他还探测了操作系统中通常会被那些业余爱好的攻击者忽视 的隐藏部分，比如说，用来存储着服务口令以及最后一位用户用来 登录到机器的缓存口令的散列的Local Security Authority（LSA）、 Remote Access Services（RAS）拨号账户名和口令、用于域访问的工 作站口令等等。他还察看了受保护的存储区域（Protected Storage area），在这个区域里，Internet浏览器和Outlook Express存储着口 令。
    
    第二步就是提取口令的散列，然后攻破它们来恢复口令。因为 这个服务器是一个备份域控制器、邮件服务器，以及二级域名服务 （DNS, Domain Name Service）服务器。通过打开包含计算机所使用 的域和主机名的完全列表的DNS管理面板，他能够访问所有的 DNS资源记录（包括主机名和相应的IP地址，以及其他记录）。
    
    现在我已经有一个包含他们所有主机名的列表，并且我还在系第8草：知识产权并不安全统与系统之间跳转，从各处搜集口令。
    
    这种“跳转”是可能的，因为以前，他在利用了他所获取的 Microsoft SQL 口令之后，曾成功地攻破了备份Web服务器上的口令。
    
    但是他仍然不知道哪个服务器是存储产品源代码和许可证管 理代码的应用程序幵发机器。为了寻找线索，他非常仔细地查阅了 邮件和Web日志，来识别所有指向那些机器的行为模式。一旦他 从那些看起来很有趣的日志中搜集到其他IP地址的列表，他就能 够把那些机器定为攻击目标。既然任何一个幵发人员都很可能拥 有整套源代码的访问权，那么这个阶段的目标就是开发人员的工 作站。
    
    从那之后的数周时间内，他都在安静地等待时机。除了搜集了 一些口令，这几个月之内他都没有得到很多有用的东西，“除了偶 尔能下载到一两条我认为有用的信息的计算机大约八个月的时间就这样过去了。期间，他耐心地”在服务器 与服务器之间跳转“,但是没有找到任何源代码或是许可证密钥生 成器。然而最终他还是取得了突破。他幵始更加细致地查看他第一 次攻破的备份Web服务器，发现其中存储着所有人们在检索邮件， 记录用户名称和所有雇员的IP地址时生成的日志。在仔细查看了 日志之后，他已经有能力恢复CEO的IP地址了。最后，他总算找 到了一个有价值的目标。
    
    最后，我终于发现了 CEO的计算机，感觉挺有趣的。我花了 两天时间对它进行了端口扫描，但没有任何响应。但是我知道他的 计算机肯定就在那里。从邮件标题中我发现，他很可能使用的是一 个固定的IP地址，但是他从来不在那里。
    
    所以我试着每隔两小时对他的机器进行端口扫描，检验一些普 通端口。尽量让自己不被察觉，以防CEO运行了某种入侵检测软入侵的艺术件。我总是在一天中的不同时间段内来做这些工作，并且限制了扫 描端口的数目，24小时之内不超过5个。
    
    我花费了几天时间才在他在那里的时候，真正找到一个开放的 端口。我最终在他的机器上找到的那个开放的端口--1433.这个 端口运行着一个MS SQL服务器的实例。这证明了这是CEO的一 台便携机，而且他只在每天早上使用大约两个小时。所以，他应该 是来到他的办公室之后，查阅完电子邮件，然后就离开或是关掉了 他的便携机。
    
    入侵CEO的计算机到那时候为止，Erik已经搜集了一些东西，比如说20到30 个公司的口令。”他们使用的口令很棒很强，但是他们是按照固 定的模式来的。一旦计算出这个模式，我就能够很容易地猜出口 令了。“估计了 一下，他巳经为这个目标工作了似乎整整一年了。 而就在这个时候，他的努力也收到了回报：他的工作有了一个重大 突破！
    
    感觉已经到了关键时刻了，他似乎很快就要得到这个公司 的口令策略了。于是他再次从CEO的计算机着手，重点攻破口令。 那么到底是什么，让他感觉自己应该有能力猜出CEO正在使用的 MS SQL服务器的口令？
    
    你知道的，其实我无法解释原因。这只是一种我所拥有的能力， 一种猜对人们使用口令的能力。我甚至还能够猜出将来他们可能会 使用什么样的口令。我只是有一种这方面的直觉。我能够感觉到。 就好像我已经变成了他们，然后说如果我是他们，我将会用什么样 的口令一样。
    
    他并不确定是否能将这种直觉称为运气还是技能，对这种”我 是一个很好的猜测家“的能力一笑了之。不管他的解释如何，他确 实获得了正确的口令。他回忆说：”这个口令不是字典里有的一个第8草：知识产权并不安全单词，远比单词要复杂得多。“不管他的解释如何，反正他现在已经拥有了口令，这让他能够 以一个数据库管理员的身份访问SQL服务器。现在Erik就相当于 拥有CEO的权限了。
    
    他发现这个计算机保护得很好，有防火墙，并且只有一个幵放 的端口。然而在其他方面，Erik发现了许多可笑的地方。”他的系 统真的是糟糕透顶。我无法在那里找到任何东西。我的意思是，那 上面只有到处分布的文件。“因为几乎所有文件都是用一种Erik 不懂的外语记录的，所以Erik借助了一些在线词典和Babblefish 免费在线翻译服务的帮助来搜寻关键字。他还有一个会说这种语言 的朋友，给他帮了不少忙。从会话日志里，他能够找到更多的IP 地址和更多的口令。
    
    因为这个CEO便携机上的文件如此杂乱无章，以至于无法找 到任何有价值的资料，所以Erik采取了另一种方法：通过使用 ”dir/s/od“,根据日期，对所有文件进行列表和分类， 这样他就能够找到那些最近访问过驱动器的文件，并且能在脱机状 态下对它们进行检查。在这个过程中，他发现有一个Excel电子表 格的名字很明显。这个表格中有好儿个不同服务器以及程序的门 令。通过这个电子表格，他找到了能够进入他们公司主要DNS服 务器的有效账户名和口令。
    
    为了使紧接下来的工作变得容易一些--也就是说，获取一个 更好的立足点，更加容易地上载和下载文件--他想将他的黑客工 具包移至这个CEO的便携机。他只能够通过他的Microsoft SQL 服务器连接，来与这个便携机进行通信，但是他也可以使用上文 所提到的存储过程，将命令发送至操作系统，就好像他正坐在 Windows中的一个DOS提示符旁边一样。Erik写入了一些脚本， 希望FTP下载他的黑客工具，但是当他进行第三次尝试时，还是 仍旧什么都没有发生。于是，他使用了便携机上已有的一个名为 ”pslist“的命令行程序，列出了所有正在运行的程序。 一着错棋！
    
    入侵的艺术因为CEO的便携机正在运行着细小个人防火墙（Tiny Personal Firewall），任何使用FTP的尝试都会使CEO的计算机屏幕上弹出 一个警告框，询问是否允许连接Internet.幸运的是，这位CEO为 了操作程序，已经从www.sysinternals.com下载了一套普通的命令 行工具。Erik使用了其中的”pslist“实用程序取消了这个防火墙 程序，所以弹出的对话框在CEO看到之前就已经消失了。
    
    明白，为了不让他人发现自己行动，不露声色地再等两周 会更明智一些。两周过后，他卷土重来，尝试着釆取了另外一个完 全不同的行动方针来把他的工具弄到CE0的便携机上。他使用 ”Internet Explorer object“来欺骗个人防火墙，使之相信Internet 浏览器正在发出准许连接至Internet的请求。然后他写入了一个脚 本，检索他的几个黑客工具。大部分人都会允许Internet浏览器拥 有经由他们个人防火墙的完全访问权（我敢打赌，你也是如此），而 Erik也指望他的脚本能够很好地利用这一点。好消息！他成功了！ 现在，他能够开始用自己的工具对便携机进行搜索，来提取他想要 的信息了。
    
    发现了黑客入侵说，与此相同的方法直到今天依然管用。 紧接着发生了一件事。Erik连接到这位CEO的计算机，并且 又一次取消了防火墙程序，这样他就能够将文件传送至另一个系 统，然后再从这个系统下载这些文件。就在这个时候，他突然意识 到CEO应该正在计算机旁，而且肯定已经注意到正在发生一呰不 寻常的事情。”

　　请记住本书首发域名：www.llskw.org。来奇网电子书手机版阅读网址：m.llskw.org