网络安全第八章

1、第八章 利用处理程序错误攻击 8.1Web 漏洞及攻防漏洞及攻防8.2 操作系统的漏洞及攻防操作系统的漏洞及攻防8 8操作系统的漏洞及攻防操作系统的漏洞及攻防 8.1.1 Windows操作系统发展简史 8.1.2 TCSEC 8.1.3 Windows系统的常见漏洞分析 8.1.4 其他操作系统的安全漏洞 8.1.5 系统攻击实例8.1Windows 发展史发展史8.1.1Windows 1.08.1.1Windows 2.0Windows 3.0Windows 3.11Windows 3.11 NTWindows 3.2Windows 95Windows NT 4.0Windows 98

2、Windows meWindows 2000Windows xpWindows Server 2003Windows vistaWindows 7Windows 8TCSEC TCSEC（可信计算机系统评估准则） 又名橙皮书，根据该准则为计算机的安全级别进行了分类，由低到高分别为D、C、B、A级。 其中，C级又分为C1和C2级，C2比C1提供更多的保护。B级由低到高分为B1、B2和B3三个子级。 A级和D级暂时没有划分子级，每级包括它下级的所有特性。8.1.2TCSEC C1级是选择性安全防护系统，要求硬件有一定的安全保护，如硬件有带锁装置，需要钥匙才能使用计算机，用户在使用计算机系统前必须先

3、登录等。另外，作为C1级保护的一部分，允许系统管理员为一些程序或数据设立访问许可权限。 C2级引进了受控访问环境（用户权限级别）的增强特性，具有进一步限制用户执行某些命令或访问某些文件的权限，而且还加入了身份认证级别。8.1.2 按照TESEC，DOS、Windows 3.x及Windows 95（不在工作组方式中）属于D级的计算机操作系统；某些UNIX、Novell 3.x或更高版本、Windows NT 属于C1级的兼容计算机操作系统，部分达到C2级；一些UNIX、Windows 2000、Windows XP属于C2级的计算机操作系统。Windows系统的常见漏洞分析系统的常见漏洞分析

4、Windows系统漏洞是指Windows操作系统在逻辑设计上的缺陷或在程序编写时产生的错误，这个缺陷或错误可以被不法者或者电脑黑客利用，通过植入木马、病毒等方式来攻击或控制整个计算机，从而窃取计算机中的重要资料和信息，甚至破坏系统。8.1.3漏洞生命周期漏洞生命周期时间受 攻 击 频 率软件厂商发布补丁漏洞公开漏洞发布发现漏洞8.1.3漏洞相关网络资源漏洞相关网络资源 发现漏洞：主要是一些网络安全论坛或者是邮件列表。 Security Focus: http:/ 漏洞发布：小范围的漏洞攻击代码的传播。 漏洞公开：易用的攻击代码的发布和广泛传播。 Packet Storm: http:/pack

5、/ 黑客天下: http:/ SecuriTeam: http:/ 软件厂家的补丁发布 Microsoft Security Bulletin: http:/ 本地提权漏洞 是指入侵者可以用非管理员权限的账号登陆远程主机，为了完全控制远程主机，需要进行权限提升时利用的漏洞。 用户交互漏洞 指入侵者若想成功利用此类漏洞，需要远程主机的使用者打开并运行指定的漏洞文件，如果远程主机用户不执行特定的漏洞利用文件，则入侵者无法利用此类漏洞。8.1.3Windows常见漏洞分类常见漏洞分类 远程溢出漏洞 只要确定远程主机存在某个特定漏洞后，就可使用特定的一种工具对其进

6、行溢出攻击。这类漏洞的利用不需要于远程主机的使用者进行任何的交互，也不需要提前登陆到远程系统上。8.1.3本地提权类漏洞本地提权类漏洞 Microsoft Windows内核消息处理本地缓冲区溢出漏洞 Microsoft Windows LPC本地堆溢出漏洞 Microsoft OLE和COM远程缓冲区溢出漏洞8.1.3Windows内核消息处理本地缓冲区溢出漏洞内核消息处理本地缓冲区溢出漏洞 影响系统：Microsoft Windows XP；Windows NT 4.0；Windows 2000. 描述：window内核是操作系统核心部分，提供系统级别服务，如设备和内存管理，分配处理时间和

7、管理错误处理。 Windows内核在处理错误消息给调试器时存在一个缺陷，本地攻击者可以利用这个漏洞在系统中进行任何操作，如删除数据，增加管理员访问级别帐号或重新配置系统。8.1.3 在内核调试支持代码传递调试事件给用户模式调试器时存在漏洞。 LpcRequestWaitReplyPort()函数由内核调用，不适当的信任用户进程报告给传递内核时，没有对其消息的大小进行检查，利用这个漏洞，攻击者精心构造事件消息可能以“Ring0”级执行任意代码，即对所有系统资源访问没有限制。 漏洞分析：Windows内核消息处理本地缓冲区溢出漏洞可能导致本地用户权限的提升。从上面的描述中可以看出，一名入侵者如果想

8、利用此漏洞，首先必须交互登陆到由此漏洞的系统上，控制台或远程登陆方式都可以。8.1.3工具介绍工具介绍 Ms03-013_exp_for_win2k工具包，包含DebugMe.exe, ey4s.bat和xDebug.exe 使用说明：DebugMe.exe类似系统文件，供xDebug.exe调用。当一名入侵者以普通用户身份交互登录到远程系统后，运行xDebug.exe进行溢出，当溢出成功后可以以系统权限运行ey4s.bat批处理文件。漏洞利用实例漏洞利用实例 修改ey4s.bat，加入自己的帐号和密码 以普通用户交互登陆 植入溢出工具，使用copy、ftp、tftp等把溢出工具植入远程主机内

9、部 提升权限并添加帐号，使用cd ms 03-013，使用xDebug命令进行权限提升 断开连接，重新登陆。Microsoft Windows LPC本地堆溢出漏洞本地堆溢出漏洞 受影响系统：XP，NT，2000 描述：Microsoft Windows LPC机制实现存在问题，本地攻击者可以利用这个漏洞对LPC服务进行基于堆的溢出，精心构造提交数据可提升权限。 LPC（本地过程调用）机制是windows操作系统使用的一种进程间通信类型，LPC用于统一系统上的进程间通信，而RPC用于远程服务器之间的通信。 当客户端进程使用LPC的服务程序通信时，内核在拷贝客户进程发送的数据时没有正确检查服务进

10、程是否分配足够的内存。未公开的API用于连接LPC端口的NtConnectPort，该API的一个参数允许一个260字节的缓冲区大小的限制，可导致一个基于堆的缓冲区溢出。漏洞说明漏洞说明 这个漏洞可以使本地用户提升权限。 当一个用户以普通用户身份登陆时，其受限于自身的用户权限，无法完成某些特定的操作。通过利用LPC本地堆溢出漏洞，一名普通用户可以以系统权限运行任意代码。漏洞利用实例漏洞利用实例 工具：MS04-044 使用攻击测试代码编译生成的文件，当本地用户以较低权限登录到系统，使用MS04-044可以提升权限并以系统权限运行一个记事本文件。 当攻击成功后，以notepad.exe覆盖uti

11、lman.exe，建立一个到系统权限的入口。Microsoft OLE和和COM远程缓冲区溢出漏洞远程缓冲区溢出漏洞 影响系统：windows全系列 描述：Microsoft COM提供多个对象存储在一个文档中，使用Microsoft OLE技术，应用程序可提供嵌入和链接支持。 Microsoft COM和OLE存在安全问题，本地或远程攻击者可以利用这个漏洞提升权限及执行任意命令。 COM特权提升：当操作系统和程序处理COM结构存储文件时，操作系统和程序访问内存存在一个特权提升问题，登陆用户可以利用此漏洞完全控制系统。 OLE输入验证错误：OLE在处理输入验证时存在问题，攻击者可以利用此漏洞构

12、建恶意文档，诱使用户打开，可导致任意代码以用户进程权限在系统上执行任意指令。漏洞检测漏洞检测 利用此漏洞的前提条件是与远程系统进行交互，可以利用这个漏洞进行权限的提升，可以使用微软的Microsoft Baseline Security Analyzer进行漏洞检测。漏洞利用漏洞利用 工具：SSexploit.exe 使用：SSexploit “Application to uninstall” “command” “Application to uninstall”表示服务安装文件的位置，一般位于系统目录下的webfldrs.msi。 “Command”是准备执行的命令用户交互漏洞用户交互漏

13、洞 Microsoft Task Scheduler远程任意代码执行漏洞 Microsoft Windows GDI+JPG解析组建缓冲区溢出漏洞 Microsoft Windows图形渲染引擎安全漏洞 Microsoft压缩文件夹远程任意命令执行漏洞 Microsoft Windows ANI文件解析远程缓冲区溢出漏洞 Microsft Windows MSHTA脚本执行漏洞Microsoft Task Scheduler远程任意代码执行漏洞远程任意代码执行漏洞 影响系统：window XP、2000系列 描述： Microsoft Task Scheduler用于任务调度，它在处理应用程序

14、文件名验证时存在问题，远程攻击者可以利用这个漏洞以系统权限在系统上执行任意命令。 成功利用此漏洞攻击者可以完全控制整个系统，但是此漏洞需要部分用户交互才能触发，攻击者可以构建恶意web页面，诱使用户单击来触发此漏洞。漏洞利用漏洞利用 工具：MS04-022 这是针对微软安全公告中所涉及漏洞（ Microsoft Task Scheduler ）的专用攻击工具，运行这个工具后会生成一个j.job文件。当存在此漏洞的主机使用windows资源管理器或窗口打开含有j.job文件的文件夹时，j.job会以计划打开文件的形式打开大量的记事本文件，从而瞬间造成系统崩溃。 该漏洞可以使用X-Scan进行检测

15、发现。漏洞攻击实例漏洞攻击实例 使用X-Scan进行漏洞检测，发现漏洞主机。 在命令行中输入ms04-022.exe运行后生成j.job文件 使用copy或者其他方式将j.job文件夹上传到远程主机，当用户打开该文件夹是，就会触发攻击程序对漏洞进行溢出攻击。 如果通过QQ把j.job传给别人，如果对方存在该漏洞，而接受者恰好又把j.job放在了桌面上，那么对方的主机就会不停的弹出错误窗口，也就是explorer.exe进入崩溃重启的死循环状态。Web漏洞及攻防漏洞及攻防 概念攻击对象 Web服务器上运行的使用服务端脚本语言PHP, ASP等编写的基于Web的应用程序。攻击目的 获取Web服务器

16、的控制权； 获取未授权访问的信息； 拒绝服务。8.28.2攻击方法 利用脚本程序的漏洞； 利用Web服务器的漏洞。HTTP REQUEST( CLEAR TEXT OR SSL)HTTP REPLY (JAVA SCRIPT, VBSCRIPT, HTML Etc.APACHE, IIS, NETSCAPE Etc.SQL DATABASEPLUGINS:-PERL-C/C+-JSP Etc.DATABASE CONNECTION-SQL, ODBC Etc.FIREWALLWEB CLIENTWEB SERVERDBDB8.28.2 Web程序的安全威胁 Web Application Se

17、curity Consortium对威胁Web站点安全性的威胁划分成为6大类：1 Authentication 1.1 Brute Force1.2 Insufficient Authentication 1.3 Weak Password Recovery Validation 2 Authorization 2.1 Credential/Session Prediction 2.2 Insufficient Authorization 2.3 Insufficient Session Expiration 2.4 Session Fixation8.28.23 Client-side At

18、tacks 3.1 Content Spoofing 3.2 Cross-site Scripting 4 Command Execution 4.1 Buffer Overflow 4.2 Format String Attack 4.3 LDAP Injection 4.4 OS Commanding 4.5 SQL Injection 4.6 SSI Injection 4.7 XPath Injection5 Information Disclosure 5.1 Directory Indexing 5.2 Information Leakage 5.3 Path Traversal

19、5.4 Predictable Resource Location 6 Logical Attacks 6.1 Abuse of Functionality 6.2 Denial of Service 6.3 Insufficient Anti-automation 6.4 Insufficient Process Validation 8.28.2 Open Web Application Security Project (OWASP)的Top Ten项目2007年的报告提出了10项最为严重的Web程序安全漏洞： A1 - Cross Site Scripting (XSS) A2 - I

20、njection Flaws A3 - Malicious File Execution A4 - Insecure Direct Object Reference A5 - Cross Site Request Forgery (CSRF) A6 - Information Leakage and Improper Error Handling A7 - Broken Authentication and Session Management A8 - Insecure Cryptographic Storage A9 - Insecure Communications A10 - Fail

21、ure to Restrict URL Access链接：/index.php/Category:OWASP_Top_Ten_Project8.28.2举例举例 A1 - Cross Site Scripting (XSS) 针对浏览器的攻击（客户端），利用了基于区域的安全解决方案的漏洞，让非授权区域的代码以授权区域的权限执行。 攻击者使用Web应用程序发送恶意代码（通常是JavaScript代码，也可能是病毒） 两种方式： Stored XSS：攻击代码保存在服务器上（数据库中） Reflect XSS：攻击代码通过其他路径发送被攻击者，比如通过电子邮件。8.28.2 解