精华区 [关闭][返回]

当前位置:网易精华区>>讨论区精华>>电脑技术>>● 计算机安全>>◆破解技巧◆>>利用RAS攻击NT

主题:利用RAS攻击NT
发信人: adam2000()
整理人: williamlong(1999-05-31 13:15:08), 站内信件
RAS Buffer Overflows

受影响的版本
Microsoft Windows NT Workstation versions 4.0, 4.0 SP1, 4.0 SP2, 4.0 S
P3, 4.0 SP4 
Microsoft Windows NT Server versions 4.0, 4.0 SP1, 4.0 SP2, 4.0 SP3, 4
.0 SP4 
Microsoft Windows NT Server, Enterprise Edition versions 4.0, 4.0 SP4 


如果你的NT服务器安装了RAS的话,那么……嘿嘿

NT上的 RAS服务有许多的该死的buffer overflow的后门,如果允许执行一些小小
的代码,攻击者就可以得到进入主机的特权!


RAS服务能允许远程用户拨入并使用本地的资源,也有让用户从NT服务器拨出的服
务,譬如说他们的ISP。

RASSRV.exe 就是接受拨入服务的工具
RASMAN.exe 是拨出时自动拨号管理员和RAS连接管理员做出响应的工具
RASPhone.exe是用户手动拨出是对phonebook进行修改的应用程序
RASDial.exe也是用来拨出的工具


RASPHONE.exe和RASMAN.EXE是系统进程,他们运行在系统安全队列中,而RASPHO
NE.EXE和RASDIAL.EXE通常运行在那些开启这些系统进程的用户安全队列中。通过
测试可以看出RASSRV.EXE不存在这种问题,而其他几种工具都有这种问题。

缓冲区溢出的出现是因为例如象 RASGETPARAMS()这样的RAS API函数没有执行
越界检测并且装载了包含字符数组的结构。

例如,当自动拨号管理员拨号时,它用RASDAILGETPARAMS()函数从电话簿(RA
SPHONE.pbk)中读入电话号码这样的信息
然后将它放进RASDIALPARAMS这个结构中,因为没有执行越界检测,一旦rasphon
e.pbk 包含了过长的电话号码,它将造成RASMAN.EXE 执行无效。如果电话号码超
过了299数字,我们就能够重写处理器的EIP而且能完全改变程序的执行顺序及执
行代码。缺省情况下,rasphone.pbk 能使每个人都可改变NTFS,这意味着任何能
打开这个文件的人都可以编辑它的内容而且能造成缓冲区溢出。尽管一个普通用
户能为使用RAS建立他自己的电话本,但这个文件的权限应该被加强,因为,如果
不考虑在 %systemroot%\system32\ras目录下的rasphone.pbk 文件的权限,这样
的攻击仍会存在。

只要RASMAN.EXE 溢出所带来的影响被注意到,任何本地连接的用户都可以获得管
理员级的至高权限。RASPHONE.EXE 和RASDIAL.EXE 这两个程序经常被用来连接

Scheduler Service,一种系统服务,一旦被关注,它们也可以被用来获取对系统
的连接。我强力推荐管理员们应尽快应用从微软得到补丁。

微软已经发放了关于这个漏洞的通告,并提供了下载的补丁/ftp.microsoft.com
/bussys/winnt/winnt-public/fixes/usa/NT40/hotfixes-postSP5/RAS-fix/

----------------------------------------------------------------------
------------------------------
ADAM译,如要转载请注明From Chinaasp

--
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.103.111.32]

[关闭][返回]