发信人: rawrence()
整理人: jiaxu2000(2004-03-30 09:53:44), 站内信件
|
有段时间以来, URL相关的新攻击类型每周都会出现。在上述脚本缺陷之后出现
的是
另一个脚本相关的bug,它使入侵者能够在目标机上生成一个文件,随后再执行该
文件。
其URL结构是:
http://www.someserver.com/scripts/script_name%0A%0D>PATH\target.bat
当这个缺陷首次出现时,业界有很多人都不大重视这个问题。接着,就有消息发
布,
证明了入侵者为获得修复SAM拷贝会采取的具体步骤。其中就包括了上面的URL缺
陷,它是
整个攻击的组成部分。
当Microsoft发布Internet信息服务器3.0时,活动的服务器页面(active server
page)技术开始走向世界。而同时,这一发布也为影响IIS和NT4的大量新缺陷的出
现打开
了大门。
活动的服务器页面为Microsoft界提供了简单的和动态的Web页面。人们可以通过
很多
不同的方法来使用,如数据库连接、标引与搜索文档、身份认证以及用于那些讨
厌的广告
标题的简单图形旋转等。
活动的服务器页面这一概念实际上是相当有创造力的。HTML代码包括有在服务器
端执
行并为最终用户生成动态内容的嵌入式脚本代码。有了这个被广泛使用的新技术
,向公众
发布第一个缺陷也就指日可待了。这个被成为"dot flaw"的第一个缺陷使入侵者
能够在服
务器不执行脚本的情况下查看到脚本。
其标准的URL结构是:
http://www.genericserverhere.com/default.asp
其攻击URL结构是:
http://www.genericserverhere.com/default.asp.
这一攻击会在攻击者的Web浏览器上显示未执行代码。不用说,脚本代码会包含敏
感
信息,如远程连接到数据库上的用户名/口令。在所有信息中,这一类信息是用户
不希望
入侵者接触到的信息。
当dot flaw的修复方法发布时,也发布了对付修复方法的缺陷的变体。第一个变
体是
%2e。%2e是period的十六进制值,因此,这表明所提供的修复方法还不够健壮。
这种缺陷
的各种变体有时还在出现。由于所有变体都产生相同的最终结果,所以这里就不
一一赘述
了。下面是一些攻击URL结构:
http://www.someserver.com/default%2easp
http://www.someserver.com/default%2e%41sp
http://www.someserver.com/default.asp::$DATA
http://www.someserver.com/shtml.dll?.asp
安全界的每一个人都有这样的感觉:近期内,这些方法不会是最后的脚本显示方
法。
随着这些脚本的应用越来越广泛,它们将包含越来越多的敏感信息。这些简单的
方法可导
致入侵者轻而易举地获得敏感信息。
就通过IIS收集信息而言,最常见和容易的攻击之一就是索引服务器(Index Serv
er)
攻击。索引服务器是一个包括在internet信息服务器(IIS)3.0中的小搜索引擎模
块。这个
模块使Web管理员能够向访问其站点的访问者提供搜索Web站点内容的可搜索界面
。虽然索
引服务器本身并没有什么问题,但如果Web站点管理员缺乏培训就会出现问题。索
引服务
器的安装和维护都很简单,不过,它对目录和作用域的使用会导致管理员不能正
确地配置
允许权限和可搜索内容。这一配置问题会使入侵者获得在一般情况下他需要花大
量的时间
和精力才能得到的对信息的访问权限。
这种攻击的默认URL结构是:
http://www.someserver.com/samples/search/queryhit.htm
这个路径反应出了进入样本页面的默认路径。如果这个路径不是一个有效路径,
入侵
者就会仍然点击具有帮助作用的标题“Search This Site”链接,访问相同的信
息。一旦
入侵者成功地访问到该html文档,就会出现一个包含有表格字段的Web页面。在这
个表格
字段中,访问者一般都会输入他想搜索的信息。入侵者会采用一个文件名搜索字
符串,
如:
#filename=*.txt
这个字符串会指示索引服务器通过索引的数据目录搜索任何以该文件扩展名结尾
的文
件。请记住,这个文件扩展名并不局限于索引服务器能理解的扩展名。如果索引
服务器遇
到一个它不知道的文件类型,它就会把这个文件类型当作二进制来处理,并对文
件名、扩
展名、日期及其它属性编写索引。这表明入侵者可搜索任何信息,包括能搜索到
修复sam
的*._。有趣的是,索引服务器与其它internet搜索引擎不同,它不会显示请求者
没有访
问权限的文件。也就是说,如果索引服务器返回一个它找到文件的信息,那么该
文件就是
可访问的。
入侵者会试着利用的另一个默认功能是Internet信息服务器Web管理界面。在IIS
默认
的安装中,Web管理界面内置在Web根目录的”iisadmin”子目录下,这说明它的
URL攻击
结构是:
http://www.someserver.com/iisadmin
如果管理员在这个界面上已经错误地配置了允许权限,那么,入侵者就会通过管
理功
能获得对Web服务器的未授权访问。如果访问成功,就会出现一个管理工具的htm
l界面。
根据IIS和NT处理允许权限的方法,入侵者有可能得到访问界面的权限,但没有真
正采取
任何行动的允许权限。因此,如果您正在检查您自己的网络,一定要作一些小的
更改,以
确定网络是不是有问题。
在97年底和98年初曾经发生过大量的Web服务器攻击。在这些攻击中,大部分攻击
都
具有一个共同点:web服务器正在运行Microsoft Frontpage Extensions。Front
page
Extensions是很小的"web bots",如果您愿意,即可让作者或web站点管理员执行
复杂或
相关的任务。
Frontpage Extensions存在的问题是,默认的Frontpage安装不安全,尤其是在U
NIX
版本中。大量支持这些扩展名的服务器都没有设口令,或者把管理权限分配给Ev
eryone群
组。这里的Everyone群组还是表示每个人,包括匿名连接。
下面,我们来看一看第一个采用Frontpage客户机软件进行的攻击。
支持Frontpage的服务器会有若干个以字母”_vti”开头的工作目录。在任何常用
的
搜索引擎上搜索默认的Frontpage目录会得到大量从引擎上返回的信息。然后,入
侵者就
能对这些服务器进行简单而又反复的攻击。这种攻击的执行过程如下:
1- 打开您自己的Frontpage个人拷贝
2- 进入”Open frontpage web”对话框
3- 输入您要攻击的服务器的URL或IP
如果服务器没有设口令,或者,如果允许权限是分配给Everyone群组的,Frontp
age
就会为您打开远程站点并允许您能够进行更改。这种攻击实际上是很简单的。如
果扩展名
正确,就会出现用户名/口令对话。入侵者可以尝试一些基本的组合如管理员/口
令。如果
入侵者有兴趣,他会一直尝试下去。
另外,入侵者还可以用同样的"open frantpage web"方法来得到完整的用户列表
。这
种方法可以用在brute force攻击中。鉴于对通过这种方法终止用户名的收集进行
解释的
文件资料已经公开发布,您就应该建立一个象FP_www.yourdomain.com:80这样的
限制群
组。这个新的限制群组确实起作用,除非入侵者采用的是您的服务器的IP地址,
而不是域
名。
还有其它一些方法能够与Frontpage一起使用,它们会抓取Frontpage口令文件。
Frontpage一般把口令存储在_vti_pvt目录下,有相同的service.pwd。入侵者会
试着执行
下列URL:
http://www.someserver.com/_vti_pvt
如果允许权限设置不正确并允许目录浏览,入侵者就会得到该目录下的文件,包
括
service.pwd。管理员通常会重视安装和站点的安全性并限制对该目录的访问。尽
管这个
方法不错,但始终要防止NTFS对网络造成破坏。根据NTFS的配置,用户仍然可以
得到口令
文件的访问权限,即使对其父文件夹的访问已经被拒绝。在这种情况下,入侵者
只需在
URL中输入访问该文件的完整路径,如:
http://www.someserver.com/_vti_pvt/service.pwd
尽管Frontpage口令文件是加密文件,但它是用标准DES加密的,因此,任何DES解
密
高手都能在正确诊断该文件后获得口令信息。另外,入侵者也会刺探其它_vti目
录,因为
这些目录有时也会保存敏感信息。在掌握了用户名并对口令解密后,入侵者就会
用他的
Frontpage重新连接并提供身份证明信息;或者,如果相同的用户名/口令在上下
文中能起
作用,入侵者即可通过其它方式利用这些身份证明信息,如映射网络驱动器等。
(注:Service.pwd不是唯一已知的口令文件名。已经掌握的口令文件有Authors
.pwd
, admin.pwd, users.pwd和administrators.pwd等。)
在Frontpage相关的方法中,二进制FTP方法被看作是技术上最成熟的方法,虽然
这种
方法实现起来相当容易。这个二进制攻击会使入侵者通过Frontpage扩展名执行任
意二进
制文件。入侵者必须找到既支持Frontpage又支持FTP匿名可写程序的服务器。在
通过FTP
连接到服务器之后,入侵者就可以新建一个名为_vti_bin的目录。然后他就可以
下载他想
放在新建目录下的任何可执行程序。一旦上载了可执行文件,入侵者就会输入下
列URL:
http://www.someserver.com/_vti_bin/uploaded_file
然后,服务器就会执行这个文件。
在二进制进攻方法被传播开来不久之后就发现了_vti_cnf。这会使入侵者查看到
特定
目录下的所有文件。通过用_vti_cnf替换index.html,入侵者就能看到该目录下
的所有文
件,并有可能获得访问权限。这种攻击结构如下:
标准结构—http://www.someserver.com/some_directory_structure/index.htm
l
攻击结构—http://www.someserver.com/some_directory_structure/_vti_cnf
看起来,能产生类似结果的相同攻击类型数不胜数。遗憾的是,事实确实如此。
在这
些缺陷中,有很多已经被研究缺陷变体的人士所发现,但并不是所有影响NT Web
服务的缺
陷都来自Internet信息服务器。
另外还有其它一些将在NT上运行的Web服务器软件包,象众所周知的Apache Web服
务
器。当然,有了这些第三方Web服务器软件包和在这些第三方软件包上运行的脚本
,新的
缺陷注定会暴露出来。
Webcom Datakommunikation曾经发布了一个允许Web站点的访问者在来宾卡上签名
的
cgi脚本。Cgi脚本的名字是guest.exe。只要发出正确的命令,这个小小的cgi脚
本就会使
攻击者查看到您服务器上的任意文本文件。
--
阿鲁的阿,阿鲁的鲁!
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.101.167.204]
|
|