打印

[讨论]通过构造输入法漏洞提权

linzi

荣誉会员

Rank: 6 Rank: 6 Rank: 6

帖子: 154
精华: 12
积分: 3798
阅读权限: 100
性别: 男
在线时间: 22 小时
注册时间: 2005-2-3
最后登录: 2008-11-6

发短消息
加为好友
当前离线

楼主大中小发表于 2005-4-30 08:43 只看该作者

[讨论]通过构造输入法漏洞提权

议题提交：Linzi [混客]
信息来源：邪恶八进制安全小组

看了标题大家该知道是什么思路了吧，我就不多说了。
资料如下:
漏洞描述

大家都知道，在安装Windows 2000简体中文版的过程中，默认情况下同时安装了各种简体中文输入法。这些随系统装入的输入法可以在系统登录界面中使用，以便用户能使用基于字符的用户标识和密码登录到系统，在这种情况下，应限制提供给用户的功能。然而，在默认安装的情况下，Windows 2000中的简体中文输入法不能正确地检测当前的状态，导致在系统登录界面中提供了不应有的功能。进而，一些别有用心的用户可以通过直接操作该计算机的键盘得到当前系统权限，运行他选择的代码、更改系统配置、新建用户、添加或删除系统服务、添加、更改或删除数据，或执行其他操作，让我这个管理员伤透了脑筋。

黑客入侵

在Windows 2000登录界面，把鼠标放到用户名框里点击一下，用[Ctrl+Shift]切换输入法，切换至全拼输入法状态，这时在登录界面左下角将出现输入法状态条，用鼠标右键点击状态条，在弹出菜单中选择“帮助”，把鼠标移到帮助上，在新弹出的选项里选择“输入法入门”，然后就会弹出一个叫“输入法操作指南”的帮助窗口，这个窗口里有个栏目是“选项”，把鼠标放在该项上面点击右键，在新弹出的小窗口里选择“跳至URL”。此时将出现Windows 2000的系统安装路径和要求我们填入的路径的空白栏。比如，该系统安装在C盘上，就在空白栏中填入“c:Windowsntsystem32”（如图1）。然后按[确定]，在“输入法操作指南”右边的框里就会出现c:Windowsntsystem32目录下的内容（如图2）。于是就成功地绕过了身份验证，进入了系统的SYSTEM32目录，当然这时他想做什么都不在话下喽。

图1

图2

补救办法

被黑客通过这个漏洞入侵几次后，我不得不到处查找资料，终于功夫不负有心人，找到了解决办法。

1. 给Windows 2000打补丁

Windows 2000 SP2以上的补丁已经堵住了这个漏洞，可以从下列网址下载补丁程序：http://www.microsoft.com/china/msdownload/Windowsdows/default.asp 。这里可以下载Windows 2000各阶段的补丁，后阶段的补丁中包括前阶段的补丁，如SP3补丁中包括SP2补丁中的内容。你可以直接打Windows 2000 SP2补丁，因为SP2补丁已经包括了输入法漏洞的补丁，打上补丁之后，就消除了此安全缺陷，可使简体中文输入法识别计算机状态并在登录时只提供适当的功能。但是为了预防那些恶意用户对服务器通过操作系统的其他漏洞发起攻击，建议使用最新的补丁程序。

2. 删除输入法帮助文件和多余的输入法

为了防止恶意用户通过输入法漏洞对服务器进行攻击，我删除了不需要的输入法，例如郑码等。但是毕竟不能把所有的自带输入法都删除，对于不需要使用的有漏洞的输入法，要把那个输入法的帮助文件删除掉。这些帮助文件通常在Windows 2000的安装目录下（如：C:Windowsnt）的Help目录下，对应的帮助文件分别是：

Windowsime.chm输入法操作指南

Windowssp.chm 双拼输入法帮助

Windowszm.chm 郑码输入法帮助

Windowspy.chm 全拼输入法帮助

Windowsgb.chm 内码输入法帮助

上面的两个步骤，执行了其中的一项，就可以防止恶意用户对Windows 2000机器进行输入法漏洞攻击了。只要我们的网络管理员能够细心地维护系统，相信黑客们是没有可乘之机的。

具体我还没试，发出来和大家一起讨论。

此ID为马甲.多人使用.

TOP

xfire

荣誉会员

Rank: 6 Rank: 6 Rank: 6

帖子: 46
精华: 6
积分: 3141
阅读权限: 100
性别: 男
在线时间: 86 小时
注册时间: 2005-4-3
最后登录: 2008-10-4

发短消息
加为好友
当前离线

沙发大中小发表于 2005-4-30 10:32 只看该作者

其实通过输入法漏洞来入侵能利用的地方不多，记的以前刚出输入法漏洞时很多人都把帮助文件删了，达到防止入侵的作用。当时可以通过各种手段上传被删除的文件，达到一个”后门“的作用，但是sp2出来后这种方法就不行了

黑客甲：我前几天黑了台独分子的主页。黑客乙：我前几天黑了民进党首页！（甲：啊？！）黑客甲：我让别人没有办法访问日本几家大公司的网站。黑客乙：我黑了日本文省的首页！（甲：啊！？）这时，一个老头：我前些日子让中国人都不能去访问北美的网站。黑客甲乙大吃一惊：您是？老者道：我是打渔的。我把海底光缆划断了！

TOP

混世魔王

荣誉会员

Rank: 6 Rank: 6 Rank: 6

E.S.T论坛贵宾

帖子: 184
精华: 10
积分: 3759
阅读权限: 100
性别: 男
在线时间: 89 小时
注册时间: 2005-3-12
最后登录: 2008-10-24

发短消息
加为好友
当前离线

椅子大中小发表于 2005-4-30 10:39 只看该作者

思路瞒不错的，我认为集成补丁的系统没有权限的话没有搞头，如果是修补系列的补丁，或有权限还有点搞头。
那里去早当年的 chm 了？有。随便发我一个，我也去测试一下。
Email: hsmw@hacker.com.cn

取保候审中........

TOP

kevin1986

荣誉会员

Rank: 6 Rank: 6 Rank: 6

E.S.T论坛贵宾

帖子: 325
精华: 12
积分: 3936
阅读权限: 100
性别: 男
在线时间: 308 小时
注册时间: 2005-2-5
最后登录: 2008-8-23

发短消息
加为好友
当前离线

板凳大中小发表于 2005-5-1 13:40 只看该作者

http://hididi.net/public/kevin/blogview.asp?logID=192

老早就有这个想法，苦于找不到SP0的输入法文件

其实我觉得这个输入“溢出型后门”的范畴

me=\"kEvin1986\" & chr(0) & \"at solitude\" msgbox len(me) \' You can see somthing. msgbox me \' But just part of it. \'i think i will hide part of myself