微点交流论坛 - 电脑&数码 - [转]番茄花园版系统的漏洞发现及分析和预防

微点交流论坛 » 电脑&数码 » [转]番茄花园版系统的漏洞发现及分析和预防

zjf954
禁止访问

积分 42
发帖 40
注册 2007-4-21

#1 [转]番茄花园版系统的漏洞发现及分析和预防

此次分析的版本是《番茄花园 Windows XP Pro SP2 免激活 V 3.0》,《番茄花园 Windows XP Pro SP2 免激活 V 2.9》和《番茄花园 Windows XP Pro SP2 免激活 V2.8》及《番茄花园 Windows XP Pro SP2 免激活 V 2.7》，其他版本不详。
本人负责维护自己网络的安全，所以经常扫描自己网段的安全性和有无漏洞。这几天例行扫描，发现有部分IP的用户名只有Administrator用户，这个现象本没有什么，只是个人随便试试，发现可以进入，而原版是不可能的，于是本人想弄清是什么版本的系统。
使用net use命令和用户名Administrator建立空连接(没有密码，却可以成功连接)，然后用at命令计划任务关闭Windows Firewall/Internet Connection Sharing (ICS)服务(为了关闭Windows防火墙)，然后用opentelnet开启对方的telnet，至此，得到Administrator权限的shell。然后在telnet下运行net share C$=C:\开启对方c盘的默认共享，然后用copy命令把对方%systemroot%\system32下的oemlogo.bmp和oeminfo.ini复制到本地磁开oemlogo.bmp发现正是番茄花园v2.8版。
2.分析过程
本人发现问题后，于是去番茄花园的官方网站下载了v2.8 V2.9和最新的v3.0进行分析。为了更负责任的测试结果，番茄花园的V2.7 V2.8 V2.9 V3.0版本的操作系统，几天来安装了有20多次。
在虚拟机安装，不做任何设置的修改，然后再在真机环境下对虚拟机进行入侵测试，同样可以入侵。在此证明问题不是出在使用者身上，问题而是在系统本身。OK，下面开始找系统问题所在。查看帐户，安装完后，只有Administrator开启，密码为空；默认共享只有IPC$开启，其他的Admin$和每个盘符的默认共享也全部关闭；远程桌面为关闭状态；Remote Registry服务同样为关闭状态。看似系统是相当相当安全。
可实际上为何还能那么轻松突破入侵呢？第一时间想到的就是原来的系统默认设置遭到了修改。于是打开注册表查看limitblankpassworduse的值，果然是0；这个键值的默认值本来是1，而被人为修改为0。使用番茄花园版v2.8 V2.9或者v3.0的朋友，可以打开注册表编辑器regedit，查看项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa下的键值limitblankpassworduse，看键值是否为0；然后安装一次原版xp sp2，看这个键值；对比一下便知。最后又下载了V2.7测试，2.7没有发现类似安全漏洞。
3.总结
这个问题的发现很遗憾。这个问题的出现，可以有这么几种猜测：一、大番茄的确是一位高手，东西隐藏的太深了；二、大番茄“失误”造成？三、大番茄不懂这个键值或者理解有偏差，
OK，不过不管大家怎么猜测，不过希望大番茄能很负责的给大家一个解释，希望大番茄并非有意而为之。
至于最新的V2.8 V2.9和V3.0的捆绑问题，这个就见仁见智的问题了，不做评论，大家都有各自的看法。
4.解决方法
为了防止使用番茄花园版V2.8 V2.9 V3.0造成损失。有动手能力的朋友，可以自行修改limitblankpassworduse的键值为1来解决。

※ ※ ※ 本文纯属【zjf954】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-8-19 08:13

pcjuju
银牌会员

灌水大王~~

积分 2337
发帖 2290
注册 2006-10-16

#2

　　收藏了，谢谢分享。

※ ※ ※ 本文纯属【pcjuju】个人意见，与【微点交流论坛】立场无关※ ※ ※

闪耀在东方的安全软件的新星——微点

2007-8-19 22:19

微点专家
版主

Weizi

积分 11554
发帖 11458
注册 2006-8-27
来自贵阳

#3

应该叫做Windows系统的漏洞

※ ※ ※ 本文纯属【微点专家】个人意见，与【微点交流论坛】立场无关※ ※ ※

做个性的自己

2007-8-19 22:25

leelee
高级用户

积分 582
发帖 568
注册 2006-12-16

#4

装原版最好了

※ ※ ※ 本文纯属【leelee】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-8-19 23:01

plckm
新手上路

积分 9
发帖 9
注册 2007-8-13

#5

吓我一跳改了谢谢LZ

※ ※ ※ 本文纯属【plckm】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-8-20 10:27

独孤一梦
高级用户

积分 529
发帖 529
注册 2007-5-23

#6

哈哈，偶以前的系统是装机时装的，虽然不是蕃茄的，但也有这个问题，所以老是出问题
装了微点后还经常出现微点的mpmon进程被关闭，哈哈，现在重装了系统，没再出现过什么问题

※ ※ ※ 本文纯属【独孤一梦】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-8-20 12:28

雷公藤
新手上路

积分 7
发帖 7
注册 2007-8-23

#7

在番茄花园的镜像文件中有比较干净的XP，可以把它提取出来用好象也有默认共享问题。

※ ※ ※ 本文纯属【雷公藤】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-8-24 17:26

zzislandzz
注册用户

积分 50
发帖 50
注册 2007-9-8
来自 shanghai

#8

用592M的原版xp

※ ※ ※ 本文纯属【zzislandzz】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-9-16 23:58

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号