扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
MS08-014漏洞是微软3月份发布的一个高危漏洞,其官方描述:如果用户打开特制的Excel文件,该漏洞可能允许远程执行代码。 成功利用这些漏洞的攻击者可以完全控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。
1.受影响和不受影响的软件
受影响的软件见图1
不受影响的软件见图2
2.漏洞利用演示
最近,黑客发布了漏洞利用的程序。下面笔者利用该程序进行MS08-014漏洞利用演示,和大家一起亲身体验攻击者是如何利用该漏洞控制系统的。
(1).演示环境:
Windows XP SP2系统虚拟
安装Microsoft office 2003 Pack2
(2).工具:
两份正常的Excel文档:test1.xls test2.xls
漏洞利用工具:ms08_014.exe
记事本程序:notepad.exe
“远程控制任我行”服务端程序:server.exe
把以上文件、程序放到同一目录下如 D:\test
(3).构造Excel文件
打开命令行(cmd.exe)工具,进入D:\test目录,输入命令:
ms08_014.exe
显示该工具的使用方法:ms08_014.exe .xlsfile exefile,其中“.xlsfile”是正常的Excel文件,“exefile”是构造后的Excel文件打开后调用运行的程序。
继续输入命令:
ms08_014.exe test1.xls notepad.exe
这样test1.xls文件打开后就会运行notepad.exe即记事本。
同样输入命令:
ms08_014.exe test2.xls server.exe (图3)
这样test2.xls文件打开后就会运行server,即木马服务器。
(4).效果演示
双击打开test1.xls文件,可以看见Excel只是一闪后关闭而打开了记事本程序。(图4)
在物理主机运行“远程控制任我行”控制端,然后在虚拟机中双击打开test2.xls文件,同样Excel文件并没有打开,稍等片刻看见“任我行”控制端有主机上线了如图5,该主机正是虚拟机系统,说明server.exe运行了。(图5)
3.实战攻击:
攻击者利用MS08-014漏洞攻击的一般流程是:
(1).配置木马服务端,然后通过ms08_014.exe程序进行精心构造一个xls文件。
(2).免杀处理。由于现在杀毒软件更新很快,因此攻击者通常要对xls文件和木马服务端进行免杀处理。比如本例中攻击者通过类似“特征码定位器”这样的工具定位特征码,然后通过某些汇编工具进行相应的修改。(图6)
(3).发布病毒包,诱惑用户下载。
(4).控制服务端,进行某些非法操作。
4.预防措施:
(1).系统升级,及时打上所有的补丁。
(2).杀毒软件及时更新升级。
(3).安装防火墙。比如本例中的“远程控制任我行”服务器在运行是系统防火墙弹出了提示如图7。
(4).洁身自律,杜绝不良下载。
总结:本文的MS08-014漏洞攻击演示虽是特例,其实所有的漏洞攻击及其预防都大同小异,所以也具有普遍性。同时,本文也不是示范如何进行漏洞攻击,而是为了知己知彼,让我们在攻与防的斗争中掌握主动权,从而胜算更大一些。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者