《網絡攻防技術（第2版）》 —3.2.3　Windows系統遠程口令猜解

3.2.3　Windows系統遠程口令猜解

Windows系統提供了兩種遠程訪問的方式，一種是通過IPC（Inter-Process Communication，進程間通信）管道進行遠程管理和文件共享，另一種是通過遠程終端登錄，它們都利用系統的用戶名和口令進行遠程身份認證。可以針對這兩種訪問方式進行遠程口令猜解。

1.基于IPC的遠程口令猜解

IPC是Windows進程間通信的一種方式，是系統的管理機制。Windows系統啟動的時候建立默認的命名管道，可以通過驗證用戶名和密碼引用這些管道，進而得到遠程命令執行和遠程文件操作的權限。如果系統啟用文件和打印共享，則所有的邏輯磁盤（c$，d$，e$……）和系統目錄Winnt或Windows（admin$）都會處于共享狀態。上述機制設計的初衷是為了方便管理員的管理，但攻擊者會利用IPC$，訪問共享資源，導出用戶列表，并進行密碼探測，從而獲得更高的權限。

在建立IPC連接的時候，連接者可以不輸入用戶名與密碼，這樣默認建立的連接稱為空連接。空連接不可以進行管理操作，但可以得到目標主機上的用戶列表，得到了用戶名，就可以針對用戶名進行進一步的口令猜解。

遠程的IPC連接的文件傳輸所使用的網絡協議是NetBios，139或445端口開啟表示應用NetBios協議，如實現對共享文件/打印機的訪問，因此IPC連接是需要139或445端口來支持的。

在Windows 7版本以前的系統中，使用如下命令可以和目標主機建立一個合法的IPC連接：

net? use? \\目標主機IP地址\ipc$? "口令"? /user: "用戶名"

在Windows系統中，雖然使用空口令建立遠程ipc$連接仍然會返回“命令成功完成”，但繼續進行操作就會報錯，如圖3-7所示。

圖3-7　IPC連接

攻擊者通過程序不斷嘗試，就可以破解目標系統中的弱口令。在實際入侵過程中，有很多自動化的工具可以幫助攻擊者進行口令猜解。為了防范基于IPC的遠程猜解攻擊，應禁止系統中的IPC$空連接，關閉139、455端口。

2.基于Terminal Service的遠程口令猜解

自Windows 2000 Server以來的Windows服務器自帶的Terminal Service（終端服務，TS）是基于RDP（Remote Desktop Protocol，遠程桌面協議）的遠程控制軟件，它的速度快、操作方便，也很穩定，是一個很好的遠程管理軟件，但是因為這個軟件功能強大而且只能通過口令保護，所以有很大的安全隱患，一旦入侵者擁有了管理員口令，就能夠像操作本機一樣操作遠程服務器，終端服務默認在3389端口進行監聽，它的存在使得攻擊者將口令猜解作為一種重要的攻擊方式，擁有口令的終端服務器稱為3389肉雞。

TSGrinder是一個用于TS服務的暴力破解工具，它能夠通過TS對本地Administrator賬戶進行字典攻擊。TSGrinder使用TS的ActiveX控件來進行攻擊。盡管這個ActiveX控件經過特殊的設計可以拒絕對口令方法的腳本訪問，但通過C++中的Vtable綁定仍然可以訪問ImsTscNonScriptable接口，這允許為該控件編寫自定義的接口，于是攻擊者就可以對Administrator賬戶進行口令猜測，直至猜測出口令。圖3-8演示了TSGrinder的口令猜解過程，圖3-9演示了使用遠程桌面登錄目標服務器的過程。

圖3-8　TSGrinder口令猜解

圖3-9　遠程桌面登錄目標服務器

默認情況下，TSGinder搜索的是管理員的口令，可以用-u開關來指明猜測其他用戶名的口令。當TSGrinder用在Windows Vista或Windows 7系統中時，需要把注冊鍵值HKEY_CURRENT_USER\Software\Microsoft\ Windows\Windows Error Reporting\Dont Show UI設置為1，以防止在試用每個口令后系統崩潰。最后，可以使用如下的腳本來嘗試credentials.txt文件中的每一個口令，而不是讓TSGrinder自己來執行。

C:\>FOR /F %i in (credentials.txt) do echo %i>a&tsgrinder -w a -u Administrator -n 1 192.168.230.244>>out

要防止通過終端服務進行口令猜解，一方面要設置安全性較強的口令，另一方面要經常檢查，從而發現口令猜解的嘗試。以管理員身份可以進行終端服務登錄的日志審核，在管理工具中打開遠程控制服務配置（Terminal Service Configration），點擊“連接”，右擊想配置的RDP服務，選中書簽“權限”，點擊左下角的“高級”，加入一個Everyone組，這代表所有的用戶，然后審核他的“連接”“斷開”“注銷”和“登錄”的情況，這個審核是記錄在安全日志中的，可以從“管理工具”→“日志查看器”中查看。如果有對終端服務的大量不成功的登錄嘗試，則可以認為發生了口令猜解的攻擊。

通用安全

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。