網站入侵最常用的方法有兩種網頁注入和利用網站系統漏洞入侵如果網站全部使用的是HTML靜態網頁同時只開放了很少的網絡端口那麼黑客就不能對網站進行NetBIOS和IPC$入侵遇到這種情況有經驗的黑客會如何進行入侵呢?這時通過IIS寫權限進行入侵是他們的選擇之一
黑客姓名張寧
黑客特長編寫使用各種網頁木馬
使用工具IIS寫權限掃描工具IIS寫權限利用工具
黑客自白我喜歡研究入侵網站傳播木馬的方法自從網頁注入這種方法流行以來網站管理員也越來越注意對這種漏洞的防范既然這種流行的入侵方法不行那麼黑客就會另辟蹊徑利用一些傳統的漏洞進行入侵果然利用IIS寫權限黑客輕松入侵了很多遠程計算機
IIS寫權限形成原因
IIS寫權限是由當年引發大漏洞的Windows WebDAV組件提供的服務器擴展功能主要用於直接向遠程服務器目錄寫入文件為管理員執行某些遠程操作提供方便雖然這種情況被網友戲稱為IIS寫權限漏洞但是這種說法並不准確因為這個所謂的漏洞的形成原因主要是由於管理員對IIS設置不當造成的
也就是說即使是遠程系統安裝了所有已知的安全補丁的操作系統那麼也會因為IIS的設置不當給遠程服務器的安全帶來極大的隱患因為默認配置的IIS是開放匿名寫權限的
因此入侵者可以向Web目錄寫入一些具有危害作用的文件例如惡意腳本網頁木馬ASP木馬等這樣就為全面入侵遠程服務器打開了一扇方便之門
成功利用IIS寫權限
首先通過Ping命令將網站地址轉換為IP地址接著打開IIS寫權限掃描工具在Start IP和End IP選項中設置網站所在的IP地址段
為了能夠更好地進行掃描最好將軟件默認的掃描線程由改成接著點擊Scan按鈕即可(圖)另外在掃描過程中最好關閉系統中的網絡防火牆否則會得不到程序的反饋信息
掃描完成後IIS寫權限掃描工具會將存在漏洞的遠程計算機通過紅色感歎號的形式反映出來在掃描列表中選擇這個漏洞主機點擊鼠標右鍵中的Put file命令設置上傳文件的名稱在數據輸入框中輸入上傳文件的內容最後點擊PUT按鈕即可上傳成功(圖)
運行IIS寫權限利用工具可進行ASP木馬權限的寫入操作將數據包格式選項設為Move接著在域名選項中設置有漏洞主機的IP地址然後在請求文件選項中設置剛剛上傳的TXT文件的地址和名稱最後點擊提交數據包按鈕即可將該文本文件的格式改為shellasp(圖) 運行桂林老兵的遠程控制工具WSC點擊工具菜單下的SHELL管理命令然後在彈出的窗口設置服務端網頁的地址然後點擊連接→添加→修改按鈕即可進行操作
通過WSC可以進行文件管理SHELL命令數據庫管理網站監視我的日志等管理操作足可以讓用戶有效地管理遠程服務器(圖)
擋住危險的NTFS交換數據流
目前很多殺毒軟件並不檢查交換數據流中的數據使用NTFS交換數據流隱藏木馬的確可以起到很好的隱藏作用
雖然微軟系統本身沒有檢測交換數據流的工具不過我們可以用微軟開發的Streamsexe工具(下載地址)來檢查並刪除系統NTFS分區中的交換數據流
檢查C盤中的交換數據流Streamsexe s c:
刪除C盤中的交換數據流Streamsexe d c:
檢測可疑圖片文件的交換數據流Streamsexe s *jpg
刪除可疑圖片文件的交換數據流Streamsexe d *jpg
另外我們還可以借助能夠檢測交換數據流的軟件(比如超級巡警)來檢測NTFS分區和可疑文件一旦發現問題立即刪除
From:http://tw.wingwit.com/Article/os/fwq/201401/30167.html