小菜小谈旁注攻击
一。旁注是为何物:只要是搞脚本的朋友,对旁注没有不陌生的。^_^旁注,旁注,顾名思义是从旁注入。有点声东击西的味道在里面。
其实跟大部分人提起旁注,他们会说:要拿下目标网站,就从与目标网站同在一个服务器上的其他站上下手。
解释并没有错,但是呢旁注并不是这单单的一种。事实上旁注分为狭义的旁注和广义的旁注。
广义旁注就是我们刚刚讲的那种。而狭义呢,呵呵,其实也很简单,就是同个网站上不同的组件之间的注入攻击。
举个列子,譬如今年3月份,dvbbs(就是我们常说的“洞网”)7.1的boke.asp注入漏洞。这是个blog小程序,但是
存在注入漏洞还有跨站漏洞,也就是说当攻击者对dvbbs这个论坛没办法下手的时候,居然蹦出个boke.asp^_^。
从这里入手,就可以直取网站webshell。这就是狭义的旁注攻击。
谈完形式,咱们来说说原理吧:
“旁注WEB综合检测程序”一款由黑客动画吧的明小子出品的旁注专用程序,大家一定不陌生吧,这个工具里面
有个域名->IP>查询 就能查到与目标网站同在一个服务器上的网站了,这是根据什么原理呢。
它就是利用了whois技术。大家知道平时大家使用的DNS域名需要统一向美国的国际域名组织进行注册,为了方便管理
,国际域名组织将域名信息放到了whois查询系统中。如此一来,只要我们得到IP,通过这个 whois的查询,
在它的域名记录里就能找到所有解析到这个IP域名信息。
其实我们也可以直接登陆到[url]http://whios.webhosting.info[/url]这个站上去查IP的域名绑定情况。
从whois的查询来看,给人一种似乎这种查询是无法避免的,其实不然,虽然如果一旦被解出某域名的IP,
之后这些过程是无法避免的。那我们是否可以在之前让whois在解析的时候解析错误呢?
回答是肯定的,原因就是whois查到的IP就是我们域名管理的A记录中填写的IP地址,也就是说如果我们在A记录的
IP填写一个错误的解析地址的话,那这样whois查到的IP自然是错误的IP咯。但是我们还必须在A处在新增一个
一模一样的域名。这样一来不但可以防止人家查到真正的域名,连域名也能正常解析。 二。旁注的攻击流程:
其实说起攻击流程明小子的工具就是一个很好的流程图。
相信攻击大家一定会用,所以攻击流程,我也就不献丑了。大家自然心领神会了。
三。旁注的防范:
谈防范,我就先得谈原理。
黑客对网站的入侵无外乎:利用漏洞上传马儿获得webshell,然而这并不是他们的最终目的,大家都知道,黑客要的是
主机的最高权限。何为最高权限:上传马儿得到后门,开3389或者pcanywhere或者radmin对之类的远控程序的能够以系统最高用户登陆等等。
网站动态脚本也无外乎asp,php,jsp在老一点的还有cgi。这些动态脚本架设的站站都存在入侵的可能。其实我们只要分析一下
脚本木马的工作原理或者说脚本木马的工作得已以来的系统组件。
以ASP为列子:在注册表中存在shell.application,wscript.shell这些危险的脚本对象(玩过海阳的对这两个东西都不陌生^_^)
其实我们只要对它改名就行了,这样一来ASP木马在创建的时候找不到相应的脚本对象,那它还不汗死^_^.
下面是一般ASP木马运行所以依赖的组件:
wscript.shell(classid:72C24DD5-D70A-438B-8A42-98424B88AFB8)
wscript.shell.1(classid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B)
wscript.network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
wscript.network.1(classid:093FF999-1EA0-4079-9525-9614C3504B74)
filesystem object(classid:0D43FE01-F093-11CF-8940-00A0C9054228)
adodb.stream(classid:{00000566-0000-0010-8000-00AA006D2EA4})
(一).filesystemobject组件的一些相关设置
说了这些ASP所依赖的组件,下面我们就来说说filesystemobject的一些相关设置,以此我们来阻击ASP木马的运行。
FILESYSTEM OBJECT即文件系统对象。这个组件为ASP木马提供了强大的文件系统访问能力,可以对服务器上的任何文件进行读,写,复制,删除,改名等操作。
但是当我们禁用这些组件了之后,ASP木马就会失去它原有的活力。换句话说,只要是依赖这个组件的ASP文件都无法运行(包括正常ASP文件),这对网站来说可是一个无法磨灭的阴影。
那么我们怎么样做到既不删除(或禁用)这些组件,又可以满足网站的需求呢?这时候我们就需要借助其他技术来实现了。
来听听泡菜是怎么说的吧^_^
其实很简单rename就可以搞定,就是通过修改注册表,将此组件改名,以此来防止此类的脚本木马的运行。
下面我们来谈具体操作步骤:
1.打开这个键值:(我直接截图了filesystemobject.BMP,打出来麻烦,还容易打错^_^)改它的名,大家可以加个什么符号了什么的,容易记就行。不过,以后在调用的时候要记得调用这个名字哦,如果不在调用
的时候相应的改名的话,你的文件也是无法运行的。 2.打开这个键值:(截图FILESYSTEMOBJECTCLSID.BMP)把CLSID改下,也可以删。不过泡菜不推荐你删。^_^其实也没什么大问题,不过我注册表的东西还是小心为好。
3.也可以注销此组件。命令:regsrv32 /u c:\winnt\system\scrrun.dll
这里还有个要注意的,就是我得到某个网站的webshell,这个webshell也只是guests权限的。即使管理员把权限放的很大,什么盘都能看,还能写。但是我们还是guests权限的。
为什么,不信你去加个用户试试,一片空白对吧?没错,因为无论网站的权限设置的再怎么垃圾,我们还只是guests权限的。
那么作为管理员如果禁止guests用户使用scrrun.all的话,那么我们的webshell也就无法调用文件系统对象这个组件了。好了下面是命令:
cacls c:\winnt\sysytem32\scrrun.all /e /d guests 呵呵 很熟悉吧。就是cacls命令。
(二)wscript.shell&shell.application组件的一些相关设置
wscript.shell&shell.application都属于可以调用系统内核运行dos基本命令的组件,泡菜就把他们放在一起讲吧。
还是老办法改注册表rename它。
键值我都截图了(wscript.shell.bmp,shell.application.bmp),方法和前面一样 改键值顺便改了CLSID(shell.applicationclsid.bmp).顺便说了我们可以禁止GUESTS用户来调用它。还是cacls命令:cacls c:\winnt\system32\shell32.dll /e /d guests
(三)CMD.EXE的调用
基本上每个脚本木马身上都会背着一个CMD.EXE(某小菜:这不是废话嘛^_^)
呵呵,那我们就把它禁止GUESTS用户调用吧。
cacls c:\winnt\system32\cmd.exe /e /d guests
说了组件的防范,还有一个要说的就是目录的设置了。一些读写权一定要分配的合理,不然你的站站被人家给咔嚓,可别说泡菜没提醒过你哦 ^_^
顺便提一款工具就是“雷客图”,这东西就是管理员用来查找服务器上的脚本木马的(某小菜:汗``我还当什么呢,我的马儿可是编译过的哦,卡吧大叔都拿它没办法,小小的雷客算个鸟)
呵呵,可别小看它哦。不管你是加密的还是免杀的,它都给你杀的片甲不留。(某小菜:怕怕)
聪明的你一定想到了吧,呵呵没错 如果我们在入侵得到了一个网站的WEBSHELL了之后,把它传上去,完了这么一扫,嘿嘿,如果这个站已经被其他黑友搞过的话,那他在那里留的后门不也
被你找到了,怎么办?不用我教了吧,呵呵。
页:
[1]