如何關(guān)閉邁克菲殺毒軟件的實(shí)時(shí)掃描(邁克菲的實(shí)時(shí)掃描關(guān)閉)

發(fā)布時(shí)間：2024-06-04

本文主要介紹如何關(guān)閉mcafee防病毒軟件的實(shí)時(shí)掃描(mcafee實(shí)時(shí)掃描已關(guān)閉)，下面一起看看如何關(guān)閉mcafee防病毒軟件的實(shí)時(shí)掃描(mcafee實(shí)時(shí)掃描已關(guān)閉)相關(guān)資訊。
翻譯:決議
預(yù)計(jì)稿費(fèi):260元(如果你不 i don’我不同意，你也應(yīng)該做出貢獻(xiàn)！)
投稿發(fā)送郵件至林微##，或登錄網(wǎng)頁進(jìn)行在線投稿。
事件摘要
近日，有網(wǎng)絡(luò)安全人員發(fā)現(xiàn)linux系統(tǒng)下的安全掃描軟件mcafee【軟件門戶:(mcafee for linux)】存在諸多安全漏洞，黑客可以利用其中的一些漏洞linux系統(tǒng)的root權(quán)限，發(fā)動(dòng)rce攻擊。
mcafee軟件簡(jiǎn)介
mcafee virus scan :55443發(fā)送的數(shù)據(jù)包。
(2)實(shí)現(xiàn)進(jìn)程間的通信
在軟件的架構(gòu)中，網(wǎng)絡(luò)服務(wù)器是設(shè)置在掃描服務(wù)上的用戶交互界面。當(dāng)用戶向網(wǎng)絡(luò)服務(wù)器提交請(qǐng)求時(shí)，請(qǐng)求將被重新格式化，并以另一種形式發(fā)送到根掃描器。系統(tǒng)將在一個(gè)html界面中顯示用戶提交的請(qǐng)求及其相關(guān)信息。由于web服務(wù)器不會(huì)對(duì)用戶在交互過程中傳輸?shù)臄?shù)據(jù)進(jìn)行過多的限制，這就為黑客利用這一漏洞向系統(tǒng)注入惡意代碼提供了可乘之機(jī)。
10個(gè)特定的mcafee漏洞:
接下來，我將具體介紹mcafee virus scan enterprise for linux軟件中的10個(gè)漏洞。
1號(hào)cv:未經(jīng)驗(yàn)證的遠(yuǎn)程文件存在驗(yàn)證漏洞
當(dāng)我們?yōu)g覽網(wǎng)頁編譯后的代碼時(shí)，會(huì)發(fā)現(xiàn)html文件的存儲(chǔ)路徑是由tpit參數(shù)決定的。在上圖中，tpit參數(shù)放在tasks.html文件中。在web服務(wù)器上運(yùn)行的linux strace工具會(huì)顯示文件/opt/nai/linux shield/apache/htdocs/0409/tasks . html可以打開，如下圖所示:
編譯時(shí)，如果將tpit參數(shù)放在地址為../../../../etc/passwd(字符串是url加密的)，編譯過程會(huì)出錯(cuò)，系統(tǒng)會(huì)返回一個(gè)格式錯(cuò)誤的頁面，錯(cuò)誤返回值為14。javascript語言中的lookuperrorcode函數(shù)會(huì)發(fā)送一條提示語句 web模塊使用錯(cuò)誤 根據(jù)錯(cuò)誤返回值14返回給用戶。如果tpit參數(shù)放在不存在的文件中在的系統(tǒng)路徑中，錯(cuò)誤返回值會(huì)變成10，語句是 系統(tǒng)無法打開文件 。如下圖所示:
如果系統(tǒng)中有相似的命名文件，系統(tǒng)會(huì)用這兩種錯(cuò)誤編譯未授權(quán)用戶。
那么問題來了，有效的網(wǎng)頁編譯文件(比如tasks.html)和無效的網(wǎng)頁編譯文件(比如.../.../.../.../etc/passwd)？
我會(huì)繼續(xù)深入探討這個(gè)問題。
第二cv:非法讀取未授權(quán)的遠(yuǎn)程文件(有約束)
在查看了web服務(wù)器使用的不同類型的文件后，我發(fā)現(xiàn)在有效編譯的文件的任意兩個(gè)語句之間，要么有__replace_this__ string，要么有[%%]標(biāo)識(shí)符。
如果攻擊者可以將上述語句添加到系統(tǒng)的任何文件中(包括系統(tǒng)日志文件)，那么他就可以通過web服務(wù)器遠(yuǎn)程讀取該文件。針對(duì)該漏洞的保護(hù)措施之一是嚴(yán)格限制用戶的身份:只允許有釘釘身份的用戶讀取系統(tǒng)中的文件。
第三cv:軟件不包含csrf(跨站點(diǎn)請(qǐng)求偽造)令牌驗(yàn)證機(jī)制。
由于軟件的交互界面中沒有防止csrf攻擊的令牌認(rèn)證功能，黑客可以隨意向系統(tǒng)提交認(rèn)證請(qǐng)求，通過系統(tǒng)的認(rèn)證后發(fā)動(dòng)csrf攻擊。現(xiàn)在看到一個(gè)安全軟件出現(xiàn)這么高危的漏洞，真的很驚訝。利用缺乏csrf令牌保護(hù)進(jìn)行攻擊只是黑客實(shí)施遠(yuǎn)程攻擊的手段之一。
第四名cv:跨站腳本攻擊
當(dāng)tpit參數(shù)被設(shè)置為指向nailsconfig.html文件或monitor.html文件時(shí)，info: 7和info: 5這兩個(gè)參數(shù)的值將替換user 的不受信任的輸入，并將結(jié)果返回給javascript的formatdata函數(shù)。info: 7表示已執(zhí)行語句的列表，可能包含single、show、serverutcfoffs:7指向單 。prototype.constructor = eval。;警報(bào)( xss ) )，eval函數(shù)將在formatdata函數(shù)中調(diào)用。之前會(huì)根據(jù)函數(shù)計(jì)算惡意代碼在字符串中的值。
之后，修改數(shù)據(jù)包中的信息后，系統(tǒng)會(huì)向用戶發(fā)送一條關(guān)于xss攻擊的消息，如下圖所示:
第五名cv:遠(yuǎn)程代碼執(zhí)行和功率提升漏洞
在掃描系統(tǒng)之前，用戶需要填寫一份4頁的表格:
提交表單后，系統(tǒng)將向web服務(wù)器提交一個(gè)請(qǐng)求。下圖顯示了整個(gè)過程中使用的一些參數(shù):
nailsd . profile . ods _ 9 . scanner path變量中包含的文件路徑也是系統(tǒng)進(jìn)行掃描操作的執(zhí)行路徑。如果路徑更改為:/bin/sh，web界面中將出現(xiàn)以下錯(cuò)誤結(jié)果:
strace tool會(huì)給出信息，說明系統(tǒng)會(huì)通過一個(gè)以root權(quán)限運(yùn)行的進(jìn)程將這個(gè)參數(shù)傳遞給一個(gè)可執(zhí)行文件(executable file)。
第六，cv:可以通過網(wǎng)絡(luò)接口把任何文件寫到一個(gè)已知的地址。
用戶可以通過web界面指定使用網(wǎng)絡(luò)服務(wù)器，并從服務(wù)器獲取相關(guān)的更新信息。自從我決定尋找一種方法來幫助用戶遠(yuǎn)程向系統(tǒng)寫入文件，我意識(shí)到上面提到的特性會(huì)對(duì)我有所幫助。
為了了解更新服務(wù)器是如何工作的，我首先備份了本地資源池，然后從我的服務(wù)器下載了新的資源池，并重新配置了新的服務(wù)器。為了探究服務(wù)器的運(yùn)行過程。
系統(tǒng)日志文件記錄了更新過程完成的操作，包括下載更新包、驗(yàn)證其完整性、解壓縮和安裝。
生成一個(gè)shell腳本實(shí)際上非常簡(jiǎn)單，但是需要一些時(shí)間來下載，并且必須在網(wǎng)絡(luò)數(shù)據(jù)包開始發(fā)送之前完成。這里有一個(gè)替代方法，就是用需求數(shù)據(jù)包創(chuàng)建一個(gè)腳本程序，并在其中添加描述信息，從而實(shí)現(xiàn)與shell腳本相同的功能。
通過結(jié)合cve20168020(漏洞5)和cve20168021(漏洞6)，我們可以升級(jí)用戶 s系統(tǒng)權(quán)限(從釘釘?shù)絩oot)。通過使用csrf或xss攻擊，我們可以實(shí)現(xiàn)遠(yuǎn)程功率提升。
第7號(hào)cve20168022:認(rèn)證令牌的遠(yuǎn)程利用
在嘗試?yán)脁ss漏洞和csrf漏洞時(shí)，我將一個(gè)簡(jiǎn)單的cookie工具與一個(gè)cooki測(cè)試工具。但是當(dāng)我準(zhǔn)備嘗試推出一個(gè) 攻擊 在我的電腦上，我發(fā)現(xiàn)我的身份驗(yàn)證失敗了:
我還試著寫了一個(gè)可以復(fù)位的腳本程序。數(shù)據(jù)通信過程中的阻塞和攔截過程。
接下來的兩個(gè)數(shù)字可以告訴我們有效請(qǐng)求和無效請(qǐng)求之間的區(qū)別:
有效請(qǐng)求:
無效請(qǐng)求
這似乎有點(diǎn)奇怪:當(dāng)用戶向服務(wù)器提交系統(tǒng)授權(quán)的請(qǐng)求時(shí)，web服務(wù)器會(huì)發(fā)送pc的ip地址(cookie除外)。雖然這種方法有點(diǎn)不尋常，但是可以保證通信的安全性。
8號(hào)cv測(cè)試的失敗，我想探究一下其他cooki測(cè)試的。
以下是nailssessionid cookie的值。它們是在用戶 的登錄和注銷操作，并且僅限于釘釘身份用戶。
在正常的登錄過程中，似乎只有cookie的兩個(gè)部分發(fā)生了變化。cookie的格式是:
相關(guān)變量的參數(shù)是:
9cve20168024號(hào):http響應(yīng)攻擊
用戶可以通過單擊 上的導(dǎo)出按鈕導(dǎo)出記錄系統(tǒng)日志數(shù)據(jù)的csv文件系統(tǒng)事件 界面。
當(dāng)用戶發(fā)送請(qǐng)求時(shí)，參數(shù)info的值會(huì)被設(shè)置為:0，一般這個(gè)參數(shù)的值是multi，application/vnd.msexcel。之后，服務(wù)器將向系統(tǒng)發(fā)送一個(gè)名為cont:應(yīng)用程序/vnd的標(biāo)頭。msexcel作為回應(yīng)。攻擊者可以通過簡(jiǎn)單地用url加密頭文件來創(chuàng)建帶有惡意頭文件的鏈接。
10號(hào)cv:驗(yàn)證性sql注入攻擊
我在實(shí)驗(yàn)中使用的數(shù)據(jù)庫是sqlite輕量級(jí)數(shù)據(jù)庫，用來保存相關(guān)的設(shè)置數(shù)據(jù)和掃描數(shù)據(jù)。經(jīng)過觀察，我發(fā)現(xiàn)數(shù)據(jù)庫的安全性較弱，黑客可以在數(shù)據(jù)庫的每個(gè)接口實(shí)施sql代碼注入攻擊。這個(gè)數(shù)據(jù)庫可以將url參數(shù)轉(zhuǎn)換成sqlite命令語句。使用我在第九個(gè)漏洞介紹中提到的csv導(dǎo)出方法，我們可以通過單擊一個(gè)url來丟棄csv文件中的sqlite_master標(biāo)記。以及sqlite中的查詢函數(shù)select * from sqlit:localhost: 55443/0409/釘釘？pg=proxytplt=addr= 127 . 0 . 0 . 1 : 65443 mon: 0 = db select _ show = $ * _ output = csv _ tabl: 0 = multi，application/vnd.msexcel。)
該數(shù)據(jù)庫不用于身份驗(yàn)證，而是用于跟蹤掃描的文件和系統(tǒng)事件日志。攻擊者了解系統(tǒng)相關(guān)漏洞后，可以通過sql注入攻擊修改系統(tǒng)事件日志，清除他們?cè)谙到y(tǒng)中留下的文件跟蹤記錄。
該數(shù)據(jù)庫的模型如下:
摘要
如果黑客利用上述所有漏洞，他們可以在linux系統(tǒng)中以root權(quán)限執(zhí)行rce攻擊，如下所示:
1.利用cve20168022(漏洞7)和cve20168023(漏洞8)，可以暴力破解認(rèn)證令牌。
2.您可以運(yùn)行被惡意代碼感染的更新服務(wù)器。
3.利用cve20168022(漏洞7)，可以向服務(wù)器發(fā)送帶有驗(yàn)證令牌的請(qǐng)求，要求服務(wù)器自動(dòng)更新數(shù)據(jù)。
4.利用cve20168021(漏洞6)，可以強(qiáng)制目標(biāo)pc自動(dòng)創(chuàng)建惡意腳本。
5.利用cve20168020(漏洞5)和cve20168021(漏洞6)，可以通過發(fā)送帶有驗(yàn)證令牌的不正確請(qǐng)求而不是執(zhí)行惡意腳本來發(fā)起攻擊。
6.在受感染的pc上，擁有root權(quán)限的攻擊者可以直接運(yùn)行惡意腳本。
了解更多如何關(guān)閉mcafee防病毒軟件的實(shí)時(shí)掃描(mcafee實(shí)時(shí)掃描已關(guān)閉)相關(guān)內(nèi)容請(qǐng)關(guān)注本站點(diǎn)。