подскажите как получить права админа, т.е. взломать Win2000 на уровне пользователя с ограниченными правами!!!!!!!!!!!

Если имеешь физический доступ можно попробовать через консоль, не закрытую паролем для скринсейвера.
Переходишь в командный режим Start -> Run -> cmd
затем в командной строке переходишь в каталог winnt\system32, удаляешь файл logon.scr (или переименовываешь его в logon.scr.old), затем копируешь командный интерпретатор cmd.exe в файл под именем logon.scr
Завершаешь сеанс и ждешь пока система вызовет logon.scr, который на самом деле теперь является командным интерпретаором - с правами АДМИНИСТРАТОРА!
Меняешь пароль админа с помощью команды net user administrator <new password>.

Трюк срабоет если админ не менял права доступа к папке winnt, и установил хранитель экрана при входе в систему.

а больше никак???
если вот админ не закрыл папку winnt а сделал её только для чтения, т.е. изменять ничего нельзя, как тогда???

Чисто для информации:
В непропатченной WinNT/2000 есть дырка, позволяющая юзеру с минимальными правами (даже Guest) выполнять любые команды от имени админа. Есть даже специально написанный эксплойт. Я когда-то пробовал - всё работает, но только если есть физический доступ к консоли. Удаленно не получится. Если не лень, ищи в нете...

Также недавно совсем нашел в нете образ флопа, который типа позволяет менять пароль админа даже не загружаясь WinNT/2000... Что интересно, флоп является загрузочным линуксовым... Работает или нет еще не проверял...

А вообще говоря, имхо такие вопросы админами форума должны пресекаться ;)
А то постоянно приходится исправлять всякую хрень, которую творят с компами всякие "продвинутые" юзеры, начитавшиеся таких топиков в форумах...

Barmaley
А вообще говоря, имхо такие вопросы админами форума должны пресекаться ;)
А то постоянно приходится исправлять всякую хрень, которую творят с компами всякие "продвинутые" юзеры, начитавшиеся таких топиков в форумах...
:up: :up: :up:
Коротко и ясно! Нечего добавить!!!

CTEPX
Че-то твоя фишка не сработала... Может, че не так...
У админа снял пароль на заставку.
Сделал юзера в группе Users. Залогинился им и сменил logon.scr на cmd.exe, как было написано.
Завершил сеанс...
И ничего... в смысле не запускается... висит таблица логона и всё.
Может, это работает на непропатченной версии ОС?

Barmaley
CTEPX
Этот фокус уже не работает, что легко проверить.
Даже на старых системах это все тутже закрывалось умными админами редактированием реестра. Кстати, запуск с правами админа этого скринсэйвера невозможен принципиально, откуда система знает права админа?, так что максимум что может быть - либо SYSTEM либо NOBODY :).

Вообще говоря такие темы действительно безжалостно убиваются, но потом подумалось, чтоб вопросов было меньше, может стоит один раз написать что делать? Только в контексте именно обеспечения защиты, а не взлома, кто умный сам поймет что надо делать или что не надо делать соответственно.

Начальные данные - права пользователя или ниже, система на базе Windows NT. Задача - получить доступ с правами группы администраторов (именно группы, права администратора могут существенно отличаться). Варианты, не относящиеся непосредственно к системе безопасности (как то, выспросить админский пароль по телефону, перехватить почтовый трафик с паролем случайно совпавшм с админским, пытки админа загонянием раскаленных игл под ногти или еще как, в том числе случайно), не обсуждая их возможную применимость, я описывать не буду. Обычно задача получения повышенных прав равносильна задаче запуска процесса под системной учетной записью (мы же решили, что паролей мы не знаем).

Итак, взлом 1-го типа - это использование ошибок в системе, которые НЕ могут быть устранены администратором без изменения кода системы. Сюда относится тот самый DbgXploit, о котором написано выше, работает замечательно, но все админы, кому не пофигу, уже давно поставили заплатки и сервиспаки - это единственный способ защиты от ошибок в системе, администратор обязан своевременно все это устанавливать. Никто ведь уже кроме специалистов и не вспомнит GetAdmin.

Все оставшиеся ошибки - ошибки на совести администратора, и если удается их использовать - администратор однозначно зря получает свою зарплату.

Систематические администраторские ошибки заключаются в том, что не ограничивается доступ пользователей в те места, откуда можно управлять системой, в плане запуска программ под системной учетной записью это следующе места:
1) В реестре в [hklm\ system\ ccs\ control\ session manager] параметр BootExecute. Запуск программ отсюда имеет свою специфику, обычную программу оттуда не запустить, но в принципе, использовать этот ключ труда не представляет. Обработка его происходит на самом раннем этапе загрузки системы и программа, запускаемая оттуда, может в том числе заменить практически любой файл.
2) В реестре в [hklm\ software\ microsoft\ windows nt\ current version\ winlogon] параметр System. В нем перечисляются программы, запускаемые при входе пользователя в систему, причем запускаются под системной учетной записью. Запустить отсюда можно любую программу, ограничений на версию ее подсистемы или требуемые ей ресурсы не накладывается.
3) В реестре в [hklm\ Software\ Policies\ Microsoft\ Windows\ System\ Scripts] перечисляются скрипты для запуска при различных системных событиях, в частности, при запуске и завершении работы. Доступ на изменение как к этому ключу, так и к скриптам, должен у пользователя отсутствовать.
4) У пользователя не должно быть права редактировать профиль другого пользователя (в том числе реестр для другого пользователя) и общесистемный список автозапуска, в этом случае возможен запуск программ от имени другого пользователя.
5) У пользователя не должно быть право изменять обработчики расширений, запускаемых файлов, копирования, контекстного меню и тому подобного, одним словом, всего того, что так удобно, но небезопасно. В общем случае, у пользователя не должно быть права редактировать раздел реестра [HKCR]. Кроме того, многие приложения сохраняют информацию о своих модулях расширения в HKLM и HKCU - там тоже должен быть ограничен доступ, например, [HKLM\ SOFTWARE\ Microsoft\ Internet Explorer\ Extensions].
6) У пользователя не должно быть права изменять параметры запуска компонентов системы, в частности, служб, и не должно быть права подменять эти компоненты, в частности, службы (в том числе, не должно быть возможности доступа к жесткому диску при загрузке в другой системе, например, с другого раздела, и должны быть выборочно ограниченны права к системной папке и к Program Files и к прочим типа wwwroot, тут уж у кого что установлено). Вообще говоря, пользователь не должен иметь права на запись в весь раздел [hklm\ system].
7) Пользователь не должен иметь возможность управлять доверенными компонентами системы, в частности, если служба позволяет запуск процессов под системной учетной записью, доступ к ней должен быть закрыт. В качестве примера приведу Центр Управления от антивируса Касперского, в нем есть возможность запуска задачи пользователя от имени системной учетной записи.
8) У учетной записи пользователя не должно быть слишком больших привилегий. Например, одна лишь привилегия отладки полволяет запускать произвольный процесс от имени системной учетной записи, привилегия создания маркера и замены маркера уровня процесса - запуск процесса под любой учетной записью и с любыми привилегиями вообще, в том числе может быть указана вообще несуществующая учетная запись, про привилегию загрузки и выгрузки драйверов я вообще молчу, привилегии BACKUP/RESTORE позволяют заменять любые файлы, в том числе открытые, и еще много чего - функциональность, не нужная пользователю.В принципе, можно упомянуть еще кучу потенциально опасных привилегий, как то TCB или Take Ownership, но в общем-то ясно, что это больше умозрительная дыра, если админ дает юзеру привилегию отладки - у него либо должна быть уверенность, что юзер не знает, насколько это мощная привилегия, либо он готов, что в один прекрасный момент у юзера появятся админские права, либо он просто сумасшедший.

Может еще чего добавится, это что с ходу написалось, дополнения приветствуются, но именно в контексте защиты системы, а не взлома.

vasketsov
может быть уже не работает, но когдато я через эту дырку лазил.
Неплохой материал по настройке защиты Win2k:
http://www.xakep.ru/post/15928/default.htm

CTEPX
По поводу статьи, даже если не обращать внимания на идиотский тон повествования, имеет ряд принципиальных ошибок. Если кому интересно - рассмотрим ее (статью) подробнее.

Интересно.

Поехали.
>Привет, перец.

Я не перец.

>Сразу предупреждаю - данная статья относится к людям у которых компьютер подключен к Интернету по телефонной и по выделенной линии

Как ясно из статьи, она полезна только если установлен удаленный доступ, в случае локальной сети своя кухня, в случае RAS - своя. Посему данное предупреждение можно отнести исключительно на совесть автора.

>Наша сейчас первая задача защитить учетную запись Администратор, чем мы и займемся. Переименуем во что-нибудь другое, ну например в твое имя и фамилию, что я к примеру делаю постоянно.

Такой ЛОЛ, что просто без комментариев, не админ так Вася Пупкин. Учетную запись админа можно просто запретить, см. ниже.

> , смело переименовывай Гостя в Администратора (надеюсь ты догадываешься к чему я веду =)).

Нифига не догадываюсь. Если у нас гость задисэйблен, доступ у админа по сети обрезан - смысл в этом отсутствует начисто, как и в переименовании админа, перестрах#йство одним словом. Еще предлагается включить логгирование всего этого безобразия и просматривать журнал, видимо, для того, чтоб понять, что можно было это не делать.

> никто не сможет получить доступ к твоему компьютеру удалено, то есть этому уроду нужно будет иметь физически доступ к Клаве и мыши твоего компа =))

Настоящим_программистам_пробел_не_нужен, если перефразировать - при чем тут клава и мышь, кому вообще нужна эта консоль?

>Лезь там же в раздел "Параметры безопасности" и настраивай следующие параметры:

После этих строк до конца абзаца советую вообще пропускать, все там написанное либо бессмысленно, либо половинчато, кроме "Дополнительные ограничения для анонимных подключений".

>"Служба поддержки NETBIOS поверх TCP/IP" (данная служба отвечает за работу NETBIOS, а как ты сам знаешь что в Windows слабые порты 135 и 139 =). Вот как раз на этих портах то и пашет NETBIOS. В принципе тут есть один минус ты не сможешь не кого видеть в сетевом окружении и тебя не кто не сможет видеть тоже.

Во-первых, 135 к нетбиосу никакого отношения не имеет, во вторых, не вижу 137, 138 и 445, в-третьих, "я кого-то вижу" и "меня кто-то видит" с точки зрения сети - две большие разницы, даже номера портов разные.

>Дальше даешь там команду "net config server /hidden:yes" - это так, мера предосторожности =).

А зачем тогда вообще запускать службу сервера? Отрубить ее и все. Более чем странное решение скрыть сервер в сетевом окружении, можно подумать что хакеры им пользуются. Там же про IIS - фиксы же мы вроде ставим по решению автора, он же якоы даже не берется за задачу без SP2 (а теперь уже и SP3+PreSP4) - там это уже вполне рабочий сервер, к тому же его можно настроить, а не сносить.

>SynAttackProtect

Этот параметр требует настройки еще двух.

>Мы с тобой будем настраивать фильтрацию протокола TCP/IP =).

Далее обрубаются фильтром порты нетбиоса, а потом отрубается NetBt. После этого ставится файрвол. Круче только примерно такой анекдот: чувака случайно замочили, чтоб замести следы - решили с крыши скинуть, скинули с 12-го этажа на тачку под колеса, водила испугался, отъехал назад к телу, решил утопить с моста, отвез и скинул, труп выловили рыбаки,... ну и так далее еще десяток итераций, в результате тело таки попадает на стол к медработнику, после чего декларируется диагноз "случай тяжелый, но жить будет". Да, не очень уместно вышло. Короче, если устанавливается файрвол, сетевая фильрация нафиг не нужна.

А теперь про запрет учетной записи админа, ссылка сверху поста. После 3-х попыток захода под админом уч. зап. его блокируется, однако по ней всегда можно локально войти. Вуаля, а к статье, как и ко всему журналу, рекомендую относиться соответствующе, они на моей памяти не первый раз пишут о сложнейших вещах так, как будто это все очень просто и понятно. Весь смысл статьи заключен в последнем абзаце, вот он:

>Напоследок я тебе дам еще несколько рекомендаций. Первое: создай обычного пользователя (с правами пользователя) под которым ты будешь работать и лазить в нете, поверь мне - это тебе поможет избавится от многих проблем в будущем, заведи себе привычку: учетную запись с правами администратора лучше юзать только для установки ПО и изменения настроек системы. Второе: поставь себе на конец антивирус и файрвол.

Кроме выделенного фрагмента подпишусь под этим абзацем неглядя, разве что отмечу, сама по себе настройка файрвола - дело очень нетривиальное и зависит от ряда факторов, что за сеть и какие программы используются, в том числе локально, более того, Windows 2000, о которой идет прежде всего речь в статье, использует стек протоколов даже в отсутствие сетевых карт и модемов, об этом автор очень лаконично умолчал, а не стоило бы так скромничать.

vasketsov
молодец!!! :up: :up: :up: Раздолбал статью в пух и прах!!!

Да, всё лихо, но подскажите, пожалуйста, где искать информацию, по прочтении которой можно будет грамотно настроить права для пользователей и залатать все возможные и невозможные дырки? Меня, как начинающего сисадмина, тема безопасности очень волнует, но, кроме установки всех возможных заплаток и максимального обрубания прав пользователям через политику (в т. ч. запрещён доступ ко всем компонентам Панели управления, разрешено выполнять только приложения из списка), ничего не сделано. Какую оценку мне как сисадмину можно после этого поставить? И как исправить допущенные ошибки?

Barmaley, такой линуксовый флопик уменя есть, работает 100%, проверял на NT4.0, W2k, XP.

такой линуксовый флопик уменя есть, работает 100%, проверял на NT4.0, W2k, XP
Дак от этого есть зашита-то какая-нибудь?

Raistlin
установки всех возможных заплаток
:up: , это большая половина дела.

запрещён доступ ко всем компонентам Панели управления
останавливает только неопытных пользователей.

разрешено выполнять только приложения из списка
распространяется только на оболочку.

Надо правильно порулить правами на NTFS и в реестре, для этого советую посмотреть посредством regmon и filemon что куда лезет из левого софта. Кроме того, необходимо просмотреть весь софт, что установлен, и найти по нему данные по дырам или специфическим настройкам, например, файрвол читает данные из реестра - туда должен быть доступ на запись только у группы администраторов (система туда тоже получит доступ автоматом после этого).

Barmaley
Дак от этого есть зашита-то какая-нибудь?
Никакой защиты не может быть, если есть физический доступ к информации. Любые политики и права на NTFS ничего не решают, есть можно загрузиться в другой системе и подмонтировать носитель.

vasketsov
Надо правильно порулить правами на NTFS и в реестре, для этого советую посмотреть посредством regmon и filemon что куда лезет из левого софта.
Права NTFS и права пользователей максимально ужесточены. Только вот не знаю, что такое regmon и filemon.
останавливает только неопытных пользователей
??? Если у пользователя нет доступа к иной оболочке, кроме Проводника, в котором у него, в свою очередь, обрублен доступ к C:\, то как он доберётся до компонентов Панели управления?

Raistlin
Аплеты панели управления просто выполняют определенные функции, ничто не мешает другой программе их выполнять. Тот же запрет доступа к реестру распространяется только на regedit и regedt32, а все остальные редакторы реестра на это кладут. То есть, надо забирать у пользователя не интерфейс для определенных действий, а саму возможность что-либо делать.

Добраться до аплетов панели управления можно через RunDll32.exe :)

Классная тема....
Добавить я могу только одно.
Необходимо физически ограничивать доступ к серверам и основным узлам сети.
Если  в сети есть серверы терминалов, то даже админы должны заходить через терминал, причем доступ должен быть с ограниченного подконтрольного числа машин, необходимо включить аудит на:
Вход-выход
доступ к обьектам и т.д.

Лично я перекрыл доступ в проводнике на D: (система) для всех подразделений AD в WIN2000 Server, и собрал систему так что все файловые операции возможны только на соседних дисках и только в пределах "шаг влево - шаг вправо"

vasketsov
То есть, надо забирать у пользователя не интерфейс для определенных действий, а саму возможность что-либо делать.

А как это сделать? Как запретить доступ к реестру? И, кстати, если с помощью системных политик отобрать все интерфейсы -- разве не эффективный способ защиты?

vasketsov
Добраться до аплетов панели управления можно через RunDll32.exe

А как пользователь до этого самого Rundll32.exe доберётся? В папку C:\Winnt из Проводника не пробраться. IE к запуску не разрешён, FAR и CMD.EXE тоже. Не знаю, я вот вхожу в систему с правами рядового негра с плантации и ничего не могу сделать! Может, просто знаний не хватает?

Добавлено:

Lanwolf
Если *в сети есть серверы терминалов, то даже админы должны заходить через терминал
Само собой, не буду же я к серверу каждый раз бегать :). Хотя с правами администратора особой разницы нет -- что терминал, что консоль. Такого можно натворить...
доступ должен быть с ограниченного подконтрольного числа машин
Это как? По-моему, доступ можно только пользователям обрезать, а не машинам. Или просто клиента не ставить?
Лично я перекрыл доступ в проводнике на D:
У меня пользователи вообще всего в 3 папки писать могут. И ещё из парочки -- читать.


Исправлено: Raistlin, 0:40 17-12-2002