就像电影《碟中谍》需要播放一些背景音乐一样，Dustin把一 个小的无线访问设备（如图6-1所示）固定在墙上，再把它插进插孔。 这个装置允许Dustin的人员从停在公司大楼附近的汽车或货车内 的电脑渗透进入Biotech网络。像从这样的”无线访问点“（WAP） 设备中发出的信号可传递30英尺的距离。使用高效的定向天线能 连接上隐藏得更远的第6亭：渗透测试中的智慧与愚昧图6-1无线访问设备的WAP所运行的频率与一个欧洲电台的频率相同--- 这让他的渗透测试团队有明显的优势，因为这个频率很难被追踪。 并且。，”它看起来不像一个WAP,因此，它没有被发现。我将它 们留在墙上整整一个月，没有被发现和拆除。“当Dustin安装这样一种装置时，总会贴上一个小的但非常正 式的便笺，写着，”信息安全服务财产。请勿拆除。“为了和Biotech的员工形象保持一致，当温度保持在7摄氏度 以下时，Dustin以及他的小组成员还穿着牛仔裤和T恤衫，但他们 可都不想坐在停车场的汽车里冻坏他们的屁股。因此他们十分感激 Biotech公司为他们在”非安全区域“--办公楼附近的楼房里安 排了一间小房间。没有什么好玩的东西，但十分暖和，并且处于无 线设备的范围内。他们连接上了--应该说，连接畅通无阻。
    
    当安全小组幵始探索Biotech的网络时，决定暂时试探性地搜 索40台运行Windows的机器，因为上面的管理员账户没有门令， 或是口令就是”password“.换句话说，它们毫无安全可言，就如 在先前的故事里提到的那样，因为攻击或者探测是从可信区域发起 的，即公司集中控制周边的安全，以免坏人闯入，却把主人留在了 不安全的屋里。找到渗透或越过防火墙方法的攻击者在内部网络可 以无拘无束了。
    
    一旦攻破了其中的一台机器，Dustin能从门令散列中获得每个 账户的门令，并通过lOphtCrack程序运行这个文件。
    
    入侵的艺术工作中的丨在运行Windows的机器上，用户口令以加密形式（一个散列）被 存储在安全账户管理（SAM）的区域：用户口令不仅被加密，而且是 以单向散列混合形式加密的，这意味着加密算法把明文口令转换成 它的加密形式，俏不能把加密形式转换为纯文本。
    
    操作系统在SAM中储存了两种版本的散列，一种是 ”LAN管理者散列“,或称为LANMAN,这是一种传统的版本， 是对NT的继承。LANMAN散列是通过用户口令的大写形式计算 出来的，每次被分割成两部分，每个部分有7个字符。因为这些特 性，这种散列比它的后来者，NT LAN管理者（NTLM）更容易攻击， 在它的特性中不会将口令转换成大写字母。
    
    举例说明一下，这里有一个系统管理员的真实的散列（我不想 说出这个公司的名字）Administrator:500:AA33FDF289D20A799 FB3AF221 F3220DC:0ABC818FE05A I20233838B931F36BB1:::在 两个冒号之间的成分，如起始于”AA33“,截止于”20DC“的部 分就是一个LANMAN散列；起始于”0ABC“,截至于”6BB1“ 的部分是NTLM散列。两个都是32个字节，表征的是同一个口令， 但第一个就比较容易攻击，并能被恢复为明文口令。
    
    因为大多数的用户会选择一个名字或一个字典中的单词作为 自己的口令，所以入侵者通常通过lOphtCrack（或其他任何程序）来 进行”字典攻击“ 一用字典中的每个单词去测试是否是某位用户 的口令。如果字典攻击没有任何结果的话，入侵者接着会进行蛮力 攻击，这种情况下，程序将会测试所有可能的字母组合（如等等），然后测试包括所有大小写，字母和符号的组合。
    
    一个高效能的程序如IOphtCrack,能在儿秒钟之内将一些简单 的，一目了然的口令（90%的人都是使用这种口令）破译。复杂一点 的也许要几个小时或几天，但基本上所有的口令都会在某个时刻被 攻破。
    
    第6亭：渗透测试中的智慧与愚昧访问很快将大部分的口令都破译了。
    
    我试着用管理员的口令登录主域控制器，我登录上去了。他们 在本地机器和域账户上运行的是同一个号码。现在我在整个域内拥 有管理员权限了。
    
    个主域控制器（PDC）上维护着域用户账户的主数据库。当用 户在域内进行登录时，PDC将会用自己的数据库中信息来验证这 个登录请求。这种主账户数据库还被拷W到域控制器备份文件上 （BDC），在PDC出现问题时，可以提前警告。这种结构随着Windows 2000的出现而发生了实质的改变。Windows后来的版本使用的是 活动目录，但相对Windows旧版本的向后兼容来说，在域内至少 有一个担任PDC角色的系统。
    
    他拿到了进入Biotech王国的钥匙，获得许多标记了 ”机密“ 或”仅供内部使用“的内部文件。通过这种极端的方式，Dustin花 r儿个小时，从高度机密的药物安全文件中，搜集了极敏感的信 息。这呰文件详细记载了该公司硏制的药品可能会导致的不良反 应。由于Biotech所做业务的性质，获取这些信息须由食品和药 物管理局严格管理，并且渗透测试成功后，所获取的数据需要向 管理局作正式的主题报告。
    
    同时也进入了员工的数据库，获取了他们的姓名、邮箱 账户、电话号码、所在部门和职位等等。利用这钱信息，他就能选 定他下一阶段的攻击目标。他选择的目标是公司的一名系统管理 员，同时也是监视渗透测试的人。”我想，虽然我已经获得了大量 的机密信息，但我还想证明有其他的攻击路径。“即还有其他的泄 密途径。
    
    小组发现，如果你想进入一个安全领域，最好的方式 就是，混在午饭后返回时谈论不休的员工中一起进去。与早晨和傍 晚相比--那时的人们可能更容易烦躁和发怒，午饭后，他们大多 会放松警惕，也许是因为刚吃完饭，反应有些迟缓。这时，谈话一入侵的艺术般都比较友好，各种亲切的交谈中充满了肆意流淌的信息和线索。 Dustin最喜爱的小窍门就是，留意谁将离开餐馆，然后他走到这个 员工的前面，为其幵门，然后跟着走进去。十有八九--即使他们 进入的是安全领域--这位员工将会为Dustin的优雅举动而感谢 他。而他就这么进去了，几乎没有费什么力气。
    
    报警一旦选择了目标之后，小组就需要想个办法进入安全领域，然 后就在目标机器上安装一个击键记录程序（keystroke logger）~一这 个程序将记录键盘上敲过的每一个键，甚至包括操作系统启动前敲 下的键。在系统管理员的机器上，可以截取网络上各种系统的口令。 这也意味着，渗透测试者对任何关于追踪他们探索的努力的信息都 会保密决定不冒被抓的风险去”尾随“ 了，但这需要做一点点 ”社会工程“工作。在出入自由的大厅和自助餐馆，他仔细地观察 员工的徽章，然后自己伪造了一个。公司标志很容易伪造--他 只要从公司网址上复制下来，然后贴到自己设汁的徽章上。没奋详 细的检査，他确信这一点。
    
    有一组办公室设在附近的大楼里，这些办公室以及里 面的一些办公设备都是公用的，因为同时被好儿家公司租用。门廊 有值班警卫，即使在晚上和周末也有人值班。当员工用有正确电子 代码的徽章扫过读卡器时，门会从走廊打幵。
    
    我在周末的时候上去，然后就开始闪动我自己做的假徽章。我 将徽章扫过读卡器，当然，它没有反应。警卫来了，帮我打开门， 朝我笑了笑。我也对他笑了笑，并拍了拍他的肩膀。
    
    不用说一句话，Dustin就成功地越过警卫，进入到了安全区域。
    
    但Biotech办公室目前还是安全的，因为还有一个读卡机替它 挡着。周末，这幢大楼人员的流通量几乎是零。
    
    第6亭：渗透测试中的智慧与愚昧周末不会有员工来，因此无法尾随。所以我需要想个别的办法 进去，我沿着一个四周都是破璃的楼梯上到第二层，试探着看门能 不能打开。我推了推，门真的开了，而且不需要徽章认证。
    
    但四处响起了警报。显然刚才我穿越的是防火梯。我跳进里面， 门”砰“地关上了。里面，有一个标志，”请勿打开，打开将响警 报“,我的心跳得非常厉害。

　　请记住本书首发域名：www.llskw.org。来奇网电子书手机版阅读网址：m.llskw.org