Cảnh báo:
- Những vùng mà Null Session được xem xét hữu ích khi tập tin LMHOSTS.SAM sử dụng “#include <tên file>”. Một điểm chia sẽ bao gồm những tập tin phải được thiết lập như Null Session chia sẽ. đồng thời khi mộ dịch vụ đang chạy với tài khoản “SYSTEM”, cần truy cập tời tài nguyên mạng, Null Session có thể thiết lập để truy cập tới những tài nguyên mạng đó.
- Một đều thú vị là Null Session có thể được thiết lập tại cấp API với ngôn ngữ C++, Null Session có thể được thiết lập để kết nối tới “Null Session Pipes” nếu như nó được Server cho phép. “Pipes” là một phương diện cho phép xử lý hệ thống giao tiếp từ một hệ thống khác, trong khi đang xử lý giao tiếp chia sẽ cho phép giữa hai quá trình trên cùng một hệ thống.
- Null Session có thể được thiết lập để kết nối tới những thư mục chia sẻ, bao gồm cả hệ thống chia sẻ như \\ tên Server\IPC$. IPC$ là một thư mục chia sẻ ẩn đặc biệt. nó có thể là IPC$ chia sẻ trên bề mặt tới “server” xử lý trên máy, nó kết hợp với đường dẫn vì thế nó có thể truy cập từ xa. Null Session tạo ra được sự liệt kê về Users, máy tính, và tài nguyên dễ dàng cho những mục đích của Administrative băng ngang qua Domain. Nó chính là “mồi nhử” cho người tấn công mà có ý định sử dụng Null Session để kết nối tới máy tính.
- Trong Module trước, chúng ta đã nhìn thấy kỹ thuật scanning được sử dụng để khám phá những port mà những dịch vụ đang chạy hay đang ở trạng thái bình thường. trong suốt quá trình quét cổng, người tấn công có thể ghi chú câu trả lời từ giao thức TCP ở cổng 139 & cổng 445.
- “Tại sao những cổng đó thì thích hợp cho người tấn công? “. Câu trả lời giả tạo tạo nằm ở trong giao thức SMB.
- Giao thức SMB (Server Message Block) được biết đến cho vịêc sử dụng những tập tin chia sẽ trên Windows NT/2000 … và giữa những thách thức khác. Người tấn công có khả năng chặn đứng & chỉnh sửa những gói (packet) SMB không đánh dấu, sau đó chỉng sửa tín hiệu trên đó và chuyển nó đi, vì thế Server sẽ phải làm những việc rắc rối trên tập tin đã bị chỉnh sửa đó. Ngoài ra, người tấn công có thể đưa ra những quyền như 1 server hay client sau khi chứng nhận hợp lý & có nhiều lợi ích không được phép khi truy cập đến dữ liệu.
Khái niệm:
- SMB làm ột giao thức chia sẽ tài nguyên được hỗ trợ từ hầu hết các HĐH của Microsoft. Nó chính là nền tảng cơ bản cho việc nhập/xuất hệ thống (NetBIOS) và nhiều giao thức khác. SMB chứng nhận đóng dấu dữ kiệu cả 2 máy client & server. Trong Windows NT nó chạy ở trên giao thức NBT (NetBIOS over TCP/IP), nó sử dụng cổng 137,138 (UDP) và cổng 139 (TCP). Trong Windows 2000, SMB được cho phép trực tiếp trên TCP/IP, không thêm vào lớp nào của NBT. Bởi vậy, cổng 445 khi khởi động được sử dụng cho mục đích này.
- Nếu mày client có NBT được kích hoạt, nó sẽ cố gắng kết nối đồng htời đến Server ở cả 2 cổng 139 & cổng 445. nếu được trả lời từ cổng 445, nó sẽ gửi 1 RST tới cổng 139 và tiếp tục session SMB của nó tới cổng 445, nó sẽ tiếp tục phiên làm việc SMB của nó tới cổng 139 để lấy được câu trả lời từ cổng đó.
- Nếu máy client có NBT không được kích hoạt, nó sẽ cố gắng kết nối đến Ser ver qua cổng 445. nếu server trả lời từ cổng 445, Session sẽ được thiết lập và tiếp tục trên cổng đó. Session sẽ bị lỗi nếu không có câu trả lời. trường hợp này xảy ra nếu như server sử dụng Windows NT 4.0. điều này tất yếu nếu như Server có NBT được kích hoạt, nó sẽ tuân theo cổng 137, 138 trên UDP và cổng 139,445 trên TCP. Nếu Server có NBT không được kích hoạt, nó chỉ tuân theo cổng 445 trên TCP.
Cảnh báo:
- Mỗi Session SMB dùng đến tài nguyên Server. Việc thiết lập nhiều Null Session sẽ làm chậm đi thậm chí đụng nhau cả ở trong Windows 2003. Người tấn công có thể thiết lập lại Session SMB cho đến khi những Server ngừng trả lời. Dịch vụ SMB sẽ trở nên chậm chạp & không trả lời lại.