沙場初點兵:Support Tools的“廬山真面目”
這些工具必須用Windows安裝CD手工安裝。安裝結束,大部分工具可以用雙擊C:\Program Files\Support Tools文件夾中的exe文件方式啟動,有些則必須使用命令行參數控制,輸入某個工具的程序名稱後再加上“/?”參數就可以獲得命令行參數的清單及其用途說明。打開\\Program Files\\Support Tools文件夾,雙擊hlp文件或doc文件就可以查看其內容,同時還可以閱讀Support Tools的幫助文檔。
我們可以舉幾個例子看看Support Tools的豐富功能:應用程序監視器Apimon.exe可以對所有的函數調用進行計數、計時,並能監視頁面失效錯誤;磁盤探測器 Dskprobe.exe可直接訪問、編輯、保存和復制硬盤驅動器的各個區域,例如它能夠替換硬盤的主引導記錄(MBR)、修復損壞的分區表; Windiff.exe則能夠分析兩個文件或文件夾,比較兩者有哪些差別。面對如此豐富的工具“寶庫”,高手們可能已經心癢了,到底有哪些工具利器呢?
初試牛刀:更加優秀的安全小工具
下面,挑選一些比較實用小巧的工具,這些工具的功能十分實用,比如能夠查看進程,對計算機進行管理,檢測肉雞(注:肉雞就是具有最高管理權限的遠程計算機。)的數據,控制活動目錄等。
查看進程的利器:pviewer.exe
控制一台肉雞以後,查看其進程已經成為眾多好手們的家常便飯。Pviewer.exe是一個查看進程的理想工具,而且可以輕松查殺本地機上的進程。通過這個工具也能連接遠程機器。
獲得遠程機器的管理員密碼後,建立IPC$連接,然後在pviewer的Computer文本框輸入類似“\\IP”的格式就可以查看對方的進程了。但可惜的是不能在本地殺掉遠程機器的進程。不過,通過這個工具可以獲得很多有價值的信息,通過判斷其中的缺陷,即可達到控制對方的目的。如對方是否安裝了防火牆,是否安裝了殺毒軟件以及數據庫或者其他服務等。
拒絕黑客:snmputilg.exe
很多管理員都知道,關閉了Windows XP系統的TCP139和445端口以後,安全性會提高很多,至少對系統信息的刺探掃描無法進
行。但要做到真正完善的安全,還需要從每一個細節去考慮是否會存在隱患。比如,對於完全安裝的 Windows XP或啟動了簡單網絡管理協議(SNMP)的系統來說,仍然存在非常致命的隱患。SNMP是“Simple Network Management Protocol”的縮寫,中文含義是“簡單網絡管理協議”,當使用特殊的客戶端應用程序,通過該“查詢密碼”的驗證,將獲得對應的權限(只讀或者讀寫),從而對SNMP中管理信息庫(MIB)進行訪問。而讓攻擊者驚喜的是,管理信息庫(MIB)中則保存了系統所有的重要信息。也就是說,如果能夠知道 “查詢密碼”,就可以刺探系統的信息了。實際上,很多網絡設備的密碼都是默認的,這就給了黑客可乘之機。
snmputilg.exe 這個圖形界面工具對以前的命令行模式的SNMP浏覽工具進行了補充。它可以給系統管理員提供關於SNMP方面的信息,便於在排除故障的時候當作參考。打開軟件界面,可以用來執行諸如GET、GET-NEXT等操作或進行有關的設置。另外,這個工具也能將數據保存到剪貼板或將數據保存為以逗號為結束符號的文本文件。
第一步:在系統上安裝SNMP服務。默認情況下,SNMP服務沒有安裝,單擊控制面板中的“添加或刪除程序”圖標,再單擊“添加/刪除Windows組件”,選中“管理和監視工具”,再單擊“詳細信息”按鈕。在彈出的窗口中,選中“簡單網絡管理協議”,單擊“確定”按鈕,完成簡單網絡管理協議(SNMP服務)的安裝。
第二步:在Windows XP中,點擊“開始”中的“運行”菜單,在編輯框中鍵入“snmputilg”然後回車,這時會出現一個圖形界面工具。
第三步:工具啟動後,Node編輯框中會顯示默認的回送地址127.0.0.1;Current OID指的是“當前對象標識符”,標識是Windows系統中用來代表一個對象的數字,每個標識都是整個系統中唯一的,上圖中顯示的值是. 1.3.6.1.2.1,也可以把OID理解成MIB管理信息庫中各種信息分類存放樹資源的一個數字標識。Community一項的默認值是 public。上面所介紹的這些項目也可選定別的值。下面是一些常用的命令:
snmputil walk ip public .1.3.6.1.2.1.25.4.2.1.2 列出系統進程
snmputil walk ip public .1.3.6.1.4.1.77.1.2.25.1.1 列出系統用戶列表
snmputil get ip public .1.3.6.1.4.1.77.1.4.1.0 列出域名
snmputil walk ip public .1.3.6.1.2.1.25.6.3.1.2 列出安裝的軟件
snmputil walk ip public .1.3.6.1.2.1.1 列出系統信息
第四步:如果選擇了別的系統的IP地址,則必須運行SNMP服務,而目標系統必須配置好網絡訪問的地址。同時,所需要的輔助工具也應當具備或運行。缺省情況下,Windows XP對所有另外
系統的IP地址都是允許訪問的。另一個問題是community,當選定community的值時,一要注意它所代表的對象必須存在;二要注意其“可讀”屬性只有獲准許可之後才能進行讀操作;三要注意這個項目在windows系列的不同版本中,對訪問地址的限制可能不一樣。
第五步:凡是SNMP可以執行的功能(SNMP Function to Execute),在圖中下拉組合框中都已經列出。選擇好之後,用鼠標點擊“Execute Command”按鈕就可以執行相關操作了。以下是這些操作的功能簡介:
GET the value of the current object identifier:得到當前對象的ID標識數值
GET the NEXT value after the current object identifier (this is the default):得到緊接當前對象之後的下一個對象的ID標識數值(這是默認的)
GET the NEXT 20 values after the current object identifier:得到當前對象之後的20個對象的ID標識數值
GET all values from object identifier down (WALK the tree):得到從當前對象往下的所有對象的ID標識數值
WALK the tree from WINS values down:從WINS值往下漫游目錄
WALK the tree from DHCP values down:從DHCP值往下漫游目錄
WALK the tree from LANMAN values down:從LANMAN值往下漫游目錄
WALK the tree from MIB-II down (Internet MIB):從MIB-II往下漫游目錄
第六步:針對SNMP攻擊的防范。SNMP服務的通訊端口是UDP端口,這也是大部分網絡管理人員很容易忽略的地方。由於安裝了SNMP服務,不知不覺就給系統帶來了極大的隱患。最方便和容易的解決方法是關閉SNMP服務,或者卸載掉該服務。如果不想關掉SNMP服務,可以通過修改注冊表或者直接修改圖形界面的SNMP服務屬性進行安全配置。打開“控制面板”,打開“管理工具”中的“服務”,找到 “SNMP Service”,單擊右鍵打開“屬性”面板中的“安全”選項卡,在這個配置界面中,可以修改community strings,也就是微軟所說的“團體名稱”,即所謂的“查詢密碼”,或者配置是否從某些安全主機上才允許SNMP查詢。
另一種方法是修改注冊表中的community strings值。打開注冊表,在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic
es\SNMP\Parameters\ValidCommunities]下,將public的名稱修改成其它的名稱就可以了。如果要限定允許的IP才可以進行SNMP查詢,還可以進入注冊表中的如下位置添加字符串: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\PermittedManagers],名稱為“1”,內容為要允許的主機IP。當然,如果允許多台機器的話,就要名稱沿用“2、3、4”等名稱了。檢測肉雞的數據:pptpsrv.exe和pptpclnt.exe
PPTP 是“點對點隧道傳送協議(Point-to-Point Tunneling Protocol)”的英文縮寫,這是網絡上常用的傳送協議。所謂“隧道傳送”是指數據在傳送之前先進行加密和“打包”,傳送至對方後再解包和解密。這樣,數據在傳送過程中就像是在地下隧道中通過的那樣,其內容不會被外界所看到。
pptpsrv.exe和pptpclnt.exe就是一對用來檢查網絡是否連通的工具,Pptpsrv.exe是服務端,pptpclnt.exe是客戶端。當將上面的兩個程序用在遠程的PPTP 服務器與PPTP 客戶機之間的互相訪問時,必須使用 1723端口,並且需要基於47類協議的支持,即GRE(Generic Routing Encapsulation:普通路由封裝)協議。利用這兩個工具,可以檢查socket的連接和數據包的傳遞。
第一步:打開兩個站點,或者打開兩個命令提示符窗口,其中一個運行命令pptsrv.exe,這時候pptsrv.exe會在TCP端口1723處監聽,等待客戶端pptpclnt.exe的連接。
第二步:在另一個命令提示符窗口運行命令:pptpclnt.exe IP(根據實際測試情況設置),本地測試采用127.0.0.1,這時會出現如圖所示的界面,然後按照提示輸入,發送的字符應在255個以下,這時就可以看到兩個命令提示符中記錄著socket的連接和數據包的傳遞。
這一組程序都是基於命令行界面的,由於診斷必須涉及PPTP 服務器與PPTP 客戶機兩個地方,所以,診斷程序運行的時候,要綜合服務器端和客戶機端的應答信息和系統提示信息,然後根據情況判斷問題所在。
管理活動目錄:ldp.exe
Windows 2000入目錄服務的概念後,用戶通過389端口可以遍歷目錄樹中所存在的用戶和用戶組。活動目錄就是目錄服務的一類,它保存了網絡上所有的資源和可以訪問活動目錄的客戶。如果用戶在安裝域的時候就缺乏正確的安全規劃,黑客就會有機可乘了。因此,在掃描網絡上的“肉雞”時,如果發現端口為389的機器,就會發現它所對應的服務是活動目錄。但是,怎麼連接它呢?
Windows XP工具包中的活動目錄管理工具ldp.exe可以輕松實現這種功能。通過這種方式,不僅可以浏覽全部用戶帳戶(cn=Users),還可以查詢用戶更多的信息,比如SID、
GUID、帳戶名和密碼設置類型等重要信息。打開“Connection”菜單下的“Connect”,這時會出現一個對話框,如圖6所示。在“server”中填上IP或者DNS名,端口使用默認的389端口即可。連接上以後,就可以進行管理了。得到合法帳戶,便可以進入到遠程密碼猜測的角逐中。因此,實際應用中,必須對動態目錄的訪問權限設置限制。
管理肉雞的小工具:diruse.exe
diruse.exe 是一個命令行工具,登陸後,可以用它來查看目錄的大小、詳細的壓縮信息(只適用於NTFS分區)。結合運用Windows的磁盤管理功能,就可以在重要的監控對象上密切監視所有的用戶帳戶,擁有肉雞管理員權限的用戶還能夠檢查所有目錄的使用情況,包括不屬於當前帳戶的目錄。除了文件夾占用的磁盤空間,它還能夠設置指定文件夾的最大空間限額,當文件夾占用的空間超出限額時會出現警報。
Windows XP的支持工具還有很多,以上介紹的都是安全方面的一些工具,特點在於小巧靈活,搭配自由。隨著Windows版本的改進,各類工具的功能會越來越多樣化、專業化。