购买
下载掌阅APP,畅读海量书库
立即打开
畅读海量书库
扫码下载掌阅APP

2.2 RPC服务远程漏洞

RPC协议是WindowI操作系统使用的一种协议,提供了系统中进程之间的交互通信,允许在远程主机上运行任意程序。在WindowI操作系统中使用的RPC协议,包括MicroIoft及其他一些特定的扩展。系统大多数的功能和服务都依赖于它,是操作系统中极为重要的一个服务。

2.2.1 认识RPC服务远程漏洞

微视频

RPC全称是Remote Procedure Call,在操作系统中,它默认是开启的,为各种网络通信和管理提供了极大的方便,但也是危害极为严重的漏洞攻击点,曾经的冲击波、震荡波等大规模攻击和蠕虫病毒都是WindowI系统的RPC服务漏洞造成的。可以说,每一次的RPC服务漏洞的出现且被攻击,都会给网络系统带来一场灾难。

启动RPC服务的具体操作步骤如下。

Step 01 在WindowI操作界面中选择“开始”→“WindowI系统”→“控制面板”→“管理工具”选项,打开“管理工具”窗口,如图2-1所示。

Step 02 在“管理工具”窗口中双击“服务”图标,打开“服务”窗口,如图2-2所示。

图2-1 “管理工具”窗口

图2-2 “服务”窗口

Step 03 在服务(本地)列表中双击“Remote Procedure Call(RPC)”选项,弹出“Remote Procedure Call(RPC)属性”对话框,在“常规”选项卡中可以查看该协议的启动类型,如图2-3所示。

Step 04 选择“依存关系”选项卡,在显示的界面中可以查看一些服务的依赖关系,如图2-4所示。

图2-3 “常规”选项卡

图2-4 “依存关系”选项卡

分析:从上图的显示服务可以看出,受RPC服务影响的系统组件有很多,其中包括了DCOM接口服务,这个接口用于处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。攻击者若成功利用此漏洞则可以以本地系统权限执行任意指令,还可以在系统上执行任意操作,如安装程序,查看、更改或删除数据,建立系统管理员权限的账户等。

若想对DCOM接口进行相应的配置,其具体操作步骤如下。

Step 01 执行“开始”→“运行”命令,在弹出的“运行”对话框中输入Dcomcnfg命令,如图2-5所示。

Step 02 单击“确定”按钮,打开“组件服务”窗口,单击“组件服务”前面的“ ”号,依次展开各项,直到出现“DCOM配置”选项为止,即可查看DCOM中各个配置对象,如图2-6所示。

图2-5 “运行”对话框

图2-6 “组件服务”窗口

Step 03 根据需要选择DCOM配置的对象,如AxLogin,选定其并右击,从弹出的快捷菜单中选择“属性”选项,弹出“AxLogin属性”对话框,在“身份验证级别”下拉列表中根据需要选择相应的选项,如图2-7所示。

Step 04 选择“位置”选项卡,在打开的界面中对AxLogin对象进行位置的设置,如图2-8所示。

图2-7 “AxLogin属性”对话框

图2-8 “AxLogin位置”选项卡

Step 05 选择“安全”选项卡,在打开的界面中对AxLogin对象的启动和激活权限、访问权限和配置权限进行设置,如图2-9所示。

Step 06 选择“终结点”选项卡,在打开的界面中对AxLogin对象进行终结点的设置,如图2-10所示。

Step 07 选择“标识”选项卡,在打开的界面中对AxLogin对象进行标识的设置,选择运行此应用程序的用户账户。设置完成后,单击“确定”按钮,如图2-11所示。

图2-9 “AxLogin安全”选项卡

图2-10 “AxLogin终结点”选项卡

图2-11 “AxLogin标识”选项卡

提示: 由于DCOM可以远程操作其他计算机中的DCOM程序,而技术使用的是用于调用其他计算机所具有的函数的RPC(在远程过程中调用),因此,利用这个漏洞,攻击者只需要发送特殊形式的请求到远程计算机上的135端口,轻则可以造成拒绝服务攻击,重则远程攻击者可以以本地管理员权限执行任何操作。

2.2.2 RPC服务远程漏洞入侵演示

微视频

DcomRpc接口漏洞对WindowI操作系统乃至整个网络安全的影响,可以说超过了以往任何一个系统漏洞。其主要原因是DCOM是目前几乎各种版本的WindowI系统的基础组件,应用比较广泛。下面以DcomRpc接口漏洞的溢出为例,为大家详细讲述溢出的方法。

Step 01 将下载好的DComRpc.xpn插件复制到X-Scan的pluginI文件夹中,作为X-Scan插件,如图2-12所示。

Step 02 运行X-Scan扫描工具,选择“设置”→“扫描参数”选项,弹出“扫描参数”对话框,再选择“全局设置”→“扫描模块”选项,即可看到添加的“DcomRpc溢出漏洞”模块,如图2-13所示。

图2-12 pluginI文件夹

图2-13 “扫描参数”对话框

Step 03 在使用X-Scan扫描到具有DcomRpc接口漏洞的主机时,可以看到在X-Scan中有明显的提示信息,并给出相应的HTML格式的扫描报告,如图2-14所示。

Step 04 如果使用RpcDcom.exe专用DcomRPC溢出漏洞扫描工具,则可先打开“命令提示符”窗口,进入RpcDcom.exe所在文件夹,执行“RpcDcom -d IP地址”命令后开始扫描并会给出最终的扫描结果,如图2-15所示。

图2-14 扫描报告

图2-15 “命令提示符”窗口

2.2.3 修补RPC服务远程漏洞

微视频

RPC服务远程漏洞可以说是WindowI系统中最为严重的一个系统漏洞,下面介绍几个RPC服务远程漏洞的防御方法,以使自己的计算机或系统处于相对安全的状态。

1.及时为系统打补丁

防御系统出现漏洞最直接、有效的解决方法是打补丁,对于RPC服务远程溢出漏洞的防御也是如此。不过在对系统打补丁时,务必要注意补丁相应的系统版本。

2.关闭RPC服务

关闭RPC服务也是防范DcomRpc漏洞攻击的方法之一,而且效果非常彻底。其具体的方法为:选择“开始”→“设置”→“控制面板”→“管理工具”选项,在打开的“管理工具”窗口中双击“服务”图标,打开“服务”窗口。在其中双击“Remote Procedure Call”服务项,打开其属性窗口。在属性窗口中将启动类型设置为“禁用”,这样自下次开机开始RPC将不再开机启动,如图2-16所示。

另外,还可以在注册表编辑器中将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ServiceI\RpcSI的Start的值由4变成2,重新启动计算机,如图2-17所示。

图2-16 “常规”选项卡

图2-17 设置Start的值为2

不过,进行这种设置后,将会给WindowI的运行带来很大的影响,如WindowI 10从登录系统到显示桌面画面,要等待相当长的时间。这是因为WindowI的很多服务依赖于RPC,在将RPC设置为无效后,这些服务将无法正常启动。所以,这种方式的弊端非常大,一般不能采用。

3.手动为计算机启用(或禁用)DCOM

针对具体的RPC服务组件,用户还可以采用具体的方法进行防御。例如,禁用RPC服务组件中的DCOM服务。可以采用如下方式进行,这里以WindowI 10操作系统为例,其具体的操作步骤如下。

Step 01 选择“开始”→“运行”选项,弹出“运行”对话框,输入Dcomcnfg命令,单击“确定”按钮,打开“组件服务”窗口,选择“控制台根目录”→“组件服务”→“计算机”→“我的电脑”选项,进入“我的电脑”文件夹。对于本地计算机,需要右击“我的电脑”选项,从弹出的快捷菜单中选择“属性”选项,如图2-18所示。

Step 02 弹出“我的电脑属性”对话框,选择“默认属性”选项卡,进入“默认属性”设置界面,取消对“在此计算机上启用分布式COM(E)”复选框的勾选,然后单击“确定”按钮即可,如图2-19所示。

图2-18 “属性”选项

图2-19 “我的电脑属性”对话框

Step 03 若对于远程计算机,则需要右击“计算机”选项,从弹出的快捷菜单中选择“新建”→“计算机”选项,弹出“添加计算机”对话框,如图2-20所示。

Step 04 在“添加计算机”对话框中,直接输入计算机名或单击右侧的“浏览”按钮来搜索计算机,如图2-21所示。

图2-20 “计算机”选项

图2-21 “添加计算机”对话框 c5VfBXuV6vOVGeW9MUZvPPdJdoCRMNZevuZ3puJfgHgg79C8rOmjGnFvpze6qfwQ

点击中间区域
呼出菜单
上一章
目录
下一章
×