远程检查的DDoS防御精巧艺术-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > 行业资讯 > 远程检查的DDoS防御精巧艺术

远程检查的DDoS防御精巧艺术

小墨安全管家 2020-11-22 13:41 行业资讯 89 ℃
DDoS防御

远程检查的精巧艺术——MS15-034一瞥

最近,该研究小组公布了一具针对pastebin的MS15-034漏洞的测试足本,供宽敞社区测试。我们收到了一些反馈,DDoS防御,对于我们怎么准确地懂怎么检查,以及普通的远程检查。依照定义,远程检查是一段代码,允许用户经过实际在补丁中执行代码来识别漏洞。在蠕虫时代,这些类型的检查变得流行起来,作为在服务器的横幅信息不脚以识别修补状态的事情下可靠地确定可利用性的一种想法。确切的过程有些难以捕捉,因为eEye多年的补丁分析(BeyondTrust于2012年收购)提供了某种程度的直觉。一具通常以二进制diff开头,这种事情也没有啥不同。让我们检查一下HTTP.sys在Windows 7上。值得注意的是,每个函数名都包含"range"。这对我们来讲很令人激动,因为它让人想起apachehttpd在处理"Range"头文件时的漏洞(参见RFC2616第14.35节)。我们真的在处理范围头的猜测特别容易验证。假如我们看看HTTP的调用者!IDA的Ulparserange我们看到了以下事情:普通来讲,由于我们的目标是审核此漏洞,于是我们将在受阻碍的系统上设置内核调试器。在我们的例子中,它将是一具windows7sp1vmware目标。我们能够经过在所有更改的函数上设置断点,在调试器中为测试预备此目标。在这种事情下,我们的断点将触发一具要打印的调用堆栈,并将然后执行。因为我们基本有了apacherangedos触发器,于是我们只需在VM上运行它,因为它会测试特别多条件作为奖励。我们得到以下结果:于是标准的apacherangedos足本真的命中了一具补丁函数。让我们认真看看HTTP!乌尔帕山脉:旧代码也许在操作某种大整数。新代码看起来像是在调用HTTP!RtlULongLongAdd检查整数溢出。注意,CC防御,这不是标准的3参数函数,而是中的5参数实现HTTP.sys. 我们能够看到假如我们得到一具错误(比如STATUS_INTEGER_OVERFLOW),我们会返回0xc00000d–STATUS_INVALID_参数。在删减POC来实现那个功能之后,它最后来变得很简单。如今,我们能够在未修补的变量中中断已更改块的顶部并获得一些反馈。这看起来特别棒。EAX是31337(我们的上限),DDoS防御,EDI是1337(我们的下限)。在旧代码中,DDoS防御,假如我们的下限值是0,我们最后来会从上限值中减去任何值。接着再加一具。也许假如我们的上限是巨大的,我们能够添加一具到它翻转到0。这在hexaray输出中更加清楚*(_QWORD*)v18=u PAIR_u(v22,v23)-u PAIR_uu(v21,v20)+1;让我们试试。我们能够看到我们的上限如今是巨大的。让我们看看加法。我们能够看到,EAX如今是能够预见的小。如今我们有了一些对于预补丁块正在做啥的指示,让我们再看一次补丁。假设在那个地点,假如我们尝试相同的恶作剧,我们将导致返回一具错误。有味的是,在很多事情下都会返回此错误(如节点的度数所示)。我们以为这大概是检查补丁的关键。让我们把注意力重新回到修补前的场景。使unpatched函数返回STATUS_INVALID_参数的多种想法之一是导致下面突出显示的检查失败。使用调试器特别容易做到这一点。假如我们如此做,我们会得到一具有味的回答:假如STATUS_INVALID_参数返回值不是强制的,则与来自同一足本的响应举行对照:这是核心更改,允许我们检查有无修补和未修补。TR;DR-调用HTTP的失败!修补函数中的RtlULongLongAdd将导致从HTTP返回STATUS\u INVALID_参数!UlpParseRange,这又将导致向客户端发送"无效头"响应。在未修补的场景中,HTTP!UlpParseRange将返回0,导致向客户端发回一条不同的错误消息"请求的范围不可满脚"。P、 我将于4月20日星期一在BSidesSF2015上就"探测补丁:超越微软的ANS"发表演说斯科特·朗BeyondTrust产品营销高级总监Scott Lang拥有近20年的技术产品营销经验,目前指导BeyondTrust的特权账户治理解决方案和漏洞治理解决方案的产品营销战略。在加入BeyondTrust之前,Scott是戴尔安全解决方案营销总监,往常是Quest Software,负责全球安全活动、身份和访咨询治理产品营销以及Windows服务器治理。


DDoS防御

当前位置:主页 > 行业资讯 > 远程检查的DDoS防御精巧艺术

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119