Иллюстрированный самоучитель по Secure Web


Инвентаризация UNIX - часть 7


rpcinfo -p 192.168.202.34

program vers proto port

100000 2 tcp 111 rpcbind

100002 3 udp 712 rusersd

100011 2 udp 754 rquotad

100005 I udp 635 mountd

100003 2 udp 2049 nfs

100004 2 tcp 778 ypserv

Из полученных результатов можно заключить, что на данном узле запущен системный процесс rusersd, программное обеспечение служб NFS и NIS (ypserv — сервер службы NIS). Таким образом, с помощью команд rusers, shomount -e и pscan -n можно попытаться получить более подробную информацию. Кроме того, для инвентаризации можно также воспользоваться утилитой pscan (упоминавшейся выше) с параметром -г.

Утилиту, аналогичную rpcinfo, можно применять и в системе Windows NT. Эта утилита, написанная Дэвидом Литчфилдом (David Litchfield) называется rpcdump. Как видно из следующего примера, утилита rpcdump ведет себя аналогично rpcinfo с параметром -р.

D:\Toolbox>rpcdump 192.168.202.105

Program no. Name Version Protocol Port

(100000) portmapper 4 TCP 111

(100000) portmapper 3 TCP 222

(100001) rstatd 2 UDP 32774

(100021) nlockmgr 1 UDP 4045

Существует и несколько других приемов использования службы RPC, с помощью которых хакеры могут получать требуемую информацию. Так, в системе Solaris компании Sun используется вторая утилита, необходимая для работы с портами с номерами выше 32771. Следовательно, модифицированная версия утилиты rpcinfo при обращении к этому порту позволит получить приведенную выше информацию, даже если порт 111 заблокирован.

Хотя лучший инструмент RFC-сканирования из всех, которые нам доводилось видеть, входит в состав коммерческого пакета CyberCop Scanner компании Network Associates, Inc., для поиска определенных приложений RPC хакер может воспользоваться бесплатной утилитой rpcinfo со специальными параметрами. Например, для того чтобы проверить, работает ли на исследуемом компьютере по адресу 192.168.202.34 сервер TTDB (ToolTalk Database), известный своей уязвимостью (см. главу 8), можно воспользоваться следующей командой.

 rcpinfo -n 32771 -t 192.168.202.34 100083



Начало  Назад  Вперед