接着他们 就可以下载PWL破解工具，再运行它，从PWL文件提取信息到 一个文本文件中，然后在他们的控制下，将这个文本文件从用户的 膝上计算机转移到一个FTP服务器上。
    
    当Louis检查这个文件时，他发现了他要找的认证信息，包含 拨号的号码和登录信息，用户就是使用这些登录信息连接到公司的 VPN服务上的。Louis想，这就是他需要的所有信息。
    
    当进行清理工作，确保他们没有留下任何曾经访问过的痕迹 时，Louis检查了桌面上的图标，注意到有一个看起来像是用来让 警卫运行应用程序的图标，警卫可以借此从公司获得他们的信息。 这样他们就知道了这些机器的用途，实际上，它们是用来连接到公 司，然后查询一个应用程序服务器，以获取域中用户需要信息的。
    
    访问公司的系统“我们很清楚的知道”,Louis回忆道，“这个用户很可能现 在正在汇报一些他遇见的奇怪情况，所以我们迅速从这个事件中脱 身而出。因为如果这个事件汇报了上去，VPN服务就会关闭，那 样我们获得的登录认证信息将丧失价值。”片刻之后，他们发现他们的PC Anywhere连接掸线了--警卫 断开了连接。Louis和他的同伴们恰好在这个时间的间隙里从PWL 文件中提取了信息。
    
    和Brock手头上现在有一个电话号码，正是他们预想的 某一个拨号设备的号码。前一天晚上在酒吧里，他们曾经在草图上 画出过拨号设备。然而，又一次发现它是一个外国号码。通过使用 鳌卫所使用的操作系统，他们拨号到了该公司的网络上，输入用户 名和口令，“我们发现我们成功建立了一个VPN会话。”按照VPN配置的方式，他们被分配了一个虚拟的IP地址，该 地址处于公司内部的DMZ中，这样他们就在第一层防火墙之后， 但是仍然面对着保护公司内部网的防火墙--他们之前就曾发现第9章人在大陆了它的存在。
    
    分配的IP地址在DMZ的范围之内，很可能被内部网的 某些机器所信任。Louis猜测既然他们已经通过了第一层防火墙， 那么要渗透到内部网将会非常非常容易。“此时，”他说，“我们 预测，穿过防火墙进入内部网将不会很难。”但是他试了之后，发 现不能直接进入运行着应用程序服务器的机器上一个可利用服务。 “有一个很奇怪的TCP端口，该端口允许通过过滤，我们猜想这 个端口是给警卫使用的应用程序打幵的。但是我们并不知道它是如 何工作的。”想要找到一个可以访问的系统，该系统必须在公司的内 部网上，访问将从被分配的IP地址发起。他采用了 “常用黑客规 则”,试图发现一个可以在内部网上使用的系统。
    
    他们期望着能够发现一个内部网上的系统，该系统没有被远程 访问过，他们明白，这样的系统才有町能没有针对安全漏洞打上补 丁，它才“更可能被当作一个仅供内部使用的系统”.他们利用一 个端口扫描软件，扫描任何可以访问的Web服务器（端口 80上）， 扫描区域是整个内部网的IP地址范围，接着他们发现一个可以与 之通信的Windows服务器，其上运行着Internet信息服务器（IIS）， 但是只是使用了该流行服务器软件一个旧一些的版本--IIS4.这 可是一个棒极了的消息，因为他们很可能可以发现一些未打补丁的 安全漏洞或是配置错误，这将是他们通向王国的金钥匙。
    
    他们做的第一件事就是，运行了一个针对IIS4服务器的 Unicode漏洞探测工具，看看它是否存在漏洞，结果是肯定的 （Unicode是一个16-比特位的字符集，它用单一的字符集给来自T 许多不同语言的字符进行统一编码）。“这样我们就能使用这个 Unicode工具，在IIS Web服务器上执行命令了” ,利用系统h的 安全漏洞穿过内部网上的第二层过滤防火墙，“仿佛是一个被信任 的领土的腹地”,Louis这样描述着。这种情况下，黑客精心构思 一个Web请求（HTTP），该请求使用特殊的编码字符，绕开Web服 务器的安全检查，黑客们将被允许执行任意命令，具有与运行入侵的艺术服务器账户一样的特权。
    
    之前他们苦恼没有权限上传文件，现在他们看到了一个机会。 他们利用Unicode漏洞，运行“echo”内核命令来上传一个活动服务器页面（ASP）脚本--种简单的文件上传工具，它将把传送更多的黑客工具到webroot下一个目录的这个过程变得容易许多， webroot被授权来运行服务器端的脚本（webroot是Web服务器下 的根目录，区别于特定硬盘下的根目录，如C:\）。echo命令仅仅 写下传送给它的任何参数信息；输出可以重定向到一个文件，而 不一定是用户的屏幕。例如，输入“echoowned>mitnick.txt”将在 文件mitnick.txt中写入单词“owned”.他们使用一系列的echo命 令来将一个ASP脚本中的源代码写入Web服务器下的一个可执行 冃录。
    
    接着，他们上传了其他的黑客工具，包括流行的网络工具 netcat,这是一个很有用的工具，它用来建立一个侦听接入端口的 命令内核。他们还上传了一个叫作HK的exploit工具，它用来发 现旧版本Windows NT系统中的安全漏洞，以获得系统管理员级别 的使用权限。
    
    他们上传了另一个简单脚本，用它来运行HKexploit,然后使 用netcat打幵一个返回他们自己的内核连接，使他们可以向目标机 器发送命令，很像获得了 DOS操作系统时代的一个“DOS命令 行”.“我们试着对一个从内部网服务器对我们计算机在DMZ上 的外向连接进行初始化”,Louis解释道。“但是没有成功，因此 我们不得不使用一种叫作'port barging’的技术。”经过运行HK 程序获得权限之后，他们配置netcat来侦听端口 80;临时“barge” IIS服务器的工作方式，监视接入端口 80的第一个连接。
    
    这样解释barging, “实质上，你只是临时将IIS推离它 的工作方式，窃取一个内核，然后在维持对你的内核访问的同时， 允许IIS暗地里恢复原来的运行方式。”在Windows环境里，不像 Unix类型的操作系统，它允许两个程序同时使用同一个端口。攻 击者可以利用这个特征，通过发现一个防火墙没有过滤掉的端口，第9章人在大陆然后“barging”到这个端口。
    
    和Brock就是这么干的。他们已经具有的对IIS主机内 核的访问权限，以一个可以运行Web服务器的账户的权限为上界。 所以他们运行了 HK和netcat,然后获得了系统的完全访问权-- 可以像系统用户一样操作，就是操作系统中的最高权限。通过使用 标准的方法，这个权限允许他们获得对目标的Windows环境的完 全控制权。
    
    服务器上运行的是Windows NT 4.0.攻击者们想要对安全账 户管理者（SAM）文件进行复制，这个文件包含了用户账户、组、策 略和访问控制的细节信息。在这个旧版本的操作系统下，他们运行 了 “rdisk/s”命令，来创建一个应急恢复盘。这个程序最初在名为 “repair”的目录中创建了几个文件。在这些文件中有一个最新版 本的SAM文件，其中含有服务器上所有账户口令的散列信息。早 些时候，Louis和Brock从一个安全警卫的膝上计算机恢复了 PWL 文件，其中含有敏感的口令信息。而现在，他们获得了公司内部一 个服务器上用户的加密口令信息。他们将这个SAM文件简单复制 到Web服务器的webroot下。“然后，通过一个网络浏览器，我 们从服务器上重新获得了这个文件，文件最终到了我们办公室里自 己的机器上。”当他们从SAM文件破解口令时，他们注意到，在本地机器上 还有另一个管理员账户，这个账户不同于内置的管理员账户。
    
    在花费了两个小时的破解时间之后，我们破解了该账户的口 令，然后尝试着在主域控制器上对它进行认证。接着我们发现， 具有管理员权限的本地账户，就是在Web服务器上我们攻击的那 个账户在域内也有着相同的口令丨这个账户也拥有域管理员权限。
    
    因此，在Web服务器上有一个本地管理员账户，它跟整个域 的域管理员账户有着相同的用户名，同时这两个账户的口令也相 同。显然一个系统管理员偷了懒，他创建了第二个账户，这个账户 和本地系统上的管理员账户的用户名相同，更绝的是，他连口令都 设成了同一个。

　　请记住本书首发域名：www.llskw.org。来奇网电子书手机版阅读网址：m.llskw.org