Trước khi tiếp tục chúng ta cần tìm hiểu thêm một số thông tin về dòng
Window2000 ( 2000 Pro, 2000 family và 2000 Advandce server ) và Windows
XP. Mặc định sau khi cài đặt xong các hệ điều hành này thì tất cả các ổ
đĩa của và một số thư mục của chúng sẽ được thiết lập ở chế độ Share ẩn.
Thế Share ẩn là gì ? Bình thường nếu bạn đã làm việc trong môi
trường mạng thì việc chia sẻ các ổ đĩa hay thư mục bằng cách bấm phím
phải chuột trên ổ đĩa hay thư mục và chọn Sharing => Ổ đĩa hay thư
mục đó sẽ xuất hiện trên mạng. Nhưng nếu bây giờ ta thêm vào sau tên của
ổ đĩa hay thư mục chia sẻ ký hiệu $ thì việc chia sẻ vẫn xảy ra nhưng
không hiện lên trên mạng và chỉ có người nào biết đường dẫn chính xác
mới có thể sử dụng đựơc các tài nguyên này.
Để xem được các thông tin về việc chia sẻ trên máy tính của mình bạn có thể vào Start\Program\Administrator Tools\Computer management sau đó chọn vào mục Shared Folders để kiểm tra lại máy của mình ( Nếu trong Program chưa có mục Administrator Tools bạn bấm phím phải chuột trên nút Start chọn properties sau đó chọn mục Display Administrator Tools ).
Ví dụ bạn có thể nhìn thấy các thông tin sau :
Nếu bạn đang dùng XP thì ADMIN$ sẽ là C:\WINDOWS( Thư mục mặc định khi bạn cài XP ). ....
Bạn có thể cắt tất cả các chế độ Share của các ổ trên máy tính
nhưng riêng IPC$ thì không thể bỏ nó đi đựơc ( Trên 4rum đã có một bài
nói về cách tất chế độ Share của IPC$ bằng cách sử dụng một số lệnh viết
trong File autoexec.bat - Bạn có thể tìm lại bài đó để xem).
Thế còn thông tin về user và pass được lưu ở đâu, trên các hệ thống
NT và windows2000 và XP chạy ở nhà ( Stand - alone ) các thông tin này
được lưu ở trong File %systemroot%\system32\config\sam.
Với %systemroot % - chính là thư mục mà bạn cài đặt windows ( có thể là windows, winNT ...etc ).
Và File đó gọi là File SAM - Security Accounts Manager. Các
thông tin lưu trong này được mã hoá theo cái gọi là one- way function (
OWF) hoặc giải thuật Hash và kết quả là giá trị mà nó lưu giữ không thể
đựơc giải mã (decrypted).
Trong Windows2000 Domain Controller các thông tin này đựơc lưu
trong Active Directory ( nếu khi cài đặt để ở chế độ mặc đinh thì nó
nằmg trong %systemroot%\ntds\ntds.dit - File
này vào khoảng 10Mb => Việc Down về để giải mã cũng như việc giả mã
là không thể => thường nếu định dò pass của DC thì tốt nhất là"
chuyển " )
SID
Khi Windows2000 hay Windows2000 Domain được cài đặt nó sẽ sinh ra
một số ngẫu nhiên cho mỗi User - Đây là một số 48 Bit được gọi là Security Indentifier (SID)
Một số SIDcó thể có dạng như sau :
S-1-5-21-1507001333-1204550764-1011284298-500
Một SID bao giờ cũng bắt đầu với chữ S và các thành phần của nó
được ngăn cách nhau bởi dấu trừ ( Hyphens ). Số đầu tiên là số duyệt (
Revision number ) - ỏ ví dụ trên nó là 1
Số thứ hai là là nói về HDH - ví dụ số 5 luôn luôn là của
Windows2000. Tiếp theo là 4 nhóm chữ sô và cuối cùng là RID ( relative
Identìier ). Chà ta quan tâm đến RID một tý nào.
Nếu một SID mà có RID là 500c => Đó là Amin của máy cục bộ
RID là 501 => guest.
Nếu ở trong Domain thì RID luôn bắt đầu từ 1000 khi tạo ra User đầu
tiên => khi ta nhìn thấy RID =1015 => hệ thống có 14 User đựoc
tao ra trong hệ thống.
OK => đến đây ta lại quay lại bài NetBIOS hacking và cách phòng chống.
Hầu hết các User đều cho rằng khi Disable netBIOS over TCP/IP ( Bấm
vào My Network Places chọn Local Area Connetion, chọn TCP/ IP sau đó
bấm vào propperties chọn Advandce, chọn WINS và bấm vào Disable NetBIOS
over TCP/IP) là đã chặn đựơc cách thâm nhập vào máy qua NetBIOS.
Thực ra việc thiết lập này chỉ chặn trên cổng 139. Khác với NT4,
Windows2000 còn chạy một SMB lắng nghe trên cổng 445. Cổng này vẫn còn
Active cho dù NetBIOS over TCP / IP đã đựoc Disable..
Phần Windows SMB cho Cllient từ sau version NT4 SP 6a sẽ tự động
chuyển lên cổng 445 nếu như cố gắng kết nối trên cổng 139 =>
Ta có thể thiết lập một kết nối gọi là " null sesion" tới máy của victim
net use \\192,168.203.33\IPC$ "" /u:"" <= thiết lập một kết nối với anonymous user (/u) và pass rỗng (""). Nếu thành công ta cũng có thể sử dụng Net view để xem các tài nguyên được chia sẻ trên máy victim ....
=> Để chống lại ta có thể can thiệp vào Registry :
HKLM\system\CurrentControlSet\Control\LSA\RestrictAnonymous
Bấm đúp vào key RestrictAnonymous ở panel bên phải và nhập vào trong khung Value 2
RestrictAnonymous có 3 giá trị:
Ở đây bạn phải lưu ý rằng nêu bạn để RestrictAnonymous với giá trị
là 1 thì vẫn có thể dung một số Tool như user2sid/sid2user hay UserInfor
hoặc UserDump .... để lấy được thông tin về user và truy nhập vào máy
bạn được.
Window2000 ( 2000 Pro, 2000 family và 2000 Advandce server ) và Windows
XP. Mặc định sau khi cài đặt xong các hệ điều hành này thì tất cả các ổ
đĩa của và một số thư mục của chúng sẽ được thiết lập ở chế độ Share ẩn.
Thế Share ẩn là gì ? Bình thường nếu bạn đã làm việc trong môi
trường mạng thì việc chia sẻ các ổ đĩa hay thư mục bằng cách bấm phím
phải chuột trên ổ đĩa hay thư mục và chọn Sharing => Ổ đĩa hay thư
mục đó sẽ xuất hiện trên mạng. Nhưng nếu bây giờ ta thêm vào sau tên của
ổ đĩa hay thư mục chia sẻ ký hiệu $ thì việc chia sẻ vẫn xảy ra nhưng
không hiện lên trên mạng và chỉ có người nào biết đường dẫn chính xác
mới có thể sử dụng đựơc các tài nguyên này.
Để xem được các thông tin về việc chia sẻ trên máy tính của mình bạn có thể vào Start\Program\Administrator Tools\Computer management sau đó chọn vào mục Shared Folders để kiểm tra lại máy của mình ( Nếu trong Program chưa có mục Administrator Tools bạn bấm phím phải chuột trên nút Start chọn properties sau đó chọn mục Display Administrator Tools ).
Ví dụ bạn có thể nhìn thấy các thông tin sau :
Sharename Resource Remark
------------------------------------------------------
ADMIN$ C:\WINNT Remote Admin
C$ C:\ Default Share for Internal Use
D$ D:\ Default Share for Internal Use
E$ E:\ Default Share for Internal Use
print$ C:\WINNT\SYSTEM\SPOOL
IPC$ Remote IPC
Nếu bạn đang dùng XP thì ADMIN$ sẽ là C:\WINDOWS( Thư mục mặc định khi bạn cài XP ). ....
Bạn có thể cắt tất cả các chế độ Share của các ổ trên máy tính
nhưng riêng IPC$ thì không thể bỏ nó đi đựơc ( Trên 4rum đã có một bài
nói về cách tất chế độ Share của IPC$ bằng cách sử dụng một số lệnh viết
trong File autoexec.bat - Bạn có thể tìm lại bài đó để xem).
Thế còn thông tin về user và pass được lưu ở đâu, trên các hệ thống
NT và windows2000 và XP chạy ở nhà ( Stand - alone ) các thông tin này
được lưu ở trong File %systemroot%\system32\config\sam.
Với %systemroot % - chính là thư mục mà bạn cài đặt windows ( có thể là windows, winNT ...etc ).
Và File đó gọi là File SAM - Security Accounts Manager. Các
thông tin lưu trong này được mã hoá theo cái gọi là one- way function (
OWF) hoặc giải thuật Hash và kết quả là giá trị mà nó lưu giữ không thể
đựơc giải mã (decrypted).
Trong Windows2000 Domain Controller các thông tin này đựơc lưu
trong Active Directory ( nếu khi cài đặt để ở chế độ mặc đinh thì nó
nằmg trong %systemroot%\ntds\ntds.dit - File
này vào khoảng 10Mb => Việc Down về để giải mã cũng như việc giả mã
là không thể => thường nếu định dò pass của DC thì tốt nhất là"
chuyển " )
SID
Khi Windows2000 hay Windows2000 Domain được cài đặt nó sẽ sinh ra
một số ngẫu nhiên cho mỗi User - Đây là một số 48 Bit được gọi là Security Indentifier (SID)
Một số SIDcó thể có dạng như sau :
S-1-5-21-1507001333-1204550764-1011284298-500
Một SID bao giờ cũng bắt đầu với chữ S và các thành phần của nó
được ngăn cách nhau bởi dấu trừ ( Hyphens ). Số đầu tiên là số duyệt (
Revision number ) - ỏ ví dụ trên nó là 1
Số thứ hai là là nói về HDH - ví dụ số 5 luôn luôn là của
Windows2000. Tiếp theo là 4 nhóm chữ sô và cuối cùng là RID ( relative
Identìier ). Chà ta quan tâm đến RID một tý nào.
Nếu một SID mà có RID là 500c => Đó là Amin của máy cục bộ
RID là 501 => guest.
Nếu ở trong Domain thì RID luôn bắt đầu từ 1000 khi tạo ra User đầu
tiên => khi ta nhìn thấy RID =1015 => hệ thống có 14 User đựoc
tao ra trong hệ thống.
OK => đến đây ta lại quay lại bài NetBIOS hacking và cách phòng chống.
Hầu hết các User đều cho rằng khi Disable netBIOS over TCP/IP ( Bấm
vào My Network Places chọn Local Area Connetion, chọn TCP/ IP sau đó
bấm vào propperties chọn Advandce, chọn WINS và bấm vào Disable NetBIOS
over TCP/IP) là đã chặn đựơc cách thâm nhập vào máy qua NetBIOS.
Thực ra việc thiết lập này chỉ chặn trên cổng 139. Khác với NT4,
Windows2000 còn chạy một SMB lắng nghe trên cổng 445. Cổng này vẫn còn
Active cho dù NetBIOS over TCP / IP đã đựoc Disable..
Phần Windows SMB cho Cllient từ sau version NT4 SP 6a sẽ tự động
chuyển lên cổng 445 nếu như cố gắng kết nối trên cổng 139 =>
Ta có thể thiết lập một kết nối gọi là " null sesion" tới máy của victim
net use \\192,168.203.33\IPC$ "" /u:"" <= thiết lập một kết nối với anonymous user (/u) và pass rỗng (""). Nếu thành công ta cũng có thể sử dụng Net view để xem các tài nguyên được chia sẻ trên máy victim ....
=> Để chống lại ta có thể can thiệp vào Registry :
HKLM\system\CurrentControlSet\Control\LSA\RestrictAnonymous
Bấm đúp vào key RestrictAnonymous ở panel bên phải và nhập vào trong khung Value 2
RestrictAnonymous có 3 giá trị:
0 Đây là gía trị mặc định của nó khi cài Winddows
1 Không cho phép tìm hiểu các thông tin của SAM
2 Không cho phép truy nhập
Ở đây bạn phải lưu ý rằng nêu bạn để RestrictAnonymous với giá trị
là 1 thì vẫn có thể dung một số Tool như user2sid/sid2user hay UserInfor
hoặc UserDump .... để lấy được thông tin về user và truy nhập vào máy
bạn được.