百独托管7500 紫田网络超高转化播放器收cps[推荐]速盾CDN 免实名免备防屏蔽阿里云 爆款特卖9.9元封顶提升alexa、IP流量7Q5团队
【腾讯云】中小企福利专场【腾讯云】多款产品1折起高防 随时退换 好耶数据小飞国外网赚带你月入万元炎黄网络4H4G10M 99每月
香港带宽CN2/美国站群优惠中客数据中心 服务器租用联盟系统移动广告平台 中易企业专场腾讯云服务器2.5折九九数据 工信部正规资质
腾讯云新用户大礼包代金券高价收cpa注册量高价展示【腾讯云】2核2G/9.93起租服务器找45互联 随时退换阿里云 短信服务 验证秒达

[Windows] Web服务攻击反侦查痕迹检测 [复制链接]
查看:693 | 回复:3

41

主题

1225

帖子

284

积分

落伍者(一心一意)

Rank: 1

贡献
850
鲜花
2
注册时间
2006-6-22

落伍者

发表于 2013-4-1 18:49:52 | |阅读模式 来自 中国湖北十堰
web站点默认80为服务端口,关于它的各种安全问题不断的发布出来,这些漏洞中一些甚至允许攻击者获得系统管理员的权限进入站点内部,以下是Zenomorph对一些80端口攻击方式的痕迹的研究,和告诉你怎样从日志记录中发现问题。

详细描述

下面部分通过一些列子,展示对web服务器和其上的应用程序普遍的攻击,和其留下的痕迹,这些列子仅仅是代表了主要的攻击方式,并没有列出所有的攻击形式,这部分将详细描述每种攻击的作用,和其怎样利用这些漏洞进行攻击。

(1)”.” “..” 和 “…” 请求

这些攻击痕迹是非常普遍的用于web应用程序和web服务器,它用于允许攻击者或者蠕虫病毒程序改变web服务器的路径,获得访问非公开的区域。大多数的CGI程序漏洞含有这些”..”请求。

Example:

http://host/cgi-bin/lame.cgi?file=../../../../etc/motd

这个列子展示了攻击者请求mosd这个文件,如果攻击者有能力突破web服务器根目录,那么可以获得更多的信息,并进一步的获得特权。

(2)”%20″ 请求

%20是表示空格的16进制数值,虽然这个并不代表你能够利用什么,但是在你浏览日志的时候会发现它,一些web服务器上运行的应用程序中这个字符可能会被有效的执行,所以,你应该仔细的查看日志。另一方面,这个请求有时可以帮助执行一些命令。

Example:

http://host/cgi-bin/lame.cgi?page=ls%20-al│

这个列子展示了攻击者执行了一个unix的命令,列出请求的整个目录的文件,导致攻击者访问你系统中重要的文件,帮助他进一步取得特权提供条件。

(3)”%00″ 请求

%00表示16进制的空字节,他能够用于愚弄web应用程序,并请求不同类型的文件。

Examples:

http://host/cgi-bin/lame.cgi?page=index.html

这可能是个有效的请求在这个机子上,如果攻击者注意到这个请求动作成功,他会进一步寻找这个cgi程序的问题。

http://host/cgi-bin/lame.cgi?page=../../../../etc/motd

也许这个cgi程序不接受这个请求,原因在于它要检查这个请求文件的后缀名,如:html.shtml或者其他类型的文件。大多数的程序会告诉你所请求的文件类型无效,这个时候它会告诉攻击者请求的文件必须是一某个字符后缀的文件类型,这样,攻击者可以获得系统的路径,文件名,导致在你的系统获得更多的敏感信息

http://host/cgi-bin/lame.cgi?page=../../../../etc/motd%00html

注意这个请求,它将骗取cgi程序认为这个文件是个确定的可接受的文件类型,一些应用程序由于愚蠢的检查有效的请求文件,这是攻击者常用的方法。

(4)”│” 请求

这是个管道字符,在unix系统用于帮助在一个请求中同时执行多个系统命令。

Example:

# cat access_log│ grep -i “..”

(这个命令将显示日志中的“..“请求,常用于发现攻击者和蠕虫攻击)

常可以看到有很多web应用程序用这个字符,这也导致IDS日志中错误的报警。

在你的程序仔细的检查中,这样是有好处的,可以降低错误的警报在入侵检测系统中。

下面给出一些列子:

http://host/cgi-bin/lame.cgi?page=../../../../bin/ls│

这个请求命令执行,下面是一些变化的列子

http://host/cgi-bin/lame.cgi?page=../../../../bin/ls%20-al%20/etc│

这个请求在unix系统中列出/etc目录的所有文件

http://host/cgi-bin/lame.cgi?page=cat%20access_log│grep%20-i%20″lame”

这个请求cat命令的执行并且grep命令也将执行,查询出”lame”

(5)”;” 请求

在unix系统,这个字符允许多个命令在一行执行

Example:

# id;uname -a

(执行id命令后,紧跟着执行uname命令)

一些web程序用这个字符,可能导致在你的IDS日志中失败的警告,你应该仔细的检查你的web程序,让你的IDS警报失败的几率降低。

(6)”" 请求

应该检查你的日志记录中这两个字符,众多的原因中,首要的一个是这个字符表明了添加数据在文件中

Example 1:

# echo “your hax0red h0 h0″ >> /etc/motd (请求写信息在motd这个文件中)

一个攻击者可以容易的用象上面的这个请求篡改你的web页面。比如著名的RDS exploit常被攻击者用于更改web主页面。

Example 2:

http://www.daog5.com /something.php=Hi%20mom%20Im%20Bold!

你会注意到这里html语言的标志,他同样用了“〈”,“〉”字符,这种攻击不能导致攻击者对系统进行访问,它迷惑人们认为这是个合法的信息在web 站点中(导致人们在访问这个联结的时候访问到攻击者设定的地址,这种请求可能会被转变成16进制的编码字符形式,使攻击的痕迹不那么明显)

(7)”!”请求

这种字符请求常用语对SS(Server Side Include) I进行攻击,如果攻击者迷惑用户点击被攻击者设定的联结,和上面的一样。

112

主题

856

帖子

545

积分

落伍者(一心一意)

Rank: 1

贡献
253
鲜花
1
注册时间
2012-2-13

落伍手机绑定

发表于 2013-4-2 12:11:33 | 来自 中国四川成都
服务器是很重要的

140

主题

1065

帖子

740

积分

落伍者(一心一意)

Rank: 1

贡献
56
鲜花
0
注册时间
2012-12-14
发表于 2013-4-2 14:56:46 | 来自 中国广东深圳
Web服务器是网站的空间。
头像被屏蔽

228

主题

433

帖子

32

积分

禁言

贡献
115
鲜花
0
注册时间
2010-11-16
发表于 2013-4-2 19:52:57 | 来自 中国广东广州
提示: 作者被禁止或删除 内容自动屏蔽
签名被屏蔽
论坛客服/商务合作/投诉举报:2171544 (QQ)
落伍者创建于2001/03/14,本站内容均为会员发表,并不代表落伍立场!
拒绝任何人以任何形式在本论坛发表与中华人民共和国法律相抵触的言论!
落伍官方微信:2030286 邮箱:(djfsys@gmail.com|tech@im286.com)
© 2001-2014

浙公网安备 33060302000191号

浙ICP备11034705号 BBS专项电子公告通信管[2010]226号

  落伍法律顾问: ITlaw-庄毅雄

手机版|找回帐号|不能发帖?|Archiver|落伍者

GMT+8, 2024-11-1 06:49 , Processed in 0.060505 second(s), 35 queries , Gzip On.

返回顶部