在线时间 0 小时 最后登录 2007-9-23 注册时间 2004-9-10 听众数 3 收听数 0 能力 0 分 体力 9975 点 威望 7 点 阅读权限 150 积分 4048 相册 0 日志 0 记录 0 帖子 1893 主题 823 精华 2 分享 0 好友 0
我的地盘我做主
该用户从未签到
这篇文章早就想写了,只是题目太大了,所以一直不敢写,高手可以厚积薄发,我只能积多少发多少了。 % K% {# T2 d4 l 3 V. y* V l8 S - h k9 U9 R$ K! c7 P 4 w. q6 ?' ~* p9 M. P. y0 k: h 一:代码庞大,代码重用7 r4 K/ r! b; A. |4 L$ D8 j * |/ W& e0 [- U4 p6 g 有一个“小程序定理”:程序中的bug 和程序大小成正比。还有一句谚语:凡可能出错的地方就一定会出错。微软的程序员不是神,那么多行代码,还要求软件工程学上的完美,代码重用……昨天ilsy跟我提到那个ldap溢出,其实就是一个根本不该犯的错误,但是仍然犯了。要求代码重用就意味着在某个版本上出现的问题,就可能会在后续版本中都有问题,其他重用此代码的程序中也可能会有问题。' R- t! s# { B2 j+ I8 @) [5 _ " I7 C! ?! |, }! Z: j% d 曾经有人说Windows .net出来,搞Windows 安全的就没饭吃了,我看一定不会,盖兹不会那么残忍。' O' w6 m; ]4 @+ t * Z: ~" _/ ~1 l/ u/ e1 n$ d / l0 t" ]1 k r8 O% W' e- T# j ! X+ e% s3 v% v t, l/ s1 l [! c 毕竟是开公司,当然是怎么赚钱最多就怎么搞,听casper说微软花上百万去研究按钮的; b. M5 f/ {) \# z' @7 w6 H% _ 光源从哪个角度照下来好看。好用的东西,傻瓜的东西,大家当然愿意买。所以默认就什么都支持,什么都包含,什么都关联什么都兼容。9 `1 e2 \/ [: r. N$ b& a M3 }$ E6 Y, F 1 R5 N! E6 N# O 8 \. a! o/ d: N; ]* E5 m 1、unicode的支持& }) E" l, J6 i! M& m9 C; X 3 u' F( E7 ]: o/ O5 p IIS的unicode漏洞我就不多说了,其实除了IIS,其他还有不少Windows上的web 服务器存在类似问题。因为对unicode 的解码是系统内核完成的,真要想把错误解码问题解决,估计花钱不会少。我发现微软其实并没有在unicode 漏洞的补丁中真正把错误解码纠正,而只是简单过滤了一些危险的字符编码。主要是不允许“.”和“/”或者“”在一起出现,否则就报错。所以我们仍然能用错误解码来做一些事情,譬如说对付NIDS。把我们要扫描或者利用的http请求转换成错误编码格式,大多数的NIDS都是不能识别的。大家可以试验一下,看看是不是有哪家的NIDS 可以检测到这个。附录1是我自己搞的一个Windows 2000 中文版unicode错误解码表,不一定很全,大家可以参考。有兴趣的可以用这张表搞一个扫描器,对每一个字符随机使用正常unicode编码、utf8 编码和错误解码,看看是否还有什么NIDS可以识别。) L: y% b3 A2 G9 l$ Y) l7 [5 n & c" r) w# ^* B 我甚至相信在XP中,这个问题也未必会得到根本的解决。6 [: F) N0 v* P1 [: x" @: t: Q, V+ @ " C' I- |( r- u, {" ^ 2、扩展名欺骗' U1 {" R+ ]( F% m6 i6 K2 Z1 R* @ % t: @3 ~0 K; Q, ]5 n " a0 O2 a3 Y1 t( j A: O( o# m/ q/ `1 ^3 | + K! J C6 ^$ D* X* A& ]5 @ only test !' l; M; B4 H7 j# K* I+ X- l 9 _% s) a/ G! H & u; L7 P0 w7 U/ s( @& Q" H; C3 \- z ) y8 ]8 a! A6 j! [# \+ E+ I 8 _/ I. F& G: C 5 m8 K! \( j. [5 j 9 B. w6 F. ^, f C:>test.any" ] W: W' I" u only test !$ o) _# T, P& P' { : z9 Q- B, L9 j+ d/ b. k) ]& M! M# ~ , E2 A2 _2 B5 o1 c n' } , I0 j: S, g6 {/ m' ?" K 1 W- t1 ~! F/ B2 n) L+ g' F! q 7 }3 C5 X1 \2 W6 E% Q 能运行16位程序、OS2、POSIX 程序也是Windows NT/2000的一个卖点。但是由于对这些的支持需要使用一些系统级的 Privilege,也可以认为是某种意义上的suid,所以造成了安全隐患。历史上NT 4就曾经由于POSIX 子系统的问题出现过提升权限的漏洞。一般的系统加固手册中都会要求关掉这些支持。; V( V, b% p4 }- g2 C " [5 R- V9 k6 q/ |" l' A # I* d ~8 i: p# ?1 X/ {$ m : N( P: T% s5 _5 q o- ? M# o" S2 a2 A! \ - O9 E* Y! M% k) J# [; K Windows 下一般使用“”表示目录,但是对“/”也可以接受,这和*nix仅仅支持“/”是不同的。在编写asp、php等的时候,以及在写WEB 服务器之类程序的时候,如果没有把这两种都考虑到,往往会导致对WEB上级目录的越权访问。以前Win32 Apache就有这个问题。, g0 {$ ?/ `9 ?$ X7 D% W - t* U1 E0 Q# W0 j 5、UNC路径支持' Z @8 t4 Z$ m4 Y: T* a1 c! Q 5 B1 J/ N& ?, @" F. ~% t% }+ m 对UNC 路径的支持可以使我们很简单的访问远程文件,但它所带来的安全问题也的确是太多了。首先,UNC 几乎在任何地方都可以被使用,可以有无数种方法欺骗用户访问入侵者的机器,而Windows NT/2000 的认证机制为了易用性,默认会在你访问的时候主动把当前用户密码散列值发送过去,对于没有加固的系统来说,散列值和密码本身几乎是没有什么区别的。" c7 f. U/ T; {' m9 K 3 a, ~3 i$ D4 `. p7 [ ; B. z8 [/ [2 K* H. w; u 如果*nix上存在这个问题,就仅仅只能用来看文件——除非你能传文件上去。! R. J1 |) d, U q6 j3 `- n4 c # c$ @% u0 d/ I8 h- q 2 S0 R& T2 F- x( L+ M2 M/ o0 }7 Q , B6 ?% W6 c# N 1 X8 v/ b( a. J6 `/ u* i/ R* @ ! f4 F( h4 ~' K$ Z1 a4 z 要去除对UNC路径的支持,可以禁用DeviceMup设备。7 ?% f/ k0 M! J$ x9 A4 j 8 H, n; v" S- _* R3 W ! u4 ~4 y: V' K& Q ) o- Z$ c+ R6 |! _4 W* F3 i9 s + e& M4 Q! z3 X* ?7 \7 D- h) l3 K 5 v( T% f, k$ [! ]' g 8 _/ e: Q+ [" \5 a & J4 U6 C' m: [- v$ g 又因为这些设备文件名是“无处不在”的,当我们需要某种类型文件来做点事情的时候就用得上了。先假设存在一个.plx的溢出,但是WEB目录下根本没有.plx 文件,这时候我们就可以用con.plx这样的文件来传递溢出代码了。: y; z7 l9 y1 R 8 i# w9 c5 Y4 s( ^ 7、注册表庞大而复杂# [0 w5 o" k8 E C; _ & n7 E0 F& p) T. D4 j! @ 注册表对于Windows 来说太重要了,也有太多的东西了,其中还有那么多是未公开的。如果在注册表里留个后门,弄得好的话,几乎是不可能被审核出来的。所以定期备份注册表文件对一个Windows系统管理员来说是很重要的。) c8 L" z5 C. m- B V 7 v) V! A1 A: w7 k) V4 A 8、WSH,script+ K: E! H, B4 r0 F1 P$ h% N* | 6 T; w$ a. ]3 o( g6 W( p6 l $ P( ? K8 m9 s, H + A7 {& x) e" \8 ^ N* s( r0 R + K5 N* I5 R% v; v! e1 a 7 D% @/ L. x$ f" t* K 6 N! J; i; L% N 0 ~$ `/ H1 C6 X3 V3 s" @ 10、默认兼容lanman验证+ l9 h! |/ z# j$ C! b / g* g2 _& }4 P4 B ]4 e; p, Q 早在Windows NT 4.0的时代,就有人提出了传递散列值的进攻方法。因为在lanman验证方法中只是简单的比对MD 4散列值。那么理论上只要我们有了帐号和口令的散列值就可以通过lanman 验证,而不需要用l0pht Crack之类的工具去解出口令。由于这种攻击方式需要从根本上改动验证过程,而修改Windows内核过于困难,当时的发现者是使用修改Samba的方法来实现的,而且代码并未公开。最近有人对此提出可一个新思路,并公开了代码,可以在各种平台上实现,使得这个问题的风险大大增加了。所以在作系统加固的时候一定要把验证方式改掉。9 |0 N0 {3 j% k, K2 ~6 k 3 [ l' U/ k" d/ l3 A2 O. Z2 Y0 ]* A 11、设计失误0 G5 e( ~0 d# e, g% y c& |! {5 s% ?8 f x9 G7 X Windows上有很多设计失误,譬如帐号锁定和IIS的安全设计之间就有冲突(coolweis最早提出),一旦启用帐号锁定策略,我们可以对IUSER_和 IWAM_进行穷举,这两个帐号锁定后,任何人都无法访问IIS,这样很小的代价就实现了DoS。类似的问题还有不少。
zan
IP卡
狗仔卡
发表于 2004-10-9 14:44
转播
淘帖
分享
收藏
支持
反对
微信
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
发表于 2004-10-17 21:01
