您好、欢迎来到现金彩票网!
当前位置:516棋牌游戏 > 不知彼而知己 >

知已知彼 Windows系统常见漏洞分析

发布时间:2019-12-04 16:54 来源:未知 编辑:admin

  由于WindowsNT/2000操作系统的普及率和市场占有率比较高,所以很容易使它成为很多黑客攻击的目标。目前,WindowsNT/2000最主要的漏洞有Unicode漏洞、.ida/.idq缓冲区溢出漏洞、MicrosoftIISCGI文件名错误解码漏洞、MSADCSRDS弱点漏洞、FrontPage服务器扩展和.Printer漏洞等等。下面笔者将对这些漏洞的原理、危害程度、检测和解决办法分别进行介绍。

  在Unicode字符解码时,IIS4.0/5.0存在一个安全漏洞,导致用户可以远程通过IIS执行任意命令。当用户用IIS打开文件时,如果该文件名包含Unicode字符,系统会对其进行解码。如果用户提供一些特殊的编码,将导致IIS错误地打开或者执行某些Web根目录以外的文件。未经授权的用户可能会利用IUSR_machinename账号的上下文空间访问任何已知的文件。该账号在默认情况下属于Everyone和Users组的成员,因此任何与Web根目录在同一逻辑驱动器上的能被这些用户组访问的文件都可能被删除、修改或执行。通过此漏洞,您可查看文件内容、建立文件夹、删除文件、拷贝文件且改名、显示目标主机当前的环境变量、把某个文件夹内的全部文件一次性拷贝到另外的文件夹去、把某个文件夹移动到指定的目录和显示某一路径下相同文件类型的文件内容等等。

  (3)安装WindowsNT系统时不要使用默认WINNT路径,您可以改为其他的文件夹,如C:\mywindowsnt;

  作为安装IIS过程的一部分,系统还会安装几个ISAPI扩展.dlls,其中idq.dll是IndexServer的一个组件,对管理员脚本和Internet数据查询提供支持。但是,idq.dll在一段处理URL输入的代码中存在一个未经检查的缓冲区,攻击者利用此漏洞能导致受影响服务器产生缓冲区溢出,从而执行自己提供的代码。更为严重的是,idq.dll是以System身份运行的,攻击者可以利用此漏洞取得系统管理员权限。

  用户可以分别到?ReleaseID=30833和?ReleaseID=30800处下载补丁,或删除对.idq和.ida的脚本映射。如果其他系统组件被增删,有可能导致该映射被重新自动安装。

  IIS在加载可执行CGI程序时,会进行两次解码。第一次解码是对CGI文件名进行Http解码,然后判断此文件名是否为可执行文件,如检查后缀名是否为“.exe”或“等。在文件名检查通过之后,IIS会进行第二次解码。正常情况下,应该只对该CGI的参数进行解码,然而,当漏洞被攻击后,IIS会错误地将已经解过码的CGI文件名和CGI参数一起进行解码。这样,CGI文件名就被错误地解码两次。通过精心构造CGI文件名,攻击者可以绕过IIS对文件名所做的安全检查。在某些条件下,攻击者可以执行任意系统命令。

  该漏洞对IIS4.0/5.0(SP6/SP6a没有安装)远程本地均适用,您可通过前文所述的SSS软件进行测试。

  虽然MSADCSRDS弱点漏洞对许多黑客来说已经有点儿过时,不过,对于网络上一些粗心大意的网管来说,还是有为数众多的机器并没有针对这个漏洞进行防堵。

  此漏洞是因WindowsNT4.0OptionPack中的组件MDAC(即MicrosoftDataAccessComponents)引起的,它包含了一项RDS(RemoteDataService)的功能。RDS是Microsoft提供给使用者远程访问数据库的服务,它能够让使用者透过ODBC远程存取/查询服务器数据库中的数据信息,而在IIS服务器中,还能够让使用者通过一个位于/msadc虚拟目录内名为msadcs.dll的文件提供RDS服务,以便与远程使用者沟通。

  其实,Microsoft对关于Msadc的问题发了3次以上的补丁,但仍然存在问题。

  对于安装Frontpage服务器的网站,通常会在Web目录(缺省)下有若干个以字母“_vti”开头的目录,正是这些目录隐藏了潜在的攻击性。当用户在任何常用的搜索引擎上搜索默认的Frontpage目录时,会得到大量从引擎上返回的信息,这时,给入侵者一可乘之机,使他们得以对服务器进行简单而又反复的攻击。

  对攻击者来说,此漏洞可使他们获得被攻击方的Frontpage口令文件、通过Frontpage扩展名执行任意二进制文件,以及通过用_vti_cnf替换index.html,即入侵者能看到该目录下的所有文件,并有可能获得访问权限等。

  如对目录定义许可、移去某些目录、设置用户密码或不安装Frontpage扩展服务器等。

  此漏洞只存在于运行IIS5.0的Windows2000服务器中。由于IIS5的打印ISAPI扩展接口建立了.printer扩展名到Msw3prt.dll的映射关系(缺省情况下该映射也存在),当远程用户提交对.printer的URL请求时,IIS5.0会调用Msw3prt.dll解释该请求,加之Msw3prt.dll缺乏足够的缓冲区边界检查,远程用户可以提交一个精心构造的针对.printer的URL请求,其“Host:”域包含大约420B的数据,此时在Msw3prt.dll中发生典型的缓冲区溢出,潜在地允许执行任意代码。在溢出发生后,Web服务会停止用户响应,而Windows2000将接着自动重启它,进而使得系统管理员很难检查到已发生的攻击。

  ① 本网欢迎各类媒体、出版社、影视公司等机构与本网进行长期的内容合作。联系方式:

  ② 在本网转载其他媒体稿件是为传播更多的信息,此类稿件不代表本网观点。如果本网转载的稿件涉及您的版权、名益权等问题,请尽快与本网联系,本网将依照国家相关法律法规尽快妥善处理。联系方式:

  ③ 本网原创新闻信息均有明确、明显的标识,本网严正抗议所有以“南方网”稿源的名义转载发布非南方网原创的新闻信息的行为,并保留追究其法律责任的权利。

  ④ 在本网BBS上发表言论者,文责自负。举报虚假新闻:如果您在本页面发现虚假新闻和其他错误,请先用鼠标选择出错的内容片断,然后同时按下“CTRL”与“ENTER”键,填写举报邮件。

http://haroldcole.com/buzhibierzhiji/1154.html
锟斤拷锟斤拷锟斤拷QQ微锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷微锟斤拷
关于我们|联系我们|版权声明|网站地图|
Copyright © 2002-2019 现金彩票 版权所有