chanong 本文仅用于安全教育和技术研究学习,不得非法使用。
1.经典漏洞重现(MS08-067)
非常感谢 John 几年前出版的关于 MS08-067 漏洞事件的回忆录。 让我们认识到,即使在当今复杂的攻击威胁下,MS08-067漏洞事件仍然具有借鉴和参考意义。
该蠕虫利用了MS08-067漏洞,增加了感染手段,对当时全球大量组织造成了毁灭性影响,成为所谓的互联网猛兽!
1.受影响版本
注:最重要的是影响微软的服务器系统
2.官方漏洞描述
2.官方漏洞描述
我不会翻译这些简单的英语句子。 对于那些不明白的人,我就...
3.环境设置
攻击者:Kali(2019.1)
目标无人机:XP SP2-(NX)
4、渗透测试
1>找到漏洞的匹配模块
2>一般情况下,对方计算机上的防火墙功能是打开的,因此采用反弹连接的方式,让目标机器主动穿过防火墙与攻击者建立连接。
3>搜索目标无人机
4>设置目标无人机的IP和负载
为了:
5>选择目标无人机
6>攻击成功
2:使用色情内容的技巧
1>获取对方
2>尝试添加权限
添加成功。 事实上,一步之后,这架目标无人机就变成了你案板上的肉鸡,随时待你蹂躏,哈哈!
注:当然,我们现在正在测试和学习。 还可以查看是否已成功添加到目标机器!
添加成功!
3>远程桌面尝试连接
注意:不幸的是,我发现3389(远程桌面连接端口)没有打开。 唉,我需要手动打开它,这很痛苦。 。 。
注意:将新用户添加到组中(提升为管理员权限)
3. 防御措施
1>安装微软官方补丁;
2>缓解措施:由于该漏洞利用的端口为139和445,因此应采取安全技术措施(软硬防火墙、交换、路由、TCP、IP过滤均可)对上述2个端口进行限制; 还可以阻断4444端口的内部和外部连接; 不过,意义并不大。 黑客可以通过修改源程序来修改端口;
3>如果无法更新且系统不需要该服务,请暂时禁用系统服务!
让我们重点关注服务器系统的防御(解决方法)—>它不能从根本上纠正漏洞,但它可以帮助在应用更新之前阻止已知的攻击源。
在 Vista、2008 和 7 Beta 上,过滤受影响的 RPC 标识符
除了使用防火墙阻止端口外,Vista、2008 和 7 Beta 版本还可以有选择地过滤 RPC 通用唯一标识符 (UUID)。 要阻止此漏洞,请添加一条规则来阻止所有 UUID 为 -1670-01d3-1278- 的 RPC 请求。 这可以通过 Web shell 来完成。 要访问 Web shell,请从提升的命令提示符运行以下命令。
在netsh环境下输入以下命令:
netsh>rpc
netsh rpc>filter
netsh rpc filter>add rule layer=um actiontype=block
netsh rpc filter>add condition field=if_uuid matchtype=equal data=4b324fc8-1670-01d3-1278-5a47bf6ee188
netsh rpc filter>add filter
netsh rpc filter>quit
过滤器密钥是随机生成的特定于每个系统的 UUID。 要确认过滤器已就位,请从提升的命令提示符运行以下命令:
netsh rpc filter show filter如果命令执行成功,会显示如下信息:
正在列出所有 RPC 筛选器
---------------------------------
filterKey: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
displayData.name: RPCFilter
displayData.description: RPC Filter
filterId: 0x12f79
layerKey: um
weight: 键入: FWP_EMPTY Value: Empty
action.type: block
numFilterConditions: 1
微信扫一扫打赏
支付宝扫一扫打赏
