Web安全实践(8)攻击iis6.0-阿里云开发者社区

开发者社区> 吞吞吐吐的> 正文

Web安全实践(8)攻击iis6.0

简介:
+关注继续查看
                                                                作者:玄魂
 

本系列导航http://www.cnblogs.com/xuanhun/archive/2008/10/25/1319523.html

安全技术区http://space.cnblogs.com/group/group_detail.aspx?gid=100566 

前言

   web安全实践系列主要是对《黑客大曝光——web应用安全机密与解决方案(第二版)》的内容做的实践研究和部分编程实现。所以如果您能完全理解那本书可以跳过本文章。


通过前面的讨论我们已经知道了如何判断web服务器的类型信息, 这一节继续一起讨论web平台的缺陷攻击。这里说的缺陷是服务器自身的缺陷不是管理员的配置造成的缺陷。对于这种缺陷只能通过升级或者打补丁来避免。当然对于不同的服务器及存在的漏洞,我在这一节所罗列出来的都是过去时,应该都有了解决的方案。目的不是教你如何攻击web平台,而是了解什么是攻击web平台。重在介绍漏洞的原理,因为我的目的不在攻击而在技术本身。

正文

 

一. Iis6.0服务器名远程欺骗

该问题主要出现在asp或者asp.net程序想要获得应用程序所在服务器ip地址的时候。

Request.ServerVariables("SERVER_NAME")或者

Request.ServerVariables["SERVER _NAME"]

这样的调用会返回局部环境变量中SERVER _NAME的值。如果该请求来自Internet,这个值是web服务器的ip地址。如果请求来自web服务器,该变量的值是Localhost。

 

对下面这个地址

http://nic.ustl.edu.cn/

我们一般的请求是

GET / HTTP/1.1

Host: nic.ustl.edu.cn

User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.0.3) Gecko/2008092417 Firefox/3.0.3

得到的响应是110908_0809_Web8iis1.png

我们也可以修改成

GET / HTTP/1.1

Host: 127.0.0.1

User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.0.3) Gecko/2008092417 Firefox/3.0.3。。。。。。

得到的响应是

110908_0809_Web8iis2.png

两次收到信息是不同的。是不是很有意思?也许幸运的话能得到更多隐秘的信息,这个例子只想说的是对于来自internet和服务器自己的请求,iis的处理是不同的,从这个不同当中我们能获得什么呢?过多的演示我不去做,这里只简单的提一下。

(1)正常访问没有权限获得的东西也许这时你可以获得。

(2)对于同样的错误iis会返回不同的信息,你可以获得更多的细节。

在一些代码中就经常引用该变量来探测IP是否是服务器本身,这就带来了一系列的非法利用如Cookie窃取,数据转向或者其他的URL处理中.

让我们来看另一个变量——REMOTE_ADDR。这应该是确定请求来自远程还是本地的正确方法,它会告诉客户端的ip地址。

如果一个程序是这样的:

If(REMOTE_ADDR=="17.0.0.1")

{

发送管理界面

}

else

{

发送错误信息界面

}

我们现在要注意的是iis查找REMOTE_ADDR的顺序:现在查询集查找,然后在提交的数据,然后是cookie,最后是服务器变量。既然最后是服务器变量,那我们是不是可以在它查找服务器变量之前给一个假的查询变量或者cookie呢!

例如:http://...../login.aspx? REMOTE_ADDR=127.0.0.1

 

二. Microsoft IIS服务跟踪日志绕过漏洞

 

下面这个关于此漏洞的描述是我在网上找到的,我再略微做一下解释和补充。
 

Microsoft IIS服务跟踪日志绕过漏洞

来源:51CTO 作者: 发布时间:2008-07-16

漏洞类别:

跟踪日志绕过漏洞

攻击类型:

远程攻击

发布日期:

2003-12-29

更新日期:

2004-01-04

受影响系统:

Microsoft IIS 6.0
- Microsoft Windows 2003 Web Edition 
- Microsoft Windows 2003 Standard Edition 
- Microsoft Windows 2003 Enterprise Edition 64-bit 
- Microsoft Windows 2003 Enterprise Edition 
- Microsoft Windows 2003 Datacenter Edition 64-bit 
- Microsoft Windows 2003 Datacenter Edition

安全系统:

漏洞报告人:

Parcifal Aertssen

漏洞描述:

BUGTRAQ  ID: 9313
Microsoft IIS是一款微软开发的WEB服务程序。
Microsoft IIS服务跟踪日志记录存在问题,远程攻击者可以利用这个漏洞提交恶意请求而不被记录。
问题是IIS服务器对"TRACK"请求没有进行日志记录,这可导致攻击者对服务器进行探测或生成部分通信不被发现。
IIS 6.0不受此漏洞影响。

测试方法:

警告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

TRACK / HTTP/1.0

   

解决方法:

临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 使用代理,防火墙或者IDS系统进行日志记录。
* 使用URLScan安全工具阻止TRACK请求。

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.microsoft.com/technet/security/

(1)track隐藏请求

track是一种http方法,目前好像(其他的服务器我还不是很确定)只有iis支持,其功能和trace方法相同。请求方式如:

track / http/1.0

可是奇怪的是iis对该请求不做任何记录。这样的话很容易被利用DoS攻击。

(2)使用超长URL绕过日志记录。

很多服务器在写web日志的时候都有一个默认长度,一旦长度超过这个值,就会被省略掉。

所以如果我们想不让服务器记录攻击行为可以先用一些无意义字符填满记录,而后再跟上攻击代码。

 

.WebDAV漏洞

  IIS5.1/6.0  WebDAV存在一个拒绝服务漏洞,其中WebDAVDAV代表"分布式制作和版本控制")是 HTTP 规范的扩展,它支持授权用户在 Web 服务器上远程添加和管理内容,默认情况下,如果 Win2000上启用 IIS,则启用 WebDAV,而IIS 5.1  IIS 6.0 上则不安装 WebDAV

  利用该漏洞,黑客可以向运行 IIS  WebDAV 的服务器、发送精心制作的 WebDAV 请求进行攻击,当 IIS 处理这些消息时,会将 IIS 服务器上的 CPU 利用率和内存使用率增加到 100%XML 消息中每个 XML 元素包含的 XML 属性越多,IIS 服务处理 XML 消息所需的时间就越长,这样即造成在IIS处理消息的时候拒绝服务。

四. 文件解析路径漏洞

Win2003存在着一个文件解析路径的漏洞,当文件夹名为类似*.asp的时候(即文件夹名看起来像一个ASP文件的文件名),此时此文件夹下的文本类型的文件都可以在IIS中被当做ASP程序来执行。这样黑客即可上传扩展名为jpg或gif之类的看起来像是图片文件的木马文件,通过访问这个文件即可运行木马。具体测试办法:在FTP中建立一个 test.asp 的文件夹,文件夹名就是 test.asp ,在这个文件夹中上传一个 hack.jpg,这个jpg的内容可以直接是ASP文件,然后,用IE远程访问这个hack.jpg,你可以发现,它一样被当作是ASP文件来运行!显然,只要你的网站程序,允许用户自己建立文件夹及上传图片,我们就可以上传图片来当作ASP木马来运行。

实例: http://test.xuanhun.com/test.asp/asp.jpg
该地址路径组成方式:站点地址/test.asp/asp.jpg 其中test.asp为文件夹名,而asp.jpg却执行了asp权限如果被传了asp后门webshell,后果可想而知了。
利用这种攻击方式,致使恶意破环的人可以绕过上传文件时的扩展名检查,上传正常扩展名的木马文件,以得到WebShell权限。具有高级权限的后台管理员也可以利用此漏洞得到WebShell权限。

本文转自悬魂博客园博客,原文链接:http://www.cnblogs.com/xuanhun/archive/2008/11/09/1330100.html,如需转载请自行联系原作者


版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
推荐10个堪称神器的 Java 学习网站
推荐10个堪称神器的 Java 学习网站
3 0
利用Chrome开发者工具分析C4C Opportunity搜索的前端性能
利用Chrome开发者工具分析C4C Opportunity搜索的前端性能
3 0
Cloud for Customer Restriction and Exclusion Product Lists
当我试图在SAP Cloud for Customer的销售订单里添加一个新产品时,遇到错误消息:
4 0
从百度“脸优”看人脸识别技术 或将开启中国技术驱动革命
人脸识别技术,听起来是不是很炫?事实上,目前人脸识别已经不是技术上的空谈,已经有很多领域正在或将要实现人脸识别技术应用。譬如安防、银行等领域,人脸识别最容易应用的就是安全领域。除了这些公共单位,有没有面向大众的应用?答案是肯定的,百度世界大会发布的脸优就是这样一款产品。
2 0
Cloud for Customer里的使用的一个第三方js库,用于gzip处理
可以从Chrome开发者工具里观察到这个第三方js文件的加载和内容:
4 0
Cloud for Customer里的使用的一个第三方js库,用于gzip处理
可以从Chrome开发者工具里观察到这个第三方js文件的加载和内容:
4 0
Cloud for Customer UI checkbox控件在PC和mobile端的不同显示
Cloud for Customer UI checkbox控件在PC和mobile端的不同显示
3 0
Java单例模式
单例模式应该是我们接触的众多设计模式中的第一个,但是对于单例模式的一些细节地方对于初学者来说并不是很清楚,所以本文就来整理下单例模式。
3 0
利用Chrome开发者工具分析C4C Opportunity搜索的前端性能
利用Chrome开发者工具分析C4C Opportunity搜索的前端性能
4 0
互动直播还有多远?从三大技术难题说起
2个月前,我在某直播平台上看了一场游戏直播,那叫一个难受,连延迟带卡顿,看到后半场卡的我直上厕所,回来后发现画面虽变了但仍旧卡,一气之下果断的关了直播。上个月去上海参加华为手机的发布会,想在现场做一下直播,移动4G竟然连信号都没有,只能退回到3G网络在朋友群发一些图片。面对移动网络的问题,只能是沉默再沉默了。
3 0
4252
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载