用端口截聽實(shí)現(xiàn)隱藏嗅探與攻擊 |
發(fā)布時(shí)間: 2012/6/28 18:32:36 |
在WINDOWS的SOCKET服務(wù)器應(yīng)用的編程中,如下的語句或許比比都是: s=socket(AF_INET,SOCK_STREAM,IPPROTO_TCP); 這意味著什么?意味著可以進(jìn)行如下的攻擊: 1。一個(gè)木馬綁定到一個(gè)已經(jīng)合法存在的端口上進(jìn)行端口的隱藏,他通過自己特定的包格式判斷是不是自己的包,如果是自己處理,如果不是通過127.0.0.1的地址交給真正的服務(wù)器應(yīng)用進(jìn)行處理。 2。一個(gè)木馬可以在低權(quán)限用戶上綁定高權(quán)限的服務(wù)應(yīng)用的端口,進(jìn)行該處理信息的嗅探,本來在一個(gè)主機(jī)上監(jiān)聽一個(gè)SOCKET的通訊需要具備非常高的權(quán)限要求,但其實(shí)利用SOCKET重綁定,你可以輕易的監(jiān)聽具備這種SOCKET編程漏洞的通訊,而無須采用什么掛接,鉤子或低層的驅(qū)動(dòng)技術(shù)(這些都需要具備管理員權(quán)限才能達(dá)到) 3。針對(duì)一些的特殊應(yīng)用,可以發(fā)起中間人攻擊,從低權(quán)限用戶上獲得信息或事實(shí)欺騙,如在guest權(quán)限下攔截telnet服務(wù)器的23端口,如果是采用NTLM加密認(rèn)證,雖然你無法通過嗅探直接獲取密碼,但一旦有admin用戶通過你登陸以后,你的應(yīng)用就完全可以發(fā)起中間人攻擊,扮演這個(gè)登陸的用戶通過SOCKET發(fā)送高權(quán)限的命令,到達(dá)入侵的目的。 4.對(duì)于構(gòu)建的WEB服務(wù)器,入侵者只需要獲得低級(jí)的權(quán)限,就可以完全達(dá)到更改網(wǎng)頁目的,很簡單,扮演你的服務(wù)器給予連接請(qǐng)求以其他信息的應(yīng)答,甚至是基于電子商務(wù)上的欺騙,獲取非法的數(shù)據(jù)! 其實(shí),MS自己的很多服務(wù)的SOCKET編程都存在這樣的問題,telnet,ftp,http的服務(wù)實(shí)現(xiàn)全部都可以利用這種方法進(jìn)行攻擊,在低權(quán)限用戶上實(shí)現(xiàn)對(duì)SYSTEM應(yīng)用的截聽。包括W2K+SP3的IIS也都一樣,那么如果你已經(jīng)可以以低權(quán)限用戶入侵或木馬植入的話,而且對(duì)方又開啟了這些服務(wù)的話,那就不妨一試。并且我估計(jì)還有很多第三方的服務(wù)也大多存在這個(gè)漏洞。 解決的方法很簡單,在編寫如上應(yīng)用的時(shí)候,綁定前需要使用setsockopt指定SO_EXCLUSIVEADDRUSE要求獨(dú)占所有的端口地址,而不允許復(fù)用。這樣其他人就無法復(fù)用這個(gè)端口了。
本文出自:億恩科技【www.allwellnessguide.com】 服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |