Novell环境的对象列举
/ns/ld/softld/data/20010108023545.htm
发行日期: 2000-11-8
联系人:Simple Nomad
主题:默认设置允许Novell Netware系统信息泄露
受影响的系统:Novell Netware 5.0, 5.1包括最近的补丁
摘要:
由于继承支持和默认设置的结合,使用本地IP的Novell Netware服务器在被特定访问时将通过TCP端口524泄露系统信息。
在混合的Novell/Microsoft环境中,关于Microsoft devices的信息通过Service Advertising Protocol (SAP)表被泄露出去。
第三方产品,诸如那些用于环境之间的同步目录服务更能助长这个问题。本质上,一个远程攻击者可以用控制台命令
"display servers"和DOS命令"cx /t /a /r"在没有鉴定的情况下搜集相同意义上的信息。
影响:
所有运行IP(开放524端口)的Novell Netware服务器可以被查询,所有有公共读权限的对象可以被列举。
诸如帐户名称、服务器服务、以及其他不同的对象信息可以被搜集。 在混合的环境中,象IPX和IP混合的环境,
一些被控制的、以及与基于IP的服务器通话的IPX对象会被泄露;在与Microsoft NT混合的环境中,一些NT 对象会被泄露。
搜集到的信息可能被用来分析出用户帐户名称和技术配置,以用于将来的攻击。
如果没有允许通过防火墙或从内部拨号配置访问端口524,这个影响的范围只限于内部网络。
这类似于依靠Primary或Backup Domain Controller的一个Windows NT空会话的范围。
细节:
Novell已经努力争取使Netware环境尽可能地可连接。 到目前为止,Novell已经开发了一个“纯”TCP/IP环境
(先前工具遭到反对,因为它没有完全将Netware结合到IP世界,如Netware/IP)。分配的端口524用于NCP
(Netware Core Protocol),并且很大程度上与先前的IPX风格非常类似。这允许客户端上运行的基于IPX的普通应用程序
可以和IP-only Netware服务器通话,因为客户端软件按IP包格式“包装”IPX请求并且发送到524端口。
在传统Netware环境中,IPX专用于 客户端-服务器 和 服务器-服务器 的通信。
Netware对象,如打印机,作为服务器的一个客户端,这样当最终用户想要与一台打印机通信时,他或她
可以询问服务器并且得到关于打印机位置的信息。加之,Netware服务器也可以在多种网卡之间发送IPX通信,
以及从其他服务器上获悉其他可用的服务,所有这些都通过IPX。为了保持这样丰富的环境,大多数相关的技术
以向后兼容的思想被转而坚持使用IP。基本上这意味着由于IP不支持它本身可用服务的这种"auto-discovery",
Novell在端口524上使用一种结合包装NCP命令(这命令用于在IPX上)的IP数据包,
在端口427上使用SLP(Service Location Protocol)。
Novell已经非常善于设法确保它不会封锁旧版本Netware与新版本的互用性。
然而,由于它的历史,使用两个或三个以前主要版本的旧的NCP调用仍然可以用来查询服务器。
因为这些调用现在可以在IP中被封装,所以我们可以从非Netware系统进行调用。
又因为这些调用中的多数不是首先由用户鉴别决定的,所以我们可以利用NDS对象
环境中默认NDS树设置的优势
1. 建立TCP连接。以SYN发送TCP数据包到端口524,接收SYN/ACK,以ACK回应。这是你的基础连接。
2.现在我们建立NCP连接。这与IPX以同样方式完成,除非我们用TCP数据包安置数据。 我们以没有NCP数据的NCP报头开始,
使用0x1111连接形式。
NCP (create_conn)
{
// begin NCP request header
u32 sig; // signature identifies the packet type (0x446d6454)
u32 len; // length 0x00000017 (23)
u32 reqbuf; // requested buffer size 0x00000000
u16 reqtype; // request type 0x1111 (create connection)
u8 seq; // initial sequence number 0x00
u8 connlow; // 0xff (255) wildcard
u8 task; // 0x01
u8 connhi; // 0xff (255) wildcard
// end NCP request header
} create_conn_req;
这里是回应:
NCP (create_conn_reply)
{
// begin NCP reply header
u32 sig; // signature
u32 len; // length 0x00000010 (16)
u16 reqtype; // reply 0x3333
u8 seq; // initial sequence number 0x00
u8 connlow; // 0x0e (14) <--\
u8 task; // 0x01 >-- connection number
u8 connhi; // 0x00 (0) <--/
// end NCP reply header
// begin data section
u8 cc; // completion code 0x00 (OK)
u8 cs; // connection status flags 0x00 (OK)
// end data section
} create_conn_rep;
3. 现在我们做一个服务器信心调用请求来搜集关于服务器的基础信息。
NCP (server info request)
{
// begin NCP header
u32 sig; // signature (0x446d6454)
u32 len; // length = 0x0000001a (26)
u32 ver; // version = 0x00000001
u32 bufreply; // reply buffer size = 0x00000080 (128)
u16 reqtype; // 0x2222 (request)
u8 seq; // 0x01 sequence number is incremented by one
u8 connlow; // Conn low 0x0e (14)
u8 task; // Task # 0x01
u8 connhi; // Conn hi 0x00 (0)
// end NCP header
// Request/sub-function code = 23,17
u32 req; // 0x17000111 (23,0,1,17)
} server_info_req;
注意,我们从1开始增加序列号。这是旧IPX数据包的序列号配置,从1开始增加,直到序列号为255,然后重置它为0。
在回应中我们取回一串信息:
NCP (server info reply)
{
// begin NCP header
u32 sig; // 4 byte signature
u32 len; // length = 0x00000090 (144)
u16 reqtype; // 0x3333 (reply)
u8 seq; // 0x01 sequence number
u8 connlow; // Conn low 0x0e (14)
u8 task; // Task # 0x01
u8 connhi; // Conn hi 0x00 (0)
// end NCP header
// Reply/sub-function code = 23,17
u8 cc; // completion code = 0x00 (ok)
u8 cs; // connection status flags = 0x00 (ok)
u8[47] svrname; // object name = 0x50 41 4e (PAN)
u8 ser_ver; // file service version = 0x05
u8 ser_subver; // file service sub-version = 0x00
u16 max_conn; // max service connections = 0x000e
u16 conn_use; // connections in use = 0x0000
u16 max_vols; // maximum volumes = 0x00ff
u8 rev; // revision = 0x00
u8 sft; // sft level = 0x02
u8 tts; // tts level = 0x01
u16 max_used; // max conn ever used = 0x01
u8 acct; // account version = 0x01
u8 vap; // VAP version = 0x01
u8 queue; // Queue version = 0x01
u8 print; // Print version = 0x00
u8 virt_con; // Virtual console version = 0x01
u8 int_brdg; // Internet bridge = 0x01
} server_info_rep;
现在我们知道服务器的名字是PAN,它是Netware 5.0,以及一些其他的项目。
4.执行一个NDS ping,返回NDS树名称。 NDS PING是用来说明服务器是否正在运行的。
客户端通常将这些数据包发送到第一个可用的服务器。 我们将了利用它,因为它允许我们不通过鉴别而确定树的名称。
NCP (NDS_ping)
{
// begin NCP header
u32 sig; // signature (0x446d6454)
u32 len; // length = 0x0000001b (27)
u32 ver; // version = 0x00000001
u32 bufreply; // reply buffer size = 0x00000028 (40)
u16 reqtype; // 0x2222 (request)
u8 seq; // 0x02 sequence number is incremented by one
u8 connlow; // Conn low 0x0e (14)
u8 task; // Task # 0x01
u8 connhi; // Conn hi 0x00 (0)
// end NCP header
// Request/sub-function code = 104,0
u32 req; // 0x68010000 (104,1,0,0)
} NDS_ping_req;
这里是回应:
NCP (NDS_ping_reply)
{
// begin NCP reply header
u32 sig; // signature
u32 len; // length 0x00000010 (16)
u16 reqtype; // reply 0x3333
u8 seq; // 0x02 sequence number
u8 connlow; // 0x0e (14) <--\
u8 task; // 0x01 >-- connection number
u8 connhi; // 0x00 (0) <--/
// end NCP reply header
// begin data section
u8 cc; // completion code 0x00 (OK)
u8 cs; // connection status flags 0x00 (OK)
u32 u1; // unknown
u32 treelen; // length of tree name
u8[21] treename;// 0x54 45 53 54 (in this example, TEST)
u32 objid; // object ID of tree
// end data section
} NDS_ping_rep;
现在我们得到了DNS树名称.
5. 最后,发送一个Scan Bindery Object循环请求,我们就能够列举出至少有公共读权限的所有对象。
NCP (scan bindery object request)
{
// begin NCP header
u32 sig; // signature (0x446d6454)
u32 len; // length = 0x00000022 (34)
u32 ver; // version = 0x00000001
u32 bufreply; // reply buffer size = 0x00000039 (57)
u16 reqtype; // 0x2222 (request)
u8 seq; // 0x03 (3) sequence number
u8 connlow; // Conn low 0x0e (14)
u8 task; // Task # 0x01
u8 connhi; // Conn hi 0x00 (0)
// end NCP header
// Request/sub-function code = 23,55
u32 req; // 0x17000837 (23,0,8,55)
u32 lastobj; // Last object ID seen = 0xffffffff (wild card)
// start with ffffffff and simply use the last
// object ID that was retrieved
u16 objtype; // Object type = 0xffff (wildcard)
u16 search; // search string = 0x012a ("*")
} scan_bin_obj_req;
这里是一个回应例子:
NCP (scan bindery object reply)
{
// begin NCP header
u32 sig; // signature (0x446d6454)
u32 len; // length = 0x00000049
u32 reqtype; // 0x3333 = (reply)
u8 seq; // 0x03 (3) sequence number
u8 connlow; // Conn low 0x0e (14)
u8 task; // Task # 0x01
u8 connhi; // Conn hi 0x00 (0)
// end NCP header
u8 cc; // completion code = 0x00
u8 cs; // connection status flags = 0x00
u32 obj_id; // object ID found (0xc20000a1)
u16 objtype; // object type = 0x0004 (server)
u8[48] objname; // object name = 0x50 41 4e (PAN)
u8 objflag; // object flag = 0x00 (static)
u8 sec; // security status = 0x40 (0100 write access for svr,
0000 read access for all)
u8 statflags; // status flags = 0xff (has properties)
} scan_bin_obj_rep;
有趣的是,如果名为[Public]的NDS树对象有浏览权,除了被Inherited Rights Filters限制的以外
其他所有对象将被列举出来,例如,用户名。 Novell的默认设置是[Public]有浏览权。
除了列举NDS对象外,所有SAP表中的动态列表都将被列出。 这不仅仅包括环境中附加的Novell服务,
如IP Novell系统正在与之对话的非IPNovell系统,还包括其他厂家的硬件和软件产品。
举了例子来说,0x0640型的SAP是适于NT RPC服务的,0x64e型则是适于NT IIS服务器的。
使用SAP表的信息以及查阅Novell-assigned SAP types列表,可以列举出不同的配置技术。
Novell环境公认的广告文件和出版服务的Microsoft系统可以通过0x0640 SAP类型列举出他们计算机的Netbios名称。
虽然NDS树结果的浏览可以通过调整NDS树结果的默认权限而受到限制,但这并不能限制信息由SAP表而泄露出去。
建议:
由于通过524端口会泄露一定数量的信息,建议锁定从INTERNET访问端口524。NDS对象[Public]不应有浏览权,
树结构应该只限于授权的用户,所以取消[Public]的浏览权。用ncpquery [2]来检查看看通过524端口泄露了什么。
内部威胁难于防范,特别是通过动态SAP表泄露的信息,但取消[Public]的浏览权至少限制了用户名的泄露。