IIS漏洞入侵

2021-04-07 12:16:37 字數 3795 閱讀 4903

硬功夫欄目

《黑客營》**:http://cpcw.com

《黑客營》論壇:http://cpcw.com/bbs

感謝中國網管聯盟提供支援(www.bitscn.com)

為了滿足廣大讀者的要求,本報《硬功夫》欄目再次與大家見面了。

本次我們為你準備了八期的黑客系列選題,旨在帶領大家完成對一些主流技術提公升,我們會詳細地介紹新近階段最火熱的黑客事件,並對它的攻擊技術進行分析解說。

為了便於讀者研究和學習,我們為大家提供了一台伺服器作為模擬的攻擊環境,只要你按照我們的分析步驟操作,就可以體驗全新的黑客旅程,享受黑客的激情與興奮。

讓我們充分發揮互動力量,趕快進入我們的互動頻道。

iis漏洞入侵

iis(internet information server)作為當今流行的web伺服器之一,提供了強大的internet和intranet服務功能。iis主要通過埠80來完成操作,具有很大的威脅性,因為作為網路伺服器80埠總要開啟的。一直以來攻擊iis服務是黑客常用慣用的手段,那年中美撞擊事件後出現的中美黑客雙方的攻擊就頻繁用到了iis漏洞進行入侵的個案,這種情況現在還依然存在,只怪公司企業領導以及網管同志們對這些安全問題太不關注的原因造成的。

一、漏洞說明

針對iis的攻擊方式可以說是五花八門,使用大量的資料請求,使iis超負荷而停止工作,是初級黑客的必修課程。不過鑑於篇幅不對iis的攻擊做詳細介紹,而是說說入侵iis。iis有十多種常見漏洞,但利用最多的莫過於unicode解析錯誤漏洞。微軟iis 4.0和iis 5.0在unicode字元解碼的實現中存在乙個安全漏洞,導致使用者可以遠端通過iis執行任意命令。當iis開啟檔案時,如果該檔名包含unicode字元,它會對其進行解碼,如果使用者提供一些特殊的編碼,將導致iis錯誤的開啟或者執行某些web根目錄以外的檔案。我們今天就著重來講講這個。

二、unicode漏洞的原理

很久以前發現iis 4.0和iis 5.0在unicode字元解碼的實現中存在乙個安全漏洞,導致使用者可以遠端通過iis執行任意命令。當iis開啟檔案時,如果該檔名包含unicode字元,它會對其進行解碼,如果使用者提供一些特殊的編碼,將導致iis錯誤的開啟或者執行某些web根目錄以外的檔案和程式。

對於iis 5.0/4.0中文版,當iis收到的url請求的檔名中包含乙個特殊的編碼例如"%c1%hh"或者"%c0%hh",它會首先將其解碼變成:0xc10xhh, 然後嘗試開啟這個檔案,windows系統認為0xc10xhh可能是unicode編碼,因此它會首先將其解碼,如果 0x00<= %hh < 0x40的話,採用的解碼的格式與下面的格式類似:

%c1%hh -> (0xc1 - 0xc0) * 0x40 + 0xhh

%c0%hh -> (0xc0 - 0xc0) * 0x40 + 0xhh

因此,利用這種編碼,我們可以構造很多字元,例如:

%c1%1c -> (0xc1 - 0xc0) * 0x40 + 0x1c = 0x5c = '/'

%c0%2f -> (0xc0 - 0xc0) * 0x40 + 0x2f = 0x2f = '/'

攻擊者可以利用這個漏洞來繞過iis的路徑檢查,去執行或者開啟任意的檔案。

此漏洞從中文iis4.0+sp6開始,還影響中文win2000+iis5.0、中文win2000+iis5.0+sp1, 中國台灣正體中文也同樣存在這樣的漏洞。

在nt4中/編碼為%c1%9c

在英文版裡: win2000英文版%c0%af

在中文win2k裡:%c1%1c

此外還有多種編碼,不一一闡述。

本文例子均以win2k為準,其他型別請自行替換。

三、判斷漏洞是否存在

我們也可在ie瀏覽器裡輸入以下語句來進行判斷:

學過dos的應該可以看懂,其實就是利用當中的非法請求使我們可以連到system32下,如果inetpub/目錄不和winnt同盤,或者目錄級數有改動,可能會引起請求失敗。

如果存在漏洞,那麼在瀏覽區可看到如下類似資訊:

directory of c:/inetpub/scripts

2005-03-05 15:49 〈dir〉 .

2005-09-05 15:49 〈dir〉 ..

是不是有自己機器的感覺了,正點!就是這種感覺!

cmd.exe相當與dos裡的command.com,因此,我們可以執行很多命令了!

不用說,大家也知道我們就可以利用它來對有漏洞的機器展開攻擊了!

四、修改**首頁

一般預設首頁為index.htm,index.html,index.asp,default.htm,defautl.html,default.asp中的乙個,我們可以通過測試來確定首頁名稱:

步驟二:原理說明

好了那麼我們就修改它吧!

最方便的方法:echo法:echo是乙個系統命令,主要用於設定回應開關。

echo test >c:/autoexe.bat就是把test加入autoexec.bat裡並刪除原有內容

echo timedate >>c:/autoexec.bat就是加入timedate但不刪除原有內容

明白了嗎?接下來我們就可以逍遙的改了。

ie瀏覽器返回來的結果可能為以下兩種情況之一:

1.http 500 - 內部伺服器錯誤

2.the parameter is incorrect.

通過返回資訊的提示以及我們對cmd的分析得出,可能是命令語句中引數錯誤,加入"符號再試試

這條命令表示把hahathisi**yhack加入到index.htm檔案並刪除原有內容

這條命令表示把by2005-3-9加入到index.htm檔案中,但不刪除原來內容

如果正常,上面兩條語句的回應應該都為cgi錯誤,這表示語句執行成功了:)系統只是程式性報個錯誤,不用理會.

現在我們再來開啟**aa.feedom.net看看吧,^-^ 怎麼樣了,哈哈是不是被你改掉了?不錯吧,而在實際操作中,可能這個方法也會失效,這時,我們就可以copy cmd.exe 為另乙個exe,記住路徑,用copy後的來echo 例如:

四、總結

上面的內容都很簡單,很適合初學者,還望高手們不要見笑。但這只是iis漏洞的開始,想要高階就必須掌握原理及基礎。

Redis漏洞入侵防護方案

redis 預設情況下,會繫結在0.0.0.0 6379,這樣將會將redis服務暴露到公網上,如果在沒有開啟認證的情況下,可以導致任意使用者在可以訪問目標伺服器的情況下未授權訪問redis以及讀取redis的資料。攻擊者在未授權訪問redis的情況下可以利用redis的相關方法,可以成功將自己的公...

IIS解析漏洞復現

該解析漏洞形成原因是以 asp命名的資料夾裡面的檔案都會被當作asp檔案解析!首先我們先搭建乙個iis6.0的伺服器,具體搭建方法見文章中還有一些常見的問題也幫大家寫出來了。然後我們建立乙個test.txt的文件裡面寫入hello world,然後修改字尾名將test.txt改為test.jpg 然...

IIS7 7 5解析漏洞

iis7 7.5在fast cgi執行模式下,在乙個檔案路徑 xx.jpg 後面加上 xx.php會將 xx.jpg xx.php 解析為 php 檔案。b 即二進位制 binary 模式 a 即ascii模式 xx.jpg正常檔案 yy.txt 內容 意思為寫入乙個內容為 名稱為shell.php...