網站入侵最常用的方法有兩種:網頁注入和利用網站系統漏洞入侵。如果網站全部使用的是HTML靜態網頁,同時只開放了很少的網路端口,那麼駭客就不能對網站進行NetBIOS和IPC$入侵。遇到這種情況,有經驗的駭客會如何進行入侵呢?這時,通過“IIS寫許可權”進行入侵是他們的選擇之一。www.sq120.com推薦文章
駭客姓名:張寧
駭客特長:編寫使用各種網頁木馬
使用工具:IIS寫許可權掃描工具、IIS寫許可權利用工具
駭客自白:我喜歡研究入侵網站傳播木馬的方法,自從網頁注入這種方法流行以來,網站管理員也越來越注意對這種漏洞的防範。既然這種流行的入侵方法不行,那麼駭客就會另闢蹊徑利用一些傳統的“漏洞”進行入侵,果然利用“IIS寫許可權”駭客輕鬆入侵了很多遠程電腦。
IIS寫許可權形成原因
“IIS寫許可權”是由當年引發大漏洞的Windows WebDAV組件提供的伺服器擴展功能,主要用於直接向遠程伺服器目錄寫入檔,為管理員執行某些遠程操作提供方便。雖然這種情況被網友戲稱為“IIS寫許可權漏洞”,但是這種說法並不準確,因為這個所謂的“漏洞”的形成原因主要是由於管理員對IIS設置不當造成的。
也就是說,即使是遠程系統安裝了所有已知的安全補丁的操作系統,那麼也會因為IIS的設置不當,給遠程伺服器的安全帶來極大的隱患,因為默認配置的IIS是開放匿名寫許可權的。
因此入侵者可以向Web目錄寫入一些具有危害作用的檔,例如惡意腳本、網頁木馬、ASP木馬等。這樣就為全面入侵遠程伺服器,打開了一扇方便之門。
成功利用IIS寫許可權
首先,通過Ping命令將網站地址轉換為IP地址,接著打開IIS寫許可權掃描工具,在“Start IP”和“End IP”選項中設置網站所在的IP地址段。
為了能夠更好地進行掃描,最好將軟體默認的掃描線程由100改成20,接著點擊“Scan”按鈕即可(圖1)。另外在掃描過程中,最好關閉系統中的網路防火牆,否則會得不到程式的回饋資訊。
掃描完成後,IIS寫許可權掃描工具會將存在漏洞的遠程電腦,通過紅色感嘆號的形式反映出來。在掃描列表中選擇這個漏洞主機,點擊滑鼠右鍵中的“Put file”命令,設置上傳檔的名稱,在數據輸入框中輸入上傳檔的內容,最後點擊“PUT”按鈕即可上傳成功(圖2)。
運行IIS寫許可權利用工具,可進行ASP木馬許可權的寫入操作。將“數據包格式”選項設為“Move”,接著在“功能變數名稱”選項中設置有漏洞主機的IP地址,然後在“請求檔”選項中設置剛剛上傳的TXT檔的地址和名稱,最後點擊“提交數據包”按鈕即可將該文本檔的格式改為shell..asp(圖3)。 運行桂林老兵的遠程控制工具WSC,點擊“工具”菜單下的“SHELL管理”命令,然後在彈出的窗口設置服務端網頁的地址,然後點擊“連接→添加→修改”按鈕即可進行操作。
通過WSC可以進行“檔管理”、“SHELL命令”、“資料庫管理”、“網站監視”、“我的日誌”等管理操作,足可以讓用戶有效地管理遠程伺服器(圖4)。
擋住危險的NTFS交換數據流
目前很多殺毒軟體並不檢查交換數據流中的數據。使用NTFS交換數據流隱藏木馬的確可以起到很好的隱藏作用。
雖然微軟系統本身沒有檢測交換數據流的工具。不過,我們可以用微軟開發的Streams.exe工具(下載地址:http://download.cpcw.com)來檢查並刪除系統NTFS分區中的交換數據流。
檢查C盤中的交換數據流:Streams.exe -s c:
刪除C盤中的交換數據流:Streams.exe -d c:
檢測可疑圖片檔的交換數據流:Streams.exe -s *.jpg
刪除可疑圖片檔的交換數據流:Streams.exe -d *.jpg
另外,我們還可以借助能夠檢測交換數據流的軟體(比如超級巡警)來檢測NTFS分區和可疑檔,一旦發現問題,立即刪除。 |