第五讲 系统的弱点挖掘 MSE安全攻防培训资料

第五讲系统的弱点挖掘与目标权限获取 王大勇wangdayong 2 主要内容 弱点挖掘过程弱点挖掘原理与方法基于系统弱点的目标权限获取基于口令破解的目标权限获取 3 主要内容 弱点挖掘过程弱点挖掘原理与方法基于系统弱点的目标权限获取基于口令破解的目标权限获取 4 弱点挖掘过程 系统管理弱点 安全管理制度 安全策略 系统用户弱点 用户安全意识 安全知识 应用软件弱点 应用程序 运行流程 系统平台弱点 操作系统 数据库系统等 网络通信弱点 通信协议 网络服务 物理实体和环境安全弱点 5 主要内容 弱点挖掘过程弱点挖掘原理与方法基于系统弱点的目标权限获取基于口令破解的目标权限获取 6 弱点挖掘原理与方法 应用服务软件漏洞网络用户漏洞通信协议漏洞网络业务系统漏洞程序安全缺陷 7 弱点挖掘原理与方法 续 操作系统漏洞网络安全产品的弱点挖掘客户软件的弱点挖掘非技术性的弱点挖掘 8 应用服务软件漏洞 邮件服务系统漏洞挖掘WWW服务漏洞挖掘FTP服务漏洞挖掘域名服务漏洞挖掘路由服务漏洞挖掘Finger服务漏洞挖掘 9 邮件服务系统漏洞挖掘 邮件用户弱口令邮件服务器允许随意转发邮件明文传输发送邮件人身份无需验证和授权邮件服务器没有过滤功能发送邮件地址无需确认 10 邮件服务系统漏洞挖掘 例如执行 Telnet192 168 0 1返回 220monitor SendmailSMI 8 6 SMI SUR4readyatThu 6Nov200423 01 29 0800得知邮件服务器版本号 SendmailSMI 8 6 SMI SVR4查找弱点数据库 获得该服务器漏洞 11 WWW服务漏洞挖掘 WWW服务用户的弱口令非安全CGI程序非安全服务配置 导致敏感信息泄露WWW服务认证缺陷WWW服务应用编程语言漏洞 如 JavaScript Perl PHP等 12 WWW服务漏洞挖掘实例 root scarirang 1 5 arirang h192 168 0 2 p8080 riiscgi uxeCheckScaniiscgi uxedatabase200OK IIS4 5CGIDecodebug28EndCheckScaniiscgi uxedatabase发现主机存在CGIDecode漏洞 13 FTP服务漏洞挖掘 FTP目录权限配置不当FTP服务器泄露用户信息FTP服务器非法执行命令FTP通讯连接无限制协议通过明文传输FTP服务程序安全缺陷 导致缓冲区溢出 14 域名服务漏洞挖掘 域名欺骗网络信息泄露 尤其windows2000环境 服务器拒绝服务域名服务器的数据修改和破坏 15 路由服务漏洞挖掘 引起IP冲突 破坏路由器运行制造MAC地址冲突干扰路由服务的域名解析发送垃圾数据给路由器 造成拒绝服务劫持路由器会话伪造路有更新消息破解路由器弱口令 16 路由服务漏洞挖掘实例 root sclab nmap o192 168 0 254StartingnmapV 2 54BETA7Interestingportson 192 168 0 254 PortStateService23 tcpopentelnet79 tcpopenfingerRemotesOSguesses AS5200 Cisco2501 5260 5300terminalserverIOS11 3 6 T1 CiscoIOS11 3 12 0 11 接下来对登陆密码作猜解 17 网络用户漏洞 网络用户的口令选取方法 计算机的使用习惯 兴趣爱好 教育背景 网络安全意识等 都可能成为攻击者的有用信息 18 通信协议漏洞 伪造通信协议数据包的发送地址截获数据包修改数据包构造异常数据包 浪费网络资源破坏协议运行 重定向数据 19 通信协议漏洞 通过tcpdump工具分析网络数据包 www tcpdump org 分析网络中是否有异常的tcp数据包 20 通信协议漏洞 利用windows网络共享协议漏洞建立空会话获得用户信息 上次登陆时间 口令策略等信息 21 网络业务系统漏洞 通过掌握目标网络的业务流程信息 可以发现漏洞 如网络申请使用权限登记漏洞 22 程序安全缺陷 常见挖掘程序漏洞的方法有 程序中缓冲区不做边界检查 容易造成缓冲区溢出安全缺陷 程序的系统调用不当 造成安全缺陷 程序代码中的系统调用不做出错处理 程序随意接收外部输入 且输入数据不做安全检查 或者数据输入安全检查不完备 程序运行时的计算资源无限制 或消耗过多 造成拒绝服务攻击缺陷 程序执行的中间结果处理不当 形成安全隐患 程序使用弱的加密算法 程序代码对敏感数据的传送不做保密处理 23 操作系统漏洞 据统计数据表明 大部分操作系统或多或少都存在安全漏洞 缓冲区漏洞挖掘系统配置漏洞挖掘操作系统的用户认证漏洞挖掘操作系统的信息泄露漏洞挖掘 24 网络安全产品的弱点挖掘 防火墙的弱点入侵检测系统的弱点身份认证系统的弱点 25 网络安全产品的弱点挖掘 防火墙 无法阻止攻击者使用后门软件防火墙是网络的瓶颈 容易造成拒绝服务防火墙自身运行比较容易受干扰防火墙无法阻止网络隐蔽信道消息传递 26 网络安全产品的弱点挖掘 入侵检测 数据处理量太大分析特征库公开 容易被欺骗不容易检测未知的攻击行为 27 网络安全产品的弱点挖掘 身份认证 协议认证主体容易泄密认证采用的加密算法强度不够认证主体的执行环境存在弱点认证系统的管理漏洞 28 客户软件的弱点挖掘 下述客户软件通常存在安全缺陷 浏览器 JavaApplets ActiveXControls Word Excel PowerPoint 电子邮件接收和发送软件 29 非技术性的弱点挖掘 网络攻击者通过社交活动 骗取用户的信任 从而获得攻击目标的关键信息 如系统口令 网络安全配置等 30 弱点信息网站 弱点发布www cert org美国国家安全应急组织收集众多的安全漏洞P大量弱点文档Icat nist gov弱点信息专业网站 31 主要内容 弱点挖掘过程弱点挖掘原理与方法基于系统弱点的目标权限获取基于口令破解的目标权限获取 32 基于系统弱点的目标权限获取 默认帐户授权或文件配置不当主机之间信任关系程序缓冲区溢出格式化字符串攻击预测命名管道执行恶意代码 33 默认帐户 默认口令随处可见Root administrator guest bbs debug anonymous 34 授权或文件配置不当 例如 UNIX系统中 允许普通用户读取加密口令文件 如果攻击者取走加密文件到本地计算机 就可以通过口令破解工具得到管理员口令 35 主机之间信任关系 例如 Unix系统之间通过一个配置文件实现相互信任攻击者可以通过窃取TCP会话连接 将攻击者所控制的主机添加到目标主机的信任文件中 从而实现控制目标机单台计算机被攻破后 信赖它的主机也会跟着遭殃 36 程序缓冲区溢出 缓冲区溢出攻击的目的在于扰乱具有某些特权运行程序的功能 可以使攻击者获得程序的控制权Unix系统中root或SUID程序常成为攻击的对象攻击者若成功利用缓冲区溢出缺陷 就能够获得root的shell 37 程序缓冲区溢出 38 程序缓冲区溢出 缓冲区溢出按实现技术不同可分为 堆溢出和栈溢出 39 格式化字符串攻击 此类攻击利用printf一类的错误使用 包括printf sprintf fprintf等例如 inta b c printf d d n a b c 该函数执行时 从栈中取出格式串中的普通字符串 并打印 如果格式串和实际传递的变量形式不匹配 就会造成printf访问到本不应该访问的地址 40 格式化字符串攻击 最著名的格式化字符串攻击就是针对wu ftp6 0和rpc statd的攻击事实上相当多的网站缺省安装了这两种软件 41 预测命名管道执行恶意代码 攻击者一但获得了windows2000系统的用户权限 便开始关心如何提升自身的权限以获得管理员权限Windows2000在启动系统服务时 会首先创建一个命名管道管道的序号可以在注册表项HKLM System CurrentControlSet Control ServiceCurrent中查到 42 预测命名管道执行恶意代码 任何登陆到系统上的用户可以根据注册表中存放的内容预测出随后创建的管道序号管道所对应的服务是以SYSTEM帐号的安全环境运行的如果攻击者将恶意代码邦定在命名管道上 当启动该服务项时 系统便会以SYSTEM帐号的权限运行恶意代码使用Maceo发布的PipeUpAdmin程序可以很容易实施这种攻击 43 Windows终端服务攻击 口令猜测 TimMullen发布的TSGrinder RegAPI DLL缓冲区溢出IME 输入方法编辑器 远程攻击ICA弱加密 仅使用了简单的异或加密算法 等等 44 常用工具 SoftICEWIN32ASMWINDbgGetiisfileASPackSnakepsExec 45 主要内容 弱点挖掘过程弱点挖掘原理与方法基于系统弱点的目标权限获取基于口令破解的目标权限获取 46 基于口令破解的目标权限获取 成功 失败 是 否 选择一个网络用户帐户名 网络用户名 弱口令字典库 口令比较库 弱口令字典库是否全部选取过 继续另外的攻击任务 选取一个弱口令 47 基于口令破解的目标权限获取 SMB口令破解Telnet口令破解数据库口令破解POP3口令破解FTP口令破解WindowsNT系统口令破解UNIX系统口令破解 48 SMB口令破解 远程攻击Windows2000系统的方法之一是猜测SMB口令NAT NetBiosAuditingTool 是SMB口令破解工具可以从网站上直接下载执行方式是运行nat exe 49 Telnet口令破解 Brutus是一个远程口令破解工具支持Windows系列操作系统支持如下口令破解HTTPPOP3FTPSMBTelnet可以从网站上直接下载可以直接运行brutus exe即可 50 数据库口令破解 SQLdict是一个远程破解数据库口令工具支持Windows系统操作系统可以从网站http ntscurity nu toolbox sqldict 下载下载后可以直接运行sqldict exe即可 51 POP3口令破解 EmailCrack是基于POP3协议的破解软件根据攻击者提供的用户名单和口令列表文件 自动逐个尝试猜测用户口令软件使用简单 52 FTP口令破解 FTP C是专门破解FTP口令的工具软件只有200kb可以设置代理破解密码 故可以隐藏攻击者的行踪解压缩后运行FTPC exe 53 WindowsNT系统口令破解 L0phtCrack是针对WindowsNT系统的口令破解软件能够将WindowsNTOS中的加密用户口令破解一般用户口令都是加密后保存在Hash列表中攻击者获得这些敏感信息 将可以得到用户的权限甚至管理员权限 54 WindowsNT系统口令破解 续 L0phtCrack通过口令字典 混合式破解 暴力破解对用户的口令进行试探字典破解 L0phtCrack将字典中的词逐个与口令hash表中的词进行比较当发现匹配时显示结果即口令L0phtCrack自带了25000个词的名为words english的文件包括常见的口令的词 也可以下载其他字典到L0phtCrack 55 WindowsNT系统口令破解 续 混合式破解建立在字典破解基础上L0phtCrack能智能化尝试口令的猜测 比如试试 BOGUS11 用户经常在原有的词上添加少量数字和符号 试图创造一个不可猜测的口令 但是L0phtCrack很快能猜测到这些口令L0phtCrack的Hybrid破解方法 默认检验字符或数字的个数是2 5