2.2.1 认识RPC服务远程漏洞
微视频
RPC全称是Remote Procedure Call,在操作系统中,它默认是开启的,为各种网络通信和管理提供了极大的方便,但也是危害极为严重的漏洞攻击点,曾经的冲击波、震荡波等大规模攻击和蠕虫病毒都是WindowI系统的RPC服务漏洞造成的。可以说,每一次的RPC服务漏洞的出现且被攻击,都会给网络系统带来一场灾难。
启动RPC服务的具体操作步骤如下。
Step 01 在WindowI操作界面中选择“开始”→“WindowI系统”→“控制面板”→“管理工具”选项,打开“管理工具”窗口,如图2-1所示。
Step 02 在“管理工具”窗口中双击“服务”图标,打开“服务”窗口,如图2-2所示。
图2-1 “管理工具”窗口
图2-2 “服务”窗口
Step 03 在服务(本地)列表中双击“Remote Procedure Call(RPC)”选项,弹出“Remote Procedure Call(RPC)属性”对话框,在“常规”选项卡中可以查看该协议的启动类型,如图2-3所示。
Step 04 选择“依存关系”选项卡,在显示的界面中可以查看一些服务的依赖关系,如图2-4所示。
图2-3 “常规”选项卡
图2-4 “依存关系”选项卡
分析:从上图的显示服务可以看出,受RPC服务影响的系统组件有很多,其中包括了DCOM接口服务,这个接口用于处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。攻击者若成功利用此漏洞则可以以本地系统权限执行任意指令,还可以在系统上执行任意操作,如安装程序,查看、更改或删除数据,建立系统管理员权限的账户等。
若想对DCOM接口进行相应的配置,其具体操作步骤如下。
Step 01 执行“开始”→“运行”命令,在弹出的“运行”对话框中输入Dcomcnfg命令,如图2-5所示。
Step 02 单击“确定”按钮,打开“组件服务”窗口,单击“组件服务”前面的“
”号,依次展开各项,直到出现“DCOM配置”选项为止,即可查看DCOM中各个配置对象,如图2-6所示。
图2-5 “运行”对话框
图2-6 “组件服务”窗口
Step 03 根据需要选择DCOM配置的对象,如AxLogin,选定其并右击,从弹出的快捷菜单中选择“属性”选项,弹出“AxLogin属性”对话框,在“身份验证级别”下拉列表中根据需要选择相应的选项,如图2-7所示。
Step 04 选择“位置”选项卡,在打开的界面中对AxLogin对象进行位置的设置,如图2-8所示。
图2-7 “AxLogin属性”对话框
图2-8 “AxLogin位置”选项卡
Step 05 选择“安全”选项卡,在打开的界面中对AxLogin对象的启动和激活权限、访问权限和配置权限进行设置,如图2-9所示。
Step 06 选择“终结点”选项卡,在打开的界面中对AxLogin对象进行终结点的设置,如图2-10所示。
Step 07 选择“标识”选项卡,在打开的界面中对AxLogin对象进行标识的设置,选择运行此应用程序的用户账户。设置完成后,单击“确定”按钮,如图2-11所示。
图2-9 “AxLogin安全”选项卡
图2-10 “AxLogin终结点”选项卡
图2-11 “AxLogin标识”选项卡
提示:由于DCOM可以远程操作其他计算机中的DCOM程序,而技术使用的是用于调用其他计算机所具有的函数的RPC(在远程过程中调用),因此,利用这个漏洞,攻击者只需要发送特殊形式的请求到远程计算机上的135端口,轻则可以造成拒绝服务攻击,重则远程攻击者可以以本地管理员权限执行任何操作。