网络安全第八章

8.1.3
Windows常见漏洞分类
• 远程溢出漏洞
– 只要确定远程主机存在某个特定漏洞后，就可 使用特定的一种工具对其进行溢出攻击。这类 漏洞的利用不需要于远程主机的使用者进行任 何的交互，也不需要提前登陆到远程系统上。
8.1.3
本地提权类漏洞
• Microsoft Windows内核消息处理本地缓冲 区溢出漏洞 • Microsoft Windows LPC本地堆溢出漏洞 • Microsoft OLE和COM远程缓冲区溢出漏洞
• 受影响系统：XP，NT，2000 • 描述：Microsoft Windows LPC机制实现存在问题， 本地攻击者可以利用这个漏洞对LPC服务进行基于堆 的溢出，精心构造提交数据可提升权限。 • LPC（本地过程调用）机制是windows操作系统使用 的一种进程间通信类型，LPC用于统一系统上的进程 间通信，而RPC用于远程服务器之间的通信。 • 当客户端进程使用LPC的服务程序通信时，内核在拷 贝客户进程发送的数据时没有正确检查服务进程是 否分配足够的内存。未公开的API用于连接LPC端口 的NtConnectPort，该API的一个参数允许一个260字 节的缓冲区大小的限制，可导致一个基于堆的缓冲 区溢出。
8.1.1
Windows 发展史
8.1.1
Windows 1.0
Windows 2.0
Windows 3.0
Windows 3.11
Windows 3.11 NT
Windows 3.2
Windows 95
Windows NT 4.0
Windows 98
Windows me
Windows 2000
Windows xp
Windows Server 2003
Windows vista
Windows 7
Windows 8
8.1.2
TCSEC
• TCSEC（可信计算机系统评估准则）
– 又名橙皮书，根据该准则为计算机的安全级别 进行了分类，由低到高分别为D、C、B、A级。 – 其中，C级又分为C1和C2级，C2比C1提供更 多的保护。B级由低到高分为B1、B2和B3三个 子级。 – A级和D级暂时没有划分子级，每级包括它下级 的所有特性。
8.1.2
TCSEC
• C1级是选择性安全防护系统，要求硬件有一定的安 全保护，如硬件有带锁装置，需要钥匙才能使用计 算机，用户在使用计算机系统前必须先登录等。另 外，作为C1级保护的一部分，允许系统管理员为一 些程序或数据设立访问许可权限。 • C2级引进了受控访问环境（用户权限级别）的增强 特性，具有进一步限制用户执行某些命令或访问某 些文件的权限，而且还加入了身份认证级别。
用户交互漏洞
• Microsoft Task Scheduler远程任意代码执行漏洞 • Microsoft Windows GDI+JPG解析组建缓冲区溢 出漏洞 • Microsoft Windows图形渲染引擎安全漏洞 • Microsoft压缩文件夹远程任意命令执行漏洞 • Microsoft Windows ANI文件解析远程缓冲区溢出 漏洞 • Microsft Windows MSHTA脚本执行漏洞
来自百度文库
漏洞利用
• 工具：MS04-022 • 这是针对微软安全公告中所涉及漏洞（ Microsoft Task Scheduler ）的专用攻击工具，运行这个工 具后会生成一个j.job文件。当存在此漏洞的主机 使用windows资源管理器或窗口打开含有j.job文 件的文件夹时，j.job会以计划打开文件的形式打 开大量的记事本文件，从而瞬间造成系统崩溃。 • 该漏洞可以使用X-Scan进行检测发现。
漏洞公开
漏洞生命周期
受 攻 击 频 率
漏洞发布
软件厂商发布 补丁
发现漏洞
时间
8.1.3
漏洞相关网络资源
• 发现漏洞：主要是一些网络安全论坛或者是邮 件列表。
– Security Focus: http://www.securityfocus.com/archive
• 漏洞发布：小范围的漏洞攻击代码的传播。 • 漏洞公开：易用的攻击代码的发布和广泛传播。
8.1.3
Windows系统的常见漏洞分析
• Windows系统漏洞是指Windows操作系统 在逻辑设计上的缺陷或在程序编写时产生 的错误，这个缺陷或错误可以被不法者或 者电脑黑客利用，通过植入木马、病毒等 方式来攻击或控制整个计算机，从而窃取 计算机中的重要资料和信息，甚至破坏系 统。
8.1.3
• COM特权提升：当操作系统和程序处理 COM结构存储文件时，操作系统和程序访 问内存存在一个特权提升问题，登陆用户 可以利用此漏洞完全控制系统。 • OLE输入验证错误：OLE在处理输入验证 时存在问题，攻击者可以利用此漏洞构建 恶意文档，诱使用户打开，可导致任意代 码以用户进程权限在系统上执行任意指令。
漏洞攻击实例
• 使用X-Scan进行漏洞检测，发现漏洞主机。 • 在命令行中输入ms04-022.exe运行后生成j.job文件 • 使用copy或者其他方式将j.job文件夹上传到远程主 机，当用户打开该文件夹是，就会触发攻击程序对 漏洞进行溢出攻击。 • 如果通过QQ把j.job传给别人，如果对方存在该漏洞， 而接受者恰好又把j.job放在了桌面上，那么对方的 主机就会不停的弹出错误窗口，也就是explorer.exe 进入崩溃重启的死循环状态。
8.1.3
• 在内核调试支持代码传递调试事件给用户模式调试器 时存在漏洞。 • LpcRequestWaitReplyPort()函数由内核调用，不适 当的信任用户进程报告给传递内核时，没有对其消息 的大小进行检查，利用这个漏洞，攻击者精心构造事 件消息可能以“Ring0”级执行任意代码，即对所有系 统资源访问没有限制。 • 漏洞分析：Windows内核消息处理本地缓冲区溢出 漏洞可能导致本地用户权限的提升。从上面的描述中 可以看出，一名入侵者如果想利用此漏洞，首先必须 交互登陆到由此漏洞的系统上，控制台或远程登陆方 式都可以。
8.2
Web漏洞及攻防
• 概念 – 攻击对象
• Web服务器上运行的使用服务端脚本语言PHP, ASP等编写的基于Web的应用程序。
– 攻击目的
• 获取Web服务器的控制权； • 获取未授权访问的信息； • 拒绝服务。
– 攻击方法
• 利用脚本程序的漏洞； • 利用Web服务器的漏洞。
8.2
APACHE, IIS, NETSCAPE Etc. SQL DATABASE
Microsoft OLE和COM远程缓冲区溢出漏洞 • 影响系统：windows全系列 • 描述：Microsoft COM提供多个对象存储在一 个文档中，使用Microsoft OLE技术，应用程序 可提供嵌入和链接支持。 • Microsoft COM和OLE存在安全问题，本地或 远程攻击者可以利用这个漏洞提升权限及执行 任意命令。
漏洞说明
• 这个漏洞可以使本地用户提升权限。 • 当一个用户以普通用户身份登陆时，其受限于自 身的用户权限，无法完成某些特定的操作。通过 利用LPC本地堆溢出漏洞，一名普通用户可以以 系统权限运行任意代码。
漏洞利用实例
• 工具：MS04-044 • 使用攻击测试代码编译生成的文件，当本地用户 以较低权限登录到系统，使用MS04-044可以提升 权限并以系统权限运行一个记事本文件。 • 当攻击成功后，以notepad.exe覆盖utilman.exe， 建立一个到系统权限的入口。
HTTP REQUEST ( CLEAR TEXT OR SSL)
WEB CLIENT WEB SERVER
DB
DB
HTTP REPLY (JAVA SCRIPT, VBSCRIPT, HTML Etc.
FIREWALL
PLUGINS: -PERL -C/C++ -JSP Etc.
8
第八章 利用处理程序错误攻击
8.1 8.2
操作系统的漏洞及攻防 Web 漏洞及攻防
8.1
• • • • • 8.1.1 8.1.2 8.1.3 8.1.4 8.1.5
操作系统的漏洞及攻防
Windows操作系统发展简史 TCSEC Windows系统的常见漏洞分析 其他操作系统的安全漏洞 系统攻击实例
8.1.3
Windows内核消息处理本地缓冲区溢出漏洞
• 影响系统：Microsoft Windows XP；Windows NT 4.0；Windows 2000. • 描述：window内核是操作系统核心部分，提供系 统级别服务，如设备和内存管理，分配处理时间 和管理错误处理。 • Windows内核在处理错误消息给调试器时存在一 个缺陷，本地攻击者可以利用这个漏洞在系统中 进行任何操作，如删除数据，增加管理员访问级 别帐号或重新配置系统。
漏洞利用实例
• 修改ey4s.bat，加入自己的帐号和密码 • 以普通用户交互登陆 • 植入溢出工具，使用copy、ftp、tftp等把溢出工具 植入远程主机内部 • 提升权限并添加帐号，使用cd ms • 03-013，使用xDebug命令进行权限提升 • 断开连接，重新登陆。
Microsoft Windows LPC本地堆溢出漏洞
• 按照TESEC，DOS、Windows 3.x及 Windows 95（不在工作组方式中）属于D 级的计算机操作系统；某些UNIX、Novell 3.x或更高版本、Windows NT 属于C1级的 兼容计算机操作系统，部分达到C2级；一 些UNIX、Windows 2000、Windows XP属 于C2级的计算机操作系统。
工具介绍
• Ms03-013_exp_for_win2k工具包，包含 DebugMe.exe, ey4s.bat和xDebug.exe
• 使用说明：DebugMe.exe类似系统文件， 供xDebug.exe调用。当一名入侵者以普通 用户身份交互登录到远程系统后，运行 xDebug.exe进行溢出，当溢出成功后可以 以系统权限运行ey4s.bat批处理文件。
Microsoft Task Scheduler远程任意代码执行漏洞
• 影响系统：window XP、2000系列 • 描述： Microsoft Task Scheduler用于任务调度， 它在处理应用程序文件名验证时存在问题，远程 攻击者可以利用这个漏洞以系统权限在系统上执 行任意命令。 • 成功利用此漏洞攻击者可以完全控制整个系统， 但是此漏洞需要部分用户交互才能触发，攻击者 可以构建恶意web页面，诱使用户单击来触发此 漏洞。
漏洞检测
• 利用此漏洞的前提条件是与远程系统进行 交互，可以利用这个漏洞进行权限的提升， 可以使用微软的Microsoft Baseline Security Analyzer进行漏洞检测。
漏洞利用
• 工具：SSexploit.exe • 使用：SSexploit “Application to uninstall” “command” • “Application to uninstall”表示服务安装文件的位 置，一般位于系统目录下的webfldrs.msi。 • “Command”是准备执行的命令
8.1.3
Windows常见漏洞分类
• 本地提权漏洞
– 是指入侵者可以用非管理员权限的账号登陆远 程主机，为了完全控制远程主机，需要进行权 限提升时利用的漏洞。
• 用户交互漏洞
– 指入侵者若想成功利用此类漏洞，需要远程主 机的使用者打开并运行指定的漏洞文件，如果 远程主机用户不执行特定的漏洞利用文件，则 入侵者无法利用此类漏洞。
– Packet Storm: http://packetstormsecurity.org/ – 黑客天下: http://bbs.hack4.com/ – SecuriTeam: http://www.securiteam.com/
8.1.3
漏洞相关网络资源
• 软件厂家的补丁发布
– Microsoft Security Bulletin: http://www.microsoft.com/technet/security/curr ent.aspx