网站入侵最常用的方法有两种:网页注入和利用网站系统漏洞入侵。如果网站全部使用的是HTML静态网页,同时只开放了很少的网络端口,那么黑客就不能对网站进行NetBIOS和IPC$入侵。遇到这种情况,有经验的黑客会如何进行入侵呢?这时,通过“IIS写权限”进行入侵是他们的选择之一。www.dxs89.com推荐文章
黑客姓名:张宁
黑客特长:编写使用各种网页木马
使用工具:IIS写权限扫描工具、IIS写权限利用工具
黑客自白:我喜欢研究入侵网站传播木马的方法,自从网页注入这种方法流行以来,网站管理员也越来越注意对这种漏洞的防范。既然这种流行的入侵方法不行,那么黑客就会另辟蹊径利用一些传统的“漏洞”进行入侵,果然利用“IIS写权限”黑客轻松入侵了很多远程计算机。
IIS写权限形成原因
“IIS写权限”是由当年引发大漏洞的Windows WebDAV组件提供的服务器扩展功能,主要用于直接向远程服务器目录写入文件,为管理员执行某些远程操作提供方便。虽然这种情况被网友戏称为“IIS写权限漏洞”,但是这种说法并不准确,因为这个所谓的“漏洞”的形成原因主要是由于管理员对IIS设置不当造成的。
也就是说,即使是远程系统安装了所有已知的安全补丁的操作系统,那么也会因为IIS的设置不当,给远程服务器的安全带来极大的隐患,因为默认配置的IIS是开放匿名写权限的。
因此入侵者可以向Web目录写入一些具有危害作用的文件,例如恶意脚本、网页木马、ASP木马等。这样就为全面入侵远程服务器,打开了一扇方便之门。
成功利用IIS写权限
首先,通过Ping命令将网站地址转换为IP地址,接着打开IIS写权限扫描工具,在“Start IP”和“End IP”选项中设置网站所在的IP地址段。
为了能够更好地进行扫描,最好将软件默认的扫描线程由100改成20,接着点击“Scan”按钮即可(图1)。另外在扫描过程中,最好关闭系统中的网络防火墙,否则会得不到程序的反馈信息。
扫描完成后,IIS写权限扫描工具会将存在漏洞的远程计算机,通过红色感叹号的形式反映出来。在扫描列表中选择这个漏洞主机,点击鼠标右键中的“Put file”命令,设置上传文件的名称,在数据输入框中输入上传文件的内容,最后点击“PUT”按钮即可上传成功(图2)。
运行IIS写权限利用工具,可进行ASP木马权限的写入操作。将“数据包格式”选项设为“Move”,接着在“域名”选项中设置有漏洞主机的IP地址,然后在“请求文件”选项中设置刚刚上传的TXT文件的地址和名称,最后点击“提交数据包”按钮即可将该文本文件的格式改为shell..asp(图3)。 运行桂林老兵的远程控制工具WSC,点击“工具”菜单下的“SHELL管理”命令,然后在弹出的窗口设置服务端网页的地址,然后点击“连接→添加→修改”按钮即可进行操作。
通过WSC可以进行“文件管理”、“SHELL命令”、“数据库管理”、“网站监视”、“我的日志”等管理操作,足可以让用户有效地管理远程服务器(图4)。
挡住危险的NTFS交换数据流
目前很多杀毒软件并不检查交换数据流中的数据。使用NTFS交换数据流隐藏木马的确可以起到很好的隐藏作用。
虽然微软系统本身没有检测交换数据流的工具。不过,我们可以用微软开发的Streams.exe工具(下载地址:http://download.cpcw.com)来检查并删除系统NTFS分区中的交换数据流。
检查C盘中的交换数据流:Streams.exe -s c:
删除C盘中的交换数据流:Streams.exe -d c:
检测可疑图片文件的交换数据流:Streams.exe -s *.jpg
删除可疑图片文件的交换数据流:Streams.exe -d *.jpg
另外,我们还可以借助能够检测交换数据流的软件(比如超级巡警)来检测NTFS分区和可疑文件,一旦发现问题,立即删除。