Sie sind vermutlich noch nicht im Forum angemeldet - Klicken Sie hier um sich kostenlos anzumelden  
Sie können sich hier anmelden
Dieses Thema hat 0 Antworten
und wurde 220 mal aufgerufen
 Windows XP
Diarch Offline



Beiträge: 169

28.06.2008 09:19
Benutzernamen herausfinden Antworten
Ein paar Kommandozeilen-Befehle genügen, um über ein verstecktes Administratorkonto auf Ihren PC zu gelangen. Hat sich der Spion erfolgreich eingeloggt, liest er mit gewöhnlichen Netzwerk-Administrationstools alle Benutzernamen aus.

Schlüpfen Sie nun selbst in die Rolle des Agenten. Starten Sie die Eingabe-Aufforderung und geben Sie dort eine Netzwerk- oder Internetadresse ein nach dem Muster

ping http://www.rechnername.de

Damit erhalten Sie die IP-Adresse Ihres Angriffsziels. Mit dem "Ping-Befehl" erfahren Sie nebenbei noch, ob der betreffende Rechner erreichbar ist. Wenn ja, können Sie versuchen, sich über ein verstecktes Admin-Konto Zugang zu verschaffen. Dazu geben Sie

net use \\IP-Adresse\ipc$ /user:administrator

ein, wobei Sie die vorhin ermittelte IP-Adresse einsetzen. Erhalten Sie die Meldung »Der Befehl wurde erfolgreich ausgeführt«, könnte das Ausspionieren klappen.

Als Tatwerkzeug eignen sich die PsTools von Sysinternals. Entpacken Sie den heruntergelade­nen ZIP-Ordner und kopieren Sie daraus die Kommandozeilentools »psexec« und »psloggedon« in den Ordner »windows\system32«. Anschließend geben Sie in der Eingabeaufforderung das Kommando

psexec \\IP-Adresse -u administrator psloggedon \\IP-Adresse

ein. Ist der Rechner nicht ausreichend geschützt, haben Sie nun die Namen aller Benutzer, die auf diesem PC eingeloggt sind.

So schützen Sie sich
Was wir Ihnen hier gezeigt haben, nennt sich »Nullsession-Attacke«. Derartige Angriffe können über die Ports 137, 138, 139 und 445 ausgeführt werden. Erste Schutzmaßnahme: Installieren Sie als XP-Benutzer unbedingt das Service Pack 2. Die dort verbesserte Firewall verhindert Nullsession-Attacken zumindest dann, wenn jemand versucht, sich über das Internet bei Ihnen einzuloggen.

Bei Rechnern in lokalen Netzwerken sollten Sie die betroffenen Ports mit einer Firewall schließen. Benötigen Sie einen oder mehrere davon unbedingt, so starten Sie den Registrierungs-Editor und legen im Schlüssel »HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\lanmanserver\parameters« die beiden neuen DWord-Werte »AutoShareServer« und »AutoShareWks« an. Weisen Sie den Einträgen jeweils den Wert »0« zu und starten Sie den Rechner dann neu. Damit ist zumindest die administrative Freigabe deaktiviert, die wir bei unserer Attacke ausgenutzt haben.
 Sprung  
Xobor Xobor Forum Software
Einfach ein eigenes Forum erstellen
Datenschutz