【正文】 ms08_067 漏洞利用實(shí)例 ...........................................................................................44 漏洞利用環(huán)境的軟硬件介紹 .............................................................................................44 ms08_067 漏洞分析實(shí)例 ....................................................................................................44 ms08_067 漏洞概述 .................................................................................................44 ms08_067 漏洞源代碼結(jié)構(gòu)解析 .............................................................................45 ms08_067 漏洞實(shí)例過(guò)程 ....................................................................................................48 本章小結(jié) .............................................................................................................................56 第七章 總結(jié)與展望 .....................................................................................................................57 本文總結(jié) .............................................................................................................................57 不足與展望 .........................................................................................................................58 參考文獻(xiàn) ..........................................................................................................................................59 致 謝 ..........................................................................................................................................61 天津理工大學(xué) 2021屆本科 畢業(yè)論文 1 第一章 緒論 軟件漏洞的概述 當(dāng)前時(shí)代，軟件開(kāi)發(fā)工業(yè)的迅猛發(fā)展，軟件的生產(chǎn)規(guī)模的不斷擴(kuò)大，其內(nèi)部編輯的邏輯結(jié)構(gòu)也將越來(lái)越具體化。因此，軟件的漏洞就暴露出來(lái)了。例如，網(wǎng)站頁(yè)面后臺(tái)設(shè)置中，存在用戶(hù)輸入數(shù)據(jù) 限制方面的缺陷，那么可能會(huì)出現(xiàn) XSS 攻擊和 SOL 注入攻擊，服務(wù)器在解析數(shù)據(jù)包的時(shí)候，當(dāng)解析出非同一般的數(shù)據(jù)格式，而處理不當(dāng)時(shí)，就會(huì)被黑客遠(yuǎn)程控制，讀取隱私數(shù)據(jù) [1]。 2. 安全上的邏輯缺陷漏洞：正常狀態(tài)下不會(huì)影響軟件的正常功能，但是被黑客攻擊之后，將會(huì)造成溢出之后的惡意代碼的執(zhí)行。 軟件漏洞的挖掘技術(shù) 安全問(wèn)題的漏洞不會(huì)對(duì)軟件的正常執(zhí)行操作有異常的侵入，因此，測(cè)試工程師的在進(jìn)行功能性測(cè)試時(shí)，普通的測(cè)試，是不容易被發(fā)現(xiàn)的，站在正在進(jìn)行正常辦公的使用者的角度上看，也很難會(huì)發(fā)現(xiàn)，因此也不會(huì)體驗(yàn)到被入侵的感覺(jué)。 不是整體做攻擊測(cè)試的人都是“黑客”。 從測(cè)試技術(shù)的問(wèn)題上看，漏洞挖掘被當(dāng)做是特殊的高級(jí)的測(cè)試技術(shù)。 天津理工大學(xué) 2021屆本科 畢業(yè)論文 2 軟件漏洞的分析原理 在 fuzz 功能性測(cè)試的過(guò)程中，偵查出軟件中 一種十分特殊的破壞操作時(shí)，可以透過(guò)廠商發(fā)出實(shí)用的漏洞基本的過(guò)程描述，黑客們利用一定的漏洞分析能力，來(lái)對(duì)漏洞進(jìn)行逆向分析，通常情況，需要對(duì)程序進(jìn)行逆向分析行成二進(jìn)制級(jí)別的程序。這時(shí)，可以利用工具來(lái)詳細(xì)的觀察漏洞分析過(guò)程，或者借助特殊工具更快捷地查找到漏洞的爆發(fā)之處的出發(fā)點(diǎn) [1]。使用“補(bǔ)丁比較器”是一個(gè)相對(duì)有用的方法。 因此，軟件的分析原理問(wèn)題需要很高能力的調(diào)試功能技術(shù)和逆向分析技術(shù)，還有不同的環(huán)境下所需要使用的漏洞利用的方式與方法，過(guò)程中更依賴(lài)的是調(diào)試的作用，不斷積累經(jīng)驗(yàn)，并沒(méi)有統(tǒng)一的測(cè)試方法。而這種技術(shù)普遍通用的時(shí)期，是在《 Smashing The Stack For Fun And Profit》的公布發(fā)表之后 [1]。 Ring0 Shellcode：其中執(zhí)行者主體是 Ring0 程序，不能是 Ring3 程序，其權(quán)限不夠資格，我們知道內(nèi)核中， Ring0 包含許多 API 函數(shù)，其地址大多保存在一些表中，并且這些表同樣由內(nèi)核導(dǎo)出 [1]。別的進(jìn)程無(wú)法訪問(wèn)到我們的 Shellcode ，因?yàn)樗４嬖谧约哼M(jìn)程的 Ring3 內(nèi)存地址中，一旦別的進(jìn)程也需要調(diào)用這個(gè) API 函數(shù)時(shí)，最后致使內(nèi)存訪問(wèn)錯(cuò)誤甚至內(nèi)核崩潰，對(duì)于系統(tǒng)，是相當(dāng)危險(xiǎn) 的 [1]。網(wǎng)絡(luò)中的各種漏洞被黑客利用后危害是相當(dāng)大的，甚至于以一臺(tái)主機(jī)去感染成千上萬(wàn)臺(tái)主機(jī)的方式進(jìn)行漏洞利用。 研究本課題，主要是針對(duì)目前能夠執(zhí)行遠(yuǎn)程控制的漏洞進(jìn)行深入的分析與理解，將漏洞利用的過(guò)程和原理進(jìn)行重現(xiàn)，并詳細(xì)解析攻擊模塊的過(guò)程原理以及實(shí)例過(guò)程。漏洞的利用主要能夠利用工具實(shí)現(xiàn) 在目標(biāo)主 機(jī)上添加用戶(hù)，并進(jìn)一步提升至管理員權(quán)限 ,能夠?qū)δ繕?biāo)主機(jī)的文件進(jìn)行查看，能夠修改指定目錄下的文件名稱(chēng)，開(kāi)啟后門(mén)服務(wù)，登陸遠(yuǎn)程目標(biāo)主機(jī)桌面等。 第二章：對(duì)滲透測(cè)試與安全漏洞做了詳細(xì)的介紹，從滲透測(cè)試的起源、概念、分類(lèi)、執(zhí)行標(biāo)準(zhǔn)和具體流程進(jìn)行了詳細(xì)的闡述，對(duì)安全漏洞的周期，披露方式和公共資源庫(kù)進(jìn)行了簡(jiǎn)要的闡述。 第四章：對(duì) Metasploit 和 Ruby 語(yǔ)言進(jìn)行簡(jiǎn)要概述，并對(duì)其相互結(jié)合利用，成功攻擊目標(biāo)主機(jī)的原理進(jìn)行了分析了解。 第六章：對(duì) ms08_067 漏洞進(jìn)行了詳細(xì)的漏洞分析以及漏洞利用過(guò)程的展示。除此之外，又提出一些缺點(diǎn)和不足。 滲透測(cè)試的概念與分類(lèi) ： 滲透測(cè)試是模擬惡意攻擊者實(shí)戰(zhàn)的滲透技術(shù)，攻擊目標(biāo)主機(jī)系統(tǒng)，獲得訪問(wèn)控制權(quán)限，以測(cè)試和評(píng)價(jià)的方法，對(duì)潛在的安全風(fēng)險(xiǎn)進(jìn)行評(píng)估的過(guò)程 [4]。 過(guò)程：滲透測(cè)試團(tuán) 隊(duì)將從一個(gè)遠(yuǎn)程網(wǎng)絡(luò)位置來(lái)評(píng)估目標(biāo)網(wǎng)絡(luò)基礎(chǔ)設(shè)施，并沒(méi) 有任何目標(biāo)網(wǎng)絡(luò)內(nèi)部的拓?fù)浣Y(jié)構(gòu)，他們完全模擬真實(shí)網(wǎng)絡(luò)環(huán)境的外部攻擊者，采用流行的攻擊技術(shù)及工具，有組織，有步驟的進(jìn)行滲透與入侵，揭示目標(biāo)網(wǎng)絡(luò)中一些已知或未知的安全漏洞，并對(duì)這些漏洞能否利用并獲得控制權(quán)限或造成而無(wú)資產(chǎn)損失進(jìn)行評(píng)估 [2]。 從安全領(lǐng)域的攻擊者的角度去看，黑盒測(cè)試普遍更瘦追捧，是由于它能更加真實(shí)的再現(xiàn)攻擊實(shí)戰(zhàn)的全部過(guò)程與步驟 [4]。 NIST SP 800— 42 網(wǎng)絡(luò)安全測(cè)試指南 美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（ NIST）在 SP 800— 42 網(wǎng)絡(luò)安全測(cè)試指南中，討論了測(cè)試流程與方法，雖然不及 OSSTMM 全面，但是更可能被管理部門(mén)所接受 [2]。 Web 安全威脅 分類(lèi)標(biāo)準(zhǔn) 與 OWESP Top Ten 類(lèi)似， Web 應(yīng)用安全分類(lèi)標(biāo)準(zhǔn)（ WASC— TC)全面地給出了目前 Web 應(yīng)用領(lǐng)域中的漏洞、攻擊與防范措施視圖 [2]。 白盒測(cè) 試 定義：攻擊者完整的知曉被攻擊一方的全部網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的測(cè)試 [6]。 特點(diǎn)：比“黑盒”消除更多的被入侵的主機(jī)的安全漏洞，而后，能夠更多的創(chuàng)造出更有力的價(jià)值。 灰盒測(cè)試 概念：以上兩種測(cè)試的組合，可以對(duì)目標(biāo)系統(tǒng)進(jìn)行 更深入和安全的審查 [2]。 特點(diǎn)：將兩種測(cè)試方式的優(yōu)勢(shì)相結(jié)合，“灰盒測(cè)試”能夠所掌握的有限的情報(bào)和資料，決定實(shí)際攻擊與測(cè)試的實(shí)踐方式，從而確定安全評(píng)估的最佳方式。 天津理工大學(xué) 2021屆本科 畢業(yè)論文 6 PTES 滲透測(cè)試過(guò)程環(huán)節(jié) 很多知名的安全領(lǐng)域的企業(yè)，一起組織發(fā)起了 PTES 滲透測(cè)試的執(zhí)行方式的準(zhǔn)則，目的是制定滲透測(cè)試的普遍描述的基本準(zhǔn)則規(guī)范。 內(nèi)容：主要規(guī)定的工作內(nèi)容是：溝通用戶(hù)需求，確定滲透方案、劃定攻擊范圍邊界、確定攻擊目標(biāo)等工作 [2]。 內(nèi)容：攻擊者使用情報(bào)搜集的方法，包括：公開(kāi)來(lái)源信息查詢(xún)、 Google Hacking、社會(huì)工程學(xué)、網(wǎng)絡(luò)踩點(diǎn)、掃描探測(cè)、被動(dòng)監(jiān)聽(tīng)、服務(wù)查點(diǎn) [2]。 內(nèi)容：經(jīng)由滲透測(cè)試者專(zhuān)注的情報(bào)搜集的模擬攻擊方式的過(guò)程，能夠?qū)⒖尚械墓舴绞綇暮Ａ康臄?shù)據(jù)中提取 出來(lái)，最終定下攻擊方式。 內(nèi)容：攻擊者需要收集可發(fā)生滲透測(cè)試的攻擊代碼，主要是將漏洞經(jīng)過(guò)檢測(cè)后的掃描結(jié)果以及可以利用的資料，通過(guò)分析可以發(fā)生漏洞的部分代碼，查到可以進(jìn)行攻擊的入手點(diǎn)，并在測(cè)試中得到證明。滲透測(cè)試者需要利用他們所找出的目標(biāo)主機(jī)的漏洞，來(lái)真正入侵到其中，而獲得訪問(wèn)控制權(quán)限。 后滲透攻擊階段 過(guò)程：最可以展示出攻擊者們之間的眾人合作精神和技能水平的重要步驟，攻擊者們需要根據(jù)目標(biāo)組織的資產(chǎn)保護(hù)方式、安全防護(hù)設(shè)置、生產(chǎn)方式的組織的特征，自主設(shè)計(jì)出攻擊目標(biāo)，識(shí)別關(guān)鍵基礎(chǔ)設(shè)施，努力找尋目標(biāo)中最有作用和需要進(jìn)行防護(hù)的信息和資產(chǎn)，以至于實(shí)現(xiàn)對(duì)目標(biāo)系統(tǒng)的影響的實(shí)施過(guò)程 [2]。 報(bào)告階段 過(guò)程：執(zhí)行過(guò)程的結(jié)果是向用戶(hù)上交過(guò)程報(bào)告，獲取用戶(hù)的認(rèn)同并成功拿到剩余款項(xiàng)。 安全漏洞概述 安全漏洞生命周期 在滲透測(cè)試的執(zhí)行過(guò)程中，重點(diǎn)步驟是通過(guò)掃描等方式，偵查出測(cè)試主機(jī)中的實(shí)際的漏洞問(wèn)題， 再進(jìn)行攻擊測(cè)試，從而攻破目標(biāo)主機(jī)的防護(hù)，滲透到目標(biāo)主機(jī)的過(guò)程。通過(guò)滲透安全漏洞從而破壞目標(biāo)主機(jī)的效果的過(guò)程，破壞的程序叫做滲透程序，安全漏洞的生命周期 [10]，如圖 所示： 安全漏洞研究與挖掘E x p lo it 代碼的測(cè)試與開(kāi)發(fā)安全漏洞E x p lo it 代碼限于封閉團(tuán)隊(duì)安全漏洞E x p lo it 代碼開(kāi)始擴(kuò)散攻擊工具惡意程序出現(xiàn)并傳播E x p lo it 攻擊工具惡意程序大規(guī)模傳播并危害互聯(lián)網(wǎng)E x p lo it攻擊工具惡意程序逐漸消亡安全漏洞發(fā)現(xiàn)E x p l o i t代碼出現(xiàn)安全漏洞揭露公布P t a c h發(fā)布P a t c h 修補(bǔ)檢測(cè)移除的廣泛應(yīng)用0 d a y1 d a y 圖 安全漏洞生命周期 天津理工大學(xué) 2021屆本科 畢業(yè)論文 8 安全漏洞披露方式 安全公開(kāi)披露的分類(lèi)，如表 所示： 表 PTES 滲透測(cè)試過(guò)程環(huán)節(jié) 完全公開(kāi)披露 漏洞被發(fā)現(xiàn)后，測(cè)試者向使用者公布全部的漏洞出現(xiàn)的實(shí)際問(wèn)題，以及觸發(fā)條件，軟件開(kāi)發(fā)廠商很難做到在黑客對(duì)漏洞進(jìn)行開(kāi)發(fā)利 用之前，發(fā)布安全補(bǔ)丁，像這樣不負(fù)責(zé)任的披露，以至于他們的軟件使用著，由于漏洞披露而被攻擊與利用 [9]。 進(jìn)入地下經(jīng)濟(jì)鏈 安全研究出的漏洞有著巨大大的經(jīng)濟(jì)價(jià)值，那么，有些黑客不認(rèn)同去免費(fèi)地為軟件開(kāi)發(fā)廠商查找漏洞，這樣，軟件漏洞交易市場(chǎng)應(yīng)運(yùn)而生 [4]。 安全漏洞公共資源庫(kù) 國(guó)內(nèi)外的安全漏洞信息庫(kù)主要包括內(nèi)容，如表 所示： 表 國(guó)內(nèi)外的安全漏洞信息庫(kù) CNNVD 中國(guó)國(guó)家漏洞庫(kù)。 烏云安全 漏洞報(bào)告平臺(tái) 民間組織。 CVE “通用漏洞披露”，由美國(guó)國(guó)土安全部資助的 MITRE 公司進(jìn)行維護(hù)工作，已成為安全漏洞命名索引業(yè)界的實(shí)施標(biāo)準(zhǔn)，“ CVE 漏洞庫(kù)”為每個(gè)確認(rèn)的公開(kāi)披露的漏洞建立 CVE 編號(hào)，以及一段簡(jiǎn)單的漏洞信息描述 [2]。 天津理工大學(xué) 2021屆本科 畢業(yè)論文 9 本章小結(jié) 本章主要從滲透測(cè)試和安全漏洞兩個(gè)方面進(jìn)行描述，第一方面是滲透測(cè)試，滲透測(cè) 試中主要簡(jiǎn)述了起源、概念與分類(lèi)、體系與標(biāo)準(zhǔn)以及 PTES 滲透測(cè)試標(biāo)準(zhǔn)的介紹，大體上對(duì)滲透測(cè)試進(jìn)行了簡(jiǎn)要的介紹，為后面使用 Metasploit 滲透測(cè)試工具進(jìn)行漏洞利用做了前序的基礎(chǔ)講解。從安全漏洞的生命周期、披漏方式、以及公共資源庫(kù)三個(gè)方面進(jìn)行了簡(jiǎn)要的概述，將現(xiàn)在目前主流的一些安全漏洞的組織進(jìn)行總結(jié)，以便于讀者能夠查閱相關(guān)信息與資料。一個(gè)可執(zhí)行的文件不僅包含了二進(jìn)制機(jī)器代碼，還會(huì)自帶許多其他信息，如字體、菜單、字符串、位圖、圖標(biāo)等 [1]。 PE 文件的重要節(jié)組成部分，如表 所示 ： 表 PE文件節(jié)的重要組成部分 .text 由編譯器產(chǎn)生，存放著二進(jìn)制的機(jī)器代碼，也是主要反匯編和調(diào)試對(duì)象 [1]。 .idata 可執(zhí)行文