| Локальная безопасность |
| 30.11.2011 13:13 |
|
Итак, весь пример строится с использованием Windows Server, снифера Comview и программы Cain, все они присутствуют в сети, откуда их и можно скачать. {mosloadposition debug} Нашей основной задачей будет - принудительный перевод всех запросов на себя. Для чего? Все дело в том, что при первом обращении через локальную сеть (а именно по NETBIOS), компьютер устанавливающий соединение, передает в первых пакетахсвой логин и пароль, но только в хешированном виде, и если хеш присланный совпадает с хешем хранящимся на рабочей станции, то открывается доступ с теми привилегиями, которыми наделена эта учетная запись. И наша задача, как-то это подстроить, чтобы он обратился на нашу машину по NETBIOS, для того чтобы получить этот хеш. Что для этого нам потребуется: • на сервере поднять сервис DHCP, в котором мы должны указать, что мы являемся DNS сервером и маршрутизатором. • В снифере установить фильтр на пакеты, адресованные на порт 53, собравши которые мы можем проследить, куда обращается клиент наиболее часто, т. е узнать доменные имена ресурсов, к которым он обращается. • Далее, поднимаем DNS сервер и из собранной информации создать зоны, в которых указать, что это мы являемся этим ресурсом. • Поднять WEB сервер, создать на нем индексовскую страничку, которая будет грузиться по умолчанию. Содержание которой будет: как один из вариантов, либо копируем исходный код странички, на которую обращался клиент, вешаем на неё какой-нибудь баннер, при нажатии на который клиент будет переходить, к примеру, по адресу \\192.168.0.1, или же, чтобы особо не заморачиваться, создадим свою HTML страничку со всякого рода извинениями за сбой работы сервиса и просьбой нажать на нашу ссылку(<a href=”\\192.168.0.1”> PRESS THIS</a>), а нажавши на баннер или просто нашу ссылку он и обратиться к нам через NETBIOS. • Так же у нас должна быть запущена программа Cain, которая следит за обращениями по NETBIOS, собирает хешированные пароли и потом их взламывает методом брутфорс. Обращать внимание следует только на первые обращения с конкретного ip адреса, т. к только первый пакет содержит нужную нам информацию. Выводы, чтобы всего этого избежать, нужно снимать флажок на протоколе TCP/IP в свойствах локального подключения. По умолчанию в Windows он включен, и получение адреса стоит в автоматическом режиме. Если же вы его все-таки используете, то самый лучший вариант, использование сложного пароля для входа на локальную машину (сложный - буквы верхнего и нижнего регистров, а так же спецсимволы длинна которого не менее 7 символов), т.к. актуальность взлома становится сомнительной. PS. Если кому-то статья покажется интересной и возникнут какие-то вопросы, будем рады помочь! {mosloadposition debug} Новые материалы на эту тему:
Также рекомендуем к прочтению:
|
Онлайн казино Лев казино для бесплатной игры.
Игровой автомат aztec gold играть онлайн бесплатно без регистрации с бонусной игрой.