Windows系统常见漏洞分析。
由于whatsNT/2000操作系统的普及程度和市场份额高,很容易成为众多黑客的攻击目标。现在WindowsNT/2000系统的主要漏洞是Unicode,迪达/。IDq缓冲区溢出漏洞,MicrosoftIISCGI文件名错误,MSADCSRDS漏洞,FrontPython服务器扩展和。印表机漏洞等接下来,笔者将分别介绍这些漏洞的原理,危害程度,检测方法和解决方法。
第一个是Unicode漏洞。
1.脆弱的危害。
当使用iis/5.0表示Unicode字符时,会出现安全漏洞,使用户可以通过iis远程执行任意命令。如果文件名包含Unicode字符,则在用户使用IIS打开文件时,系统将为其添加该字符。IIS错误地打开或执行某些Web根目录之外的文件,如果用户提供了某些特殊代码。未授权用户可以使用IUSR_myinename帐户的上下文空间访问任何已知文件。缺省情况下,该帐户是Everyone和Users组的成员,因此这些组可以在与网站根目录相同的逻辑驱动器上访问的任何文件都可能被删除、修改或执行。利用这个漏洞,你可以查看文件内容,创建文件夹,删除文件,复制文件,重命名文件,显示目标主机的当前环境变量,一次一次地将文件夹中的所有文件复制到另一个文件夹中,将文件夹移到指定的目录,并显示特定路径下相同文件类型的文件内容。
二、漏洞的原因。
对Unicode漏洞的解释大致如下:中文whitsIIS4.SP6,中文Windows200IIS5.0,中文Windows200IIS5.SP1。台湾各省的繁体中文也存在这种漏洞。他们使用扩展的Unicode字符(例如"../"代替"/"和"\")遍历目录。众所周知,WindowsNT的代码是%c1%9c,英文版Windows2000的代码是%c0%af。
3.发现漏洞。
第一个是IP地址为*的whitsNT/2000主机。*.*.*.*,可输入//*.*/在IE地址栏中,/脚本/..%C1%1c../winnt/slem32/cmd.exe。C+Dir(其中%c1%1c为Windows2000漏洞代码,可用于不同操作系统)。若存在漏洞,则还可以将目录更改为Set和Mkhr等命令。
第二,如果您想要在您的网络的某个IP区域检测Unicode漏洞,您可以使用诸如Red.exe,SuperScan,RangeScan,UnicodesclerUni2.pl,streamerFluxay4.7,SSS等扫描软件来检测。
4.解决办法。
如网络中有Unicode漏洞,可通过以下方式修复:
限制网络用户对CMD命令的访问和调用;
如果不需要SCRIPTS和MSADC目录,则将其移除或重命名;
(3)安装whatsNT系统时,不要使用默认的WINNT路径,可以切换到其他文件夹,例如c:\mywhatsNT;
(4)用户可从以下地址下载微软公司提供的补丁:t.asp是IISyou的补丁地址。sp是IIS5.0的一个补丁地址。
其次,迪达/。idq缓冲区的一个溢出漏洞。
1.脆弱性的危害和成因。
系统还将安装一些ISAPI扩展,作为安装IIS的一部分。dll是索引服务器的一个组件,它支持Administrator脚本和Internet数据查询。但是,idq.dll在处理网址输入的代码片段中有一个未检查的缓冲区,这会导致缓冲区溢出受影响的服务器,并执行它自己提供的代码。另外,idq.dll是以系统形式运行的,攻击者可以利用这个漏洞获得系统管理员权限。
二、解决办法
使用者能去?ReleaseID=30833和和从ReleaseID=30800下载该补丁,或删除脚本映射。迪克和。埃达。若增加或移除其他系统元件,地图可能会自动安装。
注:没有安装IIS的系统安装了索引服务器或索引服务;此外,即使未打开索引服务器/索引服务,只要将脚本映射到,攻击者也可以利用该漏洞。idq还是ida文件存在。其中包括windowsNT4.0,Windows2000,WindowsXPbeta操作系统。受到影响的版本是来自微软索引服务器2.0和Windows2000的索引服务。
微软的IISCGI文件名对漏洞的错误解码。
1.易受伤害和原因。
IIS在可执行的CGI程序被装入时对其进行两次解码。首先对Http解码CGI文件名,然后判断该文件名是否为可执行文件,例如检查该文件的后缀名称是否为。exe“或”。IIS在通过文件名检查之后将进行第二次解码。通常,只能对CGI参数进行解码。但攻击漏洞之后,IIS会错误地对解码CGI文件名和CGI参数进行解码。通过这种方式,CGI文件两次被错误解码。攻击者可以通过仔细构建CGI文件名来绕过IIS对文件名进行安全检查。有些时候,攻击者可能会执行任意的系统命令。
2.发现漏洞。
这个漏洞在IIS4.0/5.0(未安装SP6/SP6a)的情况下是存在的,可以通过SSS软件进行测试。
三、解决办法。
假如你的主机有这个漏洞,它会在?修补程序下载在ReleaseID=29787。