标题:
[转]番茄花园版系统的漏洞发现及分析和预防
[打印本页]
作者:
zjf954
时间:
2007-8-19 08:13
标题:
[转]番茄花园版系统的漏洞发现及分析和预防
此次分析的版本是《番茄花园 Windows XP Pro SP2 免激活 V 3.0》,《番茄花园 Windows XP Pro SP2 免激活 V 2.9》和《番茄花园 Windows XP Pro SP2 免激活 V2.8》及《番茄花园 Windows XP Pro SP2 免激活 V 2.7》,其他版本不详。
本人负责维护自己网络的安全,所以经常扫描自己网段的安全性和有无漏洞。这几天例行扫描,发现有部分IP的用户名只有Administrator用户,这个现象本没有什么,只是个人随便试试,发现可以进入,而原版是不可能的,于是本人想弄清是什么版本的系统。
使用net use命令和用户名Administrator建立空连接(没有密码,却可以成功连接),然后用at命令计划任务关闭Windows Firewall/Internet Connection Sharing (ICS)服务(为了关闭Windows防火墙),然后用opentelnet开启对方的telnet,至此,得到Administrator权限的shell。然后在telnet下运行net share C$=C:\开启对方c盘的默认共享,然后用copy命令把对方%systemroot%\system32下的oemlogo.bmp和oeminfo.ini复制到本地磁开oemlogo.bmp发现正是番茄花园v2.8版。
2.分析过程
本人发现问题后,于是去番茄花园的官方网站下载了v2.8 V2.9和最新的v3.0进行分析。为了更负责任的测试结果,番茄花园的V2.7 V2.8 V2.9 V3.0版本的操作系统,几天来安装了有20多次。
在虚拟机安装,不做任何设置的修改,然后再在真机环境下对虚拟机进行入侵测试,同样可以入侵。在此证明问题不是出在使用者身上,问题而是在系统本身。OK,下面开始找系统问题所在。查看帐户,安装完后,只有Administrator开启,密码为空;默认共享只有IPC$开启,其他的Admin$和每个盘符的默认共享也全部关闭;远程桌面为关闭状态;Remote Registry服务同样为关闭状态。看似系统是相当相当安全。
可实际上为何还能那么轻松突破入侵呢?第一时间想到的就是原来的系统默认设置遭到了修改。于是打开注册表查看limitblankpassworduse的值,果然是0;这个键值的默认值本来是1,而被人为修改为0。使用番茄花园版v2.8 V2.9或者v3.0的朋友,可以打开注册表编辑器regedit,查看项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa下的键值limitblankpassworduse,看键值是否为0;然后安装一次原版xp sp2,看这个键值;对比一下便知。最后又下载了V2.7测试,2.7没有发现类似安全漏洞。
3.总结
这个问题的发现很遗憾。这个问题的出现,可以有这么几种猜测:一、大番茄的确是一位高手,东西隐藏的太深了;二、大番茄“失误”造成?三、大番茄不懂这个键值或者理解有偏差,
OK,不过不管大家怎么猜测,不过希望大番茄能很负责的给大家一个解释,希望大番茄并非有意而为之。
至于最新的V2.8 V2.9和V3.0的捆绑问题,这个就见仁见智的问题了,不做评论,大家都有各自的看法。
4.解决方法
为了防止使用番茄花园版V2.8 V2.9 V3.0造成损失。有动手能力的朋友,可以自行修改limitblankpassworduse的键值为1来解决。
作者:
pcjuju
时间:
2007-8-19 22:19
收藏了,谢谢分享。
作者:
微点专家
时间:
2007-8-19 22:25
应该叫做Windows系统的漏洞
作者:
leelee
时间:
2007-8-19 23:01
装原版最好了
作者:
plckm
时间:
2007-8-20 10:27
吓我一跳 改了 谢谢LZ
作者:
独孤一梦
时间:
2007-8-20 12:28
哈哈,偶以前的系统是装机时装的,虽然不是蕃茄的,但也有这个问题,所以老是出问题
装了微点后还经常出现微点的mpmon进程被关闭,哈哈,现在重装了系统,没再出现过什么问题
作者:
雷公藤
时间:
2007-8-24 17:26
在番茄花园的镜像文件中有比较干净的XP,可以把它提取出来用好象也有默认共享问题。
作者:
zzislandzz
时间:
2007-9-16 23:58
用592M的原版xp
欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)
bbs.micropoint.com.cn
