| Самым трудным взломом Windows NT считается удаленный взлом через Internet. В самом начале у атакующего отсутствует вообще какая-либо информация, кроме имени хоста и его IP-адреса. Если на удаленном сервере работает Web-сервер, вы тоже сразу же сможете интуитивно определить, с какой операционной системой вы имеете дело. Для этого следует, используя браузер, провести исследование страничек и отрытых для просмотра каталогов Web-сервера. Для Web-серверов IIS 3.0/4.0/5.0, которые являются продуктами Microsoft и работают исключительно под Windows NT, характерны следующие особенности: Web-страницы имеют расширения *.htm, *.asp; страницы имеют кодировку Win1253, а не KOI8-R (для русскоязычных страниц) и прочие косвенные признаки. Кроме того, следует тщательно просмотреть структуру каталогов документов и скриптов. Каталоги документов, в которых отсутствуют файлы index.htm, покажут вам полный список файлов и расположенных ниже директорий. Случайно бродя по Internet`у, вы можете случайно наткнуться на такой Web-сервер новостей штата Айдахо: http://www.idahonews.com/, который полностью соответствует описанным критериям. Но самое смешное то, что у этого сервера открыты для просмотра каталоги скриптов scripts и cgi-bin. Если каталоги скриптов scripts и cgi-bin открыты для просмотра, то этот сервер — просто находка для опытного хакера. Используя браузер, удаленный клиент может запускать любые файлы из этих директорий на Web-сервере. Остается каким-либо способом загрузить одну из программ, описанных раннее, в каталоги скриптов scripts и cgi-bin. Для этого исследуем открытые каталоги более подробно. Как вы можете видеть, открытый каталог cgi-bin позволил нам получить информацию о том, что данный сервер Windows NT использует язык Perl. Используя обычный браузер, вы можете скачать все скрипты из этих директорий и произвести их анализ на получение различного рода информации об удаленном сервере. Кроме того, в каталоге cgi-bin находится подкаталог MSWin32-x86-object. Войдем в него и просмотрим его содержимое. Как мы видим, подкаталог MSWin32-x86-object содержит инсталлированную версию языка Perl 5.0, а также сам дистрибутив Perl 5.00502.exe. Затем скачаем из этой директории файл регистрации ошибок PerlIS-Err.log: *** 'E:\ docs' error message at: 1998/11/24 13:23:57 Can't open perl script "E:\ docs": Permission denied *** 'E:\ docs' error message at: 1998/12/25 04:49:16 Can't open perl script "E:\ docs": Permission denied *** 'E:\ docs' error message at: 1999/03/26 16:05:43 Can't open perl script "E:\ docs": Permission denied *** 'E:\ docs' error message at: 1999/09/08 11:39:54 Can't open perl script "E:\ docs": Permission denied *** 'E:\ docs' error message at: 1999/09/08 11:58:34 Can't open perl script "E:\ docs": Permission denied *** 'E:\ docs\ idaho8' error message at: 1999/10/25 13:51:51 Can't open perl script "E:\ docs\ idaho8": Permission denied Конечно, данный журнальный файл дает не слишком много информации, кроме той, что основные документы расположены на диске E: в каталоге docs, и также Perl.exe использовался раннее для неудачных попыток проникновения в систему. Затем следует просмотреть документацию в сети Internet по ошибкам и дырам в реализации Perl 5.0 для Windows NT и, исходя из этого, произвести анализ находящихся в каталогах scripts и cgi-bin *.pl-скриптов. Производим просмотр каталога scripts. Открытый каталог scripts дает нам следующую информацию: - Подкаталог /scripts/centralad/ содержит средства для централизованного администрирования какой-то информационной системы. - Подкаталог scripts/iisadmin/ содержит HTML-версию для администрирования Web-сервера IIS, которая очень может пригодиться при взломе системы. - Подкаталог scripts/tools/ содержит различные утилиты для IIS. - Файл General.mdb — файл базы данных Microsoft Access, говорит о том, что, возможно, на сервере установлена СУБД MS Access; - Файлы PASSWRD2.EXE и PASSWRD2.CPP имеют очень странное имя PASSWRD2.*, которое напоминает один изизвестных хакерских инструментов. Создается впечатление, что данный сервер уже ломали раннее, т.к., возможно, эти файлы были загружены на сервер хакерами. Затем можно просканировать данный хост на наличие открытых портов и, следовательно, сервисов, на нем установленных. Для сканирования портов вы можете использовать следующие сканеры портов Windows: - 7th Sphere PortScan v1.1 - All Around Internet - Ogre v0.9b - Port Scanner v1.1 - PortScan Plus - SiteScan by Rhino9/Intercore - TCP Port Scanner - UltraScan v1.2. Данные утилиты вы можете получить со страницы http://208.234. 248.19:81/hack/genar/archive5.html. Наиболее полезным и простым сканером портов является Ogre v0.9b (Rhino9). Другие сканеры портов под Windows или UNIX вы сможете отыскать при определенном упорстве всети Internet. Утилита Ogre обеспечивает взломщика эффективным инструментом для сбора информации об уязвимых местах для серверов Windows NT и прочих хостов Internet. Ogre позволяет выполнить ряд тестов для выбранной подсети класса C и проверить хосты на известные дыры в операционных системах Windows 95 и Windows NT, а также в установленном программном обеспечении. Утилита Ogre позволяет: - Определить активные хосты в данной подсети класса C; - Просмотреть выявленные хосты, чтобы определить доступные удаленные службы и порты, по которым к ним можно обратиться; - Получить информацию относительно состояния netbios (Nbtstat); - Просмотреть доступные сетевые ресурсы, выделенные всовместное использование (net view); - Проверить существование серверных расширений Microsoft Frontpage; - Проверить присутствие в системе средства администрирования HTML для IIS; - Проверить существование индексированных по умолчанию документов Index Server.
| 
