为了顺应当前形势和更好的发展,黑基网已于9月19日正式更名为【安基网】,域名更换为www.safebase.cn,请卸载旧的APP并安装新的APP,给您带来不便,敬请理解!谢谢

黑基Web安全攻防班
安基网 首页 IT技术 电脑技术 查看内容

模拟入侵20NT计算机网络安全小组

2009-2-17 10:57| 投稿: computer

摘要: 适合读者:入侵爱好者、站长前置知识:基本注入技巧脚本小子:最近国内好多黑客站连连被黑,很多都是通过跨站入侵改的主页,包括20NT也被惨遭毒手,由于空间商不听劝告,最后20NT只...
适合读者:入侵爱好者、站长前置知识:基本注入技巧脚本小子:最近国内好多黑客站连连被黑,很多都是通过跨站入侵改的主页,包括20NT也被惨遭毒手,由于空间商不听劝告,最后20NT只能被迫换空间,由此可见跨站入侵已经开始流行起来,更多的朋友也开始掌握这样的 适合读者:入侵爱好者、站长 前置知识:基本注入技巧 脚本小子:最近国内好多黑客站连连被黑,很多都是通过跨站入侵改的主页,包括20NT也被惨遭毒手,由于空间商不听劝告,最后20NT只能被迫换空间,由此可见跨站入侵已经开始流行起来,更多的朋友也开始掌握这样的技术,是时候和大家一起讨论一下关于这个方法的攻防问题了。 模拟入侵20NT计算机网络安全小组 文/图 CNT.20NT 依冰(still)   跨站入侵是因为IIS的虚拟目录没有配置好安全的权限,导致只要入侵者攻破空间服务器里的任意一个IIS虚拟空间,上传ASP木马就可以更改其它虚拟目录里的文件。因为IIS允许浏览网页权限的用户都是同一个Internet 来宾帐户,所有的虚拟空间都是以这个Internet 来宾帐户来浏览网页的,所以一旦拥有了一个权限,访问其它站点目录也就有权限了。 现在我来举一个例子,比如我空间服务器的一个虚拟目录在h:\iisweb\yibing里,“iisweb”这个目录的权限拥有者有System、Administrators、Internet 来宾帐户这三个,而且iisweb这个目录里不光只有yibing这个目录,还有好多虚拟目录,都设置的是System、Administrators、Internet来宾帐户这三个权限,因为都是继承的iisweb这个父系目录的权限。而Internet 来宾帐户所使用的系统用户名为IUSR_NETWORK-STILL,是GUEST权限,设有读取、写入权限。很显然如果iisweb下的yibing这个虚拟目录的网站被攻破,被上传了WebShell,就可以使用这个WwebShell访问iisweb这个目录以及iisweb目录下的所有子目录了。如果iisweb目录下还有一个aaa的虚拟空间目录,我们就可以使用yibing这个虚拟目录下的WebShell改aaa目录下的数据,这样就形成了跨站入侵,其实跨站入侵就是权限配置不当而造成的。   我不入地狱谁入地狱:用我的网站测试跨站入侵 这里我用自己的空间服务器做测试,原来20NT的服务器情况和我现在的差不多,大家把我们看成一样的就可以了,另外因为我是空间代理销售商,所以入侵是得到许可的,嘿嘿。我现在要改的主页地址是:http://yibing.3322.org,打开一看,只有一个静态的HTM页面(如图1所示)。 图1 想改其主页只有得到FTP用户和密码才可以,当然,也可以入侵服务器,拿到管理员权限,然后进行更换,但空间服务器很安全,通过溢出是不可能的,现在只有再找一个和它在同一服务器上的虚拟机,并有ASP程序的,然后找注入点,想办法上传WebShell,最后通过跨站改其主页。   想找这台服务器上的其它站点,可以登录http://www.webhosting.info/这个网站查找服务器上捆绑的国际域名。在IE浏览器里输入http://www.webhosting.info/,在“Search:”里输入服务器的IP,然后点击“GO”按扭,就会查到有多少个国际域名指向这台服务器(如图2所示)。   图2 如果你不想记这么长的网址,可以用桂林老兵编写的虚拟主机站点查询工具,不过它也是通过http://www.webhosting.info/进行查找的,只是用起来更方便些(如图3所示)。   图3 就这样,我查出了所指向这台服务器的国际域名,然后打开这些网站,找找看哪个站的ASP程序有注入漏洞。呵呵,不幸被我找到了一个动网论坛,是7.0,没有打SP2,可能是刚刚上传的,因为没有开什么版块。就拿它开刀吧,用动网上传漏洞的利用程序上传一个ASP后门,利用方法很简单,黑防以前也有过相关文章,我在这里就不多说了。   现在,有了一个WebShell,所有的分区都进不去,看来都加了权限,但是iisweb目录可以浏览(如图4所示)。   图4 里面有几十个目录,一眼就看到了。现在我们就来改yibing这个目录里的首页,点击进入yibing目录,然后点右边的那个index.htm的“edit”就可以编辑主页了(如图5所示)。   图5 把要改的数据写在里面,然后点击“保存”按扭,再刷新一下主页看看,是不是被改成刚刚填写的内容了?   普度众生方能成佛:教你防范跨站入侵   现在我来给大家讲讲如何进行防范跨站入侵。有两种方法,第一是把iisweb这个目录Internet 来宾帐户给删掉,只给虚拟目录加上Internet 来宾帐户权限,意思是让入侵浏览不到iisweb目录,这样他就找不到要攻击的虚拟目录了,除非他对空间服务器下的目录都非常熟悉,这种熟悉程序我想管理员都不会有吧?如果不熟悉,就让他自己猜吧,我想猜到的几率是很小的,只要管理员把目录名起的复杂点就可以方法了。第二种方法是给各个虚拟目录加上特定的用户,也就是说有多少个虚拟空间就开多少个系统用户,这样就限制了跨站入侵,因为入侵者只能在自己攻破的那个虚拟目录里活动,跑不到别的虚拟目录里。   好了,根据上面的思路,我就来实际做一下吧。先使用第一种方法来实现,打开h盘,选择iisweb目录,点击鼠标右键,选择“属性”,在“属性”里点击“安全”标签,选择“Internet 来宾帐户”(如图6所示)。   图6 然后删除来宾帐户,再进入iisweb目录,把里面的所有虚拟目录都加上“Internet 来宾帐户”权限,在下面的读取和写入权限上打钩,如果你觉得一个一个的设麻烦,可以全部选择要添加权限的虚拟目录,一并把它们全设了(如图7所示),这样就搞定了。   图7 现在,我们来做一下第二种方法的防范,打开CMD,先用net user 用户名 /add命令建几个GUESTS权限的用户,然后打开IIS管理器,选择一个要设置的虚拟机,点右键选择属性里的“目录安全性”标签,然后点击上面第一个“编辑”按扭,会出现一个“身份验证方法”的对话框,点“浏览”按扭添加于这个虚拟机相对应刚刚建的系统用户(如图8所示)。   图8   脚本小子:建立用户的时候,IIS里有几个虚拟机就建几个用户,最后用户名和FTP帐号相同,因为便于管理。   设置好后确定退出。一定要注意,服务器上有几个虚拟机就加几个Guests权限的用户,然后一个一个的把系统里自带的那个Internet 来宾帐户用这种方法替换掉。 现在我们来设置虚拟目录的权限,打开iisweb目录,顺便把iisweb目录上的那个系统默认的Internet 来宾帐户删掉,然后一个一个的设虚拟目录,比如我系统里刚刚建了一个yibing的Guests权限用户,而我的一个虚拟机的虚拟目录名也是yibing,就可以把yibing这个Guests权限用户添加到yibing这个虚拟目录上,要读取和写入权限就可以。然后依次这样设置,千万不要把一个用户设在两个不同的虚拟目录上,一般虚拟目录上只设Aministrators权限和刚建的相对应的那个Guests权限用户就可以,把其它的都删掉。记得虚拟机和虚拟目录一定要对应好,如果不对应好虚拟机在被浏览时会出错。第二种方法虽然繁琐点,但是要比第一种方法安全。当你都设好后用WebShell木马检测下,会发现想跨站入侵已经不可能了。   现在还有好多空间服务器存在这种问题,还是希望国内的安全意识加强些。好了,就写到这里吧,如果有什么问题可以到《黑客防线》的官方论坛来和我探讨。

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部