Null Session

( 1 ) Null Session

Windows가 설치된 네트워크의 다른 원격 컴퓨터에 user명과 패스워드를 NULL로 해서 접속할 수 있게 해주는 것을 의미함.

 

( 2 ) Null Command(공격방법)

net use \\[공격서버IP]\ipc$ "" /user:""
net use \\[공격서버IP]\ipc$ "[Password]" /user:"[USER ID]"

(net use 명령어로 확인해보자!)

 

( 3 ) Null Session의 위험성

    ① 공격자는 시스템의 유저명, 공유 정보 등을 열람할 수 있게 됨.

    ② 심지어 레지스트리 HKEY_LOCAL_MACHINE의 일부에도 접근 가능함.

    ③ DoS 공격을 수행할 때도 사용됨.

 

( 4 ) $과 관리적 공유

    ① $ - 네트워크 환경에서는 보이지 않는 숨김(Hidden) 공유를 사용함을 붙이는 접미사

    ② Windows 에서는 운영체제가 설치될 때의 각 드라이브 파티션에 대한 관리적 공유를 자동으로 생성됨. 이들 공유는 <드라이브 문자>$로 되어 있음. 기본적으로 이러한 관리적 공유는 시스템 및 도메인 관리자만이 열 수 있음.

 

( 5 ) 자동 공유되는 기능 제거 (admin$, c$, d$ 등등)

    ① 시작 -> 실행 창

    ② regedit 입력

    ③ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters 로 이동

    ④ 오른쪽 마우스 클릭 -> 새로 만들기 -> DWORD 값 클릭

    ⑤ 2000 Server, 2003 Server, XP Pro 버전일 때

      - AutoShareServer 입력

      - 값 데이터에 0 입력 (두번 클릭, 또는 오른쪽 마우스 클릭 -> 수정 클릭

     

    ⑥ 2000 Pro, XP Home Edition 버전일 때

      - AutoShareWks 입력

      - 값 데이터에 0 입력 (두번 클릭, 또는 오른쪽 마우스 클릭 -> 수정 클릭)

    ⑦ 시작 -> 실행

    ⑧ cmd 입력

    ⑨ net share admin$ /delete, net share c$ /delete, net share d$ /delete등등 입력

    ⑩ net share를 입력하여 공유되어 있는지 확인

     

    ⑪ 재부팅

 

( 6 ) 익명 계정으로부터 접근 제어

    ① 시작 -> 실행 창

    ② regedit 입력

    ③ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa로 이동

    ④ 오른쪽 마우스 클릭 -> 새로 만들기 -> DWORD 값 클릭

    ⑤ Restrictanonymous의 값 데이터를 2로 수정

        (두번 클릭, 또는 오른쪽 마우스 클릭 -> 수정 클릭)