一次意外的入侵经历-黑冰防火墙溢出攻击

　　1、事出有因

　　最近学校新上了一台文件服务器，用于校园网内教师交换教案和资料共享之用。服务器正好放在我实验室隔壁，隔着玻璃就能看到。（可惜啊！可望不可及：-( )通过我多方打探，大体了解了服务器的网络设置，关键就在于服务器有两块网卡，一块居然和我们实验室相连（一开始不了解是为什么，事后才知道为了便于实验室的管理员远程管理！）一块与学校主干网相连。知道了这些手就痒痒了，更何况负责服务器安全配置的老师说他把机器配置得很无敌了！（汗！~这么具有挑战性啊~）

　　2、初试身手

　　由于我本身就在实验室，所以当然用服务器实验室的那段ip最方便了，因此以下我说的ip都是指服务器和实验室同网段的ip。很容易获得了文件服务器的ip 为192.168.203.2,我的机器的ip为192.168.203.16。很自然地ping了一下，结果如下：

K:\mfm>ping 192.168.203.2

Pinging 192.168.203.2 with 32 bytes of data:
Reply from 192.168.203.2: bytes=32 time<10ms TTL=128
Reply from 192.168.203.2: bytes=32 time<10ms TTL=128
Reply from 192.168.203.2: bytes=32 time<10ms TTL=128
Reply from 192.168.203.2: bytes=32 time<10ms TTL=128

　　居然可以ping得通！（难道没装防火墙？也许那个老师自信把所有漏洞都补上了，难道不怕我DDOS它？：-））。还是谨慎点好，我用了一贯测试防火墙的方法做进一步的检测　　在cmd下输入telnet 192.168.203.2 54321 大约经过了10几秒左右，出现下面的提示：

　　K:\mfm>telnet 192.168.203.2 54321

　　正在连接到192.168.203.2...无法打开到主机的连接 在端口 54321 : 连接失败

　　我晕，根据经验肯定是有防火墙的！其实这个判断原理是很简单，你用telnet到目标主机的任意不存在端口，如果停留时间比较长后才出现连接不上的提示，那么几乎可以肯定对方装有防火墙了（或是其它包过滤设备）。但是有点奇怪，既然是防火墙为什么要允许ping呢？。不管它了，既然有了防火墙，那么先猜一下它可能开的端口吧。既然是文件服务器，估计ftp得开吧。连一下试试，如下：

　　ftp: connect :连接超时

　　我倒。。。ftp端口也被屏蔽！不是文件服务器嘛。。不用ftp难道用……共享？！！不至于吧，这也太……现在只有两种可能，要么ftp端口被改了，这样我得进行大范围的端口扫描（关键会留下好多的扫描记录撒！~~）另一种可能就是服务器没有使用ftp来上传管理文件而是采用的共享，我选择了第二种，因为第一种不太现实。既然是用共享的话，那么139端口应该是开放的吧？

　　好我试一下，这里要用到一个工具hping，这个工具可以自己定制数据包，使用方法如下：

方法如下：
K:\mfm>hping
Compiled by Anarchy@hk20.com

Usage: hping [options] host

　　-h Show this help menu　　　　　　　　　　显示帮助菜单
　　-v Show version number　　　　　　　　　 显示软件版本号
　　-c Stop after count response packets. 　　 收到多少个响应包后停止发包
　　-i Interval in X (seconds) or uX (micro seconds) 发包间隔时间以秒或毫秒
　　-M Set sequence number　　　　　　　　设置包序列号
　　-a Spoof source address　　　　　　　　伪造源IP地址
　　-p Destination port　　　　　　　　　　　-p 目的端口
　　-s Source port 　　　　　　　　　　　　　源端口
　　-R Set RST tcp flag　　　　　　　　　　　设置RST位
　　-S Set SYN tcp flag　　　　　　　　　　　设置SYN位
　　-A Set ACK tcp flag 　　　　　　　　　　　设置ACK位
　　-F Set FIN tcp flag　　　　　　　　　　　设置FIN位
　　-P Set PSH tcp flag　　　　　　　　　　　设置PSH位
　　-U Set URG tcp flag　　　　　　　　　　　设置URG位

　　后面的中文是我加的说明，相信大家一看就知道怎么用了。说了用法，我们来看看如何操作了，在cmd下输入：hping -S -p 139 -c 3 192.168.203.2

　　意思向192.168.203.2的139端口发送SYN数据包（就是请求连接的包）响应3次就停止发包，结果如图一。

　　哈哈！有回应了，说明我的猜测没有错！果然是用了共享。下面该怎么办呢？暴力破解？我可没那闲工夫！怪不得那个老师如此得意啊，原来只开了个139，其它的要么关闭了，要么被防火墙给屏蔽了！这么少的入口，当然不可能了！我几乎要放弃了，但是我又很不情愿，已经分析到了这一步。。。无奈之中无意间打了如下命令：nbtstat -A 192.168.203.2

　　结果却让我大大的吃惊，如图二！

　　居然可以netbios查询！！我一下子来了兴致，因为我以前研究过很多防火墙，大部分防火墙把安全等级调到高级后，即使你允许139等netbios端口开放那么也是无法进行netbios查询的！wait！好象只有最近研究一款防火墙的溢出漏洞时发现这款防火墙默认是允许netbios查询的！！那就是——BlackICE SERVER PROTECTION！！其实这真是巧合，我前天刚从天天安全网down的blackice，然后在securiteam.com看到的溢出代码和漏洞分析报告，真没想到这个文件服务器……等等，我还是最好再确认一下吧！可是我该如何进一步确认呢？从网上的漏洞分析报告来看，该漏洞是由于ISS产品中的协议分析模块（iis_pam1.dll）在处理ICQ v5协议中的SRV_META_USER命令字段的时候由于未能检测该字段的长度从而引起缓冲区溢出的。Blackvice没有开什么特定的管理端口，没有非常明显的特征，所以单凭技术是非常难以判断的……那么还是另辟新径吧！

　　3、无所不用其极

　　无敌（哭丧着脸）：老师，救命啊！！！
　　老师：啥事啊？
　　无敌：最近机房里老是有人在莫名奇妙的扫描我设的网关啊！我都烦死了！
　　老师：这还不简单？垒个墙不就行了？
　　无敌：我……给您说实话吧，我对这方面真是一知半解的，我知道老师您在这方面很有研究，给条明路吧！

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!