網站入侵最常用的方法有兩種:網頁注入和利用網站系統漏洞入侵。如果網站全部使用的是HTML靜態網頁,同時只開放了很少的網絡端口,那麼黑客就不能對網站進行NetBIOS和IPC$入侵。遇到這種情況,有經驗的黑客會如何進行入侵呢?這時,通過“IIS寫權限”進行入侵是他們的選擇之一。www.sq120.com推薦文章
黑客姓名:張寧
黑客特長:編寫使用各種網頁木馬
使用工具:IIS寫權限掃描工具、IIS寫權限利用工具
黑客自白:我喜歡研究入侵網站傳播木馬的方法,自從網頁注入這種方法流行以來,網站管理員也越來越注意對這種漏洞的防范。既然這種流行的入侵方法不行,那麼黑客就會另辟蹊徑利用一些傳統的“漏洞”進行入侵,果然利用“IIS寫權限”黑客輕松入侵了很多遠程計算機。
IIS寫權限形成原因
“IIS寫權限”是由當年引發大漏洞的Windows WebDAV組件提供的服務器擴展功能,主要用於直接向遠程服務器目錄寫入文件,為管理員執行某些遠程操作提供方便。雖然這種情況被網友戲稱為“IIS寫權限漏洞”,但是這種說法並不准確,因為這個所謂的“漏洞”的形成原因主要是由於管理員對IIS設置不當造成的。
也就是說,即使是遠程系統安裝了所有已知的安全補丁的操作系統,那麼也會因為IIS的設置不當,給遠程服務器的安全帶來極大的隱患,因為默認配置的IIS是開放匿名寫權限的。TW.wiNGwIT.COM
因此入侵者可以向Web目錄寫入一些具有危害作用的文件,例如惡意腳本、網頁木馬、ASP木馬等。這樣就為全面入侵遠程服務器,打開了一扇方便之門。
成功利用IIS寫權限
首先,通過Ping命令將網站地址轉換為IP地址,接著打開IIS寫權限掃描工具,在“Start IP”和“End IP”選項中設置網站所在的IP地址段。
為了能夠更好地進行掃描,最好將軟件默認的掃描線程由100改成20,接著點擊“Scan”按鈕即可(圖1)。另外在掃描過程中,最好關閉系統中的網絡防火牆,否則會得不到程序的反饋信息。
掃描完成後,IIS寫權限掃描工具會將存在漏洞的遠程計算機,通過紅色感歎號的形式反映出來。在掃描列表中選擇這個漏洞主機,點擊鼠標右鍵中的“Put file”命令,設置上傳文件的名稱,在數據輸入框中輸入上傳文件的內容,最後點擊“PUT”按鈕即可上傳成功(圖2)。
運行IIS寫權限利用工具,可進行ASP木馬權限的寫入操作。將“數據包格式”選項設為“Move”,接著在“域名”選項中設置有漏洞主機的IP地址,然後在“請求文件”選項中設置剛剛上傳的TXT文件的地址和名稱,最後點擊“提交數據包”按鈕即可將該文本文件的格式改為shell..asp(圖3)。 運行桂林老兵的遠程控制工具WSC,點擊“工具”菜單下的“SHELL管理”命令,然後在彈出的窗口設置服務端網頁的地址,然後點擊“連接→添加→修改”按鈕即可進行操作。
通過WSC可以進行“文件管理”、“SHELL命令”、“數據庫管理”、“網站監視”、“我的日志”等管理操作,足可以讓用戶有效地管理遠程服務器(圖4)。
擋住危險的NTFS交換數據流
目前很多殺毒軟件並不檢查交換數據流中的數據。使用NTFS交換數據流隱藏木馬的確可以起到很好的隱藏作用。
雖然微軟系統本身沒有檢測交換數據流的工具。不過,我們可以用微軟開發的Streams.exe工具(下載地址:http://download.cpcw.com)來檢查並刪除系統NTFS分區中的交換數據流。
檢查C盤中的交換數據流:Streams.exe -s c:
刪除C盤中的交換數據流:Streams.exe -d c:
檢測可疑圖片文件的交換數據流:Streams.exe -s *.jpg
刪除可疑圖片文件的交換數據流:Streams.exe -d *.jpg
另外,我們還可以借助能夠檢測交換數據流的軟件(比如超級巡警)來檢測NTFS分區和可疑文件,一旦發現問題,立即刪除。
From:http://tw.wingwit.com/Article/Network/201309/444.html