用端口截聽實現(xiàn)隱藏嗅探與攻擊

　在WINDOWS的SOCKET服務(wù)器應(yīng)用的編程中，如下的語句或許比比都是：

s=socket(AF_INET,SOCK_STREAM,IPPROTO_TCP);
saddr.sin_family = AF_INET;
saddr.sin_addr.s_addr = htonl(INADDR_ANY);
bind(s,(SOCKADDR *)&saddr,sizeof(saddr));
　　其實這當中存在在非常大的安全隱患，因為在winsock的實現(xiàn)中，對于服務(wù)器的綁定是可以多重綁定的，在確定多重綁定使用誰的時候，根據(jù)一條原則是誰的指定最明確則將包遞交給誰，而且沒有權(quán)限之分，也就是說低級權(quán)限的用戶是可以重綁定在高級權(quán)限如服務(wù)啟動的端口上的,這是非常重大的一個安全隱患。

　　這意味著什么？意味著可以進行如下的攻擊：

　　1。一個木馬綁定到一個已經(jīng)合法存在的端口上進行端口的隱藏，他通過自己特定的包格式判斷是不是自己的包，如果是自己處理，如果不是通過127.0.0.1的地址交給真正的服務(wù)器應(yīng)用進行處理。

　　2。一個木馬可以在低權(quán)限用戶上綁定高權(quán)限的服務(wù)應(yīng)用的端口，進行該處理信息的嗅探，本來在一個主機上監(jiān)聽一個SOCKET的通訊需要具備非常高的權(quán)限要求，但其實利用SOCKET重綁定，你可以輕易的監(jiān)聽具備這種SOCKET編程漏洞的通訊，而無須采用什么掛接，鉤子或低層的驅(qū)動技術(shù)（這些都需要具備管理員權(quán)限才能達到）

　　3。針對一些的特殊應(yīng)用，可以發(fā)起中間人攻擊，從低權(quán)限用戶上獲得信息或事實欺騙，如在guest權(quán)限下攔截telnet服務(wù)器的23端口，如果是采用NTLM加密認證，雖然你無法通過嗅探直接獲取密碼，但一旦有admin用戶通過你登陸以后，你的應(yīng)用就完全可以發(fā)起中間人攻擊，扮演這個登陸的用戶通過SOCKET發(fā)送高權(quán)限的命令，到達入侵的目的。

　　4.對于構(gòu)建的WEB服務(wù)器，入侵者只需要獲得低級的權(quán)限，就可以完全達到更改網(wǎng)頁目的，很簡單，扮演你的服務(wù)器給予連接請求以其他信息的應(yīng)答，甚至是基于電子商務(wù)上的欺騙，獲取非法的數(shù)據(jù)。　

　　其實，MS自己的很多服務(wù)的SOCKET編程都存在這樣的問題，telnet,ftp,http的服務(wù)實現(xiàn)全部都可以利用這種方法進行攻擊，在低權(quán)限用戶上實現(xiàn)對SYSTEM應(yīng)用的截聽。包括W2K+SP3的IIS也都一樣，那么如果你已經(jīng)可以以低權(quán)限用戶入侵或木馬植入的話，而且對方又開啟了這些服務(wù)的話，那就不妨一試。并且我估計還有很多第三方的服務(wù)也大多存在這個漏洞。

　　解決的方法很簡單，在編寫如上應(yīng)用的時候，綁定前需要使用setsockopt指定SO_EXCLUSIVEADDRUSE要求獨占所有的端口地址，而不允許復(fù)用。這樣其他人就無法復(fù)用這個端口了。

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯(lián)系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]