入侵特征分析20071115.pptVIP

第四章主要的Internet安全威胁(第2部分) 10大脆弱性的后5项 Sadmind和mountd漏洞 通过网络共享文件 默认账户以及账户口令设置不当 IMAP(消息访问协议)和POP(邮局协议)服务器中的缓冲区溢出 SNMP(简单网络管理协议)中默认的共同串 4.1sadmind和mountd缓冲区溢出 Sadmind支持对Solaris系统的远程访问控制 mountd则可以控制和处理UNIX主机上对NFS的访问 攻击可以利用这些应用中出现的缓冲区溢出，获得根用户权限 处理办法：删除服务或者修补漏洞 4.2配置不当的文件共享 人为因素居多 配置不当 默认安装 几乎所有的系统都存在这样的漏洞 NetBIOS漏洞攻击 NetBIOS 漏洞攻击 G 4.3口令 默认帐户和弱口令 系统提供”demo”或”guest”账户都没有设置口令，或者为默认口令。另外，系统管理员很容易猜出的系统的口令或者直接设置为空。 危害 用户账户受到攻击，攻击者可以躲过防火墙，能充分利用漏洞获得根用户或者管理员的访问权限。 共享和口令的实例 攻击描述:客户访问不信任服务器上的一个HTML链接file:///share/pixel.gif,服务器就会得到客户的相关信息,包括用户名和密码等重要信息. 跟踪记录: 第一个数据包向服务器发送NetBIOS名请求,服务器应答为: 客户和服务器协商,使用哪种SMB协议 双方发送所支持的SMB协议,但都不对该协议进行响应,可以看出真正响应的不是协议,而是一些属性. 客户端向服务器提交了它的lanMan登录凭证,以及要访问的资源名,作者捕获了这些凭证并且用L0phtCrack SMB捕获,结果为: WORKGROUP\VICTIM:3:0ce6edfcd17dfa8: 1326ccb962bdf314eed06a834d2dbc597141da95c20572b:00000000000000000000000000000000000000000000000000000000000 第1项为域名或用户名,第3项表示服务器所发送的明文质询,第4项为利用该质询得到的用户口令的lanMan hash值, 第5项为NTLMv1 hash值 谢谢! * *