四种漏洞分析

noTme

四种漏洞分析：

一，IPC$漏洞：  

IPC$是共享“命名管道”的资源，主要用于程序间的通讯。在远程管理计算机和查看计算机的共享资源时使用。利用默认的IPC$我们可以与目标主机建立一个空的连接（无需用户名与密码），而利用这个空的连接，我们就可以得目标主机上的用户列表。  

我们总在说ipc$漏洞ipc$漏洞，其实，ipc$并不是真正意义上的漏洞，它是为了方便管理员的远程管理而开放的远程网络登陆功能，而且还打开了默认共享，即所有的逻辑盘(c$，d$，e$……)和系统目录winnt或windows(admin$)。  

所有的这些，初衷都是为了方便管理员的管理，但好的初衷并不一定有好的收效，一些别有用心者(到底是什么用心?我也不知道，代词一个)会利用IPC$，访问共享资源，导出用户列表，并使用一些字典工具，进行密码探测，寄希望于获得更高的权限，从而达到不可告人的目的。

如何防御：  

1. 禁止建立空连接  
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]  
RestrictAnonymous = DWORD:00000001  
2. 禁止管理共享  
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]  
AutoShareServer = DWORD:00000000  

二，Webdav漏洞：  

Microsoft Windows 2000 支持“万维网分布式创作和版本控制 (WebDAV)”协议。RFC 2518 中定义的 WebDAV 是超文本传输协议 (HTTP) 的一组扩展，为 Internet 上计算aIIS 服务（默认情况下在 LocalSystem 上下文中运行）的安全上下文中运行。 尽管 Microsoft 已为此弱点提供了修补程序并建议客户立即安装该修补程序，但还是提供了其他的工具和预防措施，客户在评估该修补程序的影响和兼容性时可以使用这些工具和措施来阻止此弱点被利用。

如何防御：  
1. 搜索注册表中的如下键：  
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters  
增加如下注册表键值：  
value name: DisableWebDAV  
Data type: DWORD  
value data: 1  
2. 使用MS提供的专用补丁！  

三。RPC漏洞：  

Windows PRC Locator服务是一款映射逻辑名称到网络特定名称的名字服务。客户端使用RPC（remote procedure call）远程过程调用Locator服务，Locator服务负责把客户提交的网络名解析转换为硬盘，打印机等计算机系统上实际资源的地址。如果某一个打印机服务器逻辑名为"laserprinter"，RPC客户端调用Locator服务来找出网络名所映射的"laserprinter"，RPC客户端在调用RPC服务的时候使用网络名来提交请求。  

不过Locator服务在接收注册信息的时候没有对Locator服务的参数进行详细检查，超长超大的参数可以导致服务程序触发缓冲区溢出，使Locator服务崩溃，精心构建提交数据可能以Locator服务进程的权限在系统上执行任意指令，而且攻击者获取的是system权限。  

默认情况下Windows 2000域控制器上Locator服务是默认运行，而一般的windows工作站和服务器是默认是不开始这个服务，但是如果这些操作系统一旦启动了Locator服务就也存在着此漏洞。

如何防御：  

如果你的计算机不是windows网络的域控制器，那强烈建议你不要使用locator服务，如果已经开放了就关闭此服务，如何关闭Windows Locator服务是否运行，在Windows 2000和Windows XP系统下，打开“控制面板-管理工具-服务”查看 Remote procedure call（RPC）Locator服务是否启动，如果已经启动可以停止它，并将RPC Locator服务状态设置为“禁用”。  
如果确实需要locator服务，那请尽快打上补丁。   



四。Messager漏洞：  

Windows NT/2000/ XP/20003操作系统中有一个默认开放的Messenger（消息队列服务）。  

它用于NT服务器之间进行发送和接收系统管理员或者“警报器”服务传递的消息，这个漏洞存在缓冲区堆溢出漏洞，由于在向缓冲区保存消息数据之前没有正确检查消息长度，可能被攻击者利用来进行远溢出，进行拒绝服务攻击，使计算机停止响应并自动重启，也可以执行任意代码，具体溢出问题存在于消息队列服务程序的search-by-name函数中，攻击者提交超长字符串给这个函数可造成堆溢出。  

如何防御：  
Messenger消息是通过NetBiOS或者RPC提交给消息服务，所以可以通过封闭NETBIOS端口(137-139)和使用防火墙过滤UDP广播包来阻挡此类消息。在边界防火墙或者个人防火墙上禁止不可信主机访问NETBIOS和RPC端口：135, 137, 138, 139 (TCP/UDP)，如果不使用messenger服务可以把它禁用。打开“开始”菜单，点击“控制面板”中的“计算机管理工具”，双击“服务”，找到并双击“Messenger”，然后点击“停止”，并在“启动类型”的下拉框中选择“已禁用”。  

微软也已经提供了安全补丁以修复此安全漏洞，如果有具体不同的操作系统需要下载安装不同的补丁，可以通过微软网站的安全公告选择并下载安装针对您所用系统的安全补丁。