一次意外的入侵经历－－-黑冰防火墙溢出攻击

核心提示： -s Source port 源端口-R Set RST tcp flag设置RST位-S Set SYN tcp flag设置SYN位-A Set ACK tcp flag 设置ACK位-F Set FIN tcp flag设置FIN位-P Set PSH tcp flag设置PSH位-

-s 　　Source port 　　　　　　　　　　　　　源端口

-R 　　Set RST tcp flag　　　　　　　　　　　设置RST位

-S 　　Set SYN tcp flag　　　　　　　　　　　设置SYN位

-A 　　Set ACK tcp flag 　　　　　　　　　　　设置ACK位

-F 　　Set FIN tcp flag　　　　　　　　　　　设置FIN位

-P 　　Set PSH tcp flag　　　　　　　　　　　设置PSH位

-U 　　Set URG tcp flag　　　　　　　　　　　设置URG位

后面的中文是我加的说明，相信大家一看就知道怎么用了。说了用法，我们来看看如何操作了，在cmd下输入：hping -S -p 139 -c 3 192.168.203.2

意思向192.168.203.2的139端口发送SYN数据包（就是请求连接的包）响应3次就停止发包，结果如图一。

哈哈！有回应了，说明我的猜测没有错！果然是用了共享。下面该怎么办呢？暴力破解？我可没那闲工夫！怪不得那个老师如此得意啊，原来只开了个139，其它的要么关闭了，要么被防火墙给屏蔽了！这么少的入口，当然不可能了！我几乎要放弃了，但是我又很不情愿，已经分析到了这一步。。。无奈之中无意间打了如下命令：nbtstat -A 192.168.203.2

结果却让我大大的吃惊，如图二！

居然可以netbios查询！！我一下子来了兴致，因为我以前研究过很多防火墙，大部分防火墙把安全等级调到高级后，即使你允许139等netbios端口开放那么也是无法进行netbios查询的！wait！好象只有最近研究一款防火墙的溢出漏洞时发现这款防火墙默认是允许netbios查询的！！那就是——BlackICE SERVER PROTECTION！！其实这真是巧合，我前天刚从天天安全网down的blackice，然后在securiteam.com看到的溢出代码和漏洞分析报告，真没想到这个文件服务器……等等，我还是最好再确认一下吧！可是我该如何进一步确认呢？从网上的漏洞分析报告来看，该漏洞是由于ISS产品中的协议分析模块（iis_pam1.dll）在处理ICQ v5协议中的SRV_META_USER命令字段的时候由于未能检测该字段的长度从而引起缓冲区溢出的。Blackvice没有开什么特定的管理端口，没有非常明显的特征，所以单凭技术是非常难以判断的……那么还是另辟新径吧！