在線之經(jīng)典入侵技術(shù)總結(jié)(四)電腦資料

在線之經(jīng)典入侵技術(shù)總結(jié)(四)電腦資料四、新貴Messager入侵難度：★★★（中等）存在范圍：★★★★★（很高）危險指數(shù)：★★★★★（很高）使用幾率：★★★★★（很高）好用指數(shù)：85%部評審意見：新近暴出的漏洞自然同c段的mm聊天拉……Messager漏洞簡介：WindowsNT/2000/XP/20003操作系統(tǒng)中有一個默認開放的Messenger（隊列服務(wù)），緩沖區(qū)堆溢出漏洞，由于在向緩沖區(qū)保存消息數(shù)據(jù)之前沒有正確檢查消息長度，可能被href="hackbase./hacker"target="_blank">攻擊者利用來進行遠溢出，進行拒絕target="_blank">服務(wù)攻擊，使href="hackbase./skill"target="_blank">計算機停止響應(yīng)并自動重啟，也可以執(zhí)行任意href="hackbase./hacker"target="_blank">代碼，具體溢出問題存在于消息隊列target="_blank">服務(wù)程序的search-by-name函數(shù)中，攻擊者提交超長字符串給這個函數(shù)可造成堆溢出，eeye的ms03-043Messenger漏洞掃描器）溢出工具：msgr.exe簡單攻擊：1.打開RetinaMSGSVC.exe，開始對目標(biāo)進行掃描。2.使用msgr.exe對目標(biāo)進行溢出，成功后將在目標(biāo)主機的9191端口綁定一個shell，便于我們進行下一步控制。命令格式如：msgr.exe192.168.0.203.使用tel命令連接到主機。命令格式如：tel192.168.0.0.29191至此入侵結(jié)束！如何防御：Messenger消息是通過NetBIOS或者RPC提交給消息服務(wù)，所以可以通過封閉NETBIOS端口(137-139)和使用target="_blank">防火墻過濾UDP廣播包來阻擋此類消息。在邊界href="hackbase./hacker"target="_blank">防火墻或者個人防火墻上禁止不可信主機訪問NETBIOS和RPC端口：135,137,138,139(TCP/UDP)，如果不使用messenger服務(wù)可以把它禁用。打開“開始”菜單，點擊“控制面板”中的“計算機管理href="hackbase./hacker/tool"target="_blank">工具”，雙擊“target="_blank">服務(wù)”，找到并雙擊“Messenger”，然后點擊“停止”，并在“啟動類型”的下拉框中選擇“已禁用”。微軟也已經(jīng)提供了安全補丁以修復(fù)此安全漏洞，如果有具體不同的操作系統(tǒng)需要下載安