获取远端Windows 2000服务器系统信息.doc

获取远端Windows 2000服务器系统信息细细想想，Windows 2000 提供的功能实在是太强大了，这大大方便了Admin们的管理工作，不过利弊向来都是并存的，正是因为Windows 2000 提供的强大功能，让您稍微不留神，系统就被黑客们光顾了，系统信息被暴露，是非常可怕的事情，这意味着黑客已经掌握了你的服务器一半的情况，一旦发现了系统的漏洞，就意味着下一步入侵的开始。举个简单的例子：如果你的服务器无意中开了一个共享文件夹，黑客想办法获取了你的服务器信息，发现这个共享文件夹允许访问，呵呵，很可能，就被他做个Pub什么的用用 说了半天，到底远程能够获取什么样的系统信息呢？很多很多，不完全的说一下比较关键的一些信息吧： Server Name：服务器的名字 Server Comment:：相关的说明信息，很多管理员喜欢在这里写上些敏感信息的：） Server Type：服务器类型，通过这个，黑客们可以判断出目标服务器是处于什么环境之下，比如可以判断出：A LAN Manager workstation，A LAN Manager server，Windows NT/Windows 2000 workstation or server，Windows NT/Windows 2000 server that is not a domain controller，Server running a browser service as backup，Server running the master browser service Major_version:，inor_version：这两个分别是服务器大版本号和小版本号，黑客通过这个得到了操作系统的版本信息，比如，大版本号为5，小版本号为0，择说明是一台windows 2000的服务器，而下一步就是查找windows 2000的安全漏洞了 current date，current time is：服务器的日前和时间，通过这个，可以判断出服务器所在的时区，良好掌握渗透的时间 Session：得到当前服务器的会话连接IP地址，这个作用就比较广泛了，可以根据实际情况，灵活的运用 Share Enum：这是个很重要的信息，他展示出了服务器上所有的共享文件夹，包括隐含的共享，一旦发现可利用的共享信息，黑客只需简单的在浏览器中输入ipshare，就可以访问到目标主机的共享信息，就是这么危险! UserEnum:这个东西更可怕了，连服务器的帐号信息都取来了，其中包括用户登陆成功次数，失败次数，帐号使用时间，登陆脚本路径，口令生效时间这些连系统管理员都看不到哦！此外还有一些信息会被暴露出来,比如：用户名，用户权限，用户说明信息，是否帐号禁用这很可能造成弱口令的用户名被轻易破解，簇新的系统管理员如果留个user:test,password:123之类的帐号在里面，估计服务器就保不住了。 LocalGroupEnum：枚举本地组，呵呵 此外还有UseEnum，FileEnum，ScheduleJobEnum实在太多了 下面，来说说最重要的部分到底这些信息怎么样才能获取呢？ 打开你的winnt/system32这个文件夹，找找看，是不是有一个叫做netapi32.dll的文件？从文件名，我们就可以知道，这是个和网络函数相关的动态连接库，这个就是我们需要找的东西哦！上面取得的信息，其实全部是通过这个DLL文件来实现的。对应于这个DLL文件，Windows 2000提供了一组相关的API函数调用，装上Platform SDK这个开发工具包，然后请打开你的MSDN，输入要查找的关键字“Network Management”，然后选择Network Management ReferenceNetwork Management Functions你会看到一组以Net开头的API函数,正确运用这组函数，就可以获取远端服务器的信息了，函数用法是有点复杂，下面举个简单的例子吧： 假如存在一台windows 2000的目标主机，其IP地址为:192.168.10.111，我们现在准备获取他的帐号信息，首先我们建立一个IPC$空会话连接： 建立空会话和断开会话主要用到了两个函数： DWORD WNetAddConnection2( LPNETRESOURCE lpNetResource, LPCTSTR lpPassword, LPCTSTR lpUsername, DWORD dwFlags); 上面的函数是建立一个会话连接，其中LPCTSTR lpPassword, LPCTSTR lpUsername分别是用户口令和用户名，要想建立空会话，则一定要把这两项置成空。 DWORD WNetCancelConnection2(LPCTSTR lpName, DWORD dwFlags, BOOL fForce); WNetCancelConnection2的作用则和WNetAddConnection2是相反的，在获取用户信息后，为了确保安全，黑客会用他迅速的断开与服务器之间的会话。 我已经把它写成了一个类，这个是类其中的一部分函数： BOOL CAhFunc:CreateLine (char * str) NETRESOURCE netr; TCHAR netBufMAX_PATH =0; memset (&netr, 0, sizeof (NETRESOURCE); /上面的，都是一些初始化的信息 wsprintf (netBuf, %sipc$, str); /前面一行，生成了一行字符串“xxx.xxx.xxx.xxxipc$” netr.dwScope = RESOURCE_GLOBALNET; netr.dwType = RESOURCETYPE_ANY; netr.lpLocalName = ; netr.lpRemoteName = netBuf; netr.lpProvider = NULL; if (WNetAddConnection2 (&netr, , , NULL) = NO_ERROR) /ok!到此为止，简单的用上面一条函数建立了一个IPC$连接，其实他是模拟了windows NT/2000下的这样一条命令：net use xxx.xxx.xxx.xxxipc$ “” /user: “”,具体的net use用法，大家看看help吧。 return TRUE; return FALSE; 下面是断开会话的方法 BOOL CAhFunc:DestoryLine (LPTSTR str) TCHAR netNBMAX_PATH = 0; wsprintf (netNB, %s, str); if (WNetCancelConnection2 (netNB, CONNECT_UPDATE_PROFILE, TRUE) = NO_ERROR) return TRUE; return FALSE; 同样的，也是模拟了这条命令net use xxx.xxx.xxx.xxx /DEL 刚刚说了，我们要取的是远端服务器上的帐号信息，打开MSDN，输入关键字：NetUserEnum，看到了吧？你可以找到这条函数NET_API_STATUS NetUserEnum( LPCWSTR servername, DWORD level, DWORD filter, LPBYTE *bufptr, DWORD prefmaxlen, LPDWORD entriesread, LPDWORD totalentries, LPDWORD resume_handle ); 一大串参数，看起来挺可怕的是吧？：）不要紧，我们一个一个来过： LPCWSTR servername：注意这个啊，它可是要求LPCWSTR类型的数据，也就是说，要求用Unicode字符了，如果你直接为它赋值，是肯定不行的，要绕点弯了，有这样一个函数MultiByteToWideChar (UINT CodePage, DWORD dwFlags, LPCSTR lpMultiByteStr, int cbMultiByte, LPWSTR lpWideCharStr, int cchWideChar); 这个函数的作用就是用来把单字节转换为双字节 DWORD level：用来指定操作级别，不同的用户访问权限，这个级别是不同的。根据不同的级别，可以获取不同等级的系统信息，根据MSDN上的描述，有以下的级别可供选择： 0 在这个级别里，可以获取用户帐号名，它使用USER_INFO_0 这个结构存储，在ipc空连接的时候是可用的 1 Return detailed information about user accounts. The bufptr parameter points to an array of USER_INFO_1 structures. 2 Return level one information and additional attributes about user accounts. The bufptr parameter points to an array of USER_INFO_2 structures. 3 Return level two information and additional attributes about user accounts. This level is valid only on Windows NT/Windows 2000 servers. The bufptr parameter points to an array of USER_INFO_3 structures. Note that on Whistler and later, it is recommended that you use USER_INFO_4 instead. 4 Whistler: Return level two information and additional attributes about user accounts. This level is valid only on Windows NT/Windows 2000 servers. The bufptr parameter points to an array of USER_INFO_4 structures. 10 Return user and account names and comments. The bufptr parameter points to an array of USER_INFO_10 structures. 11 Return detailed information about user accounts. The bufptr parameter points to an array of USER_INFO_11 structures. 20 Return the users name and identifier and various account attributes. The bufptr parameter points to an array of USER_INFO_20 structures. Note that on Whistler and later, it is recommended that you use USER_INFO_23 instead. 23 Whistler: Return the users name and identifier and various account attributes. The bufptr parameter points to an array of USER_INFO_23 structures. 与主机建立空会话，已经可以使用除了4和23以外的所有级别了，4和23被保留了，目前在windows 2000下还不支持这两个级别，他是为了后面的Windows XP版本留的。好了，我们有了上面的信息，就开始写程序了： 为了免去诈骗稿费之嫌，我们就举例最简单的level 0 级别操作，在这个级别，你只能取到系统的帐号名，不过这个对于黑客来说，已经足够了J! char netNBMAX_PATH = 0; sprintf (netNB, %s, str); char lpwStrMAX_PATH = 0; MultiByteToWideChar (CP_ACP, 0, netNB, -1, (unsigned short *)lpwStr, MAX_PATH); /呵呵，看上面一行，转换了单字节到双字节 LPUSER_INFO_0 pBuf_0 = NULL; LPUSER_INFO_0 pTmpBuf_0; DWORD dwPrefMaxLen = -1; DWORD dwEntriesRead = 0; DWORD dwTotalEntries = 0; DWORD dwResumeHandle = 0; DWORD i; DWORD dwTotalCount = 0; NET_API_STATUS nStatus; LPTSTR pszServerName = NULL; nStatus = NetUserEnum(unsigned short *)lpwStr, dwLevel, FILTER_NORMAL