Windows系統一般漏洞分析

psac · 2003-12-16, 04:18 AM

由於Windows NT/2000操作系統的普及率和市場佔有率比較高，所以很容易使它成為很多黑客攻擊的目標。目前，Windows NT/2000最主要的漏洞有Unicode漏洞、.ida/.idq緩衝
區溢出漏洞、Microsoft IIS CGI檔案名錯誤解碼漏洞、MSADCS RDS弱點漏洞、FrontPage伺服器擴展和.Printer漏洞等等。下面筆者將對這些漏洞的原理、危害程度、檢測和解決辦法分別進行介紹。

一、Unicode漏洞

1．漏洞危害

在Unicode字串解碼時，IIS 4.0/5.0存在一個安全漏洞，導致用戶可以遠端通過IIS執行任意指令。當用戶用IIS開啟文件時，如果該檔案名包含Unicode字串，系統會對其進行解碼。如果用戶提供一些特殊的編碼，將導致IIS錯誤地開啟或者執行某些Web根目錄以外的文件。未經授權的用戶可能會利用IUSR_machinename帳號的上下文空間訪問任何已知的文件。該帳號在預設情況下屬於Everyone和Users組的成員，因此任何與Web根目錄在同一邏輯磁碟機上的能被這些用戶組訪問的文件都可能被刪除、修改或執行。通過此漏洞，您可檢視文件內容、建立資料夾、刪除文件、拷貝文件且改名、顯示目標主機當前的環境變數、把某個資料夾內的全部文件一次性拷貝到另外的資料夾去、把某個資料夾移動到指定的目錄和顯示某一路徑下相同檔案類型的文件內容等等。

2．漏洞成因

Unicode漏洞的成因可大致歸結為: 從中文Windows IIS 4.0+SP6開始，還影響中文Windows 2000+IIS 5.0、中文Windows 2000+IIS5.0+SP1。台灣繁體中文也同樣存在這樣的漏洞。它們利用擴展Unicode字串（如利用「../」取代「/」和「@」）進行目錄遍歷漏洞。據瞭解，在Windows NT中編碼為%c1%9c，在Windows 2000英文版中編碼為%c0%af。

3．漏洞檢測

首先，對網路內IP位址為*.*.*.*的Windows NT/2000主機，您可以在IE位址欄輸入http:// *.*.*.*/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir(其中%c1%1c為Windows 2000漏洞編碼，在不同的操作系統中，您可使用不同的漏洞編碼)，如漏洞存在，您還可以將Dir換成Set和Mkdir等指令。

其次，您要檢測網路中某IP段的Unicode漏洞情況，可使用有如Red.exe、SuperScan、RangeScan掃瞄器、Unicode掃瞄程序Uni2.pl及流光Fluxay4.7和SSS等掃瞄軟體來檢測。

4．解決方法

若網路記憶體在Unicode漏洞，可採取如下方法進行補救：

（1）限制網路用戶訪問和使用CMD指令的權限；

（2）若沒必要使用SCRIPTS和MSADC目錄，刪除或改名；

（3）安裝Windows NT系統時不要使用預設WINNT路徑，您可以改為其他的資料夾，如C:\mywindowsnt；

(4)用戶可從如下位址下載Microsoft提供的修正檔：http://www.microsoft.com/ntserver/nts/downloads/critical/q269862/default.asp為IIS 4.0的修正檔位址，http://www.microsoft.com/windows2000/downloads/critical/q269862/default.asp為IIS 5.0修正檔位址。

二、.ida/.idq緩衝區溢出漏洞

1．漏洞危害及成因

作為安裝IIS程序的一部分，系統還會安裝幾個ISAPI擴展.dlls，其中idq.dll是Index Server的一個元件，對管理員指令碼和Internet資料查詢提供支持。但是，idq.dll在一段處理URL輸入的程式碼中存在一個未經檢查的緩衝區，攻擊者利用此漏洞能導致受影響伺服器產生緩衝區溢出，從而執行自己提供的程式碼。更為嚴重的是，idq.dll是以System身份執行的，攻擊者可以利用此漏洞取得系統管理員權限。

2．解決方法

用戶可以分別到http://www.microsoft.com/Downloads/R...��動安裝。

注意：安裝Index Server或Index Services而沒有安裝IIS的系統無此漏洞；另外，即使Index Server/Indexing Service沒有開啟，但是只要對.idq或.ida文件的指令碼映射存在，攻擊者也能利用此漏洞。受影響平台有Windows NT 4.0、Windows 2000、Windows XP beta; 受影響的版本有Microsoft Index Server 2.0、Indexing Service in Windows 2000。

三、Microsoft IIS CGI 檔案名錯誤解碼漏洞

1．漏洞危害及成因

IIS在載入可執行CGI程序時，會進行兩次解碼。第一次解碼是對CGI檔案名進行Http解碼，然後判斷此檔案名是否為可執行文件，如檢查後面名是否為「.exe」或「.com」等。在檔案名檢查通過之後，IIS會進行第二次解碼。正常情況下，應該只對該CGI的參數進行解碼，然而，當漏洞被攻擊後，IIS會錯誤地將已經解過碼的CGI檔案名和CGI參數一起進行解碼。這樣，CGI檔案名就被錯誤地解碼兩次。通過精心構造CGI檔案名，攻擊者可以繞過IIS對檔案名所做的安全檢查。在某些條件下，攻擊者可以執行任意系統指令。

2．漏洞檢測

該漏洞對IIS 4.0/5.0（SP6/SP6a沒有安裝）遠端本機均適用，您可通過前文所述的SSS軟體進行測試。

3．解決方法

如果您的主機有此漏洞，可在http://www.microsoft.com/Downloads/Release.asp?ReleaseID=29787處下載修正檔。

四、MSADCS RDS弱點漏洞

1．漏洞危害

雖然MSADCS RDS弱點漏洞對許多黑客來說已經有點兒過時，不過，對於網路上一些粗心大意的網管來說，還是有為數眾多的機器並沒有針對這個漏洞進行防堵。

該漏洞可以導致攻擊者遠端執行用戶系統的指令，並以設備用戶的身份執行。

2．漏洞成因

此漏洞是因Windows NT 4.0 Option Pack中的元件MDAC（即Microsoft Data Access Components）引起的，它包含了一項RDS（Remote Data Service）的功能。RDS是Microsoft提供給使用者遠端訪問資料庫的服務，它能夠讓使用者透過ODBC遠端存取/查詢伺服器資料庫中的資料信息，而在IIS伺服器中，還能夠讓使用者通過一個位於/msadc虛擬目錄內名為msadcs.dll的文件提供RDS服務，以便與遠端使用者溝通。

3．漏洞檢測

用戶可使用Shadow Security Scanner 5.35（本文簡稱SSS）、流光Fluxay 4.7、Nmap以及SuperScan或MSADC2.PL（Perl程序，執行需要ActivePerl環境，您可去雨林小狗網站下載，網址為[url]http://www.wiretrip.net/rfp︴/url]^來進行測試，也可以通過以下辦法測試本機是否存在這個漏洞。

c:\>nc -nw -w 2 <目標機> 80

GET /msadc/msadcs.dll HTTP

4．解決方法

其實，Microsoft對關於Msadc的問題發了3次以上的修正檔，但仍然存在問題。

筆者認為最好的辦法是：通過移除或刪除系統內/msadc目錄，同時移除c:\Program Files\Common Files\System\Msadc\msadcs.dll，或安裝MDAC 2.1 SP2修正檔（下載網址為[url]http://www.microsoft.com/data/download.htm︴/url]^，並注意及時上網更新。

五、FrontPage 伺服器擴展漏洞

1．漏洞危害

該漏洞對網站構成嚴重威脅，可以讓入侵者輕易地獲得整個網站的信息。

2．漏洞成因

對於安裝Frontpage伺服器的網站，通常會在Web目錄（預設）下有若干個以字母「_vti」開頭的目錄，正是這些目錄隱藏了潛在的攻擊性。當用戶在任何常用的搜尋引擎上搜尋預設的Frontpage目錄時，會得到大量從引擎上返回的信息，這時，給入侵者一可乘之機，使他們得以對伺服器進行簡單而又反覆的攻擊。

對攻擊者來說，此漏洞可使他們獲得被攻擊方的Frontpage密碼文件、通過Frontpage副檔名執行任意二進制文件，以及通過用_vti_cnf替換index.html，即入侵者能看到該目錄下的所有文件，並有可能獲得訪問權限等。

3．解決方法

如對目錄定義許可、移去某些目錄、設定用戶密碼或不安裝Frontpage擴展伺服器等。

六、.Printer漏洞

1．漏洞危害及成因

此漏洞只存在於執行IIS 5.0的Windows 2000伺服器中。由於IIS 5的列印ISAPI擴展接頭建立了.printer副檔名到Msw3prt.dll的映射關係（預設情況下該映射也存在），當遠端用戶提交對.printer的URL請求時，IIS 5.0會使用Msw3prt.dll解釋該請求，加之Msw3prt.dll缺乏足夠的緩衝區邊界檢查，遠端用戶可以提交一個精心構造的針對.printer的URL請求，其「Host:」域包含大約420B的資料，此時在Msw3prt.dll中發生典型的緩衝區溢出，潛在地允許執行任意程式碼。在溢出發生後，Web服務會停止用戶回應，而Windows 2000將接著自動重啟它，進而使得系統管理員很難檢查到已發生的攻擊。

2．漏洞檢測

針對.Printer漏洞的檢測軟體很多，如easyscan（http:// [url]www.netguard.com.cn︴/url]^、x-scaner(http:// www.xfocus.org )和SSS等。

3．解決方法

可通過安裝Microsoft漏洞修正檔http://www.microsoft.com/Downloads/....��全問題。

以上筆者介紹了幾個Windows系統漏洞的危害及解決辦法，希望能夠對大家有所說明。

2003-12-16, 04:18 AM	#1
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	Windows系統一般漏洞分析由於Windows NT/2000操作系統的普及率和市場佔有率比較高，所以很容易使它成為很多黑客攻擊的目標。目前，Windows NT/2000最主要的漏洞有Unicode漏洞、.ida/.idq緩衝區溢出漏洞、Microsoft IIS CGI檔案名錯誤解碼漏洞、MSADCS RDS弱點漏洞、FrontPage伺服器擴展和.Printer漏洞等等。下面筆者將對這些漏洞的原理、危害程度、檢測和解決辦法分別進行介紹。一、Unicode漏洞 1．漏洞危害在Unicode字串解碼時，IIS 4.0/5.0存在一個安全漏洞，導致用戶可以遠端通過IIS執行任意指令。當用戶用IIS開啟文件時，如果該檔案名包含Unicode字串，系統會對其進行解碼。如果用戶提供一些特殊的編碼，將導致IIS錯誤地開啟或者執行某些Web根目錄以外的文件。未經授權的用戶可能會利用IUSR_machinename帳號的上下文空間訪問任何已知的文件。該帳號在預設情況下屬於Everyone和Users組的成員，因此任何與Web根目錄在同一邏輯磁碟機上的能被這些用戶組訪問的文件都可能被刪除、修改或執行。通過此漏洞，您可檢視文件內容、建立資料夾、刪除文件、拷貝文件且改名、顯示目標主機當前的環境變數、把某個資料夾內的全部文件一次性拷貝到另外的資料夾去、把某個資料夾移動到指定的目錄和顯示某一路徑下相同檔案類型的文件內容等等。 2．漏洞成因 Unicode漏洞的成因可大致歸結為: 從中文Windows IIS 4.0+SP6開始，還影響中文Windows 2000+IIS 5.0、中文Windows 2000+IIS5.0+SP1。台灣繁體中文也同樣存在這樣的漏洞。它們利用擴展Unicode字串（如利用「../」取代「/」和「@」）進行目錄遍歷漏洞。據瞭解，在Windows NT中編碼為%c1%9c，在Windows 2000英文版中編碼為%c0%af。 3．漏洞檢測首先，對網路內IP位址為...的Windows NT/2000主機，您可以在IE位址欄輸入http:// .../scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir(其中%c1%1c為Windows 2000漏洞編碼，在不同的操作系統中，您可使用不同的漏洞編碼)，如漏洞存在，您還可以將Dir換成Set和Mkdir等指令。其次，您要檢測網路中某IP段的Unicode漏洞情況，可使用有如Red.exe、SuperScan、RangeScan掃瞄器、Unicode掃瞄程序Uni2.pl及流光Fluxay4.7和SSS等掃瞄軟體來檢測。 4．解決方法若網路記憶體在Unicode漏洞，可採取如下方法進行補救：（1）限制網路用戶訪問和使用CMD指令的權限；（2）若沒必要使用SCRIPTS和MSADC目錄，刪除或改名；（3）安裝Windows NT系統時不要使用預設WINNT路徑，您可以改為其他的資料夾，如C:\mywindowsnt； (4)用戶可從如下位址下載Microsoft提供的修正檔：http://www.microsoft.com/ntserver/nts/downloads/critical/q269862/default.asp為IIS 4.0的修正檔位址，http://www.microsoft.com/windows2000/downloads/critical/q269862/default.asp為IIS 5.0修正檔位址。二、.ida/.idq緩衝區溢出漏洞 1．漏洞危害及成因作為安裝IIS程序的一部分，系統還會安裝幾個ISAPI擴展.dlls，其中idq.dll是Index Server的一個元件，對管理員指令碼和Internet資料查詢提供支持。但是，idq.dll在一段處理URL輸入的程式碼中存在一個未經檢查的緩衝區，攻擊者利用此漏洞能導致受影響伺服器產生緩衝區溢出，從而執行自己提供的程式碼。更為嚴重的是，idq.dll是以System身份執行的，攻擊者可以利用此漏洞取得系統管理員權限。 2．解決方法用戶可以分別到http://www.microsoft.com/Downloads/R...��動安裝。注意：安裝Index Server或Index Services而沒有安裝IIS的系統無此漏洞；另外，即使Index Server/Indexing Service沒有開啟，但是只要對.idq或.ida文件的指令碼映射存在，攻擊者也能利用此漏洞。受影響平台有Windows NT 4.0、Windows 2000、Windows XP beta; 受影響的版本有Microsoft Index Server 2.0、Indexing Service in Windows 2000。三、Microsoft IIS CGI 檔案名錯誤解碼漏洞 1．漏洞危害及成因 IIS在載入可執行CGI程序時，會進行兩次解碼。第一次解碼是對CGI檔案名進行Http解碼，然後判斷此檔案名是否為可執行文件，如檢查後面名是否為「.exe」或「.com」等。在檔案名檢查通過之後，IIS會進行第二次解碼。正常情況下，應該只對該CGI的參數進行解碼，然而，當漏洞被攻擊後，IIS會錯誤地將已經解過碼的CGI檔案名和CGI參數一起進行解碼。這樣，CGI檔案名就被錯誤地解碼兩次。通過精心構造CGI檔案名，攻擊者可以繞過IIS對檔案名所做的安全檢查。在某些條件下，攻擊者可以執行任意系統指令。 2．漏洞檢測該漏洞對IIS 4.0/5.0（SP6/SP6a沒有安裝）遠端本機均適用，您可通過前文所述的SSS軟體進行測試。 3．解決方法如果您的主機有此漏洞，可在http://www.microsoft.com/Downloads/Release.asp?ReleaseID=29787處下載修正檔。四、MSADCS RDS弱點漏洞 1．漏洞危害雖然MSADCS RDS弱點漏洞對許多黑客來說已經有點兒過時，不過，對於網路上一些粗心大意的網管來說，還是有為數眾多的機器並沒有針對這個漏洞進行防堵。該漏洞可以導致攻擊者遠端執行用戶系統的指令，並以設備用戶的身份執行。 2．漏洞成因此漏洞是因Windows NT 4.0 Option Pack中的元件MDAC（即Microsoft Data Access Components）引起的，它包含了一項RDS（Remote Data Service）的功能。RDS是Microsoft提供給使用者遠端訪問資料庫的服務，它能夠讓使用者透過ODBC遠端存取/查詢伺服器資料庫中的資料信息，而在IIS伺服器中，還能夠讓使用者通過一個位於/msadc虛擬目錄內名為msadcs.dll的文件提供RDS服務，以便與遠端使用者溝通。 3．漏洞檢測用戶可使用Shadow Security Scanner 5.35（本文簡稱SSS）、流光Fluxay 4.7、Nmap以及SuperScan或MSADC2.PL（Perl程序，執行需要ActivePerl環境，您可去雨林小狗網站下載，網址為[url]http://www.wiretrip.net/rfp︴/url]^來進行測試，也可以通過以下辦法測試本機是否存在這個漏洞。 c:\>nc -nw -w 2 <目標機> 80 GET /msadc/msadcs.dll HTTP 4．解決方法其實，Microsoft對關於Msadc的問題發了3次以上的修正檔，但仍然存在問題。筆者認為最好的辦法是：通過移除或刪除系統內/msadc目錄，同時移除c:\Program Files\Common Files\System\Msadc\msadcs.dll，或安裝MDAC 2.1 SP2修正檔（下載網址為[url]http://www.microsoft.com/data/download.htm︴/url]^，並注意及時上網更新。五、FrontPage 伺服器擴展漏洞 1．漏洞危害該漏洞對網站構成嚴重威脅，可以讓入侵者輕易地獲得整個網站的信息。 2．漏洞成因對於安裝Frontpage伺服器的網站，通常會在Web目錄（預設）下有若干個以字母「_vti」開頭的目錄，正是這些目錄隱藏了潛在的攻擊性。當用戶在任何常用的搜尋引擎上搜尋預設的Frontpage目錄時，會得到大量從引擎上返回的信息，這時，給入侵者一可乘之機，使他們得以對伺服器進行簡單而又反覆的攻擊。對攻擊者來說，此漏洞可使他們獲得被攻擊方的Frontpage密碼文件、通過Frontpage副檔名執行任意二進制文件，以及通過用_vti_cnf替換index.html，即入侵者能看到該目錄下的所有文件，並有可能獲得訪問權限等。 3．解決方法如對目錄定義許可、移去某些目錄、設定用戶密碼或不安裝Frontpage擴展伺服器等。六、.Printer漏洞 1．漏洞危害及成因此漏洞只存在於執行IIS 5.0的Windows 2000伺服器中。由於IIS 5的列印ISAPI擴展接頭建立了.printer副檔名到Msw3prt.dll的映射關係（預設情況下該映射也存在），當遠端用戶提交對.printer的URL請求時，IIS 5.0會使用Msw3prt.dll解釋該請求，加之Msw3prt.dll缺乏足夠的緩衝區邊界檢查，遠端用戶可以提交一個精心構造的針對.printer的URL請求，其「Host:」域包含大約420B的資料，此時在Msw3prt.dll中發生典型的緩衝區溢出，潛在地允許執行任意程式碼。在溢出發生後，Web服務會停止用戶回應，而Windows 2000將接著自動重啟它，進而使得系統管理員很難檢查到已發生的攻擊。 2．漏洞檢測針對.Printer漏洞的檢測軟體很多，如easyscan（http:// [url]www.netguard.com.cn︴/url]^、x-scaner(http:// www.xfocus.org )和SSS等。 3．解決方法可通過安裝Microsoft漏洞修正檔http://www.microsoft.com/Downloads/....��全問題。以上筆者介紹了幾個Windows系統漏洞的危害及解決辦法，希望能夠對大家有所說明。

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

主題工具
顯示可列印版本郵寄本頁給好友
顯示模式
平板模式切換到混合模式切換到樹形模式

Google 提供的廣告