【入侵】+【防御】骇客入侵ASP+Access或ASP+MSSQL网站的手法+防御

本帖最后由 冷月星辰 于 2010-7-29 14:34 编辑

1.【ASP+ACCESS入侵方式】
1.用啊D或明小子扫描检测是否有注入点。
2.扫描ACCESS数据库里的管理员的帐号和密码，但是密码一般都是用MD5加密过的，大家可以到其他
MD5网站里破解。
3.扫描网站的后台地址，然后用破解出来的帐号和密码登录后台，找到文件上传的地方，利用ASP上传漏洞上传ASP木马，但是有不少网站都限制了上传ASP文件的类型，一般来说ASP为后缀的文件都不允许上传。但是这种限制是可以被骇客突破的。比如：把ASP扩展名修改成asa，aaspsp，cer后进行上传ASP木马。获得WEBSHELL
如不能上传asa，aaspsp，cer文件格式，也可以利用备份功能，首先找到文件上传功能，上传一个ASP木马但是要注意：把ASP木马的扩展名改成JPG或GIF后缀的，然后找到后台的数据库备份把要备份的文件后缀改成.ASP。获得WEBSHELL
或用采取上传一个正常的JPG图片用抓包工具抓包得到图片的上传路径和COOKIE，然后利用桂林老兵或明小子进行上传的欺骗方式来上传ASP木马，如上传失败用UE修改数据包再用NC上传。获得WEBSHELL。
还有一种方法就是现在很多网站的管理员都很懒，都没修改数据库默认路径和后台的默认路径。
（尤其是国内很多的管理员都很懒！甚至连后台的用户名和密码都懒的修改！这样菜鸟们就可以利用数据库默认的路径下载到本地然后用“辅臣数据库浏览器”查看管理员用户名和密码，但是密码一般都是用MD5加密过的，大家可以到其他MD5网站里破解。然后找到后台的默认路径将破解出来的用户名和密码进行登陆，登陆后就用以上的方式获得WEBSHELL）
如以上的都不行就用提交一句话木马的入侵方式
这种入侵方式是对一些数据库地址被改成asp文件的网站来实施入侵。骇客通过利用一些论坛存在的安全漏洞提交一句话木马到数据库里，然后在一句话木马的客户端里输入这个网站的数据库地址并提交一个ASP木马，从而获得WEBSHELL。
最典型的就是动网6.0版本论坛漏洞的利用入侵方式，7.0版本都存在安全漏洞，我就拿7.0版本来说吧。
首先注册一个正常的用户，然后去发一个帖子，发帖子的时候在附件里上传一个正常的JPG图片，用抓包工具抓包得到图片的上传路径和COOKIE，然后利用桂林老兵或明小子进行上传的欺骗方式来上传ASP木马，如上传失败用UE修改数据包再用NC上传。获得WEBSHELL。

2.【ASP+MSSQL注入方式】
MSSQL通常会给用户分配一个帐号，帐号的权限分为三种SA，dbowner，public，SA权限最高，public最低。
以前有很多数据库都给SA权限 ，特别是一些韩国的网站，一扫一大把都是SA权限的，现在大部分网站都是给DBOWNER权限。
如是SA权限的网站有注入点，那么可以直接用数据库的存储扩展XP_CMDSHELL来执行系统命令，建立一个系统帐号，然后通过3389登录进去。
或者上传一个NC，然后用NC反向连接，获取一个远程的SHELL权限。
（当然利用SA注入点入侵的方法还有很多种，我在这里就不一一讲解。）
如是DB_OWNER权限的话，那么就要用到差异备份的技术来备份出一个WEBSHELL，前提是要知道网站的绝对路径。
或利用DB_OWNER权限列出数据库，然后下载到本地用“辅臣数据库浏览器”查看管理员用户名和密码，但是密码一般都是用MD5加密过的，大家可以到其他MD5网站里破解。然后找到后台地址将破解出来的用户名和密码进行登陆，登陆后就用以上的方式获得WEBSHELL。
如以上都不成功那么可以试试一下的！

3.【旁注方式】
这种技术是通过IP绑定域名查询的功能查出服务器上有多少网站，然后通过一些薄弱的网站实施入侵，拿到权限之后转而控制服务器的其它网站（跨站）。

4.【利用百度或Google批量入侵方式】
这种技术方式是用GOOGLE来搜索一些存在安全漏洞的网站，我简单列出GOOGLE的一些语法的使用方法：
intext:
这个就是把网页中的正文内容中的某个字符做为搜索条件.例如在google里输入:intext:红盟.将返回所有在网页正文部分包含"红盟"的网页
.allintext:使用方法和intext类似.
intitle:
和上面那个intext差不多，搜索网页标题中是否有我所要找的字符.例如搜索:intitle:红客.将返回所有网页标题中包含"红客"的网页.同理allintitle:也同intitle类似.
cache:
搜索google里关于某些内容的缓存，有时候也许能找到一些好东西哦.
define:
搜索某个词语的定义，搜索:define:hacker，将返回关于hacker的定义.
filetype:
这个我要重点推荐一下，无论是撒网式攻击还是我后面要说的对特定目标进行信息收集都需要用到这个.搜索指定类型的文件.例如输入:filetype:
doc.将返回所有以doc结尾的文件URL.当然如果你找.bak、.mdb或.inc也是可以的，获得的信息也许会更丰富
:filetype:doc.将返回所有以doc结尾的文件URL.当然如果你找.bak、.mdb或.inc也是可以的，获得的信息也许会更丰富
info:
查找指定站点的一些基本信息.
inurl:
搜索我指定的字符是否存在于URL中.例如输入:inurl:admin，将返回N个类似于这样的连接:http://www.xxx.com/xxx/admin，用来找管理员登陆的URL不错.allinurl也同inurl类似，可指定多个字符。
link:
例如搜索:inurl:www.jz5u.com可以返回所有和[url]www.jz5u.com[/url]做了链接的URL.
site:
这个也很有用，例如:site:www.jz5u.com将返回所有和jz5u.com这个站有关的URL.
对了还有一些*作符也是很有用的:
+ 把google可能忽略的字列如查询范围
- 把某个字忽略
~ 同意词
. 单一的通配符
* 通配符，可代表多个字母
"" 精确查询
现在简单来讲解一些实例：
对于一些骇客来说，获取密码文件是他们最感兴趣的，那么可以在GOOGLE上搜索以下内容：
intitle:"index of" etc
intitle:"index of" passwd
intitle:"index of" pwd.db
intitle:"index of" etc/shadow
intitle:"index of" master.passwd
intitle:"index of" htpasswd
这样就会有很多一些服务器的重要密码文件没有任何保护的暴露在网络上，骇客就会利用这些密码来获取系统的一些权限。
以上骇客通过WEB的入侵技术我只是做了简单的介绍，目的是希望大家对骇客技术有一定的了解，但不希望大家利用这些技术来实施入侵。我想大家就很想知道对于这么多形形色色的入侵方式，有些什么好的防御方法。
现在大家都知道了骇客是如何入侵网站的，那么下面我就来讲讲怎样来防御基于WEB的各种攻击。
网站和服务器的一些安全防范，防范WEB入侵有两种方式，一种是用技术手段来防御攻击，另一种是用安全软件来防御攻击。

【手动的方式来防范基于WEB的入侵】
1.【安装补丁】
安装好操作系统之后，首先要做的就是要安装系统的各种补丁程序，配置好网络之后，如果是WIN 2000的操作系统就装上SP4，WIN 2003就安装好SP1，然后点击WINDOWS UPDATE，安装好所有关键的更新。

2.【安装杀毒软件】
杀毒软件我现在主要推荐使用两款：卡巴斯基和瑞星。这两款杀毒软件我做过N多测试，结果表明卡巴斯基的杀查能力要强过瑞星，很多做过免杀的木马过得了瑞星但是确逃不过卡巴斯基的法眼，当然卡巴斯基也不是百分百所有病毒都能查杀，一些木马程序也是能做出过卡巴斯基的免杀。只不过卡巴斯基在所有杀毒软件当中查杀能力还算是不错的。

3.【设置端口的安全保护功能】
端口保护的方式有两种，一种是TCP/IP筛选里面进行端口设置，另外一种系统自带的防火墙（我以WINDOWS 2003操作系统为准，现在大部分的网站都使用的是WINDOWS 2003操作系统。）

4.【TCP/IP筛选的端口设置方式】
在“网上邻居”上选右键点开“属性”，然后在“本地连接”上右键点开“属性”，选择“Internet协议（TCP/IP）”点“属性”，然后在弹出的“Internet协议（TCP/IP）属性”框里选择“高级”，然后在“高级TCP/IP设置”框里选择“选项”，然后选择“TCP/IP筛选”后点击“属性”，然后在弹出的“TCP/IP筛选”的框里勾上“启用TCP/IP筛选（所有适配器）”，选择只允许，然后点击添加你所需要开放的端口。

5.【自带防火墙的端口设置】
通过WINDOWS 2003操作系统自带的防火墙来进行端口设置比较灵活，不用重新启动服务器。开始设置，在“网上邻居”上选右键点开“属性”，然后在“本地连接”上右键点开“属性”，在弹出的框里选择“高级”，选择“Internet连接防火墙”点击设置，这样就会弹出“WINDOWS 防火墙”的框。选择“启用”，然后点“例外”，在这个里面可以选择“添加程序”和“添加端口”的方式来设置一些开放的端口。有一点需要特别注意，如果是远程连接服务器的，要注意远程虚拟终端的端口一定要开放。

6.【目录的安全设置】
包括系统盘在内的所有磁盘只给Administrators和SYSTEM的完全控制权限。
C:\Documents and Settings 目录只给Administrators和SYSTEM的完全控制权限。
C:\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限。C: \Inetpub 目录及下面所有目录、文件只给 Administrators 组和 SYSTEM 的完全控制权限。C:\Windows目录除了给Administrators和SYSTEM的完全控制权限之外，还需要给CREATOR OWNER用一个“特别的权限”，Power Users用户组除了完全控制之外的所有权限，Users用户组“读取和运行”，“列出文件夹目录”，“读取”的权限。C:\Windows目录的这些权限设置是非常重要的，如果除了Administrators和SYSTEM的完全控制权限之外的那些权限没有设置，那么系统重启后，很多系统服务都不能正常使用。
C: \Windows\System32\cacls.exe、cmd.exe、net.exe，、net1.exe 文件只给 Administrators 组和 SYSTEM 的完全控制权限。

7.【IIS控制帐号的权限分配】
现在骇客的入侵技术当中，有一种技术叫网站旁注入侵，这种技术方式上面骇客入侵技术环节已经讲过了，是通过服务器里面一个有漏洞网站的来实施入侵，成功获取权限之后转而控制其它网站。那大家就想知道这个问题是由于什么原因导致的。原来IIS对于远程的普通用户访问是设置了一个专用的“IUSR_机器名”的帐号。那么正因为IIS用“IUSR_机器名”的帐号来管理所有网站访问权限，因此骇客就可以用到这种旁注入侵技术了。那么怎么来解决这个问题？很简单，我给每个网站分别设置一个单独的IIS控制帐号，IIS控制帐号的权限设为GUESTS组就可以。这样即使骇客通过服务器的一个网站拿到权限，那他也只有这个网站的权限，服务器其它网站他都没有权限可以访问，骇客对服务器破坏的风险降低了，那么安全就相对提高了。

8.【注入漏洞的修补以及上传文件类型的限制】
这两个部分是各位网站程序员所必须关注的，骇客对网站实施入侵的过程中，80％会用到网站的注入点和上传漏洞来实施入侵。注入漏洞的修补可以使用网上一些现成的修补代码，如ASP通用防注入组件，防注入代码完美版等，但是我还是建议网站程序员稍微花点时间自己来写防注入代码，这样会比较安全可靠。上传文件类型的限制这个写起来也不难，只允许用户上传你们网站所要用到的文件类型，限制好文件类型，特别不要让ASP，ASA等扩展名的文件上传上来，然后对文件的头文件进行一个检查，发现有ASP木马特征的就限制上传。当然，现在的骇客越来越聪明，ASP木马大部分都使用一句话木马，然后还会对代码进行各种各样的变形处理来逃过网站的限制以及杀毒软件的查杀。对于这些免杀技术的木马用ASP代码的方式很难防范，最好使用安全产品来进行防御。

9.【SQL权限的安全设置】
ASP+MSSQL是骇客最感兴趣的网站，通常骇客能很轻松的利用MSSQL的漏洞拿到系统权限，因此这一块是大家要加以重视。
首先系统安装的时候，尽量不要默认安装到c:\Program files目录里面，然后安装好之后要打好SQL数据库最新的补丁程序。然后数据库不要放在默认的位置，接下来就要看网站是否需要远程登录sql服务器，我建议能不用远程就不要用，如果必须使用的话，那建议大家可以把端口改成一个高端端口，这样骇客很难找到。
在做好安全安装的工作之后，就要把SA设置一个复杂的密码，然后把SQL里面的BUILTIN\Administrators用户组删除，这样是避免骇客以WINDOWS身份登录SQL。接着在企业管理器里面编辑SQL Server注册属性，选择使用“使用SQL Server身份验证”并勾选“总是提示输入登录名和密码”。
然后在增加用户的时候，只给public和db_owner权限。
添加用户
exec sp_addlogin 'abc'
使它变为当前数据库的合法用户
exec sp_grantdbaccess N'abc'
授予abc用户对数据库的db_owner权限
exec sp_addrolemember N'db_owner'， N'abc'
最后就要删除一些骇客常用到的调用SHELL，操作注册表，调用COM组件的权限。
打开查询分析器，输入：
use master
EXEC sp_dropextendedproc 'xp_cmdshell'
EXEC sp_dropextendedproc 'Sp_OACreate'
EXEC sp_dropextendedproc 'Sp_OADestroy'
EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo'
EXEC sp_dropextendedproc 'Sp_OAGetProperty'
EXEC sp_dropextendedproc 'Sp_OAMethod'
EXEC sp_dropextendedproc 'Sp_OASetProperty'
EXEC sp_dropextendedproc 'Sp_OAStop'
EXEC sp_dropextendedproc 'Xp_regaddmultistring'
EXEC sp_dropextendedproc 'Xp_regdeletekey'
EXEC sp_dropextendedproc 'Xp_regdeletevalue'
EXEC sp_dropextendedproc 'Xp_regenumvalues'
EXEC sp_dropextendedproc 'Xp_regread'
EXEC sp_dropextendedproc 'Xp_regremovemultistring'
EXEC sp_dropextendedproc 'Xp_regwrite'
drop procedure sp_makewebtask
点击菜单上“查询”里面的“执行”，这样就可以把这些会被骇客利用的权限删除掉。