1、第八章 利用處理程序錯誤攻擊 8.1Web 漏洞及攻防漏洞及攻防8.2 操作系統的漏洞及攻防操作系統的漏洞及攻防8 8操作系統的漏洞及攻防操作系統的漏洞及攻防 8.1.1 Windows操作系統發展簡史 8.1.2 TCSEC 8.1.3 Windows系統的常見漏洞分析 8.1.4 其他操作系統的安全漏洞 8.1.5 系統攻擊實例8.1Windows 發展史發展史8.1.1Windows 1.08.1.1Windows 2.0Windows 3.0Windows 3.11Windows 3.11 NTWindows 3.2Windows 95Windows NT 4.0Windows 98

2、Windows meWindows 2000Windows xpWindows Server 2003Windows vistaWindows 7Windows 8TCSEC TCSEC（可信計算機系統評估準則） 又名橙皮書，根據該準則為計算機的安全級別進行了分類，由低到高分別為D、C、B、A級。 其中，C級又分為C1和C2級，C2比C1提供更多的保護。B級由低到高分為B1、B2和B3三個子級。 A級和D級暫時沒有劃分子級，每級包括它下級的所有特性。8.1.2TCSEC C1級是選擇性安全防護系統，要求硬件有一定的安全保護，如硬件有帶鎖裝置，需要鑰匙才能使用計算機，用戶在使用計算機系統前必須先

3、登錄等。另外，作為C1級保護的一部分，允許系統管理員為一些程序或數據設立訪問許可權限。 C2級引進了受控訪問環境（用戶權限級別）的增強特性，具有進一步限制用戶執行某些命令或訪問某些文件的權限，而且還加入了身份認證級別。8.1.2 按照TESEC，DOS、Windows 3.x及Windows 95（不在工作組方式中）屬于D級的計算機操作系統；某些UNIX、Novell 3.x或更高版本、Windows NT 屬于C1級的兼容計算機操作系統，部分達到C2級；一些UNIX、Windows 2000、Windows XP屬于C2級的計算機操作系統。Windows系統的常見漏洞分析系統的常見漏洞分析

4、Windows系統漏洞是指Windows操作系統在邏輯設計上的缺陷或在程序編寫時產生的錯誤，這個缺陷或錯誤可以被不法者或者電腦黑客利用，通過植入木馬、病毒等方式來攻擊或控制整個計算機，從而竊取計算機中的重要資料和信息，甚至破壞系統。8.1.3漏洞生命周期漏洞生命周期時間受 攻 擊 頻 率軟件廠商發布補丁漏洞公開漏洞發布發現漏洞8.1.3漏洞相關網絡資源漏洞相關網絡資源 發現漏洞：主要是一些網絡安全論壇或者是郵件列表。 Security Focus: http:/ 漏洞發布：小范圍的漏洞攻擊代碼的傳播。 漏洞公開：易用的攻擊代碼的發布和廣泛傳播。 Packet Storm: http:/pack

5、/ 黑客天下: http:/ SecuriTeam: http:/ 軟件廠家的補丁發布 Microsoft Security Bulletin: http:/ 本地提權漏洞 是指入侵者可以用非管理員權限的賬號登陸遠程主機，為了完全控制遠程主機，需要進行權限提升時利用的漏洞。 用戶交互漏洞 指入侵者若想成功利用此類漏洞，需要遠程主機的使用者打開并運行指定的漏洞文件，如果遠程主機用戶不執行特定的漏洞利用文件，則入侵者無法利用此類漏洞。8.1.3Windows常見漏洞分類常見漏洞分類 遠程溢出漏洞 只要確定遠程主機存在某個特定漏洞后，就可使用特定的一種工具對其進

6、行溢出攻擊。這類漏洞的利用不需要于遠程主機的使用者進行任何的交互，也不需要提前登陸到遠程系統上。8.1.3本地提權類漏洞本地提權類漏洞 Microsoft Windows內核消息處理本地緩沖區溢出漏洞 Microsoft Windows LPC本地堆溢出漏洞 Microsoft OLE和COM遠程緩沖區溢出漏洞8.1.3Windows內核消息處理本地緩沖區溢出漏洞內核消息處理本地緩沖區溢出漏洞 影響系統：Microsoft Windows XP；Windows NT 4.0；Windows 2000. 描述：window內核是操作系統核心部分，提供系統級別服務，如設備和內存管理，分配處理時間和

7、管理錯誤處理。 Windows內核在處理錯誤消息給調試器時存在一個缺陷，本地攻擊者可以利用這個漏洞在系統中進行任何操作，如刪除數據，增加管理員訪問級別帳號或重新配置系統。8.1.3 在內核調試支持代碼傳遞調試事件給用戶模式調試器時存在漏洞。 LpcRequestWaitReplyPort()函數由內核調用，不適當的信任用戶進程報告給傳遞內核時，沒有對其消息的大小進行檢查，利用這個漏洞，攻擊者精心構造事件消息可能以“Ring0”級執行任意代碼，即對所有系統資源訪問沒有限制。 漏洞分析：Windows內核消息處理本地緩沖區溢出漏洞可能導致本地用戶權限的提升。從上面的描述中可以看出，一名入侵者如果想

8、利用此漏洞，首先必須交互登陸到由此漏洞的系統上，控制臺或遠程登陸方式都可以。8.1.3工具介紹工具介紹 Ms03-013_exp_for_win2k工具包，包含DebugMe.exe, ey4s.bat和xDebug.exe 使用說明：DebugMe.exe類似系統文件，供xDebug.exe調用。當一名入侵者以普通用戶身份交互登錄到遠程系統后，運行xDebug.exe進行溢出，當溢出成功后可以以系統權限運行ey4s.bat批處理文件。漏洞利用實例漏洞利用實例 修改ey4s.bat，加入自己的帳號和密碼 以普通用戶交互登陸 植入溢出工具，使用copy、ftp、tftp等把溢出工具植入遠程主機內

9、部 提升權限并添加帳號，使用cd ms 03-013，使用xDebug命令進行權限提升 斷開連接，重新登陸。Microsoft Windows LPC本地堆溢出漏洞本地堆溢出漏洞 受影響系統：XP，NT，2000 描述：Microsoft Windows LPC機制實現存在問題，本地攻擊者可以利用這個漏洞對LPC服務進行基于堆的溢出，精心構造提交數據可提升權限。 LPC（本地過程調用）機制是windows操作系統使用的一種進程間通信類型，LPC用于統一系統上的進程間通信，而RPC用于遠程服務器之間的通信。 當客戶端進程使用LPC的服務程序通信時，內核在拷貝客戶進程發送的數據時沒有正確檢查服務進

10、程是否分配足夠的內存。未公開的API用于連接LPC端口的NtConnectPort，該API的一個參數允許一個260字節的緩沖區大小的限制，可導致一個基于堆的緩沖區溢出。漏洞說明漏洞說明 這個漏洞可以使本地用戶提升權限。 當一個用戶以普通用戶身份登陸時，其受限于自身的用戶權限，無法完成某些特定的操作。通過利用LPC本地堆溢出漏洞，一名普通用戶可以以系統權限運行任意代碼。漏洞利用實例漏洞利用實例 工具：MS04-044 使用攻擊測試代碼編譯生成的文件，當本地用戶以較低權限登錄到系統，使用MS04-044可以提升權限并以系統權限運行一個記事本文件。 當攻擊成功后，以notepad.exe覆蓋uti

11、lman.exe，建立一個到系統權限的入口。Microsoft OLE和和COM遠程緩沖區溢出漏洞遠程緩沖區溢出漏洞 影響系統：windows全系列 描述：Microsoft COM提供多個對象存儲在一個文檔中，使用Microsoft OLE技術，應用程序可提供嵌入和鏈接支持。 Microsoft COM和OLE存在安全問題，本地或遠程攻擊者可以利用這個漏洞提升權限及執行任意命令。 COM特權提升：當操作系統和程序處理COM結構存儲文件時，操作系統和程序訪問內存存在一個特權提升問題，登陸用戶可以利用此漏洞完全控制系統。 OLE輸入驗證錯誤：OLE在處理輸入驗證時存在問題，攻擊者可以利用此漏洞構

12、建惡意文檔，誘使用戶打開，可導致任意代碼以用戶進程權限在系統上執行任意指令。漏洞檢測漏洞檢測 利用此漏洞的前提條件是與遠程系統進行交互，可以利用這個漏洞進行權限的提升，可以使用微軟的Microsoft Baseline Security Analyzer進行漏洞檢測。漏洞利用漏洞利用 工具：SSexploit.exe 使用：SSexploit “Application to uninstall” “command” “Application to uninstall”表示服務安裝文件的位置，一般位于系統目錄下的webfldrs.msi。 “Command”是準備執行的命令用戶交互漏洞用戶交互漏

13、洞 Microsoft Task Scheduler遠程任意代碼執行漏洞 Microsoft Windows GDI+JPG解析組建緩沖區溢出漏洞 Microsoft Windows圖形渲染引擎安全漏洞 Microsoft壓縮文件夾遠程任意命令執行漏洞 Microsoft Windows ANI文件解析遠程緩沖區溢出漏洞 Microsft Windows MSHTA腳本執行漏洞Microsoft Task Scheduler遠程任意代碼執行漏洞遠程任意代碼執行漏洞 影響系統：window XP、2000系列 描述： Microsoft Task Scheduler用于任務調度，它在處理應用程序

14、文件名驗證時存在問題，遠程攻擊者可以利用這個漏洞以系統權限在系統上執行任意命令。 成功利用此漏洞攻擊者可以完全控制整個系統，但是此漏洞需要部分用戶交互才能觸發，攻擊者可以構建惡意web頁面，誘使用戶單擊來觸發此漏洞。漏洞利用漏洞利用 工具：MS04-022 這是針對微軟安全公告中所涉及漏洞（ Microsoft Task Scheduler ）的專用攻擊工具，運行這個工具后會生成一個j.job文件。當存在此漏洞的主機使用windows資源管理器或窗口打開含有j.job文件的文件夾時，j.job會以計劃打開文件的形式打開大量的記事本文件，從而瞬間造成系統崩潰。 該漏洞可以使用X-Scan進行檢測

15、發現。漏洞攻擊實例漏洞攻擊實例 使用X-Scan進行漏洞檢測，發現漏洞主機。 在命令行中輸入ms04-022.exe運行后生成j.job文件 使用copy或者其他方式將j.job文件夾上傳到遠程主機，當用戶打開該文件夾是，就會觸發攻擊程序對漏洞進行溢出攻擊。 如果通過QQ把j.job傳給別人，如果對方存在該漏洞，而接受者恰好又把j.job放在了桌面上，那么對方的主機就會不停的彈出錯誤窗口，也就是explorer.exe進入崩潰重啟的死循環狀態。Web漏洞及攻防漏洞及攻防 概念攻擊對象 Web服務器上運行的使用服務端腳本語言PHP, ASP等編寫的基于Web的應用程序。攻擊目的 獲取Web服務器

16、的控制權； 獲取未授權訪問的信息； 拒絕服務。8.28.2攻擊方法 利用腳本程序的漏洞； 利用Web服務器的漏洞。HTTP REQUEST( CLEAR TEXT OR SSL)HTTP REPLY (JAVA SCRIPT, VBSCRIPT, HTML Etc.APACHE, IIS, NETSCAPE Etc.SQL DATABASEPLUGINS:-PERL-C/C+-JSP Etc.DATABASE CONNECTION-SQL, ODBC Etc.FIREWALLWEB CLIENTWEB SERVERDBDB8.28.2 Web程序的安全威脅 Web Application Se

17、curity Consortium對威脅Web站點安全性的威脅劃分成為6大類：1 Authentication 1.1 Brute Force1.2 Insufficient Authentication 1.3 Weak Password Recovery Validation 2 Authorization 2.1 Credential/Session Prediction 2.2 Insufficient Authorization 2.3 Insufficient Session Expiration 2.4 Session Fixation8.28.23 Client-side At

18、tacks 3.1 Content Spoofing 3.2 Cross-site Scripting 4 Command Execution 4.1 Buffer Overflow 4.2 Format String Attack 4.3 LDAP Injection 4.4 OS Commanding 4.5 SQL Injection 4.6 SSI Injection 4.7 XPath Injection5 Information Disclosure 5.1 Directory Indexing 5.2 Information Leakage 5.3 Path Traversal

19、5.4 Predictable Resource Location 6 Logical Attacks 6.1 Abuse of Functionality 6.2 Denial of Service 6.3 Insufficient Anti-automation 6.4 Insufficient Process Validation 8.28.2 Open Web Application Security Project (OWASP)的Top Ten項目2007年的報告提出了10項最為嚴重的Web程序安全漏洞： A1 - Cross Site Scripting (XSS) A2 - I

20、njection Flaws A3 - Malicious File Execution A4 - Insecure Direct Object Reference A5 - Cross Site Request Forgery (CSRF) A6 - Information Leakage and Improper Error Handling A7 - Broken Authentication and Session Management A8 - Insecure Cryptographic Storage A9 - Insecure Communications A10 - Fail

21、ure to Restrict URL Access鏈接：/index.php/Category:OWASP_Top_Ten_Project8.28.2舉例舉例 A1 - Cross Site Scripting (XSS) 針對瀏覽器的攻擊（客戶端），利用了基于區域的安全解決方案的漏洞，讓非授權區域的代碼以授權區域的權限執行。 攻擊者使用Web應用程序發送惡意代碼（通常是JavaScript代碼，也可能是病毒） 兩種方式： Stored XSS：攻擊代碼保存在服務器上（數據庫中） Reflect XSS：攻擊代碼通過其他路徑發送被攻擊者，比如通過電子郵件。8.28.2 解