WINDOWS訪問139端口時自動用當前用戶、密碼連接,造成泄露用戶密碼,雖然其密碼是加密的,但一樣可以用來攻擊。
下面是SMB的密碼認證方式。
WINDOWS的139口的訪問過程,箭頭表示數(shù)據(jù)方向:
1.客戶端<--------------------建立TCP連接----------------->服務(wù)端
2.客戶端-------客戶端類型、支持的服務(wù)方式列表等---------->服務(wù)端
3.客戶端<---------服務(wù)器認證方式、加密用的key等-----------服務(wù)端
認證方式就是用戶級認證還是共享級認證和密碼加密不,key是服務(wù)器隨機生成的8個字節(jié),WIN2000已經(jīng)支持16個字節(jié)的 key。
4.客戶端--------------用戶名、加密后密碼----------------->服務(wù)端
WIN9X、WINNT、WIN2000這有個漏洞,不經(jīng)過提示等就把當前用戶名,密碼加密后發(fā)過去了,導(dǎo)致密碼泄漏。這兒加密是DES的變形,lockedpass=chgdes(key,pass)。這兒的pass是作為DES變形的KEY,key是作為DES變形的待加密數(shù)據(jù)。
5.客戶端<---------------認證成功否-----------------------服務(wù)端
WINDOWS客戶端第4步有漏洞,顯然服務(wù)端可以得到username和lockedpass=chgdes(key,pass), 其中key可以自由指定,因為這是服務(wù)方提供的,usname、pass是客戶端當前訪問者用戶名和密碼。這兒的加密變換不可逆,但已經(jīng)可以用暴力法破解了,也已經(jīng)有了這樣的程序。其實我們有時并不一定要得到密碼明文的,只要能提供連接需要的就可以了。我們來看得到lockedpass有什么用,我們反過去訪問看看,telnet、ftp等連接要密碼明文我們得到的lockedpass不能提供,那么我們考慮用同樣加密算法傳密碼密文的服務(wù)呢?比如就是NETBIOS共享服務(wù)。前面是服務(wù)端得到東西,那現(xiàn)在就是站在客戶端了,再看前面那過程,顯然其實我們并不需要提供pass,是不是只需要提供username和lockedpass2=chgdes(key2,pass)就可以了?其中key2是現(xiàn)在的服務(wù)端提供的。看看我們有 usname和lockedpass=chgdes(key,pass)其中key我們可以自己指定,大家一看顯然只要key=key2那么就需要的我們都有了是不是?所以我們要使得key=key2.
好我們再仔細看看連接過程,別人連接兩步1、2:
1.客戶端<--------------------建立TCP連接----------------->服務(wù)端
2.客戶端-------客戶端類型、支持的服務(wù)方式列表等---------->服務(wù)端
下面就該
3.客戶端<---------服務(wù)器認證方式、加密用的key等-----------服務(wù)端
這我們需要提供key,這兒我們不能隨便提供key,需要提供key2,那么我們就要得到key2,顯然需要連接NETBIOS服務(wù)回去。顯然這而需要連接回去的11,22,33共3步(為了區(qū)分連接回去的步子用重號表示)才能得到key2,顯然這2步和3步不需要有先后順序。所以我們可以得到連接指定IP的NETBIOS服務(wù)然后等這用戶來訪問,這可能有時間超時等處理,或者等到任意IP連接NETBIOS服務(wù)后馬上連回去,反正怎么處理方便、滿足需要就怎么處理。
下面顯然就是設(shè)置 key=key2返回3,那就等4得到lockedpass了,第5步嘛就你自由處理了,要不返回密碼錯誤,后面就是44、55……
總的來就是1,2,11,22,33,3,4,5,44,55……顯然你就是以那機器訪問你的用戶的身份去訪問他的NETBIOS服務(wù)了,能干什么那就看那用戶的權(quán)限了。
注意有興趣的可以把SAMB包的客戶端程序修改加上一點服務(wù)的前幾步就可以了。顯然這主要利用的還是WINDOWS泄露當前用戶名、加密密碼漏洞。還有這需要別人來訪問你的機器,這好辦,郵件或者主頁等里面來個
IMGsrc”="file://ip/filename" ...
就可以了。我實驗了去掉機器139口服務(wù)(要不有139口要影響后面端口重定向),用端口重定向程序把來向139口定向回去,找另一個WINNT機器用\\ip訪問那重定向139口的機器,結(jié)果是沒有密碼提示就看到WINNT機器本身了。其實這時重定向端口程序那臺機器已經(jīng)用WINNT機器的當前用戶訪問WINNT了,只是由于沒有客戶端的處理界面不能操作。
