実践ネットワークセキュリティ監査
第9章:Windowsネットワークの監査
- 9.1 Microsoft Windowsネットワークサービス
- 9.1.1 SMB、CIFS、NetBIOS
- Common Internet File System (CIFS) File Access Protocol (アーカイブ名はcifs.exe)
- Microsoft’s Common Internet File System (CIFS) and Server Message Block (SMB) File System Protocols(入手にはMicrosoftとの契約が必要)
- 9.1.1 SMB、CIFS、NetBIOS
- 9.2 Microsoft RPC サービス
- http://www.bindview.com/Support/RAZOR/Resources/nullsess.ppt
- 9.2.1 システム情報の列挙
- epdump, http://www.packetstormsecurity.org/NT/audit/epdump.zip
- rpcdump および ifids, http://www.bindview.com/Resources/RAZOR/Files/rpctools-1.0.zip
- RpcScan, http://www.securityfriday.com/
- 9.2.1.1 epdump
- 9.2.1.2 既知のIFID値
- 9.2.1.3 rpdumpおよびifids
- 9.2.1.4 RpcScan
- 9.2.2 SAMRおよびLSARPCインタフェイスによるユーザ詳細情報の収集
- 9.2.2.1 walksam
- 9.2.2.2 rpcclient
- 9.2.3 Administratorパスワードへに対するブルートフォース攻撃
- 9.2.4 任意コマンドの実行
- 9.2.5 RPCサービスに対する直接攻略
- MS03-026、http://www.microsoft.com/technet/security/bulletin/03-026.mspx
- MS03-039、http://www.microsoft.com/technet/security/bulletin/03-039.mspx
- http://www.kb.cert.org/vuls/id/568148
- http://www.kb.cert.org/vuls/id/254236
- http://www.kb.cert.org/vuls/id/483492
- http://packetstormsecurity.org/0307-exploits/dcom.c
- http://packetstormsecurity.org/0307-exploits/DComExpl_UnixWin32.zip
- http://packetstormsecurity.org/0308-exploits/rpcdcom101.zip
- http://packetstormsecurity.org/0308-exploits/oc192-dcom.c
- http://examples.oreilly.com/networksa/tools/dcom-exploits.zip
- http://support.microsoft.com/?kbid=827363
- SPIKE, http://www.immunitysec.com/resources-freesoftware.shtml
- 9.3 NetBIOSネームサービス
- 9.3.1 システム情報の列挙
- 9.3.2 NetBIOSネームサービスの攻撃
- CVE-1999-0288 http://cve.mitre.org/cgi-bin/cvename.cgi?name=1999-0288
- CVE-2000-0673 http://cve.mitre.org/cgi-bin/cvename.cgi?name=2000-0673
- CAN-2003-0661 http://cve.mitre.org/cgi-bin/cvename.cgi?name=2003-0661
- 9.4 NetBIOSデータグラムサービス
- 9.5 NetBIOSセッションサービス
- 9.5.1 システム詳細情報の列挙
- enum, http://www.bindview.com/Resources/RAZOR/Files/enum.tar.gz
- winfo, http://ntsecurity.nu/toolbox/winfo.exe
- GetAcct, http://www.securityfriday.com/tools/GetAcct.html
- 9.5.1.1 enum
- 9.5.1.2 winfo
- 9.5.1.3 GetAcct
- 9.5.2 ユーザパスワードに対するブルートフォース攻撃
- 9.5.3 SMBにおける認証
- 9.5.4 コマンドの実行
- 9.5.5 レジストリキーの読み出しおよび変更
- 9.5.6 SAMデータベースへのアクセス
- pwdump3, http://packetstormsecurity.org/Crackers/NT/pwdump3.zip
- LC5, http://www.atstake.com/research/lc
- John the Ripper, http://www.openwall.com/john/
- 9.5.1 システム詳細情報の列挙
- 9.6 CIFSサービス
- 9.6.1 CIFS情報の列挙
- SMB-AT, http://www.cqure.net/
- 9.6.1.1 smbdumpusersによるユーザ列挙
- 9.6.2 CIFSに対するブルートフォース攻撃
- 9.6.1 CIFS情報の列挙
- 9.7 Unix Sambaの脆弱性
- http://www.samba.org/
- 12749、http://xforce.iss.net/xforce/xfdb/12749
- 11726、http://xforce.iss.net/xforce/xfdb/11726
- 11550、http://xforce.iss.net/xforce/xfdb/11550
- 10683、http://xforce.iss.net/xforce/xfdb/10683
- 10010、http://xforce.iss.net/xforce/xfdb/10010
- 6731、http://xforce.iss.net/xforce/xfdb/6731
- 3225、http://xforce.iss.net/xforce/xfdb/3225
- 337、http://xforce.iss.net/xforce/xfdb/337
- 9.8 Windowsネットワーキングにおける対策
- MS03-026、http://www.microsoft.com/technet/security/bulletin/03-026.mspx
- MS03-039、http://www.microsoft.com/technet/security/bulletin/03-039.mspx
- MS-825750、http://support.microsoft.com/default.aspx?kbid=825750
- MS-246261、http://support.microsoft.com/default.aspx?kbid=246261
- MS-296405、http://support.microsoft.com/default.aspx?kbid=296405