攻防博弈第二幕:绕过验证,偷走服务器中商业数据
网络安全
博弈主题:入侵数据服务器
技术难度:★★★★
重点知识:IIS6访问漏洞利用
如今越来越多的企业为了提高工作效率,将一些机密文件或者内部文件放置在企业自己的数据服务器上,虽然采取了许多防范措施,不过这样真的就安全了吗?
HTTP错误的背后
上期黑客K成功入侵了雇主对手UU公司的网站,获取不少该网站的资料,不过黑客K的任务并没有结束……
杜金穿着一件舒适的睡衣坐在电脑前的真皮座椅上,一边看着黑客K发来的对手UU公司的网站资料,一边端着一杯刚刚磨好的咖啡,细细品味着其中淡淡的苦涩,咖啡的香醇令人心醉。杜金用手扶了一下他的LESS黑框眼镜,这是他的一个习惯性的动作,每当思考问题的时候他总是扶一下眼镜。
半个小时后,看完资料的杜金接见了黑客K,一个略显紧张穿着前卫的年轻人。黑客K向他汇报了自己的任务进度,他看得出杜金并不满意自己提交的资料。“这些资料的价值不高!我需要更多的机密信息,你的进度得加快!”杜金语气坚定地再次对黑客K下达了命令。杜金知道,掌握对手UU公司越多信息,对自己的TT公司就越有利。
“我尽力吧。”说完这句话,黑客K吹着口哨离开了杜金的房间,回到了属于自己的网络世界,继续寻找雇主对手UU公司的敏感数据。在UU公司的网站上,黑客K熟练地找到了该公司数据服务器上的机密文件路径,这是上一次入侵网站获取的成果。但是只有路径现在并不能够解决问题,因为路径中的文件都不允许黑客K下载,虽然黑客K使出了迅雷、网际快车、BitComet等最常用的一些下载工具试图将文件拖回来,但是都没有成功。
常规的方法已经完全失效了,黑客K眉头紧皱,思索着如何突破这个服务器的限制,从URL网络链接地址直接访问,IE浏览器提示黑客K“你没有权限查看该网页”,错误的类型属于“HTTP 错误 403.6 ” 。
HTTP 错误 403.6?黑客K搜索着大脑中的记忆,这似乎是服务器对访问的IP地址作了限制,如果服务器含有不允许访问此站点的 IP地址列表,而访问的 IP地址在此列表中,就会导致此错误发生。
显然,黑客K的地址明显被网站拒之门外了。遇到这种情况,黑客K只能够自认倒霉,看来得另寻他路了。黑客K调出X-San扫描器开始对服务器进行扫描,一番狂扫之后,黑客K没有寻觅到任何有直接利用价值的漏洞,服务器的常规安全做的似乎还不错,端口也只开启了常见的21、80和8080,表面没有任何问题。
小知识: 我们可以把一个端口想像成一个小队,不同的端口代表不同小队,操作系统为各个进程分配了不同的端口(也就是分配了不同的小队),数据包排队进入相应的小队中,等待被进程取用。操作系统允许各进程指定和调整自己的小队的大小。
泄露天机的IIS漏洞
黑客K判断21端口应该是FTP端口,他尝试着用默认匿名用户名与密码登录了一下,没有成功,如果FTP允许匿名登录,那也太白痴了,想到这里黑客K自己笑了笑。排除了21端口,那么可以利用的只有8080端口了。
黑客K调出网络瑞士军刀NC,输入“C:\>nc -vv www. zhongdonggongsi.com 8080 GET https://127.1.1.1/ HTTP/1.0”后,返回了这个数据服务器首页的HTML代码。通过返回代码判断,这绝对是一台代理服务器,不过HTTP代理没有将本地地址127.0.0.1设置过滤。这个错误让黑客K有了思路,他想通过这个配置错误或许可以绕过这台数据服务器的IP地址限制,直接入侵进入服务器。
但是使用《多线程网站后台扫描工具》和《啊D注入工具》对网站地址一番扫描折腾后无一收获。毕竟是商业数据服务器,通常会在这样的服务器上放置脚本程序的几率非常低。
黑客K再一次用NC,通过“C:\>nc -vv www. zhongdong gongsi.com8080 GET https://127.1.1.1/zhongdonggongsi/jimi/xiangmu_2008.txt HTTP/1.0”代理请求获取其中的TXT文件,但是服务器对Internet目录作了基本会话身份验证,请求根本无法被通过,这个获取的途径再一次被堵死了(见图)。
一时间黑客K完全没有了思路,他拿起桌边那杯没有加糖的咖啡,慢慢地喝着,思索着解决的方法与途径。黑客K随意的翻着自己的笔记资料,突然他发现笔记中记载着一条有关“Microsoft IIS Hit Highlighting绕过访问认证漏洞”的笔记。
黑客K迅速地仔细查阅了一下,笔记中说Microsoft IIS在处理访问认证时存在漏洞,远程攻击者可以利用此漏洞非授权访问文件。而造成漏洞的原因为IIS的Webhits.dll中所提供的Hit-highlighting功能仅依赖于Microsoft Windows NT ACL配置而不依赖于ISS认证配置。如果匿名用户能够通过恶意的URL请求向Null.htw对象传送CiWebhitsfile参数的话,Hit- highlighting就可能返回该用户无权访问的受保护文档或ASP代码。
小提示:IIS是Internet Information Server(因特网信息服务器)的缩写。它可以实现Web(www网站服务)、FTP(下载服务)、SMTP(邮件服务)等功能。
或许是咖啡的作用,或许是看到了希望,黑客K迅速兴奋了起来。他找到了这个漏洞的详细利用方法,发现他只须要通过.htw格式的脚本,就可以轻松绕过服务器的认证限制,读取包括ASPX和TXT在内的文件。
他迅速调出NC,先使用“nc -vv www. zhongdonggongsi.com 8080”连通UU公司数据服务器上的代理服务,然后使用输入“CET https://127.0.0.1:80/null.htw?CiWeb hitsfile=/jimi/xiangmu_2008.txt&CiRestriction=b&CiHiliteTy pe=full”。
由于命令中请求的Null.htw文件只是一个储存在系统内存中的虚拟文件,并不是真正的系统映射文件,因此即便管理员已经从系统中删除了所有的.htw文件,也无济于事。Null.htw文件依然会按照默认的请求让Webhits.dll进行处理,本来限制读取的文件就可以被读出来了。
终于获得了想要的东西,黑客K长长的舒了一口气,可以交差了……
封堵IIS绕过访问认证漏洞
事后黑客K自己也想笑,因为管理员想防范Microsoft IIS Webhits.dll绕过访问认证漏洞这种小把戏实在是太简单了,仅仅需要在“控制面板”单击“添加/删除 Windows 组件”,然后将 “索引服务”前面的钩去掉并单击“下一步” 即可。
如果网站必须开启索引服务和搜索词突出显示组件,应确保 .htw 文件的脚本映射启用了“检查文件是否存在”选项。开启脚本映射方法如下:启动 IIS 管理器,依次单击“开始→运行”,键入 “inetmgr”,然后单击“确定”。在弹出的导航窗格中,双击“处理程序映射”,在弹出的“处理程序映射”表中找到“.htw”的映射。双击该映射,单击“请求限制→仅当请求映射至以下内容时才调用处理程序”,并确保选中“文件”即可。
黑客小游戏
上期答案见右图。本期游戏的题目是:杜金、黑客K和小蝶三人去咖啡馆喝咖啡,他们每人要的不是蓝山咖啡就是卡布提诺。如果杜金要的是蓝山咖啡,那么黑客K要的就是卡布提诺。杜金或小蝶要的是蓝山咖啡,但是不会两人都要蓝山咖啡。黑客K和小蝶不会两人都要卡布提诺。谁昨天要的是蓝山咖啡,今天要的是卡布提诺?如果你成功想出答案,不妨到《电脑报》论坛http://www.cpcw.com/hd/f/hk.html把答案和大家分享交流一下。
