[分享]番茄花园WinXP爆出严重漏洞

云雾山

  
  
  本帖将分三部分，第一部分，番茄花园版的漏洞发现及分析和预防；第二部分，顺便说说donghai的电脑公司版问题及分析；第三部分，由此而来的安全方面的教学。OK，切入正题。

（一）番茄花园版的漏洞发现及分析和预防
此次分析的版本是《番茄花园 Windows XP Pro SP2 免激活 V 2.8》和《番茄花园 Windows XP Pro SP2 免激活 V2.9》及《番茄花园 Windows XP Pro SP2 免激活 V 2.7》，其他版本不详。
1.发现过程：
本人负责维护自己网络的安全，所以经常扫描自己网段的安全性和有无漏洞。这几天例行扫描，发现有部分IP的用户名只有Administrator用户，这个现象本没有什么，只是个人随便试试，发现可以进入，而原版是不可能的，于是本人想弄清是什么版本的系统。
使用net use命令和用户名Administrator建立空连接(没有密码，却可以成功连接)，然后用at命令计划任务关闭Windows Firewall/Internet Connection Sharing (ICS)服务(为了关闭Windows防火墙)，然后用opentelnet开启对方的telnet，至此，得到Administrator权限的shell。然后在telnet下运行net share C$=C:\开启对方c盘的默认共享，然后用copy命令把对方%systemroot%\system32下的oemlogo.bmp和oeminfo.ini复制到本地磁盘，打开oemlogo.bmp发现正是番茄花园v2.8版。
2.分析过程
本人发现问题后，于是去番茄花园的官方网站下载了v2.8和最新的v2.9进行分析。为了更负责任的测试结果，番茄花园的V2.7、V2.8、V2.9 三个版本的操作系统，几天来安装了有20多次。
在虚拟机安装，不做任何设置的修改，然后再在真机环境下对虚拟机进行入侵测试，同样可以入侵。在此证明问题不是出在使用者身上，问题而是在系统本身。OK，下面开始找系统问题所在。查看帐户，安装完后，只有Administrator开启，密码为空；默认共享只有IPC$开启，其他的Admin$和每个盘符的默认共享也全部关闭；远程桌面为关闭状态；Remote Registry服务同样为关闭状态。看似系统是相当相当安全。可实际上为何还能那么轻松突破入侵呢？第一时间想到的就是原来的系统默认设置遭到了修改。于是打开注册表查看limitblankpassworduse的值，果然是0；这个键值的默认值本来是1，而被人为修改为0。使用番茄花园版v2.8或者v2.9的朋友，可以打开注册表编辑器regedit，查看项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa下的键值limitblankpassworduse，看键值是否为0；然后安装一次原版xp sp2，看这个键值；对比一下便知。最后又下载了V2.7测试，2.7没有发现类似安全漏洞。
3.总结
这个问题的发现很遗憾。可以说，大番茄是一位绝顶高手。这个问题的出现，可以有这么几种猜测：一、大番茄的确是一位高手，东西隐藏的太深了；二、大番茄“失误”造成，不过很难理解，像大番茄这么一个绝顶高手会出现这么一种技术失误？三、大番茄不懂这个键值，但是假如真的不懂，那大番茄这种绝顶高手的水平，岂不是……？
OK，不过不管大家怎么猜测，不过希望大番茄能很负责的给大家一个解释，希望大番茄并非有意而为之。
至于最新的V2.8和V2.9的捆绑问题，这个就见仁见智的问题了，不做评论，大家都有各自的看法。
4.解决方法
为了防止使用番茄花园版V2.8、V2.9造成损失。本人将在最后给大家提供两种形式的补丁：一是reg文件，二是批处理，作用完全一样，使用其一即可。有动手能力的朋友，可以自行修改limitblankpassworduse的键值为1来解决。
（二）东海的电脑公司版的问题分析
1.对东海的电脑公司版4.x系列和5.x系列的分析
东海的电脑公司版的安全性问题，一直为大家所诟病。其中大有讨伐者，也大有拥护崇拜者。而其中讨伐者，论点就是空密码的New帐户，还有远程桌面的开启。其中拥护崇拜者，论点就是安全性问题是使用者没有设置密码造成的等等。OK，下面开始分析问题到底谁是谁非，到底问题是出在什么地方。
我想大家有很多人有原版XP SP2系统，原版XP SP2系统安装完毕后Administrator密码基本上都是选择是留空的，或者是新添加的帐户基本上也是密码留空的，而且也都开启着每个盘符的默认共享，也都开启着Remote Registry服务。不过不知道大家有没有测试过原版系统在没有设置密码的时候，关闭防火墙后能否正常入侵呢？我想测试过的应该知道，就算自己建立一个Administrators权限的空密码的New帐户，也不能通过New帐户入侵，就算这时候开启远程桌面，也不能正常连接。为什么？为什么唯独东海的电脑公司版却可以入侵？很显然，问题不仅仅是出在空密码的New帐户上，也不仅仅是出在远程桌面的开启上，那问题关键会是出在什么地方上呢？显而易见，系统的某些默认设置被修改了。对东海的讨伐者也都没有找到关键所在，而众多拥护者显然大多数是没有主见、人云亦云者，也正是东海能在众多讨伐者当中全身而退的原因所在，东海给大家的解释就是大家没有能给帐户设置密码，而东海为何却不解释原版XP SP2系统的Administrator帐户也是空密码，却没有入侵的报告呢？
OK，既然问题是出在系统的某处默认设置被修改了，那是哪儿的设置被修改了呢？其实番茄花园版的安全漏洞和东海的电脑公司版的安全漏洞有异曲同工之妙。相同点就是都是修改了limitblankpassworduse的键值。不同点呢，东海的电脑公司版除了修改了这个键值，还新建立的一个空密码的New帐户，还打开了远程桌面。也就是说，电脑公司版在入侵之前就已经打开了大门，而番茄花园的V2.8、V2.9需要先行入侵后再打开这些后门，而其本质却是一样的。但正是因为番茄花园的系统关闭了几乎所有的安全设置，但是却打开了一个至关重要的关键的深藏在注册表中的一个设置，由于设置隐藏的相当深，这也是目前为止还没发现有人报告番茄花园版有安全漏洞的原因。

2.对东海的电脑公司版6.0进行分析
可以说，6.0版本的系统是走向了另一个极端，或者说是默认是另一个极端，但是却又提供了另一个极端的设置。OK，且看6.0的设置。6.0在原版设置的基础上关闭了几乎所有的网络访问的设置。关闭了各磁盘的默认共享，关闭了IPC$等等。用6.0版本的朋友不知道有没有发现在他的系统里面提供了这么一个脚本：打开局域网共享。呵呵，可谓是一颗地雷。使用6.0的朋友，我想为了共享也有很多人运行了这个脚本了吧？殊不知，运行了这个脚本后，整个系统的安全性和以前版本的5.x，4.x系列无异。

（三）有关此类安全问题的教学
教学两个字，有点过大。相信winzheng有很多深藏不露的高手，估计也有不少安全方面的可谓是专家级别的。本文且当作是抛砖引玉，望众多高手过来指点。
安全问题包括很多方面，一是系统的本身的策略设置是否足够安全，能否正常阻止非法访问；二、病毒木马问题，这个问题嘛，矛和盾的问题，最主要还是要有良好的上网习惯。关于杀毒软件的问题，目前来说，的确还没有令人满意的杀毒软件，说来也是，杀毒软件都是事后防治，没有一个能在病毒特征码收录之前就能识别的，当然了，要真的能实现，那将是杀毒界的重大的变革，杀毒界的一切东西都得推翻重新再来；三、流氓软件问题，流氓软件这几年来，一直在国家法律的空白处打擦边球，处于灰色地带，而杀毒软件都是商业公司，慑于没有法律条文做支持，也不敢随便就查杀流氓软件。
OK，今天主要是讲一下有关系统设置的问题。微软自从出了SP2之后，安全问题相对来说已经做得相当好了。到目前为止，XP SP2系统，不管在安全性上，还是在稳定性上，都要强于微软以前版本的操作系统。对于Windows 2000系统，我想大家还是抛弃吧，2000除了系统占用少，其他地方和XP SP2相比没有任何优势，况且XP还可以使用Classic主题来减少系统占用，Windows 2000不管是在安全性问题上，还是在兼容性问题上，还是磁盘读取上，都和XP存在不小的差距。至于有人说，2000系统设置好了，安全性一样足够好，当然了，高手出手，用Windows 98，Windows95都一样安全，何况是2000，问题是2000的默认设置和XP比是相当不安全，可以轻轻松松的远程开启telnet，轻轻松松的拿到Administrators权限的shell。要想2000足够安全，只有关掉135-139之间的所有UDP、TCP端口，以及445端口；而关闭这些端口虽然保证安全了，却又不能进行局域网共享，而如果为了局域网共享，却必须面对这些危险。而XP SP2却可以做到在保证安全性的前提下进行局域网共享。其中2000的安全问题，个中原因肯定有微软因为利益问题不想再对2000进行支持。而从使用者角度来说，2000绝对是一经典系统，而我们使用系统当然也绝不能因为对于2000的感情而拒绝更换操作系统，而现实中也确实存在不少这样的朋友。
刚才讲了选择系统的问题，现在再说一下有关系统设置优化的问题。我也说过了，XP SP2的安全性上，已经得到了很大的提高。可以这么说，有些问题要看微软想不想做得问题，微软的实力是不容置疑的，微软对于自己的系统的设置也当然比外人，比民间更清楚，也更清楚每一个设置的每一个细节问题。对于XP sp2，安全完毕后，其实只要第一时间升级所有安全补丁，即可保证安全。如果无需局域网共享，还可以进行包括关闭默认共享了，关闭Remote Registry服务，关闭server服务等等。有关优化问题，切记，不要乱优化，微软的每一个设置都是经过深思熟虑的，都是考虑了各种情况的，微软对于自己的系统的了解程度肯定比外人更了解。系统优化是不具备通用性的，优化都是针对个人的使用习惯、嗜好、需求等等，而且每一步优化都要知道我要做什么，我做的这优化会带来什么影响和后果，而这影响和后果是否我自己所期望的。OK，这些问题不仅仅说的是用户使用，包括光盘制作者。一个负责任的光盘作者，不要以自己的嗜好来做公开发布的盘。而且乱优化的问题带来的安全问题，也是负责任的光盘制作者所不能接受的，除非光盘作者是一个并不负责任的人。最后再忠告一次大家，切记不要乱优化，如果自己并不了解此优化会带来哪些细节问题，请不要进行，因为XP SP2原版设置所考虑的安全性问题及兼容性问题已经足够好了。有关番茄花园的安全漏洞问题，还有东海的电脑公司版的安全漏洞问题，亦都是修改了系统的默认设置所致。
时间紧张，先讲到此为止。这些问题仅仅是有关安全问题的冰山一角，还有很多很多需要讨论，欢迎更多的高手进行指点。OK，下面将提供针对番茄花园的漏洞和电脑公司版的漏洞提供补丁，一个reg文件，一个批处理，两者作用完全相同，选择其一即可。动手能力强的朋友可自行修改，关键问题就出在limitblankpassworduse这个键值上。本人提供的补丁也将仅仅进行关键键值的修复，其他的包括默认共享的关闭等等，请自行解决。

云雾山

既然居士说出来了，那就让大家知道一下，修改一个值。哈哈

如玉

这个太专业了，看不懂

quganjue

我的发言 同上

诸葛不亮

我装的就是番茄XP，感觉加了很多附件，而且装好后启动很慢。

小楼蠢鱼

我的还好，不是花园，是家庭版正版系统。

叶秋霜

我的操作系统是 XP SP2,  不是番茄的。
系统默认的administrator、guest等用户 早就已经被我改了名字，而且禁止使用。
还是仔细查看了注册表。
发现limitblankpassworduse的键值是0, 莫非也是漏洞，Oh, My sense!
修改成1,导出这个分支，准备以后恢复系统时，再打上这个。
reg文件内容如下：
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa]
"Authentication Packages"=hex(7):6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,00,\
  00
"Bounds"=hex:00,30,00,00,00,20,00,00
"Security Packages"=hex(7):6b,00,65,00,72,00,62,00,65,00,72,00,6f,00,73,00,00,\
  00,6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,73,00,63,00,68,00,61,00,6e,00,\
  6e,00,65,00,6c,00,00,00,77,00,64,00,69,00,67,00,65,00,73,00,74,00,00,00,00,\
  00
"LsaPid"=dword:000003ec
"SecureBoot"=dword:00000001
"auditbaseobjects"=dword:00000000
"crashonauditfail"=dword:00000000
"disabledomaincreds"=dword:00000001
"everyoneincludesanonymous"=dword:00000000
"fipsalgorithmpolicy"=dword:00000000
"forceguest"=dword:00000000
"fullprivilegeauditing"=hex:00
"limitblankpassworduse"=dword:00000001
"lmcompatibilitylevel"=dword:00000005
"nodefaultadminowner"=dword:00000001
"nolmhash"=dword:00000001
"restrictanonymous"=dword:00000001
"restrictanonymoussam"=dword:00000001
"Notification Packages"=hex(7):73,00,63,00,65,00,63,00,6c,00,69,00,00,00,00,00
"ImpersonatePrivilegeUpgradeToolHasRun"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\AccessProviders]
"roviderOrder"=hex(7):57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,20,00,4e,00,\
  54,00,20,00,41,00,63,00,63,00,65,00,73,00,73,00,20,00,50,00,72,00,6f,00,76,\
  00,69,00,64,00,65,00,72,00,00,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\AccessProviders\Windows NT Access Provider]
"roviderPath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  6e,00,74,00,6d,00,61,00,72,00,74,00,61,00,2e,00,64,00,6c,00,6c,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\Audit]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\Audit\PerUserAuditing]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\Audit\PerUserAuditing\System]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\Data]
"attern"=hex:6d,f1,b9,b8,76,96,7d,7c,e5,3c,f3,95,d8,ca,fb,a9,66,33,39,65,39,\
  30,37,33,00,68,07,00,01,00,00,00,d8,00,00,00,dc,00,00,00,48,fa,06,00,d6,48,\
  50,74,04,00,00,00,a0,fd,06,00,b8,fd,06,00,6a,0d,49,6e
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\GBG]
"GrafBlumGroup"=hex:2f,dd,9e,07,67,81,4c,a3,ff
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\JD]
"Lookup"=hex:38,ca,44,6c,a2,a2
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\Kerberos]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\Kerberos\Domains]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\Kerberos\SidCache]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\MSV1_0]
"Auth132"="IISSUBA"
"ntlmminclientsec"=dword:00000000
"ntlmminserversec"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\Skew1]
"SkewMatrix"=hex:30,f5,a7,67,f5,6e,79,f6,a2,85,1e,ab,71,da,56,40
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\SSO]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\SSO\Passport1.4]
"SSOURL"="http://www.passport.com"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\SspiCache]
"Time"=hex:e0,72,d7,dd,5b,70,c6,01
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\SspiCache\digest.dll]
"Name"="Digest"
"Comment"="Digest SSPI Authentication Package"
"Capabilities"=dword:00004050
"RpcId"=dword:0000ffff
"Version"=dword:00000001
"TokenSize"=dword:0000ffff
"Time"=hex:80,30,95,2b,ea,83,c4,01
"Type"=dword:00000031
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\SspiCache\msapsspc.dll]
"Name"="DPA"
"Comment"="DPA Security Package"
"Capabilities"=dword:00000037
"RpcId"=dword:00000011
"Version"=dword:00000001
"TokenSize"=dword:00000300
"Time"=hex:00,7b,f2,30,ea,83,c4,01
"Type"=dword:00000031
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\SspiCache\msnsspc.dll]
"Name"="MSN"
"Comment"="MSN Security Package"
"Capabilities"=dword:00000037
"RpcId"=dword:00000012
"Version"=dword:00000001
"TokenSize"=dword:00000300
"Time"=hex:00,a8,23,32,ea,83,c4,01
"Type"=dword:00000031
桐桐如果有时间，请帮我看看，是否有啥不妥。
Thank you so much!
(本公子这厢有礼了。)

云雾山

叶公子多虑了。修改就可以了。

下面引用由诸葛不亮在 2006/12/27 09:22am 发表的内容：
我装的就是番茄XP，感觉加了很多附件，而且装好后启动很慢。

番茄默认的有不少插件，装了系统之后要认真清理，优化，安保。一般用3-4个同类软件就可以做到基本干净和安全了。

叶秋霜

下面引用由云雾山在 2006/12/27 10:59pm 发表的内容：
叶公子多虑了。修改就可以了。
番茄默认的有不少插件，装了系统之后要认真清理，优化，安保。一般用3-4个同类软件就可以做到基本干净和安全了。

我坚信：防范胜于查杀。
安全防护，还是多留意的好。
OH，我发现每个月都有打上微软发布的最新补丁哦，尽管某些补丁还是补丁的补丁，哈哈。
（本公子这厢有礼了。）