Методы
взлома Windows NT
Автор:DocSoft
Я
занимаюсь НТ системами и однажды прочитал статью про взлом НТ систем но она
97
года и
больше в сети я не нашёл конкретных доков и решил написать данную статью.
Локальный взлом. Если у вас уже есть учётная запись но не админа то можно
зделать скрипт Echo off Net
localgroup administrators username (это имя
вашего пользователя). /add
И то нам
надо будет запустить но только чтоб автозагружался этот скрипт. Например через
autoexec.bat это не
пройдёт поэтому мы зделаем чтобы он автозагружался для всех пользователей а для
этого поместим его в c:\winnt\Profiles\all users\start
menu\programs\startup а если
2000
то
c:\Documents and Settings\all
users\start menu\programs\startup и после
перезагрузки ваш пользователь в группе локальных админов. Но на этом не
обязательно останавливаться и можно идти дальше. Например можно добавить себя в
админы домена вот так Net
user username pass(пароль)
/active /domain /add
Это мы
прибавляем себя как нового юзера в домен Echo off Net localgroup administrators
nameuser потом вот
так добавляем себя в админы локальные Net group "Domain Admins" %username% /add
/domain а вот так
в админы домена. Да но нам надо будет себя удалить из гостя так как мы и там а
делаеться это так Net group
"Guests" user(ваш
пользователь) /delete /domain
Вот теперь
мы и локальные админы и админы домена. Кстати если хорошо подумать то можно это
всё и не только для локальных захватов прав админа использовать, но и через
сеть. Про пароли в НТ. Про это много написано и я не буду тоже про это много
писать просто начнём с того что мы имеем доступ к диску C:\ и папке
winnt то всё что
нам нужно это winnt\repair\sam._ взять
потом с помощью extract.exe
который
лежит в windows\command
или по
поиску ищите если в других виндах, разархивируем с его помощь и дадим на
съедение lcp2521 который и
расшифрует. Но если файл старый то можно воспользоваться pwdump который из
памяти возьмёт sam
тоже на
сьедение lcp2521 и вот у
вас пароли. Сеть. Про баги в НТ (cgi) я уже
написал статью. И как с помощью самого известного бага unicode ломать
Nexeger написал
так что это не проблема но есть некоторые фишки. Вот например есть бага с
помощью которой можно просто просматривать файлы и вы смотрите через
IE sam или
sam._ файл но
когда сохраняете не можете расшифровать. Поэтому просто делаете страничку
допустим бага в 1с то
www.server.com/Scripts/TradeCli.dll?template=..\..\..\..\..\WINNT\repair\sam._
и ссылка
на это как здесь и правой кнопкой потом сохранить и разархивировать экстрактом и
lcp2521 его
разархивирует. Или допустим вы имеете доступ к диску где находиться пага то нам
нужны директории где можно запускать через броузер проги msadc scripts cgi-bin _vti_bin PBServer
Rpc samples iisadmpwd _vti_cnf adsamples и если там
стоит perl то ещё
cgi-bin и
закидываем туда троя или pwdump и запускем
через броузер вот так www.server.com\scripts\имя файла
и он запускаеться если троян то можно сразу коннектиться если pwdump то можно
через броузер скопировать тот файл который появился и расшифровать. Но если вы
имеете доступ к диско но не знаете где лежит пага допустим через unicode то пишем
команду windir/system32/cmd.exe?/c+set+p
и вот
ответ Path=C:\WINNT\system32;C:\WINNT
PATHEXT=.COM;.EXE;.BAT;.CMD PATH_TRANSLATED=D:\inetpub\wwwroot(это где
лежит пага) PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 7 Stepping 3, GenuineIntel
PROCESSOR_LEVEL=6 PROCESSOR_REVISION=0703 и мы
узнаём где пага. Кстати если хотите ещё и дефейснуть то надо заменять следующие
файлы index.htm index.html
default.htm default.html home.htm home.html default.asp index.asp Так же
можно допустим ещё ломать с помощью netbios. Для этого
лучше если открыт 139 порт
просканить xspider
(сканер
безопастности) который покажет и скрытые ресурсы. Как этим пользоваться есть
документация но можно для взлома шаров использовать NAT.EXE (NetBIOS Auditing Tool) NAT.EXE
[-o filename] [-u userlist] [-p passlist] *address* OPTIONS -o Файл отчета. Все результаты сканирования
будут записоваться в этот файл, дополнительно к стандартному выводу.
-u Это файл словарь
пользователей.Пользователи должны быть в одну линию в специальном файле.
-p Файл
паролей должны быть так же как и в словаре с пользователем в ряд. *address* Вводимые
адреса, должны быть введены, в специальном формате, без пробелов. Ниже приведены
примеры правильногоо ввода адресов: hostname - "hostname" добавлено
127.0.0.1-127.0.0.3, добавить
адреса с 127.0.0.1 по
127.0.0.3 127.0.0.1-3, добавить
адреса с 127.0.0.1 по
127.0.0.3 127.0.0.1-3,7,10-20, добавить
адерса с 127.0.0.1 по
127.0.0.3, затем
127.0.0.7, и с
127.0.0.10 по
127.0.0.20. hostname,127.0.0.1-3, добавить
"хост" и с 127.0.0.1 по
127.0.0.1 Все
комбинации хостов и адресов указаные выше являются правильными. NaT будет
подбирать пароль на зашаренные ресурсы. Так же можно через сеть управлять
сервисами (в никсах это демоны). Про это на www.void.ru Ещё можно
запустить на удалённой машине RAdmin. Качаем с
www.radmin.com это прога
удалённого администратирования только очень удобная. Так же на сайте есть русиш
интерфейс и хелп русиш тоже. Для запуска на чужой машине может понадобиться
RTM (remote task
manager).(www.smartline.ru)Теперь
инсталим и начнём устанавливать radmin на
серваке.Так во превых переименовываем файло сервака и нам ещё надо чтоб был
доступ к C$ желательно.
И есесно пароль админа. Теперь копирум на сервант 3 dll и наш файл
exe который. А
для того чтоб сервисом наш файл стартовать для этого и нужен RTM. А для
этого меняем свою рабочую группу на такую же как у серванта, теперь запускаем
RTM и
присоединяемся к серванту. Вводим логин и пасс (мы же захватили уже) и нам сразу
предлагают проинсталить на удалённом компе и вот мы проинсталились и видим
сервисы запущённые на серванте теперь мы стартуем наш exeшник
сервисом а RTM закрываем
и коннектимся radmin.
Кстати про
него и как его инсталить я у друга в журнале хакер прочитал.(я этот журнал не
читаю но это была полезная статейка). Так же можно стндартными прога
коннектиться (regedt32,even
view,user manager). Чтож я
думаю этого пока достаточно но ещё будут появляться статьи.
"Взято
с сайта http://cm70.by.ru/"
Это история о
том как чел тырил интернет-аккаунты и что ему за это было. Рассказчик пожелал
остаться анонимным. Доредактировал статью до ума и отправил в инет cm70 (http://cm70.by.ru/). Очень
поучительно.
Было это в
2001
году.
Город наш имеет население около 50 тыс.
Провайдер у нас только один. Интернет в то время стоил доллар днём и
50
центов ночью.
Сейчас у всех Windows XP,
но тогда на
всех компах были windows 98.
На всякий
случай проведу маленький технический ликбез.
В win9x пароли на
интернет хранятся в файлах вида "имя_пользователя.pwl". Этот файл
система не защищает, его можно легко скопировать (ХР в этом плане улучшилась).
Существуют программы для расшифровки этого файла. Ваш покорный слуга выбрал
RePwl как самую удобную - представьте себе, эта
программа даже прописывает ассоциацию для файла, то есть *.pwl открывается
двойным кликом и сразу тебе пароли на блюдечке. Но бывает, что юзер ставит
пароль на вход в систему. В этом случае программа может подобрать его. Пароли до
5
символов
вскрывались за минуту. Более длинные я не ждал, потому что быстро натырить ещё
pwl-ок было очень
легко.
Пользователи локальных сетей часто открывают друг другу доступ на
диски, то есть могут читать файлы друг друга по сети. В то время они не парились
с защитами и т. п. и просто давали полный доступ к винчестеру. Но не все знали,
что при этом открывался доступ на их винчестеры из интернета. Есть много
программ для поиска таких компьютеров под собирательным названием "сканеры
шаров", "сканеры расшаренных ресурсов". Я пользовался xSharez, languard, nbtscan... Даже если на
расшаренный ресурс стоял пароль, он подбирался за минуту прогой xintrunder, которая использовала какую-то дыру в
windows 98.
А началось всё так. Я вступил в игровой клан
и ходил с ними играть в клуб. Мы также играли по модему, перезванивались. И
однажды один из новых знакомых (далее Новатор) проговорился, что юзает чужие
интернет-аккаунты. А у меня в то время водилось очень мало денег, а цены на
интернет были высоким, и я жаловался как мне не хватает инета всем, кто меня
выслушивал. Новатор уже не скрывал от меня, что юзает чужие аккаунты, и всякий
раз как он это говорил, я жаловался на трудную судьбу. :-) Я не просил его дать
мне чужой пароль, а просто облегчал душу. Но однажды он предложил пароль.
Сначала я отказывался, потому что понимал что воровать нехорошо, но он бодрым
голосом говорил что ничего не будет. Потом я спросил ещё у одного человека,
которого считал умнее себя, и он сказал, что провайдер не будет искать воров
потому что "никому это всё нафиг не надо". И ещё что определителей номера нет.
Я вошёл под чужим паролем и НАЧАЛОСЬ...
Иногда другие знакомые и
незнакомые люди, которым Новатор подарил :-) пароль, сидели под этим аккаунтом.
Я был очень начитанный и поэтому ничего не спрашивал у Новатора. Сразу напиздил
себе ещё аккаунтов и сидел под ними когда не мог войти и даже делился ими с
Новатором.
Этот аккаунт мы юзали 3-4 месяца. Что
удивительно, несмотря на астрономические суммы до 10000 руб. в месяц, которые мы накручивали
впятером, хозяин аккаунта ложил деньги, как только они заканчивались на счёте.
Как мы ржали на эту тему!
Где-то через 3 месяца юзания
смешного аккаунта хозяин поменял пароль. Я стал сидеть под другими. Какого же
было моё удивление, кокда через 3 дня я его опять спиздил! Мы поюзали его ещё с
месяц.
Но потом хозяин того аккаунта похоже закрыл дыру (а может со
злости выкинул комп :-). Пришлось пиздить пароли более интенсивно, потому что не
все юзеры были таким богатыми. В инете я сидел примерно 2-6 часов в день,
около 20-30% времени
уходило на поиск уязвимых компьютеров и доставание из них паролей. Иногда
попадался аккаунт где было много денег и я спокойно юзал его недельку, но обычно
рублей 200-300. Как правило
на наиболее вкусных аккаунтах если пароль меняли, через некоторое время я пиздил
его опять.
В общем случае было спизжено, наверное 50 аккаунтов, половина по несколько раз. :-)
Иногда я позволял себе небольшие шутки типа просмотра содержимого
винчестера найденных уязвимых компов, печати на найденных расшаренных принтерах
(да, ведь принтеры тоже можно давать в общий доступ по сети). У меня был
приготовлены bat-файлы
:x
e:
goto
x
и
e:
:x
dir
goto
x
(e: - буква
присоединённого расшаренного диска).
С помощью первого я заставлял
стучать дисковод, а с помощью второго крутиться CD-ROM (если там был
диск) на тех редких машинах, где были расшарены дисковод и CD-ROM.
Но я НИКОГДА не уничтожал и не модифицировал
никаких файлов, ничего не портил на хакнутых компах.
Попробовал
проверить почтовые ящики пары-тройки юзеров, но там не было ничего интересного,
исключая зараженное word-вирусом письмо одной крутой организации
другой крутой организации, и я это дело бросил.
Однажды наткнулся на
одного забавнейшего трояна под названием "смерть ламера". Больше всего меня
насмешило - я очень ржал и рассказывал это всем шарящим знакомым - вот что:
Можно было зарегистрироваться на сайте трояна, получить логин и пасс, поставить
нужную галочку в настройках серверной части (то есть той, которую посылаешь на
машину "жертвы") и тогда можно на сайте трояна ослеживать когда твоя "жертва"
выходит в инет. Больше никому эта инфа не показывается. Причём ещё на сайте был
раздел, где показывалась эта инфа по неправильно настроенным троянам где указали
неправильный пароль.
Очень ржачно было читать:
<дата> <время>
Ламер hui вышел в инет.
IP такой-то, пароль (к трояну) такой-то.
Я скачал его чтобы подсаживать на те машины, где не мог спиздить пароль,
чтобы записывать нажатия на клавишы (на около 30% уязвимых
компов была или пустая pwl-ка, или слишком длинный пароль на вход в
систему, или был расшарен не весь диск, а специальная папка). Это было сложно,
потому что юзеры из-за дороговизны инета как правило входили ненадолго и
использовали канал максимально. Но я всё-таки закачал его на одну машину в папку
автозагрузка, и на другую в папку "общие документы". На первой машине был
DrWeb - не знаю с насколько новыми базами. Но тут же
обнаружилось, что сайт трояна закрыли. Я пробовал поискать "своих" троянов
порт-сканером, но быстро бросил, потому что лишние непроизводительные хлопоты.
Итак, с тех пор как закрыли тот самый первый аккаунт прошло ещё
несколько месяцев. Я делился паролями с Новатором, когда у него кончались, а он
со мной. Я рассказал тему другу (далее - Крохобор). Его аппетиты были очень
маленькие и пары копеечных аккаунтов, которые я ему время от времени дарил за
то, что он хороший человек, хватало на месяц. И рассказал тему ещё одному
приятелю (далее - Осторожный). Он понемногу пиздил сам и с ним мы тоже иногда
обменивались. И ещё парочке человек рассказал, но они чуток юзнули чужого инета
а дальше побоялись и бросили это.
Я поражался неквалифицированностью
пользователей. Простые юзеры, газеты, школы, магазины, государственные
организации, коммунальные службы, компьютерный магазин (!). Поражала и
массовость воровства: я знал около 8 человек, кого-то лично, про кого-то
рассказывали, кто этим занимался постоянно, и ещё файрвол ежеминутно
круглосуточно ловил попытку скана меня на шары, не редко сразу с нескольких
адресов подсети провайдера. Нередко знакомый вор :-) по логину мгновенно
определял организацию или даже называл фамилию человека, где живёт, учится
(город маленький). Бывало мы обсуждали действия юзеров (тот поменял пароль, тот
деньги давно не ложит, а вот этот постоянно помногу ложит, а тот закрыл шары
:-)).
И вдруг однажды, подключаясь к инету, я услышал сигналы АОНа.
Мгновенно остановил подключение сел и задумался. Позвонил снова. Сигналов не
было. Я вспомнил слова "человека, которого считал умным" о том, что никому нафиг
не надо. Но в душу вкралось мрачное предчувствие и с тех пор я не чувствовал уже
себя таким счастливым. Некоторое время я юзал только свой пароль и обнаружил,
что сигналы АОНа слышно только примерно в одно подключение из трёх. Я подумал,
что наверное если АОН не слышно, то номер не определяется. (Я был не прав.) И
стал снова ходить под чужими паролями, обрывая соединения сразу как слышал АОН.
Не помню советовался ли я тогда с кем-то по этому поводу. Я тогда уже избегал
общения на эту тему, потому что меня стали пугать слухи о том, что я пизжу
пароли. И ещё был сильно утомлён учёбой плюс зимний депресс. И ещё немного
отдалился от членов клана, с которыми раньше плотно общался. Наверное, никому не
сказал.
Между тем аппетиты росли. Я уже оставлял комп качать что-нибудь
на ночь. И вот однажды я спиздил пароль одной газеты. Мрачное предчувствие,
которое не покидало меня с тех пор, обострилось, но я его не послушал и поставил
скачиваться 600-мегабайтный
дистрибутив Linux. Дистрибутив скачался и на следующий день
поменяли пароль. Но я уже знал, что они ходят в инет в одно и то же время и
опять его спиздил. Я также поделился им с Новатором и Крохобором, потому что они
просили какой-нибудь пароль.
Далее без кодовых имён, чтобы не выдавать
людей.
Вдруг через несколько дней звонят одному моему знакомому из этой
газеты и говорят что так и так он у них пароль спиздил. Он говорит, как учат
хакерские руководства, мол знать ничего не знаю, может провайдер глючит, до
свиданья. Ну мы друг друга попредупреждали, компы почистили.
И вот через
несколько дней звонит один чувак другому и говорит "SOS! SOS!". А другой чувак говорит "пошёл нахуй!". Потому
что первый второго за две недели до этого решил разыграть, что милиция пришла
насчёт паролей - нет такого матюга, которым можно обозначить такой мерзкий
поступок. Но в этот раз первый перезвонил и заявил что не шутит, а его в
коридоре ждут милиционеры на допрос везти!
ЭПИЛОГ.
Около
8-10
пиздильщиков - которые юзали
пароль этой газеты - вызывали в милицию. Не знаю ездили ещё за кем нибудь,
остальным кого знаю просто позвонили. Ходил в милицию и я, из моих знакомых ещё
трое. Из известных мне один человек признался, больше никто. Произошло это так.
Он маме сказал, что не пиздит. А она говорит давай возьмём логи твоих входов в
инет под твоим паролем - милиция увидит что ты входил в то время, которое на
тебя вешают. Тогда он признался маме. А она ему "или сам расскажешь или я про
тебя расскажу вырастила урода преступника бла бла бла". Он и рассказал. На него
дело завели, комп конфисковали на неделю (он у них просто для галочки постоял),
потом дело прекратили потому что заявитель и ответчик пошли на мировую. Но про
чела бумагу отправили на место учёбы, ещё и сумму ущерба превысили.
В
милиции перепуганных пиздильщиков отправили в газету и к провайдеру. В редакции
газеты они заплатили ущерб за те несколько месяцев, что АОНы работали - где-то
тысячи 2-3
в сумме. В газете никто не
ругался, всё мирно. Редактор рассказала, что у них уже более полугода пароли
пиздят. :-) Ей было удивительно столкнуться с "хакерами". :-)
Потом
пиздильщики ходили к провайдеру и компенсировали ущерб за тех юзеров, которые
обратились с жалобами. Достоверно известная самая маленькая сумма 50 руб., самая больша - 7000 руб. Провайдер вызвал не только тех, кто в
милицию ходил, но и некоторых других.
Один из ходивших в милицию рассказал,
что ему милиционеры сказали, что одному из пиздильщиков сильно не повезло. Из-за
него какой-то бизнесмен не смог получить письмо и его убытки составили
100000
руб. Чем окончилась история - не
известно, никто из моих знакомых ничего об этом не знает.
А Осторожный,
пиздивший всегда понемногу, несмотря на такой мегашухер, продолжал понемногу
пиздить где-то год и ему ничего не было, а потом мы с ним перестали общаться.
Достоверно известно, что один человек не компенсировал ущерб (несколько
тысяч) где-то пол-года, потому что не было денег. И его никто не доставал. Потом
с ним я тоже перестал общаться, не знаю заплатил ли он.
С ТЕХ ПОР Я
РЕШИЛ НИКОГДА НИЧЕГО НЕ ПИЗДИТЬ.
