Главная Статьи Локальные сети Локальная безопасность
Локальная безопасность
30.11.2011 13:13
Итак, весь пример строится с использованием Windows Server, снифера Comview и программы Cain, все они присутствуют в сети, откуда их и можно скачать.

{mosloadposition debug}

Нашей основной задачей будет - принудительный перевод всех запросов на себя. Для чего? Все дело в том, что при первом обращении через локальную сеть (а именно по NETBIOS), компьютер устанавливающий соединение, передает в первых пакетах
свой логин и пароль, но только в хешированном виде, и если хеш присланный совпадает с хешем хранящимся на рабочей станции, то открывается доступ с теми привилегиями, которыми наделена эта учетная запись. И наша задача, как-то это подстроить, чтобы он обратился на нашу машину по NETBIOS, для того чтобы получить этот хеш.
Что для этого нам потребуется:
• на сервере поднять сервис DHCP, в котором мы должны указать, что мы являемся DNS сервером и маршрутизатором.
• В снифере установить фильтр на пакеты, адресованные на порт 53, собравши которые мы можем проследить, куда обращается клиент наиболее часто, т. е узнать доменные имена ресурсов, к которым он обращается.
• Далее, поднимаем DNS сервер и из собранной информации создать зоны, в которых указать, что это мы являемся этим ресурсом.
• Поднять WEB сервер, создать на нем индексовскую страничку, которая будет грузиться по умолчанию. Содержание которой будет: как один из вариантов, либо копируем исходный код странички, на которую обращался клиент, вешаем на неё какой-нибудь баннер, при нажатии на который клиент будет переходить, к примеру, по адресу \\192.168.0.1, или же, чтобы особо не заморачиваться, создадим свою HTML страничку со всякого рода извинениями за сбой работы сервиса и просьбой нажать на нашу ссылку(<a href=”\\192.168.0.1”> PRESS THIS</a>), а нажавши на баннер или просто нашу ссылку он и обратиться к нам через NETBIOS.
• Так же у нас должна быть запущена программа Cain, которая следит за обращениями по NETBIOS, собирает хешированные пароли и потом их взламывает методом брутфорс. Обращать внимание следует только на первые обращения с конкретного ip адреса, т. к только первый пакет содержит нужную нам информацию.

Выводы, чтобы всего этого избежать, нужно снимать флажок на протоколе TCP/IP в свойствах локального подключения. По умолчанию в Windows он включен, и получение адреса стоит в автоматическом режиме. Если же вы его все-таки используете, то самый лучший вариант, использование сложного пароля для входа на локальную машину (сложный - буквы верхнего и нижнего регистров, а так же спецсимволы длинна которого не менее 7 символов), т.к. актуальность взлома становится сомнительной.

PS.
Если кому-то статья покажется интересной и возникнут какие-то вопросы, будем рады помочь! 

{mosloadposition debug}

Комментарии (0)Добавить комментарий

Написать комментарий
Вы должны авторизоваться, чтобы добавлять комментарии. Пожалуйста, зарегистрируйтесь.

busy

Новые материалы на эту тему:
Также рекомендуем к прочтению: