Байка про експлойти 80 порта
[13:31] ВОНО: піпл, дайте ай-пі якогось придурка!!
[13:32] Хтось: 127.0.0.1
[13:32] ВОНО: дякую!
[13:32] ВОНО: зараз він здохне
[13:33] ** ВОНО вийшло з чату
А щоб вияснити прізвище та ім’я ВОНО необхідно прочитати даний матеріал до кінця. Я наведу перелік простих сигнатур котрі залишаються в логах після спроб взлому веб-сервера. Вони охоплюють перелік поширених дір сервера apache, а також можуть використовуватись для аналізу захищеності веб-проектів.
А почну я мабуть із найбільш поширеної вразливості – переповнення буферу. При такій вразливості стрічка може мати вигляд : http://ip-host/cgi-bin/test?type= 1111111111(256 разів).
Якщо веб-сервер запущений під root то зловмисник може отримати повний доступ до системи. Тобто, якщо у логах знайдете стрічку такого типу, значить сервер тестувався на предмет переповнення буферу.
Використання «<?»
Передбачає спробу внесення РНР коду. Наприклад : http://ір-host/andr.php=<? passthru("id");?> , при чому запит може бути написаний у 16-й системі числення.
Використання «<» та « >»
Символи передбачають перенаправлення вводу-виводу у файл. Приклад : "http://ip-host/andr.php=Hello" . Це належить до атаки типу SSI (Server Side Include).
Використання «!». Може статися халепа, якщо користувач натисне на таке посилання http://ip-host1/andr.php= . У такому разі файли зільються докупи andr.php та andr-bad.php, стануть одним цілим. Це також SSI.
При такій стрічці : http://ір-host/andr.php= зловмисник запустить команду id . А при такій http://ip-host/andr.php= взагалі приєднає файл із паролями .htpasswd. За замовчуванням apache не повинен бачити і мати доступ до файлів, що починаються із .ht . Проте тут ситуація трохи інша і SSI обходить цю заборону.
Використання «|». В Юнікс ця команда передбачає виконання кількох команд одночасно. Команду можна використати, наприклад, так : http://ip-host/cgi-bin/andr.cgi?page=cat%20access_log|grep%20-i%20"andr"
Використання «%00»
Це є 16-ве представлення нульового байту. Використувається для емуляції запиту іншого файлу : http://ip-host/cgi-bin/andr.cgi?page=../../../../etc/motd%00.html . Вразливість використвується при дозволених запитах виду http://ip-host/cgi-bin/andr.cgi?page=index.html .
Використання «.» «..» «...»
Ця сигнатура використовується для зміни директорії на сайті. Її найчастіше використовують у CGI дірах. Наприклад http://ip-host/cgi-bin/andr.cgi?file=../../../../etc/mount
Більшість систем-аналізаторів запитів досліджує їх «прямо», пропускаючи семантичне навантаження. Тобто, якщо представити запит у 16-й системі числення то більшість IDS можуть такий запит пропустити. І в результаті получається як в тім анекдоті : «Один процесор іншому – Які ті люди є тупими. Бешкетуємо ми, а гримають вони по моніторам.»
Тобто при створенні веб-проектів не варто використовувати тільки засоби захисту, які пропонує сервер. Цей комплект необхідно доповнити ще й своєю системою захисту. І нехай connect буде з вами ...
Recent comments
13 years 5 weeks ago
13 years 7 weeks ago
13 years 41 weeks ago
13 years 48 weeks ago
14 years 34 weeks ago
15 years 5 weeks ago
15 years 11 weeks ago
15 years 16 weeks ago
15 years 19 weeks ago
15 years 33 weeks ago