发信人: rawrence()
整理人: jiaxu2000(2004-03-30 09:53:44), 站内信件
|
访问者要签名的表格页面包含了很多隐藏字段。其中一个隐藏输入字段如下(根
据
David Litchfield的报告):
input type="hidden" name="template"
value="c:\inetpub\wwwroot\gb\template.htm">
or
input type=”hidden” name=”template” value=”/gb/template.htm”>
这里的template.htm是在用户输入信息后通过wguest.exe显示出来的文件。为了
利用
这一点,攻击者会查看源代码并把该文档保存在他的桌面上,然后通过改变他想
查看的任
意文件的路径对这一行进行编辑,例如:
input type="hidden" name="template"
value="c:\winnt\system32\$winnt$.inf">
[如果完成了独立安装,即可通过这个文件得到管理口令]
然后,点击”Submit”,wguest.exe就会显示这个文件。这种方法没有用PWL文件
测
试过。不过,攻击者必须知道他要查看的文件的正确路径。
另一个“类属的”HTTPD方法涉及到一个在WindowsNT上运行的第三方Web服务器产
品,称为Sambar服务器。下面是直接从招贴中引用的内容:
查看攻击对象的HDD是大有可能的。您可通过使用这些关键字
+sambar +server +v4.1
搜索Internet,找到运行Sambar服务器的计算机。
如果您找到的站点是:http://www.site.net/,就做一次测试,运行一个perl脚
本:
http://www.site.net/cgi-bin/dumpenv.pl
现在您看到的是攻击对象的计算机的完整环境,包括他的路径。您可以试着通过
以下
URL以管理员的身份登录:
http://www.site.net/session/adminlogin?Rcpage=/sysadmin/index.html
默认登录为:admin;默认口令为空白。如果攻击对象还没有更改他的设置,您现
在
就能控制他的服务器。另一个特征是查看攻击对象的HDD。如果您能运行perl脚本
,也就
应该能(在大多数情况下)通过他的路径查看目录的脚本。大多数人在路径行中
都有
C:/program files和C:/windows,因此,您可以利用以下URL:
http://www.site.net/c:/program files/sambar41
我们在这里简单提一下Netscape Enterprise Server。有些软件版本通过允许用
户访
问目录对?PageServices参数作出反应。http://www.site.net/?PageServices就
是实现方
法。
最后,我们再来看看FTP。FTP是一个比较安全的协议。很多人会认为平台和版本
冗余
使它更安全,总的来说,这种看法是正确的。但多数经验丰富的安全专业人士会
告诉您,
如果最终管理员没有受过专业培训,版本和平台实在没有多大意义。鉴于Rhino9
按照FTP
允许权限已经能够渗透大量的服务器,我们就在这里给一个简单的提示。有些管
理员不会
注意或理解他们的Web服务器上的”Anonymous world writable”。但Rhino9通过
一个错
误配置的FTP服务器提出了疑问并渗透到整个网络。
通过anon-ftp-writable把NetCat上载到服务器上、通过URL执行这个程序以及把
它绑
定到端口上都很容易实现。从那一刻起,您在NT上就有了一个远程“外壳”。通
过连接到
该远程NetCat绑定,所有从该外壳发出的命令行功能似乎都是从具有在内部用户
上下文中
运行的NetCat绑定的那个外壳发出的。
其它的信息收集与渗透方法
======================================================================
========
(如同那些包括很多不同主题的安全相关文档一样,有些主题似乎有点不合时宜
。这
一节将探讨一些确实不适合本文的不同方法。如有内容不完整之处,敬请原谅。
)
如果说Rhino9小组有一个投入大量时间来研究的产品,那就是WinGate。第一个有
关
WinGate的问题是通过具有所有后续连接的WinGate进行“弹跳”的功能。这个小
缺陷非常
容易使用。入侵者可以远程登录到WinGate端口并看到这样的提示符:
WinGate>
在该提示符下,您能发出一个独立的远程登录命令,或者利用WinGate的SOCK功能
建
立其它连接。当该软件产品的开发商急于发布其修复版本和公告栏时,下一个版
本的发布
也出现了问题。
在WinGate的默认安装中,WinGate机器是用记录服务配置的。记录服务监听WinG
ate
机器的8010端口。通过建立该端口的HTTP连接,入侵者就会得到两个信息:
“Connection Cannot Be Established”
或WinGate机器硬驱的列表。请记住,这是一个默认安装,可以通过更改默认安装
配
置来修复。
随着Exchange服务器成为越来越通用的邮件服务器包,其缺陷也开始出现。第一
个暴
露出来的缺陷是Exchange结构中的口令高速缓存问题。下面是直接从原版招贴中
引用的内
容:
用提供有POP3服务的Exchange 5.0在您的NT域上新建一个用户xyz。把xyz的口令
设置
为a1234。到目前为止一切都正常。现在把xyz的口令更改为b5678。您就会发现无
论使用
这两个口令中的哪一个,POP3邮件客户机都能登录。现在再把口令改为另一个值
,您会发
现POP3客户机(或直接远程登录到110端口)能够用这三个口令中的任何一个登录
。结果
是这些口令都起作用。由于Exchange 5.0服务POP3连接符采用非散列机制对口令
进行高速
缓存,因此,所有的口令都能起作用。这一特征既不影响用来接收那些采用不同
身份认证
的邮件的Web页面新界面,也不影响NT登录。在非POP3登录信息中,口令不是高速
缓存的
(除了NNTP和LDAP以外)。如您所看到的,高速缓存问题在特定环境中是一个非
常严重的
问题。
入侵者用来收集信息的另一个方法是基于目标邮件服务器的SMTP端口的。为了保
证适
应SMTP并能与internet上的其它邮件实体完全交互,基于NT的SMTP邮件服务器要
掌握验证
特征。通过建立与邮件服务器SMTP端口的远程登录会话,入侵者能够发出连同用
户名一起
的验证命令。如果验证特征被激活,服务器就能告诉入侵者它是否是有效的用户
名。攻击
命令是:
vrfy administrator (该命令会验证用户指定的管理员是否存在)
在一些邮件系统上,首先要求入侵者完成HELO排序,不过这一步非常简单。显而
易
见,这会导致入侵者收集到有效用户名列表,然后用于其它攻击。
--
阿鲁的阿,阿鲁的鲁!
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.101.167.204]
|
|