您当前的位置:首页 > 电脑百科 > 安全防护 > 服务器/网站

Windows 10中的DHCP安全性:分析关键漏洞CVE-2019-0726

时间:2019-07-15 10:49:50  来源:  作者:

写在前面的话

微软在今年一月份发布的更新,让公众对DHCP客户端中的关键漏洞CVE-2019-0547有了一个新的认识。这个漏洞的CVSS评分非常高,而且微软也没有立即发布相关的可利用性评价,因此用户也很难决定是否需要立即更新他们的系统。但是某些研究人员认为,这个漏洞在不久的将来很可能会被大量网络犯罪分子利用。

因此,为了更好地检测针对DHCP漏洞的攻击以及相关的漏洞,并更新我们的产品,我们需要深入了解所有的细节。而我们要做的第一件事,就是网络侦察。

网络侦查

一开始我们打算使用搜索引擎来寻找关于该漏洞的信息,但并没有找到太多的细节,而且大部分内容都是来自MSRC网站发布的安全公告。不过在浏览这些安全公告的过程中,我们发现我们面对的是Window10(版本1803)中客户端和服务器端系统的一个内存崩溃漏洞,当攻击者向DHCP客户端发送专门设计的响应信息时,就会触发该漏洞。

我们可以看到,MSRC给出的评分为2,被利用的可能性比较小,这意味着这个漏洞可能无法被利用,或者利用难度大。不过,我们还是想通过自己的分析,看看这个漏洞到底是什么情况。

在这个网站中,我们下载了这个安全更新补丁(.msu文件),将其解压,然后查找跟客户端处理DHCP响应相关的文件。但是这很困难,因为这个补丁包里面包含的是当月修复的所有漏洞补丁,而不是针对单个漏洞的补丁。在大量的文件中,我们用过滤器找到了几个匹配的代码库,然后对系统的版本进行了比较。其中,dhcpcore.dll库是最接近的:

实际上,只有DecodeDomainSearchListData这个函数进行了较大的改动,如果你熟悉DHCP协议的话,你就会知道它其实很少使用函数。

DecodeDomainSearchListData函数

DHCP中的域名搜索选项号为0×77(119),它允许服务器再客户端上设置DNS后缀,但不适用于windows设备,因为之前的Windows系统会忽略这个选项。在必要的时候,可以通过组策略来配置DNS的名称后缀。不过Windows 10在新版本1803中引入了针对域名搜索选项的处理库。

DecodeDomainSearchListData的处理过程如下:首先从服务器端接收信息,然后根据域名搜索选项的配置来解码数据。针对输入,它接收封装好的数据数组,并输出一个以空字节结尾的字符串,这个字符串包含由逗号分隔的域名列表。比如说,该函数会对下面这个域名后缀进行转换:

.eng.Apple.com

.marketing.apple.com

eng.apple.com,marketing.apple.com

DecodeDomainSearchListData会在UpdateDomainSearchOption的处理过程中被调用,并将返回的结果列表写入注册表键的”DhcpDomainSearchList”参数中:

HKLMSYSTEMCurrentControlSetServicesTcpipParametersInterfaces{INTERFACE_GUID}

然后将主参数存储至特定的网络接口:

DecodeDomainSearchListData函数会进行两次数据传递。第一次,它会执行除设置输出缓冲区进入点之外的所有操作,即计算保存返回数据所需要的内存大小。第二次,它会为数据分配内存,并进行数据填充。这个函数大约有250条指令,主要任务就是处理传入的字节流。它还会检查缓冲区的大小,如果大小为零,则不会为缓冲区分配内存,并完成执行然后返回错误信息:

因此,只有当目标缓冲区大小为零时,才可以触发漏洞。

漏洞利用

首先,我们可以使用重解析点来确保非空输入数据生成并输出一个空字符串:

设置一个服务器来响应内容请求,并让未更新的客户端出现访问冲突。在每一个步骤中,函数完成一部分域名解析时,就会将这部分数据复制到目标缓冲区:

1).eng.

2).eng.apple.

3).eng.apple.com.

接下来,当数据中出现大小为0的域名时,函数就会将目标缓冲区中的句号改为逗号:

4).eng.apple.com,

然后继续解析:

5).eng.apple.com,marketing.

6).eng.apple.com,marketing.apple.

7).eng.apple.com,marketing.apple.com.

8).eng.apple.com,marketing.apple.com,

输入数据解析完成后,剩下的就是用空字符替换最后的逗号:

9).eng.apple.com,marketing.apple.com

当攻击者发送如上所述的缓冲区数据时会发生什么呢?我们可以看到,它包含的列表是有一个空字符串组成的。那么在函数第一次计算输出数据大小后,由于数据并没有包含非零域名,所以大小为零。在第二次传递时,它会给数据分配堆内存块,并复制数据。但解析函数会立即遇到指示域名结尾的空字符,并将句号改为逗号。

因此,如果想要利用这个漏洞CVE-2019-0726,攻击者必须要在DHCP客户端上执行远程堆喷射,并对堆内存分布要有完整控制权。否则,将数据写入未选中的地址会导致svchost.exe进程崩溃。

* 参考来源:ptsecurity,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM



Tags:DHCP   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
使用的方法是采用DHCP方式为用户分配IP,然后限定这些用户只能使用动态IP的方式,如果改成静态IP的方式则不能连接上网络;也就是使用了DHCP SNOOPING功能。  例子:  version 1...【详细内容】
2021-09-06  Tags: DHCP  点击:(63)  评论:(0)  加入收藏
1. 实验说明:在前面的文章中我们已经学会了如何在windows server2019上搭建dhcp服务器了,但是其中客户端会根据服务器端地址池依次获取地址。比如dhcp服务器的地址池范围是 19...【详细内容】
2021-08-25  Tags: DHCP  点击:(257)  评论:(0)  加入收藏
很多朋友在使用光猫和路由器连接时,只知道将光猫与路由器正常连接,然后选择宽带拨号的方式进行联网,就可以正常使用了。但如果是在这台路由器的基础上,额外再连接一台路由器,就不...【详细内容】
2021-07-22  Tags: DHCP  点击:(99)  评论:(0)  加入收藏
说到DHCP服务器,就一定会和IP有关系,我们一起首先看DHCP服务器帮助,如下:DHCP服务器能够自动给局域网当中的设备分配IP、子网掩码等TCP/IP协议参数。 地址池开始/结束地址 DHCP...【详细内容】
2021-02-24  Tags: DHCP  点击:(242)  评论:(0)  加入收藏
今天,没事干,安装了一个服务器的操作系统来玩一下,服务器的操作系统是Windows server 2012 R2。给大家讲解一下如何在服务器上搭建DHCP服务器。1.安装服务器操作系统的过程忽略...【详细内容】
2021-01-25  Tags: DHCP  点击:(357)  评论:(0)  加入收藏
大家好,我是老盖,感谢观看本篇文章,本文做的也有视频,也可以看我发布的视频。今天给大家讲一下,自己出门在外,远程连接家中的路由器,可以看一下有没有人连接自己的路由器。我们首先...【详细内容】
2020-11-19  Tags: DHCP  点击:(141)  评论:(0)  加入收藏
什么是网关、DNS、子网掩码,它有什么作用,确实,我们平时在网络中总是在不断的提到网关,却很少真正的去了解它。一、什么是网关1、什么是网关网关是一种充当转换重任的计算机系统...【详细内容】
2020-10-10  Tags: DHCP  点击:(83)  评论:(0)  加入收藏
今天给大家带来日常工作中经常用到的一个技术,那就是DHCP技术,细节类型请转战其他地方即可,理论一大把,不具体细说了。不做同质化内容。拓扑 看过我的视频的同学都应该知道这个...【详细内容】
2020-09-07  Tags: DHCP  点击:(238)  评论:(0)  加入收藏
一、配置拓扑 二、 关键配置1、配置VLAN、Trunk1)、SW1的配置SW1#show vlan briefVLAN Name Status Ports---- -------------------------------- --------- ---------------...【详细内容】
2020-08-31  Tags: DHCP  点击:(85)  评论:(0)  加入收藏
========== 实验环境 ==========Windows Server 2003Windows XPKali Linux 2020.2========== 实验环境 ==========DHCP地址池耗尽攻击:频繁的发送伪装DHCP请求,直到将DHCP地址...【详细内容】
2020-08-21  Tags: DHCP  点击:(249)  评论:(0)  加入收藏
▌简易百科推荐
在最近的一波攻击中,黑客利用多个插件中未修补的漏洞攻击了 160 万个 WordPress 网站。 易受攻击的插件对 WordPress 网站产生了的巨大攻击数据。 Wordfence 最近发现 WordPr...【详细内容】
2021-12-16  蚁安    Tags:WordPress   点击:(9)  评论:(0)  加入收藏
事件起因从安全分析系统里面发现一条带有病毒的下载,然后针对这条记录展开了一系列的分析分析过程1.登录到被感染服务器,查看系统状况,hadoop 这个用户在 2020/6/18 20:32 从这...【详细内容】
2021-11-23  Z2990Lig    Tags:SSH   点击:(32)  评论:(0)  加入收藏
1、除了服务器需要用的一些正规软件,其它都不要安装。2、在用户中把administrator改名,这样做的目的是即使对方暴破了我们的密码用户名也不容易猜住,相当于又加了一道关卡。...【详细内容】
2021-11-01  IT小哥吧    Tags:服务器   点击:(37)  评论:(0)  加入收藏
账户安全(1)更名administrator本地用户并禁用guest账户步骤:点击“开始”,找到“管理工具”,点击里面的“计算机管理”,找到“本地用户和组” (2)设定账户锁定策略尝试5次失败...【详细内容】
2021-10-12  Kali与编程  今日头条  Tags:Windows主机   点击:(62)  评论:(0)  加入收藏
本文主要介绍以Microsoft的Windows Server 2019 ,版本:Datacenter(Domain Controller)安全加固保护.企业随着规模不断扩大,业务增多,信息安全建设是企业里一条只有重点没有终点...【详细内容】
2021-09-17  Vireshark    Tags:服务器安全   点击:(64)  评论:(0)  加入收藏
目录常见共享命令IPC$IPC$的利用条件1:开启了139、445端口2:目标主机开启了IPC$共享3:IPC连接报错IPC空连接空连接可以做什么?(毫无作用)IPC$非空连接IPC$非空连接可以做什么?di...【详细内容】
2021-09-16  网络说安全    Tags:系统安全   点击:(86)  评论:(0)  加入收藏
昨天一个老哥找到我,说他的服务器这几天一直被CC攻击,问我这边有没有什么解决的方法? 近年来,网络攻击事件越来越频繁,最常见的就是CC攻击和DDOS攻击,主要的区别就是针对的对象不...【详细内容】
2021-09-10  小蚁GDRAGON    Tags:cc攻击   点击:(58)  评论:(0)  加入收藏
网站页面上的登录操作,通常都是输入帐号密码,传输至网站后台验证。在网站页面、数据传输中,通过技术手段,都可以得到用户输入的信息,并可以修改,从而发起网络攻击。典型的如:使用自...【详细内容】
2021-08-30  修丹道的程序猿    Tags:登录方式   点击:(62)  评论:(0)  加入收藏
网络安全研究人员披露了一类影响主要 DNS 即服务 (DNSaaS) 提供商的新漏洞,这些漏洞可能允许攻击者从企业网络中窃取敏感信息。基础设施安全公司 Wiz 的研究人员 Shir Tamar...【详细内容】
2021-08-12  零日时代    Tags:漏洞   点击:(66)  评论:(0)  加入收藏
001暴力破解1. 指定用户名爆破密码传统型爆破思路,用户名可以通过猜测或者信息收集获得。猜测:admin、网站域名等信息收集:新闻发布人、whoami等2. 指定密码爆破用户名如果是后...【详细内容】
2021-07-23  KaliMa  今日头条  Tags:登陆框   点击:(85)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条