黑客攻防技术内幕-防范入侵的办法(7)

网络技术是从1990年代中期发展起来的新技术，它把互联网上分散的资源融为有机整体，实现资源的全面共享和有机协作，使人们能够透明地使用资源的整体能力并按需获取信息。资源包括高性能计算机、存储资源、数据资源、信息资源、知识资源、专家资源、大型数据库、网络、传感器等。 当前的互联网只限于信息共享，网络则被认为是互联网发展的第三阶段。

6.4 IDQ溢出漏洞入侵

    

6.4  IDQ溢出漏洞入侵

关于idq.dll缓冲区溢出漏洞原理，本书已在第4.2.4节中做了详细的介绍。idq.dll漏洞是先前发现的众多溢出漏洞中的一种，现在网上又推出了idq.dll缓冲区溢出漏洞的入侵程序，使这一漏洞广泛地被入侵者所利用，极大地危害着网络的安全。现在网上70%的NT服务器普通存在该漏洞，希望可以引起网络管理员的安全意识，尽快修补该漏洞。

此漏洞先前被用于查看服务器主页所存放的位置，如果该服务器存在此漏洞，可以在其网址后输入.idq或.ida，如http://127.0.0.1/.idq，如图6-50所示。

图6-50  IDQ漏洞查看服务器主页所存放位置

从图6-50可以看出该服务器主页所存放的位置是在c:\inetpub\wwwroot\目录下，根据此漏洞结合idq.dll缓冲区溢出工具和nc.exe程序，入侵者就可以轻而易举地获得System的权限，idq.dll缓冲区溢出漏洞不亚于UNICODE漏洞，下面看看入侵者是如何根据此漏洞对服务器进行入侵的。

入侵者找到一台存在有idq.dll漏洞的IIS服务器，运行一个溢出程序Snake IIS IDQ。

此程序有两种版本，一种是在Windows环境下运行的图形版本，另一种是在命令符下运行的DOS版本。

Windows环境下使用的IIS IDQ版本如图6-51所示。

图6-51  在Windows下使用的IIS IDQ版本

提示符环境下使用的IIS IDQ版本如图6-52所示。

图6-52  在命令符下使用的IIS IDQ版本

入侵测试：

(1) 找到一台存在IDQ漏洞的服务器，这里目标服务器的IP为210.59.224.150。

(2) 运行IIS IDQ程序，这里以在Windows下使用的IIS IDQ版本为例，向210.59.224.150的80端口发送shellcode，如图6-53所示。

 

图6-53  测试漏洞

注意：

210.59.224.150的服务器为繁体中文版，在测试时请正确选择操作系统类型，这里默认的绑定命令是dir c:\即列出目标计算机C盘目录，入侵者根据需要可以更改所绑定的命令。

(3) 发送Shellcode成功后，IIS IDQ溢出工具将在210.59.224.150上开启一个813端口，再结合nc.exe程序入侵目标服务器。

(4) 在DOS下运行nc.exe程序，命令格式如下：

nc –vv 210.59.224.150 813

(5) 如果溢出成功的话将列出210.59.224.150上C盘的目录，如图6-54所示。

图6-54  idq.dll缓冲区溢出漏洞入侵测试成功

提示：

如果显示不能连接的话，换个操作系统类型再试试。

将所创建的用户添加到Administrator组，从而入侵者就达到完全控制主机的目的。

(6) 入侵测试成功，成功取得System的权限。

提示：

此时入侵者完全控制了目标机，可以进行任何操作。

(7) 入侵测试完成。

网络的神奇作用吸引着越来越多的用户加入其中，正因如此，网络的承受能力也面临着越来越严峻的考验―从硬件上、软件上、所用标准上......，各项技术都需要适时应势，对应发展，这正是网络迅速走向进步的催化剂。