12、获取NNTP(网络新闻传输协议)信息: 很多时候通过NNTP是攻击时获取目标主机信息的最好办法。NNTP本身是 用于新闻组server之间交换新闻的协议,它也适用于新闻浏览器跟新闻server 之间的协议。仔细的搜索每条向目标主机地址中发送的网络新闻你就会发现 这里面也有目标主机内投送源的Email地址或者部分由目标主机用户投送的消 息。但不管源自何处,这对攻击来说都将是收集目标主机信息的方便之门。尽 管NNTP可以在投送时选择信任的主机来保护它的信息。但诸如tin可以解释在 新闻中潜入的MINE语句,可投送本身却隐藏着一个错误。如果有一条对.rhost 文件做外部ftp的MINE语句,那么就会很容易的为信任攻击打开系统之门。这 对安全来说可不是什么好事情。 13、收集关于路由的信息: 得到目标host所在的该网关是否运行这对攻击来说是很重要的。因为网 关程序信任来自未授权源的路由包。当然了,首先你得明白网关与主机间的 区别。网关是连接到多于一个网络的设备,它可以有选择把数据从一个网络 转发到其它网络中。路由器则是有着专用的网关。而网关化的路由程序允许 向其它路由守护程序广播路由表信息,这些路由包可以用来建立目标主机中 每个系统的路由表图,它们还有助于向这个域内的系统珍表增加host name。 这些查询可以利用netstat -nr来完成。通过查询可以知道目标段的IP是采 取的哪个路由器connect的。 14、获取identd信息: 获取目标host是否运行了一个或者多个identd server,这对于判断出跟 有连接的网络信息。像获得运行着pidentd,那么起码可以得到一些用户的信 息和系统版本的信息。比如说当现在我有个认识的人他在我的ICQ中,而他同 时又是semxa.com的一个用户,此时他正登陆在semxa.com上,那么我可以利用 ICQ发消息给他保持住跟他的connect,这样我就可以利用工具SOidlook(ftp: //semxa.technotr.com/tools/)得到identd信息。 获取identd信息之后很有用,可以针对semxa.com的auth port利用ICQ跟 semxa.com的用户的连接再做N次connect的尝试,impersonation成该用户再 摸索一些诸如FTP server的bounce等漏洞(如果有的话),指定shell或者 注册port作为server的目标port,并且scan客户机上all可能的port。如果说 可以匹配的话那么就可以得到有用的rsh或rlogin对semxa.com访问权的用户。 当然现在这只是猜想而已。最重要的还是能得到identd信息。 15、获取IP层信息: 我需要知道semxa.com是否允许IP源路由及IP转发。可以在传输层通过IP 转发向NEtWork发出一个包尝试得到响应。但不幸运它的firewall没那么差。 捷径没有但还可以利用Kit Vtivoy的路由跟踪程序Rtracker(ftp://semxa. technotr.com/tools/)来完成,通过对loose源路由用-g选项从源路由给目 标路由发一个包如果能得到一个响应的话就算OK。获取是否允许IP源路由及 IP转发是因为IP包分段本身不安全。如果说能通过Packet pry看到这种分段 的happen,理念上可以截获连接同时再deceiving TCP头利用这种分段得到 根的impersonation。我尝试了tcpdump但无收获。前几天那位来自Gallo Mr rhinoceros在这里提到过可以在合适的时候”passed aggravate load begets of middle router fragments……”(CITE),,不知道他可否能将 步骤变成文字与大家Share。 16、获取Simple network Management Protocol(SNMP)信息: SNMP是一个允许远程程序方便NetWork管理的server,它是个简单的NetWork 管理协议,是与TCP/IP NetWork中像router、交换器、集线器(HUB)进行通 讯的一系列标准。通过SNMP可以获取到host与route的信息。收集SNMP信息 得从SNMP传输请求想起。一个SNMP请求包含一个Community name,它用于目标 系统上的snmpd守护程序认证访问请求,而请求有两种,一种是SNMP GetRequest; 另一种是SNMP SetRequest,在这里我不会假设你已经掌握了关于SNMP技术,因 为We here of MOSES Dave Goldsmith的那篇〈once The attacked on entireness using SNMP〉比什么都详细,你需要去读一下(如果你还没看过的话)。不过我 个人认为SNMP的明天不会很长。 17、其它更多的信息: 事实上在获取信息的时候每个数据都是不应当放过的,因为一时的疏忽 可能会使你失去机会。了解目标主机中所有的信息,这对最后整理很有用。除 了以上所说的之外还应获取更多的(如果有时间的话)像可否进行Packet pry、 NTP、relay chat、talk、systat、gopher、UUCP、CGI、编译器信息等等。 最近以来,UUCP的安全问题一直在GOLD COAST上讨论的比较热闹,而我在 一段时间内也很注意UUCP,但从上次Chameleon的“UUCP–age-old UUCP of safety problem”起,其可利用性也就随着“age-old”在我脑海沉没了。虽然 如此,但也并不意味着放弃(如果有的话)。 从上面开始到了现在也算是收集的大部分的信息,那么整理这些信息是很有 必要的,这样看起来清楚一点不至于有疏漏。一般情况下我在收集完结束之后会 搞一个像下面的一样的表格: host : port server:21ftp、22SSH、23telnet、25SMTP、117UUCP…… —————————————————————————————— ftp server open os Digital UNX Version bugs log: ……………… 这样下来可以随手找到信息的。很方便。 前头所描述的是一般普通攻击手工简单收集和获取目标主机的信息的一种 思路,之所以在表现SATAN中很大篇幅的说它,那是因为跟SATAN的本身是很有关 系的。所有的信息手工收集起来需要很长时间也同样是一个巨大的工程。可能会 花去你四到五个小时去做。而这些工作换成SATAN去做的话,仅仅在几分钟便可完 成,同时还会对那些已经植入代码的漏洞进行攻击尝试。如果说上述的信息都可 用SATAN来完成的话,那么就可以断定,用SATAN扫描网络将是一个很危险的动作, 这危险是相对恶意破坏而言的。 SATAN在扫描中很重视到目标系统中各种TCP and UDP端口上比较活跃的进程。 但这些又取决于用户指定的扫描类型。在SATAN中,它的类型根据网络状况存在着 三种扫描程度,这分别是:low-grade(轻度)、normal(标准)和grievous(重 度)scan。而这三种程度又具体表现为: 坚韧是成功的一大要素,只要在门上敲得够久够大声,终会把人唤醒的。
远程攻击学习ABC—从SATAN开始的漏洞收集(中)
