Web安全实践(8)攻击iis6.0

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
简介:
                                                                作者:玄魂
 

本系列导航http://www.cnblogs.com/xuanhun/archive/2008/10/25/1319523.html

安全技术区http://space.cnblogs.com/group/group_detail.aspx?gid=100566 

前言

   web安全实践系列主要是对《黑客大曝光——web应用安全机密与解决方案(第二版)》的内容做的实践研究和部分编程实现。所以如果您能完全理解那本书可以跳过本文章。


通过前面的讨论我们已经知道了如何判断web服务器的类型信息, 这一节继续一起讨论web平台的缺陷攻击。这里说的缺陷是服务器自身的缺陷不是管理员的配置造成的缺陷。对于这种缺陷只能通过升级或者打补丁来避免。当然对于不同的服务器及存在的漏洞,我在这一节所罗列出来的都是过去时,应该都有了解决的方案。目的不是教你如何攻击web平台,而是了解什么是攻击web平台。重在介绍漏洞的原理,因为我的目的不在攻击而在技术本身。

正文

 

一. Iis6.0服务器名远程欺骗

该问题主要出现在asp或者asp.net程序想要获得应用程序所在服务器ip地址的时候。

Request.ServerVariables("SERVER_NAME")或者

Request.ServerVariables["SERVER _NAME"]

这样的调用会返回局部环境变量中SERVER _NAME的值。如果该请求来自Internet,这个值是web服务器的ip地址。如果请求来自web服务器,该变量的值是Localhost。

 

对下面这个地址

http://nic.ustl.edu.cn/

我们一般的请求是

GET / HTTP/1.1

Host: nic.ustl.edu.cn

User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.0.3) Gecko/2008092417 Firefox/3.0.3

得到的响应是

我们也可以修改成

GET / HTTP/1.1

Host: 127.0.0.1

User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.0.3) Gecko/2008092417 Firefox/3.0.3。。。。。。

得到的响应是

两次收到信息是不同的。是不是很有意思?也许幸运的话能得到更多隐秘的信息,这个例子只想说的是对于来自internet和服务器自己的请求,iis的处理是不同的,从这个不同当中我们能获得什么呢?过多的演示我不去做,这里只简单的提一下。

(1)正常访问没有权限获得的东西也许这时你可以获得。

(2)对于同样的错误iis会返回不同的信息,你可以获得更多的细节。

在一些代码中就经常引用该变量来探测IP是否是服务器本身,这就带来了一系列的非法利用如Cookie窃取,数据转向或者其他的URL处理中.

让我们来看另一个变量——REMOTE_ADDR。这应该是确定请求来自远程还是本地的正确方法,它会告诉客户端的ip地址。

如果一个程序是这样的:

If(REMOTE_ADDR=="17.0.0.1")

{

发送管理界面

}

else

{

发送错误信息界面

}

我们现在要注意的是iis查找REMOTE_ADDR的顺序:现在查询集查找,然后在提交的数据,然后是cookie,最后是服务器变量。既然最后是服务器变量,那我们是不是可以在它查找服务器变量之前给一个假的查询变量或者cookie呢!

例如:http://...../login.aspx? REMOTE_ADDR=127.0.0.1

 

二. Microsoft IIS服务跟踪日志绕过漏洞

 

下面这个关于此漏洞的描述是我在网上找到的,我再略微做一下解释和补充。
 

Microsoft IIS服务跟踪日志绕过漏洞

来源:51CTO 作者: 发布时间:2008-07-16

漏洞类别:

跟踪日志绕过漏洞

攻击类型:

远程攻击

发布日期:

2003-12-29

更新日期:

2004-01-04

受影响系统:

Microsoft IIS 6.0
- Microsoft Windows 2003 Web Edition 
- Microsoft Windows 2003 Standard Edition 
- Microsoft Windows 2003 Enterprise Edition 64-bit 
- Microsoft Windows 2003 Enterprise Edition 
- Microsoft Windows 2003 Datacenter Edition 64-bit 
- Microsoft Windows 2003 Datacenter Edition

安全系统:

漏洞报告人:

Parcifal Aertssen

漏洞描述:

BUGTRAQ  ID: 9313
Microsoft IIS是一款微软开发的WEB服务程序。
Microsoft IIS服务跟踪日志记录存在问题,远程攻击者可以利用这个漏洞提交恶意请求而不被记录。
问题是IIS服务器对"TRACK"请求没有进行日志记录,这可导致攻击者对服务器进行探测或生成部分通信不被发现。
IIS 6.0不受此漏洞影响。

测试方法:

警告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

TRACK / HTTP/1.0

   

解决方法:

临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 使用代理,防火墙或者IDS系统进行日志记录。
* 使用URLScan安全工具阻止TRACK请求。

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.microsoft.com/technet/security/

(1)track隐藏请求

track是一种http方法,目前好像(其他的服务器我还不是很确定)只有iis支持,其功能和trace方法相同。请求方式如:

track / http/1.0

可是奇怪的是iis对该请求不做任何记录。这样的话很容易被利用DoS攻击。

(2)使用超长URL绕过日志记录。

很多服务器在写web日志的时候都有一个默认长度,一旦长度超过这个值,就会被省略掉。

所以如果我们想不让服务器记录攻击行为可以先用一些无意义字符填满记录,而后再跟上攻击代码。

 

.WebDAV漏洞

  IIS5.1/6.0  WebDAV存在一个拒绝服务漏洞,其中WebDAVDAV代表"分布式制作和版本控制")是 HTTP 规范的扩展,它支持授权用户在 Web 服务器上远程添加和管理内容,默认情况下,如果 Win2000上启用 IIS,则启用 WebDAV,而IIS 5.1  IIS 6.0 上则不安装 WebDAV

  利用该漏洞,黑客可以向运行 IIS  WebDAV 的服务器、发送精心制作的 WebDAV 请求进行攻击,当 IIS 处理这些消息时,会将 IIS 服务器上的 CPU 利用率和内存使用率增加到 100%XML 消息中每个 XML 元素包含的 XML 属性越多,IIS 服务处理 XML 消息所需的时间就越长,这样即造成在IIS处理消息的时候拒绝服务。

四. 文件解析路径漏洞

Win2003存在着一个文件解析路径的漏洞,当文件夹名为类似*.asp的时候(即文件夹名看起来像一个ASP文件的文件名),此时此文件夹下的文本类型的文件都可以在IIS中被当做ASP程序来执行。这样黑客即可上传扩展名为jpg或gif之类的看起来像是图片文件的木马文件,通过访问这个文件即可运行木马。具体测试办法:在FTP中建立一个 test.asp 的文件夹,文件夹名就是 test.asp ,在这个文件夹中上传一个 hack.jpg,这个jpg的内容可以直接是ASP文件,然后,用IE远程访问这个hack.jpg,你可以发现,它一样被当作是ASP文件来运行!显然,只要你的网站程序,允许用户自己建立文件夹及上传图片,我们就可以上传图片来当作ASP木马来运行。

实例: http://test.xuanhun.com/test.asp/asp.jpg
该地址路径组成方式:站点地址/test.asp/asp.jpg 其中test.asp为文件夹名,而asp.jpg却执行了asp权限如果被传了asp后门webshell,后果可想而知了。
利用这种攻击方式,致使恶意破环的人可以绕过上传文件时的扩展名检查,上传正常扩展名的木马文件,以得到WebShell权限。具有高级权限的后台管理员也可以利用此漏洞得到WebShell权限。

本文转自悬魂博客园博客,原文链接:http://www.cnblogs.com/xuanhun/archive/2008/11/09/1330100.html,如需转载请自行联系原作者


相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
相关文章
|
1月前
|
SQL 存储 安全
Web 常见攻击方式及防御方法
【10月更文挑战第25天】Web 安全是一个复杂而重要的领域,攻击者不断寻找新的攻击方法,我们需要不断加强防御措施,提高安全意识,以保障 Web 应用的安全运行。通过采取多种防御手段的综合运用,我们可以有效地降低 Web 攻击的风险,保护用户的信息和财产安全。同时,随着技术的不断发展,我们也需要持续关注和研究新的安全威胁和防御方法,以应对不断变化的安全形势。
169 56
|
27天前
|
Web App开发 网络协议 安全
基于Web攻击的方式发现并攻击物联网设备介绍
基于Web攻击的方式发现并攻击物联网设备介绍
38 4
|
1月前
|
前端开发 JavaScript 开发工具
从框架到现代Web开发实践
从框架到现代Web开发实践
40 1
|
1月前
|
SQL 负载均衡 安全
安全至上:Web应用防火墙技术深度剖析与实战
【10月更文挑战第29天】在数字化时代,Web应用防火墙(WAF)成为保护Web应用免受攻击的关键技术。本文深入解析WAF的工作原理和核心组件,如Envoy和Coraza,并提供实战指南,涵盖动态加载规则、集成威胁情报、高可用性配置等内容,帮助开发者和安全专家构建更安全的Web环境。
57 1
|
1月前
|
前端开发 开发者 UED
移动优先:响应式设计在现代Web开发中的实践策略
【10月更文挑战第29天】在现代Web开发中,响应式设计已成为不可或缺的实践策略,使网站能适应各种设备和屏幕尺寸。本文介绍了移动优先的设计理念,对比了移动优先与桌面优先的策略,探讨了流式布局与固定布局的区别,详细讲解了CSS媒体查询的使用方法,并强调了触摸和手势支持及性能优化的重要性。
33 1
|
1月前
|
安全 前端开发 Java
Web安全进阶:XSS与CSRF攻击防御策略深度解析
【10月更文挑战第26天】Web安全是现代软件开发的重要领域,本文深入探讨了XSS和CSRF两种常见攻击的原理及防御策略。针对XSS,介绍了输入验证与转义、使用CSP、WAF、HTTP-only Cookie和代码审查等方法。对于CSRF,提出了启用CSRF保护、设置CSRF Token、使用HTTPS、二次验证和用户教育等措施。通过这些策略,开发者可以构建更安全的Web应用。
83 4
|
1月前
|
安全 Go PHP
Web安全进阶:XSS与CSRF攻击防御策略深度解析
【10月更文挑战第27天】本文深入解析了Web安全中的XSS和CSRF攻击防御策略。针对XSS,介绍了输入验证与净化、内容安全策略(CSP)和HTTP头部安全配置;针对CSRF,提出了使用CSRF令牌、验证HTTP请求头、限制同源策略和双重提交Cookie等方法,帮助开发者有效保护网站和用户数据安全。
66 2
|
2月前
|
XML JSON API
ServiceStack:不仅仅是一个高性能Web API和微服务框架,更是一站式解决方案——深入解析其多协议支持及简便开发流程,带您体验前所未有的.NET开发效率革命
【10月更文挑战第9天】ServiceStack 是一个高性能的 Web API 和微服务框架,支持 JSON、XML、CSV 等多种数据格式。它简化了 .NET 应用的开发流程,提供了直观的 RESTful 服务构建方式。ServiceStack 支持高并发请求和复杂业务逻辑,安装简单,通过 NuGet 包管理器即可快速集成。示例代码展示了如何创建一个返回当前日期的简单服务,包括定义请求和响应 DTO、实现服务逻辑、配置路由和宿主。ServiceStack 还支持 WebSocket、SignalR 等实时通信协议,具备自动验证、自动过滤器等丰富功能,适合快速搭建高性能、可扩展的服务端应用。
147 3
|
1月前
|
设计模式 前端开发 数据库
Python Web开发:Django框架下的全栈开发实战
【10月更文挑战第27天】本文介绍了Django框架在Python Web开发中的应用,涵盖了Django与Flask等框架的比较、项目结构、模型、视图、模板和URL配置等内容,并展示了实际代码示例,帮助读者快速掌握Django全栈开发的核心技术。
157 45
|
8天前
|
前端开发 安全 JavaScript
2025年,Web3开发学习路线全指南
本文提供了一条针对Dapp应用开发的学习路线,涵盖了Web3领域的重要技术栈,如区块链基础、以太坊技术、Solidity编程、智能合约开发及安全、web3.js和ethers.js库的使用、Truffle框架等。文章首先分析了国内区块链企业的技术需求,随后详细介绍了每个技术点的学习资源和方法,旨在帮助初学者系统地掌握Dapp开发所需的知识和技能。
2025年,Web3开发学习路线全指南