资源预览内容
第1页 / 共70页
第2页 / 共70页
第3页 / 共70页
第4页 / 共70页
第5页 / 共70页
第6页 / 共70页
第7页 / 共70页
第8页 / 共70页
第9页 / 共70页
第10页 / 共70页
亲,该文档总共70页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
IT系统深度安全,汇报目录,安全案例 H3C安全产品发展历程 H3C安全解决方案 H3C成功案例分析,选中攻 击目标,获取普通 用户权限,擦除入 侵痕迹,安装 后门,获取超级 用户权限,攻击其它 主机,获取或 修改信息,从事其它 非法活动,破坏型、入侵型,信息 收集,确定操作系统、应用服务、端口、社会工程学等,可以做简单入侵或提升权限的准备,网络攻击示意图,根据本地漏洞 提高权限,系统日值 Rootkit等,网络攻击实例,PCWeek的一次悬赏评测 目标: WinNT、RedHat 6.0 应用: 为报刊类站点设计的分类广告系统 NT: ASP、IIS、MTS、SQL Server7 Linux:Apache、mod_perl Securelinux.hackpcweek.com Securent.hackpcweek.com 目标: 修改主页或获取绝密文件top secret。,前期踩点,搜寻对方系统 发现被防火墙保护,Lemming:# telnet securelinux.hackpcweek.com 80 Trying 208.184.64.170 Connected to securelinux.hackpcweek.com. Escape character is . POST X HTTP/1.0 HTTP/1.1 400 Bad Request Date: Fri, 24 Sep 1999 23:42:15 GMT Server: Apache/1.3.6 (Unix) (Red Hat/Linux) () Connection closed by foreign host Lemming:#,探测结果:运行Apache的Red Hat主机,应该有mod_perl, 没有发现,尝试常见的CGI漏洞(tect-cgi、wwwboard、count.cgi )等,未发现问题,登录网站,发现目录结构(/、/cgi-bin、/photoads、/photods/cgi-bin等),设定目标,重点对象 Photoads软件 www.hoffice.com出品的软件包 找到一份默认安装 发现:http:/securelinux.hackpcweek.com/photoads/ads_data.pl 查询photoads/cgi-bin/photo_cfg.pl,没有实现 Env.cgi获得文件目录/home/httpd/html,以nobody用户权限来运行,第一次攻击, for SSI for mod_perl 系统虑过了大部分的输入,几乎没有找到什么问题 Post.cgi 出现了一个变量 Print “you are trying to post an AD from another URL:$ENVHTTP_PEFERERn”; $ENVHTTP_PEFERER 是一个用户提供的变量,没有做输入过滤,可以嵌入代码 使用工具: getit.ssi getit.mod_perl 使用方法: lemming:# cat getit.ssi | nc securelinux.hackpcweek.com 80 机器没有配置SSI和mod_perl,所以尝试没有成功 第一次失败,改变思路,从查找cgi 漏洞入手 perl 的漏洞一般出在open()、system()、系统调用 系统查找结果 没有system()和系统调用,出现了open() Lemming:/photoads/cgi-bin# grep open.*(.*) *cgi | more avisory.cgi: open (DATA, “$BaseDir/$dataFile”); edit.cgi: open (DATA, “$BaseDir/$dataFile”); edit.cgi: open (MAIL, “|$mailprog t”) | die “Cant open $mailprog!n”; Photo.cgi: open (ULFD. “$write_file”) | dir show_upload_failed(“$write_file $!”); Photo.cgi open (File, $filename ); () Photo.cgi 132行 $write_file=$Upload_Dir$filename; Open(ULFD, “$write_file”) | die show_upload_failed(“$write_file”); Ptint ULFD $UPLOAD FILE_CONTENT Close (ULFD),查找变量定义,$write_file=$Upload_Dir.$filename Photo.cgi第226行定义 If(!$UPLOADFILE_NAME) show_file_not_found(); $filename = lc($UPLOADFILE_NAME); $filename = s/.+(+)$|.+V(V+)$1/; If ($filename=m/gif/) $type=gif; elsif ($filename=m/jpg/) $type=jpg; else &Not_Valid_Image 查找CGI相关漏洞文章 发现 /jfs/export/www/htdocs/index.html%00.gif 的漏洞,检查已经很完善了,检查了特殊字符的输入、必须为GIF或者JPG的文件才能够上传。 避免出现 /etc/passwd 的现象 似乎无懈可击!,如果是POST发布则不会解释00的代码,故应使用GET方式上传,攻击的详细过程,其它文件检查 Photo.cgi 256行规定了上传图片文件的大小,主要是长、宽,不符合要求将被改写 Pcweek将JPG文件的ImageSize=0 所以找到GIF文件作为突破口 If ( substr ( $filename, -4, 4) e “.gif”) Open ( FILE, $filename ); My $head; My $gHeadFmt = “6vvb8cc”; My $pictDescFmt = “vvvb8”; Read FILE, $head 13; (my $Gif8a,$width,$height,my $resFlags, my $bgColor, my $w2h) = uppack $gHeadFmt,$head; close FILE; $PhotoWidth = $width; $PhotoHeight = $height; $PhotoSize = $Size; Return,攻击的详细过程,Photo.cgi 140行 If ($photoWidth eq “”) | ($PhotoWidth700) ,文件名必须是数字,密码限制了字节 又不能使用/的手法了,暴露出的问题,Rename()函数没有校验,出错会跳过去 出错的方法,超常文件名 Linux默认最长文件名为1024个字节 系统提示只能上传已经存在编号的广告图片 又是一个死胡同 ?_? 寻找Edit.cgi,发现能够自己建立一个新的广告文件编号 输入一个名字回车1024个数字创建一个文件编号 大收获! 因为系统设置NOBODY可以运行,故上传文件,设计一个文件有专门为GIF留有的文件头 发现不能改名 index.html为管理员所有,或没有写权限。 但是可以修改CGI教本,于是在不影响系统运行的情况下,加入Advisory.cgi 首战告捷!,柳暗花明,但是当教本第一次运行Shell的时候必须加以说明,如: #!/bin/sh Echo “Content-type:text/html” Find /”*secret*” print 但是我们的文件必须满足文件尺寸大小的规定,按照标准则应为 #!/bi00000000n/sh 没有这么短就能执行的SHELL 死胡同第二次 !_! Linux下默认的ELF(可执行文件),给了我们一个提示 将文本文件转成16进制文件,将里面的00转为0X00,则一举两得!Sing 构造一个ELF文件使之符合URL标准,Apache的最常URL为8190个字符 还有1024个字符的数字,ELF文件只有7000个字节空间 是一个很小的程序,真正的编程工作,1.设计一个小型的C程序 2.将之编译 3.使之符合URL规范 发现是7600个字节,太大了 对这个二进制文件进行优化,剩余4535个字节 上传这个文件 可以调用系统命令进行ls、Find、Locate等命令 没有发现Top secret文件 为什么? 绝密文件没有放在nobody可以访问的文件夹中! 解决方法 需要ROOT权限!,为了最高权限,通过脚本查找系统版本、应用服务版本 查到crontab漏洞(可以在bugtraq/securityfocus中找到) 目的就是有一个nobody有权限使用的shell就可以了 繁忙编写程序中 完成后重新上传文件,检查运行状态,发现suidroot 最后的工作: 1.上传文件 2.改名 3.Copy到相应目录 攻击完成了! 历时20个小时,简单回顾,让我们来回顾攻击的全过程,修改主页,目标 开始探测程 第一个隐患 得出结论 价值,获取 绝密文件,系 统 检 测,Linux RedHat Apache,Windows NT IIS,开放80端口,应用广告程序,确 定 攻 击 方 向,获 取 软 件 并 分 析,口令文件的 存放位置,程序以 Nobody 身份运行,文件存放目录,无用,有用,下一节,回顾第二部分,第二次攻击 结果 系统分析,常 用 编 写 教 本,上一节,SSI,Mod_perl,没 有 配 置,查脚本漏洞 分析软件,系统调用,System(),Open(),$write_file,$filename,文件名称检测 只能是数字的名称 必须是.gif或.jpg,获取 信息,发现漏洞:index.html%00.gif,只能以GET 方式上传,Jpg禁止上传,Gif可以上传,下一节,回顾第三部分,Gif可以上传,系统分析 结果 二次系统分析,文件尺寸检查 必须设定尺寸标记 默认为350*250,上一节,文件名只能是数字,密码框屏蔽 特殊字符,尝试上传,只能上传 已存在的文件,Edit.cgi,编辑现有文件,创建新文件,文件改名,Rename()有1024字节的bug,再次上传,成功!,改名index.html,不成功 没有权限,下一节,离成功只有一步之遥,上一节,可以改为cgi文件,扩大战果 编程实战,图片尺寸,脚本语言,无法两者都满足,ELF,改为.elf,上传,编译,优化,编程,调用系统命令,没有绝密文件,必须拥有root权限!,最终成功,调用系统命令,发现系统漏洞,提升自身权限,编写程序,改名,上传,复制,攻击成功,其它安全事件,下载DOS 政府网站木马入侵,汇报目录,安全案例 H3C安全产品发展历程 H3C安全解决方案 H3C成功案例分析,ITOIP,以IP技术为核心的四大产品集群构成ITOIP的支撑,华为3Com安全理念安全渗透,网络的发展演变,安全发展演变,包过滤,软件 防火墙,路由器 ACLs,以太网,Hubs,bridge,Switches HW Routers,Multi-layer Swi
收藏 下载该资源
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号