WINDOWS訪問(wèn)139端口時(shí)自動(dòng)用當(dāng)前用戶、密碼連接，造成泄露用戶密碼，雖然其密碼是加密的，但一樣可以用來(lái)攻擊。 　　下面是SMB的密碼認(rèn)證方式。 　　WINDOWS的139口的訪問(wèn)過(guò)程，箭頭表示數(shù)據(jù)方向： 　　1.客戶端<--------------------建立TCP連接----------------->服務(wù)端 　　2.客戶端-------客戶端類(lèi)型、支持的服務(wù)方式列表等---------->服務(wù)端 　　3.客戶端<---------服務(wù)器認(rèn)證方式、加密用的key等-----------服務(wù)端 　　認(rèn)證方式就是用戶級(jí)認(rèn)證還是共享級(jí)認(rèn)證和密碼加密不，key是服務(wù)器隨機(jī)生成的8個(gè)字節(jié)，WIN2000已經(jīng)支持16個(gè)字節(jié)的 key。 　　4.客戶端--------------用戶名、加密后密碼----------------->服務(wù)端 　　WIN9X、WINNT、WIN2000這有個(gè)漏洞，不經(jīng)過(guò)提示等就把當(dāng)前用戶名，密碼加密后發(fā)過(guò)去了，導(dǎo)致密碼泄漏。這兒加密是DES的變形，lockedpass=chgdes(key,pass)。這兒的pass是作為DES變形的KEY，key是作為DES變形的待加密數(shù)據(jù)。 　　5.客戶端<---------------認(rèn)證成功否-----------------------服務(wù)端 　　WINDOWS客戶端第4步有漏洞，顯然服務(wù)端可以得到username和lockedpass=chgdes(key,pass), 其中key可以自由指定，因?yàn)檫@是服務(wù)方提供的，usname、pass是客戶端當(dāng)前訪問(wèn)者用戶名和密碼。這兒的加密變換不可逆，但已經(jīng)可以用暴力法破解了，也已經(jīng)有了這樣的程序。其實(shí)我們有時(shí)并不一定要得到密碼明文的，只要能提供連接需要的就可以了。我們來(lái)看得到lockedpass有什么用，我們反過(guò)去訪問(wèn)看看，telnet、ftp等連接要密碼明文我們得到的lockedpass不能提供，那么我們考慮用同樣加密算法傳密碼密文的服務(wù)呢？比如就是NETBIOS共享服務(wù)。前面是服務(wù)端得到東西，那現(xiàn)在就是站在客戶端了，再看前面那過(guò)程，顯然其實(shí)我們并不需要提供pass,是不是只需要提供username和lockedpass2=chgdes(key2,pass)就可以了？其中key2是現(xiàn)在的服務(wù)端提供的?？纯次覀冇?usname和lockedpass=chgdes(key,pass)其中key我們可以自己指定，大家一看顯然只要key=key2那么就需要的我們都有了是不是？所以我們要使得key=key2. 　　好我們?cè)僮屑?xì)看看連接過(guò)程，別人連接兩步1、2： 　　1.客戶端<--------------------建立TCP連接----------------->服務(wù)端 　　2.客戶端-------客戶端類(lèi)型、支持的服務(wù)方式列表等---------->服務(wù)端 　　下面就該 　　3.客戶端<---------服務(wù)器認(rèn)證方式、加密用的key等-----------服務(wù)端 　　這我們需要提供key,這兒我們不能隨便提供key,需要提供key2,那么我們就要得到key2,顯然需要連接NETBIOS服務(wù)回去。顯然這而需要連接回去的11，22，33共3步（為了區(qū)分連接回去的步子用重號(hào)表示）才能得到key2，顯然這2步和3步不需要有先后順序。所以我們可以得到連接指定IP的NETBIOS服務(wù)然后等這用戶來(lái)訪問(wèn)，這可能有時(shí)間超時(shí)等處理，或者等到任意IP連接NETBIOS服務(wù)后馬上連回去，反正怎么處理方便、滿足需要就怎么處理。 　　下面顯然就是設(shè)置 key=key2返回3，那就等4得到lockedpass了，第5步嘛就你自由處理了，要不返回密碼錯(cuò)誤，后面就是44、55…… 　　總的來(lái)就是1，2，11，22，33，3，4，5，44，55……顯然你就是以那機(jī)器訪問(wèn)你的用戶的身份去訪問(wèn)他的NETBIOS服務(wù)了，能干什么那就看那用戶的權(quán)限了。 　　注意有興趣的可以把SAMB包的客戶端程序修改加上一點(diǎn)服務(wù)的前幾步就可以了。顯然這主要利用的還是WINDOWS泄露當(dāng)前用戶名、加密密碼漏洞。還有這需要?jiǎng)e人來(lái)訪問(wèn)你的機(jī)器，這好辦，郵件或者主頁(yè)等里面來(lái)個(gè) 　　IMGsrc”="file://ip/filename" ... 　　就可以了。我實(shí)驗(yàn)了去掉機(jī)器139口服務(wù)（要不有139口要影響后面端口重定向），用端口重定向程序把來(lái)向139口定向回去，找另一個(gè)WINNT機(jī)器用\\ip訪問(wèn)那重定向139口的機(jī)器，結(jié)果是沒(méi)有密碼提示就看到WINNT機(jī)器本身了。其實(shí)這時(shí)重定向端口程序那臺(tái)機(jī)器已經(jīng)用WINNT機(jī)器的當(dāng)前用戶訪問(wèn)WINNT了，只是由于沒(méi)有客戶端的處理界面不能操作。

最新評(píng)論