WEB开发网
开发学院操作系统Windows Vista XP下(Vista适用)微软MS08-067远程控制漏洞测试 阅读

XP下(Vista适用)微软MS08-067远程控制漏洞测试

 2008-11-18 17:39:17 来源:WEB开发网   
核心提示: 我们打开目标主机的命令行工具,输入命令netstat -ano可以看到有一个端口号为4444的端口处于监听状态,XP下(Vista适用)微软MS08-067远程控制漏洞测试(2),(图2)然后我们在攻击主机的命令行下输入命令telnet 192.168.1.9 4444进行连接,可以看到连

我们打开目标主机的命令行工具,输入命令netstat -ano可以看到有一个端口号为4444的端口处于监听状态。(图2)

XP下(Vista适用)微软MS08-067远程控制漏洞测试

然后我们在攻击主机的命令行下输入命令telnet 192.168.1.9 4444进行连接,可以看到连接成功。这样我们就获得了目标主机的一个shell,并且是system权限。输入命令,比如net user gslw test /add & net localgroup administrators gslw /add,添加一个用户名为gslw的用户,可以看到创建成功。(图3)

XP下(Vista适用)微软MS08-067远程控制漏洞测试

这样目标主机就被完全控制了,试想如果其是服务器的话(Winsows Server 2003是非常普遍的服务器系统),那危害该有多大!

3、扩展测试

笔者在测试中发现,在溢出成功后目标主机的监听端口为4444,其对应的PID为840(随机)。毫无疑问它应该和某个系统服务相对应,输入tasklist /svc后发现其对于的进程是svchost.exe。该进程在系统中有多个,但PID为840的这个svchost.exe进程是一个宿主进程,其中包含了诸如lanmanserver, lanmanworkstation, Netman等多个系统服务。(图4)

XP下(Vista适用)微软MS08-067远程控制漏洞测试

那到底是哪个系统服务触发了该漏洞呢?通过笔者测试,当Computer Browser、Server、Workstation这三个系统服务中的任何一个服务被关闭后,用MS08067.exe进行溢出测试均失败。(图5)

XP下(Vista适用)微软MS08-067远程控制漏洞测试

通过上面的测试,可见是这三个系统服务造成了MS08-067漏洞,这和微软的漏洞说明“Server服务在处理RPC请求过程中存在的一个严重漏洞”不谋而合。那么这三个服务都是干什么的,相互之间有什么关系呢?server是Windows系统的一个重要服务,其主要作用是“支持此计算机通过网络的文件、打印、和命名”。而

Computer Browser服务的作用是“维护网络上计算机的更新列表,并将列表提供该计算机指定浏览”与server是依存关系。另外,Workstation服务的作用是“创建和维护到远程服务的客户端网络连接”,与Computer Browser是依存关系。上面的分析为我们预防MS08-067漏洞提供了一条思路。

4、漏洞预防

(1)、最彻底的措施是,通过第三方工具下载KB958644补丁包打上该漏洞补丁。

(2)、如果用户对微软的补丁存有戒心可以采取变通的措施,将Computer Browser、Server、Workstation这三个系统服务关闭,毕竟这三个服务在大多数情况下是用不到的。

总结:微软的“黑屏”事件让不少用户成了惊弓之鸟,对微软失去了信任,宁可系统漏洞百出也不去打补丁。这是相当危险的,“黑屏”事件后的安全真空和隐患值得我们深思。其实,说到底“黑屏”只不过是被微软摸黑了桌面,至多让人反感也无关痛痒。但是,被攻击者利用漏洞进行攻击那就不仅仅是反感了。希望,通过本文大家能够认识的漏洞的危害,尽快补上漏洞。

上一页  1 2 

Tags:XP Vista 适用

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接