网络安全第八章

第八章利用处理程序错误攻击8.1Web漏洞及攻防8.2操作系统的漏洞及攻防8操作系统的漏洞及攻防•8.1.1Windows操作系统发展简史•8.1.2TCSEC•8.1.3Windows系统的常见漏洞分析•8.1.4其他操作系统的安全漏洞•8.1.5系统攻击实例8.1Windows发展史8.1.1Windows1.08.1.1Windows2.0Windows3.0Windows3.11Windows3.11NTWindows3.2Windows95WindowsNT4.0Windows98WindowsmeWindows2000WindowsxpWindowsServer2003WindowsvistaWindows7Windows8TCSEC•TCSEC（可信计算机系统评估准则）–又名橙皮书，根据该准则为计算机的安全级别进行了分类，由低到高分别为D、C、B、A级。–其中，C级又分为C1和C2级，C2比C1提供更多的保护。B级由低到高分为B1、B2和B3三个子级。–A级和D级暂时没有划分子级，每级包括它下级的所有特性。8.1.2TCSEC•C1级是选择性安全防护系统，要求硬件有一定的安全保护，如硬件有带锁装置，需要钥匙才能使用计算机，用户在使用计算机系统前必须先登录等。另外，作为C1级保护的一部分，允许系统管理员为一些程序或数据设立访问许可权限。•C2级引进了受控访问环境（用户权限级别）的增强特性，具有进一步限制用户执行某些命令或访问某些文件的权限，而且还加入了身份认证级别。8.1.2•按照TESEC，DOS、Windows3.x及Windows95（不在工作组方式中）属于D级的计算机操作系统；某些UNIX、Novell3.x或更高版本、WindowsNT属于C1级的兼容计算机操作系统，部分达到C2级；一些UNIX、Windows2000、WindowsXP属于C2级的计算机操作系统。Windows系统的常见漏洞分析•Windows系统漏洞是指Windows操作系统在逻辑设计上的缺陷或在程序编写时产生的错误，这个缺陷或错误可以被不法者或者电脑黑客利用，通过植入木马、病毒等方式来攻击或控制整个计算机，从而窃取计算机中的重要资料和信息，甚至破坏系统。8.1.3漏洞生命周期时间受攻击频率软件厂商发布补丁漏洞公开漏洞发布发现漏洞8.1.3漏洞相关网络资源•发现漏洞：主要是一些网络安全论坛或者是邮件列表。–SecurityFocus:•漏洞发布：小范围的漏洞攻击代码的传播。•漏洞公开：易用的攻击代码的发布和广泛传播。–PacketStorm:–黑客天下:–SecuriTeam:漏洞相关网络资源•软件厂家的补丁发布–MicrosoftSecurityBulletin:常见漏洞分类•本地提权漏洞–是指入侵者可以用非管理员权限的账号登陆远程主机，为了完全控制远程主机，需要进行权限提升时利用的漏洞。•用户交互漏洞–指入侵者若想成功利用此类漏洞，需要远程主机的使用者打开并运行指定的漏洞文件，如果远程主机用户不执行特定的漏洞利用文件，则入侵者无法利用此类漏洞。8.1.3Windows常见漏洞分类•远程溢出漏洞–只要确定远程主机存在某个特定漏洞后，就可使用特定的一种工具对其进行溢出攻击。这类漏洞的利用不需要于远程主机的使用者进行任何的交互，也不需要提前登陆到远程系统上。8.1.3本地提权类漏洞•MicrosoftWindows内核消息处理本地缓冲区溢出漏洞•MicrosoftWindowsLPC本地堆溢出漏洞•MicrosoftOLE和COM远程缓冲区溢出漏洞8.1.3Windows内核消息处理本地缓冲区溢出漏洞•影响系统：MicrosoftWindowsXP；WindowsNT4.0；Windows2000.•描述：window内核是操作系统核心部分，提供系统级别服务，如设备和内存管理，分配处理时间和管理错误处理。•Windows内核在处理错误消息给调试器时存在一个缺陷，本地攻击者可以利用这个漏洞在系统中进行任何操作，如删除数据，增加管理员访问级别帐号或重新配置系统。8.1.3•在内核调试支持代码传递调试事件给用户模式调试器时存在漏洞。•LpcRequestWaitReplyPort()函数由内核调用，不适当的信任用户进程报告给传递内核时，没有对其消息的大小进行检查，利用这个漏洞，攻击者精心构造事件消息可能以“Ring0”级执行任意代码，即对所有系统资源访问没有限制。•漏洞分析：Windows内核消息处理本地缓冲区溢出漏洞可能导致本地用户权限的提升。从上面的描述中可以看出，一名入侵者如果想利用此漏洞，首先必须交互登陆到由此漏洞的系统上，控制台或远程登陆方式都可以。8.1.3工具介绍•Ms03-013_exp_for_win2k工具包，包含DebugMe.exe,ey4s.bat和xDebug.exe•使用说明：DebugMe.exe类似系统文件，供xDebug.exe调用。当一名入侵者以普通用户身份交互登录到远程系统后，运行xDebug.exe进行溢出，当溢出成功后可以以系统权限运行ey4s.bat批处理文件。漏洞利用实例•修改ey4s.bat，加入自己的帐号和密码•以普通用户交互登陆•植入溢出工具，使用copy、ftp、tftp等把溢出工具植入远程主机内部•提升权限并添加帐号，使用cdms•03-013，使用xDebug命令进行权限提升•断开连接，重新登陆。MicrosoftWindowsLPC本地堆溢出漏洞•受影响系统：XP，NT，2000•描述：MicrosoftWindowsLPC机制实现存在问题，本地攻击者可以利用这个漏洞对LPC服务进行基于堆的溢出，精心构造提交数据可提升权限。•LPC（本地过程调用）机制是windows操作系统使用的一种进程间通信类型，LPC用于统一系统上的进程间通信，而RPC用于远程服务器之间的通信。•当客户端进程使用LPC的服务程序通信时，内核在拷贝客户进程发送的数据时没有正确检查服务进程是否分配足够的内存。未公开的API用于连接LPC端口的NtConnectPort，该API的一个参数允许一个260字节的缓冲区大小的限制，可导致一个基于堆的缓冲区溢出。漏洞说明•这个漏洞可以使本地用户提升权限。•当一个用户以普通用户身份登陆时，其受限于自身的用户权限，无法完成某些特定的操作。通过利用LPC本地堆溢出漏洞，一名普通用户可以以系统权限运行任意代码。漏洞利用实例•工具：MS04-044•使用攻击测试代码编译生成的文件，当本地用户以较低权限登录到系统，使用MS04-044可以提升权限并以系统权限运行一个记事本文件。•当攻击成功后，以notepad.exe覆盖utilman.exe，建立一个到系统权限的入口。MicrosoftOLE和COM远程缓冲区溢出漏洞•影响系统：windows全系列•描述：MicrosoftCOM提供多个对象存储在一个文档中，使用MicrosoftOLE技术，应用程序可提供嵌入和链接支持。•MicrosoftCOM和OLE存在安全问题，本地或远程攻击者可以利用这个漏洞提升权限及执行任意命令。•COM特权提升：当操作系统和程序处理COM结构存储文件时，操作系统和程序访问内存存在一个特权提升问题，登陆用户可以利用此漏洞完全控制系统。•OLE输入验证错误：OLE在处理输入验证时存在问题，攻击者可以利用此漏洞构建恶意文档，诱使用户打开，可导致任意代码以用户进程权限在系统上执行任意指令。漏洞检测•利用此漏洞的前提条件是与远程系统进行交互，可以利用这个漏洞进行权限的提升，可以使用微软的MicrosoftBaselineSecurityAnalyzer进行漏洞检测。漏洞利用•工具：SSexploit.exe•使用：SSexploit“Applicationtouninstall”“command”•“Applicationtouninstall”表示服务安装文件的位置，一般位于系统目录下的webfldrs.msi。•“Command”是准备执行的命令用户交互漏洞•MicrosoftTaskScheduler远程任意代码执行漏洞•MicrosoftWindowsGDI+JPG解析组建缓冲区溢出漏洞•MicrosoftWindows图形渲染引擎安全漏洞•Microsoft压缩文件夹远程任意命令执行漏洞•MicrosoftWindowsANI文件解析远程缓冲区溢出漏洞•MicrosftWindowsMSHTA脚本执行漏洞MicrosoftTaskScheduler远程任意代码执行漏洞•影响系统：windowXP、2000系列•描述：MicrosoftTaskScheduler用于任务调度，它在处理应用程序文件名验证时存在问题，远程攻击者可以利用这个漏洞以系统权限在系统上执行任意命令。•成功利用此漏洞攻击者可以完全控制整个系统，但是此漏洞需要部分用户交互才能触发，攻击者可以构建恶意web页面，诱使用户单击来触发此漏洞。漏洞利用•工具：MS04-022•这是针对微软安全公告中所涉及漏洞（MicrosoftTaskScheduler）的专用攻击工具，运行这个工具后会生成一个j.job文件。当存在此漏洞的主机使用windows资源管理器或窗口打开含有j.job文件的文件夹时，j.job会以计划打开文件的形式打开大量的记事本文件，从而瞬间造成系统崩溃。•该漏洞可以使用X-Scan进行检测发现。漏洞攻击实例•使用X-Scan进行漏洞检测，发现漏洞主机。•在命令行中输入ms04-022.exe运行后生成j.job文件•使用copy或者其他方式将j.job文件夹上传到远程主机，当用户打开该文件夹是，就会触发攻击程序对漏洞进行溢出攻击。•如果通过QQ把j.job传给别人，如果对方存在该漏洞，而接受者恰好又把j.job放在了桌面上，那么对方的主机就会不停的弹出错误窗口，也就是explorer.exe进入崩溃重启的死循环状态。Web漏洞及攻防•概念–攻击对象•Web服务器上运行的使用服务端脚本语言PHP,ASP等编写的基于Web的应用程序。–攻击目的•获取Web服务器的控制权；•获取未授权访问的信息；•拒绝服务。8.2–攻击方法•利用脚本程序的漏洞；•利用Web服务器的漏洞。HTTPREQUEST(CLEARTEXTORSSL)HTTPREPLY(JAVASCRIPT,VBSCRIPT,HTMLEtc.APACHE,IIS,NETSCAPEEtc.SQLDATABASEPLUGINS:-PERL-C/C++-JSPEtc.DATABASECONNECTION-SQL,ODBCEtc.FIREWALLWEBCLIENTWEBSERVERDBDB8.2•Web程序的安全威胁–WebApplicationSecurityConsortium对威胁Web站点安全性的威胁划分成为6大类：1Authentication1.1BruteForce1.2InsufficientAuthentication1.3WeakPasswordRecoveryValidation2Authorization2.1Credential/SessionPrediction2.2InsufficientAuthorization2.3InsufficientSessionExpiration2.4SessionFixation8.23Client-sideAttacks3.1ContentSpoofing3.2Cross-siteScripting4CommandExecution4.1Bu