> UNTOUE

 

ZZZZZZZZZ <1D> UNIQUE

 

Inet Services <1C> GROUP

 

..__.MSBROWSE__.<01> GROUP

 

IS"YYYYY.......<00> UNIQUE

 

Кроме того, информацию по Net ВI мы можем получить, выполнив команду nbtstat -А х.х.х.х.. Для расшифровки кодов имен NetBIOS пы можете использовать описания кодов.

 

• Термин UNIQUE означает, что одному имени которого присвоен один IP-адрес;

 

• Термин GROUP означает нормальную группу, одному имени которой может принадлежать группа IP-адресов.

 

Для идеального варианта, который мы рассматриваем, мы получили информацию, от которой можно отталкиваться при взломе Windows NT. Из этой информации можно понять, что сервер предоставляет доступ для выделенных в совместное использование ресурсов и FTP. Затем можно попробовать зайти на сервер, используя бюджеты, которые стандартно присутствуют в Windows NT (Guest, Administrator), однако наверняка у пас ничего не получится. Кроме того, вы можете попытаться использовать бюджеты IIS (Internet Information Service), обычно они выглядят так 1и8К_<имя машины>. При помощи утилиты Ogre мы получили информацию, что имя машины YYYYY, следовательно, бюджет IIS будет IUSR_ YYYYY. Однако и с этим вариантом, наверное, тоже ничего не получится.

 

Для взлома сервера Windows NT с выделенными в совместное использование каталогами, вам следует использовать утилиты, которые позволяют производить подключение к выделенным ресурсам с пользовательскими бюджетами и выполняют подбор пароля из словаря и/или прямым перебором всех возможных вариантов.

 

Использование программы NAT для подбора паролей к выделенным в совместное использование ресурсам

 

Наиболее удобной и полнофункциональной из этих утилит является программа NetBIOS Auditing Tool, реализации которой есть как под UNIX, так и под Win32.

 

Изначально программа Nat была создана для выполнения различных проверок защиты операционных систем, использующих NetBIOS. Данная программа работает в режиме командной строки. Вот ее синтаксис:

 

NAT [-0 <ФАЙЛ_РЕЗУЛЬТАТОВ>] [-U <ФАЙЛ_СПИСКА_ПОЛЬЗОВАТЕЛЕЙ>] [-Р <ФАЙЛ_ СЛОВАРЯ_ПАРОЛЕЙ>]

 

По умолчанию в качестве файла списка пользователей используется файл Userlisl.txI. Подправим этот файл, добавив в него новые' имена, полученные при помощи программы Ogre. Файл словаря паролей лучше взять из программы LOphtCrack, сохранить под именем Passlisl.lxl. Добаиим в него имена, полученные при помощи программы Ogre. Затем из командной строки выполним программу nat:

 

NAT -o REZALT.TXT 198.60.102.4

 

Программа NAT произведет тестирование всех сетевых служб, пробуя произвести подключение.

 

Обычно данный процесс бывает довольно длительным, продолжительность которого зависит от того, насколько удачно были составлены файлы списка пользователе” и паролей. Однако с большой уверенностью можно сказать, что программа NAT сумеет подобрать пароль к одному из бюджетов в промежутке от 30 минут до 50 часов.

 

Далее процессу взлома сервера Windows NT гарантирован практически 100% успех. Время, которое потребуется для взлома системы зависит от того, насколько туп администратор системы. Если программе NAT удалось определить пароль для бюджета

 

Administrator, то на этом процесс взлома успешно закончен, и вы можете делать с сервером практически что угодно. Если бюджет, который программа NAT определила, не является бюджетом Administrator, то время взлома зависит от того, какими возможностями обладает данный аккаунт и на какие ресурсы он имеет права доступа. Может быть, удастся подсоединить диск, используя команду NET USE и скопировать резервную копию файла базы данных паролей SAM._ из каталога WINNT/REPAIR для последующего вскрытия при помощи программы LOphtCrack, как уже было описано выше. Кроме того, подсоединив диск при помощи NET USE (или при помощи FTP) может быть удаться загрузить на удаленный компьютер одну из программ, которые помогут получить права администратора (Getadmin и т.д.). Для выполнения таких программ удаленно на серверах Windows NT, следует скопировать данные в каталог скриптов или в InetPub/cgi-bin. Затем, используя браузер, можно выполнить удаленно на сервере данные программы, введя в строке адреса строчку:

 

http://www. idahonews/scripts/getadfnin.exe?mmmm

 

где mmmm, является именем пользователя, пароль которого вы определили.

 

Таким же образом, возможно, выполнить любую хакерскую утилиту вроде PWDUMP.EXE (для получения хеша пароля администратора) или троянские программы вроде Back Orifice или NetBus (http://indigo.ie/~lmf/nb.htm), которые позволят сделать довольно многое.

 

Продолжение следует...