Webmaster网络安全讲座:7.攻击与渗透(7)

Windows NT4 SP3，Windows SP6a和Windows 2000



(图16)

Windows NT4 SP3在ISN的PNRG算法也是非常弱的，成功率接近100%。Windows 2000和Windows NT4 SP6a的TCP 序列号有着相同的可猜测性。危险程度属于中到高的范围。虽然，我们在图上看不到很明显的3D结构化特征，但是，12%和15%对攻击者来说，已经是一个很满意的结果。

FreeBSD 4.2,OpenBSD 2.8和OpenBSD-current



(图17)

OpenBSD-current的PRNG 输出为31-bit,也就是说，△seq[t]的值域范围可以是231 –1，意味着,y,z值域也很大，这对使我们很难确定M集，经过我们的处理后，可以看到一个云状物(见上图)，它的R1半径很大，而且分布均匀，不呈现任何的空间结构化特性，很难对它进行分析。

Linux 2.2



(图18)

Linux 2.2的TCP/IP序列号的可分析性也是很少，比起OpenBSD-current,它的PRNG的输出宽度只有24bit，但是，对抵御攻击已经足够了。Linux是按照RFC 1948规范的。它的HASH函数从实现来说，应该是没有什么的漏洞，而且，它应该是引入了外部随机源。

Solaris

Solaris的内核参数tcp_strong_iss有三个值，当tcp_strong_iss=0时，猜中序列号的成功率是100%；当tcp_strong_iss=1时，Solaris 7和Solaris 8一样，都能产生一些特性相对较好的序列号。



(图19)

tcp_strong_iss=2时，依据Sun Microsystem的说法，系统的产生的ISN值非常可靠，不可预测。通过观察采样值的低位值的变化，可以相信它的PRNG的设计采用了RFC 1948规范，正如Solaris的白皮书所提到的。



(图20)

但是，我们观察到，Solaris7(tcp_strong_iss=2)虽然使用了RFC 1948,但是，仍然相当的弱，究其原因，是因为Solaris没有使用外部随机源，而且也没有在一段时间之后重算。由一些Solaris系统动态分配IP地址的主机群要特别小心，因为Solaris在启动之后，一直都不会变(这一点与Linux不同)，于是，攻击者在合法拥有某个IP地址的时候，他可以在TCP会话期间对序列号进行大量的采样，然后，当这个IP地址又动态地分配给其他人的时候，他就可以进行攻击（在Clinet-Server结构的网络系统中要尤为注意，因为，许多应用都是分配固定的端口进行通讯）。
获得信息

一旦攻击者获得root的权限，他将立即扫描服务器的存储信息。例如，在人力资源数据库中的文件，支付账目数据库和属于上层管理的终端用户系统。在进行这一阶段的控制活动时，攻击者在脑海中已经有明确的目标。这一阶段的信息获取比侦查阶段的更具有针对性，该信息只会导致重要的文件和信息的泄漏。这将允许攻击者控制系统。

攻击者获得信息的一种方法是操纵远程用户的Web浏览器。大多数的公司并没有考虑到从HTTP流量带来的威胁，然而，Web浏览器会带来很严重的安全问题。这种问题包括Cross-frame browsing bug和Windows spoofing以及Unicode等。浏览器容易发生缓冲区溢出的问题，允许攻击者对运行浏览器的主机实施拒绝服务攻击。一旦攻击者能够在局部使系统崩溃，他们便可以运行脚本程序来渗透和控制系统。

Cross-frame browsing bug允许怀有恶意的Web站点的制作者创建可以从用户计算机上获得信息的Web页面。这种情况出现在4.x和5.x版本的Netscape和Microsoft浏览器上，这种基于浏览器的问题只会发生在攻击者已经知道文件和目录的存储位置时。这种限制看起来不严重，但实际上并非如此。其实，任何攻击者都清楚地知道缺省情况下UNIX操作系统的重要文件存放在（\etc）目录下，Windows NT的文件在（\winnt）目录下，IIS在（\inetpub\wwwroot）目录下等等。

大多数的攻击者都知道操作系统存放文件的缺省位置。如果部门的管理者使用Windows98操作系统和Microsoft Word, Excel或Access，他很可能使用\deskto\My Documents目录。攻击者同样知道\windows\start\menu\programs\startup目录的重要性。攻击者可能不知道谁在使用操作系统或文件和目录的布局情况。通过猜测电子表格，数据库和字处理程序缺省存储文件的情况，攻击者可以轻易地获得信息。

虽然攻击者无法通过浏览器控制系统，但这是建立控制的第一步。利用Cross-frame browsing bug获得的信息要比从网络侦查和渗透阶段获得的信息更详细。通过阅读文件的内容，攻击者会从服务器上获得足够的信息，要想阻止这种攻击手段，系统管理员必须从根本上重新配置服务器。

审计UNIX文件系统

Root kit充斥在互联网上，很难察觉并清除它们。从本质上来说，root kit是一种木马。大多数的root kit用各种各样的侦查和记录密码的程序替代了合法的ls，su和ps程序。审计这类程序的最好方法是检查象ls, su和ps等命令在执行时是否正常。大多数替代root kit的程序运行异常，或者有不同的的文件大小。在审计UNIX系统时，要特别注意这些奇怪的现象。下表1列出了常见的UNIX文件的存放位置。

文件名
存放位置

/
根目录

/sbin
管理命令

/bin
用户命令；通常符号连接至/usr/bin

/usr
大部分操作系统

/usr/bin
大部分系统命令

/usr/local
本地安装的软件包

/usr/include
包含文件（用于软件开发）

/usr/src
源代码

/usr/local/src
本地安装的软件包的源代码

/usr/sbin
管理命令的另一个存放位置

/var
数据（日志文件，假脱机文件）

/vr/log
日志文件

/export
被共享的文件系统

/home
用户主目录

/opt
可选的软件

/tmp
临时文件

/proc
虚拟的文件系统，用来访问内核变量




审计Windows NT

下列出了在Windows NT中通常文件的存放位置



文件名
位置

\winnt
系统文件目录；包含regedit.exe和注册表日志

\winnt\system32
包含许多子目录，包括config（存放security.log，event.log和application.log文件）

\winnt\profiles
存放与所有用户相关的信息，包括管理配置文件

\winnt\system32\config
包含SAM和SAM.LOG文件，NT注册表还包含密码值

\inetpub
缺省情况下，包含IIS4.0的文件，包括\ftproot,\wwwroot

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有