系統(tǒng)漏洞溢出攻擊案例

我們來看一下以前比較精典的一個溢出實例ms04011溢出：

Microsoft Windows XP [版本 5.1.2600] 

(C) 版權(quán)所有 1985-2001 Microsoft Corp. 

C:\windows\system32\cd\ 

C:\>

C:\>getos 2**.159.31.96   （判斷操作系統(tǒng)）

---------------------------- 

THCsmbgetOS v0.1 - gets gro 

by Johnny Cyberpunk ( 

---------------------------- 

(C) 版權(quán)所有 1985-2001 Microsoft Corp. 

D:\WINDOWS\system32> (得到目標機shell)

D:\WINDOWS\system32>net user test  test /add 

net user test test /add 

命令成功完成。   (建立用戶)

上面只是簡單演示了一下溢出過程， 上例是正向溢出， 只是直接溢出后用nc進行連接， 還可以反向溢出， 反向溢出一般用來突破防火墻， 先用nc在本機監(jiān)聽一個端口， 等待反向溢出的服務器連接過來從而得到一個system權(quán)限的shell。 對于溢出還有很多， 如iis、mso4045、ms04049、ms05039、ms05051、ms06061等還有一些精典的應用程序遠程溢出， 如未打sp3的mssql遠程溢出可以直接得到系統(tǒng)權(quán)限。 還有imail服務也一樣可以通過遠程溢出獲得系統(tǒng)權(quán)限。 還有很多病毒如沖擊波、震蕩波等病毒都是利用的rpc和lsass溢出漏洞， 在感染一臺機器后又不斷的以此機器為節(jié)點掃描網(wǎng)絡中的其它存在漏洞的機器進行溢出植入病毒程序， 這樣不斷的繁殖下去。

不過在windiws2003下溢出就無用武之地了， 因為在2003的保護機制里面還有一個技術是可控的SEH處理函數(shù)指針， 2003中結(jié)構(gòu)化異常處理例程注冊后， 它的函數(shù)指針會保存在模塊中的一個叫Load Configuration Directory的地址列表中， 如果函數(shù)返回時系統(tǒng)發(fā)現(xiàn)堆棧中的Cookie發(fā)生了改變， 視為溢出， 系統(tǒng)就會查看當前線程相關的SEH中是否有相應的處 理函數(shù)指針， 有的話， 系統(tǒng)將該指針與已經(jīng)注冊過函數(shù)的地址列表進行對照， 如果沒有發(fā)現(xiàn)匹配的， 而且處理函數(shù)指針在堆棧中， 異常處理函數(shù)就不運行。 如果該處 理函數(shù)指針位于已加載的各個DLL模塊地址范圍只外， 或堆中， 處理函數(shù)會被執(zhí)行， 這種可控制的異常處理技術就會使傳統(tǒng)的覆蓋SEH指針的方法失敗。 雖然可以用已經(jīng)加載模塊以外的地址來覆蓋SHE但在遠程溢出中仍顯得無力。

我們再來看看本地溢出， 本地溢出主要用來進行權(quán)限提升， 前面的serv-u的本地溢出已經(jīng)注入中講解了， 我們現(xiàn)在再來看一下本地的一個特權(quán)提升漏洞

通過執(zhí)行本地溢出直接從user用戶提升到系統(tǒng)權(quán)限。

對溢出攻擊的安全防范：

關閉139端口， 停掉icp/ip netbios服務。

在本地連接的屬性窗口中tcp/ip協(xié)議中的高級選項里“禁用tcp/ip上的netbios(s)”因為很多溢出都是利用的這個通道。

安裝防火墻是必要的。

打上重要漏洞的補�。ㄈ鐩_擊波補丁、震蕩波補�。�， 并開啟系統(tǒng)的自動更新功能。

服務器使用windows2003系統(tǒng)。