模拟入侵20NT计算机网络安全小组

社区服务
高级搜索
猴岛论坛电脑百科模拟入侵20NT计算机网络安全小组
发帖 回复
倒序阅读 最近浏览的帖子最近浏览的版块
« 返回列表
1个回复

模拟入侵20NT计算机网络安全小组

 楼层直达
happylove11

ZxID:1328382

等级: 上校
态度决定一切

举报 只看楼主 使用道具 楼主   发表于: 2009-01-13 0
适合读者:入侵爱好者、站长

前置知识:基本注入技巧

脚本小子:最近国内好多黑客站连连被黑,很多都是通过跨站入侵改的主页,包括20NT也被惨遭毒手,由于空间商不听劝告,最后20NT只能被迫换空间,由此可见跨站入侵已经开始流行起来,更多的朋友也开始掌握这样的
适合读者:入侵爱好者、站长
前置知识:基本注入技巧
脚本小子:最近国内好多黑客站连连被黑,很多都是通过跨站入侵改的主页,包括20NT也被惨遭毒手,由于空间商不听劝告,最后20NT只能被迫换空间,由此可见跨站入侵已经开始流行起来,更多的朋友也开始掌握这样的技术,是时候和大家一起讨论一下关于这个方法的攻防问题了。
模拟入侵20NT计算机网络安全小组
/ CNT.20NT 依冰(still)
  跨站入侵是因为IIS的虚拟目录没有配置好安全的权限,导致只要入侵者攻破空间服务器里的任意一个IIS虚拟空间,上传ASP木马就可以更改其它虚拟目录里的文件。因为IIS允许浏览网页权限的用户都是同一个Internet 来宾帐户,所有的虚拟空间都是以这个Internet 来宾帐户来浏览网页的,所以一旦拥有了一个权限,访问其它站点目录也就有权限了。
现在我来举一个例子,比如我空间服务器的一个虚拟目录在h:\iisweb\yibing里,“iisweb”这个目录的权限拥有者有SystemAdministratorsInternet 来宾帐户这三个,而且iisweb这个目录里不光只有yibing这个目录,还有好多虚拟目录,都设置的是SystemAdministratorsInternet来宾帐户这三个权限,因为都是继承的iisweb这个父系目录的权限。而Internet 来宾帐户所使用的系统用户名为IUSR_NETWORK-STILL,是GUEST权限,设有读取、写入权限。很显然如果iisweb下的yibing这个虚拟目录的网站被攻破,被上传了WebShell,就可以使用这个WwebShell访问iisweb这个目录以及iisweb目录下的所有子目录了。如果iisweb目录下还有一个aaa的虚拟空间目录,我们就可以使用yibing这个虚拟目录下的WebShellaaa目录下的数据,这样就形成了跨站入侵,其实跨站入侵就是权限配置不当而造成的。
 

我不入地狱谁入地狱:用我的网站测试跨站入侵

这里我用自己的空间服务器做测试,原来20NT的服务器情况和我现在的差不多,大家把我们看成一样的就可以了,另外因为我是空间*****销售商,所以入侵是得到许可的,嘿嘿。我现在要改的主页地址是:http://yibing.3322.org,打开一看,只有一个静态的HTM页面(如图1所示)。




1
想改其主页只有得到FTP用户和密码才可以,当然,也可以入侵服务器,拿到管理员权限,然后进行更换,但空间服务器很安全,通过溢出是不可能的,现在只有再找一个和它在同一服务器上的虚拟机,并有ASP程序的,然后找注入点,想办法上传WebShell,最后通过跨站改其主页。
  想找这台服务器上的其它站点,可以登录http://www.webhosting.info/这个网站查找服务器上捆绑的国际域名。在IE浏览器里输入http://www.webhosting.info/,在“Search:”里输入服务器的IP,然后点击“GO”按扭,就会查到有多少个国际域名指向这台服务器(如图2所示)。
 


2
如果你不想记这么长的网址,可以用桂林老兵编写的虚拟主机站点查询工具,不过它也是通过http://www.webhosting.info/进行查找的,只是用起来更方便些(如图3所示)。
 


3
就这样,我查出了所指向这台服务器的国际域名,然后打开这些网站,找找看哪个站的ASP程序有注入漏洞。呵呵,不幸被我找到了一个动网论坛,是7.0,没有打SP2,可能是刚刚上传的,因为没有开什么版块。就拿它开刀吧,用动网上传漏洞的利用程序上传一个ASP后门,利用方法很简单,黑防以前也有过相关文章,我在这里就不多说了。
  现在,有了一个WebShell,所有的分区都进不去,看来都加了权限,但是iisweb目录可以浏览(如图4所示)。
 


4
里面有几十个目录,一眼就看到了。现在我们就来改yibing这个目录里的首页,点击进入yibing目录,然后点右边的那个index.htm的“edit”就可以编辑主页了(如图5所示)。
 


5
把要改的数据写在里面,然后点击“保存”按扭,再刷新一下主页看看,是不是被改成刚刚填写的内容了?
 

普度众生方能成佛:教你防范跨站入侵

  现在我来给大家讲讲如何进行防范跨站入侵。有两种方法,第一是把iisweb这个目录Internet 来宾帐户给删掉,只给虚拟目录加上Internet 来宾帐户权限,意思是让入侵浏览不到iisweb目录,这样他就找不到要攻击的虚拟目录了,除非他对空间服务器下的目录都非常熟悉,这种熟悉程序我想管理员都不会有吧?如果不熟悉,就让他自己猜吧,我想猜到的几率是很小的,只要管理员把目录名起的复杂点就可以方法了。第二种方法是给各个虚拟目录加上特定的用户,也就是说有多少个虚拟空间就开多少个系统用户,这样就限制了跨站入侵,因为入侵者只能在自己攻破的那个虚拟目录里活动,跑不到别的虚拟目录里。
  好了,根据上面的思路,我就来实际做一下吧。先使用第一种方法来实现,打开h盘,选择iisweb目录,点击鼠标右键,选择“属性”,在“属性”里点击“安全”标签,选择“Internet 来宾帐户”(如图6所示)。
 


6
然后删除来宾帐户,再进入iisweb目录,把里面的所有虚拟目录都加上“Internet 来宾帐户”权限,在下面的读取和写入权限上打钩,如果你觉得一个一个的设麻烦,可以全部选择要添加权限的虚拟目录,一并把它们全设了(如图7所示),这样就搞定了。
 


7
现在,我们来做一下第二种方法的防范,打开CMD,先用net user 用户名 /add命令建几个GUESTS权限的用户,然后打开IIS管理器,选择一个要设置的虚拟机,点右键选择属性里的“目录安全性”标签,然后点击上面第一个“编辑”按扭,会出现一个“身份验证方法”的对话框,点“浏览”按扭添加于这个虚拟机相对应刚刚建的系统用户(如图8所示)。
 


8
 

脚本小子:建立用户的时候,IIS里有几个虚拟机就建几个用户,最后用户名和FTP帐号相同,因为便于管理。

 

设置好后确定退出。一定要注意,服务器上有几个虚拟机就加几个Guests权限的用户,然后一个一个的把系统里自带的那个Internet 来宾帐户用这种方法替换掉。
现在我们来设置虚拟目录的权限,打开iisweb目录,顺便把iisweb目录上的那个系统默认的Internet 来宾帐户删掉,然后一个一个的设虚拟目录,比如我系统里刚刚建了一个yibingGuests权限用户,而我的一个虚拟机的虚拟目录名也是yibing,就可以把yibing这个Guests权限用户添加到yibing这个虚拟目录上,要读取和写入权限就可以。然后依次这样设置,千万不要把一个用户设在两个不同的虚拟目录上,一般虚拟目录上只设Aministrators权限和刚建的相对应的那个Guests权限用户就可以,把其它的都删掉。记得虚拟机和虚拟目录一定要对应好,如果不对应好虚拟机在被浏览时会出错。第二种方法虽然繁琐点,但是要比第一种方法安全。当你都设好后用WebShell木马检测下,会发现想跨站入侵已经不可能了。
  现在还有好多空间服务器存在这种问题,还是希望国内的安全意识加强些。好了,就写到这里吧。
打赏 收藏 新鲜事

相关主题

回复 引用
  鲜花[0]  鸡蛋[0]
梦、倾城

ZxID:2413321

等级: 少将
无奈秋风花落去,又到明年

举报 只看该作者 沙发   发表于: 2009-01-15 0
这些对新站长帮助很大  推荐看看  
华灯初放、今夜、谁以我为真?
回复 引用 新鲜事
  鲜花[0]  鸡蛋[0]
« 返回列表
发帖 回复