隨著動網論壇的廣泛應用和動網上傳漏洞的被發現以及SQL注入式攻擊越來越多的被使用,WEBSHELL讓防火墻形同虛設�����,一臺即使打了所有微軟補丁����、只讓80端口對外開放的WEB服務器也逃不過被黑的命運����。
難道我們真的無能為力了嗎?其實,只要你弄明白了NTFS系統下的權限設置問題����,我們可以對crackers們說:NO!
要打造一臺安全的WEB服務器,那么這臺服務器就一定要使用NTFS和Windows NT/2000/2003�����。眾所周知,Windows是一個支持多用戶���、多任務的操作系統�,這是權限設置的基礎�,一切權限設置都是基于用戶和進程而言的����,不同的用戶在訪問這臺計算機時�����,將會有不同的權限�。
DOS跟WinNT的權限的分別
DOS是個單任務����、單用戶的操作系統。但是我們能說DOS沒有權限嗎?不能!當我們打開一臺裝有DOS操作系統的計算機的時候�����,我們就擁有了這個操作系統的管理員權限�����,而且�����,這個權限無處不在。所以��,我們只能說DOS不支持權限的設置�,不能說它沒有權限��。隨著人們安全意識的提高,權限設置隨著NTFS的發布誕生了。
Windows NT里�����,用戶被分成許多組����,組和組之間都有不同的權限���,當然�����,一個組的用戶和用戶之間也可以有不同的權限���。下面我們來談談NT中常見的用戶組。
Administrators,管理員組�,默認情況下,Administrators中的用戶對計算機/域有不受限制的完全訪問權���。分配給該組的默認權限允許對整個系統進行完全控制。所以,只有受信任的人員才可成為該組的成員����。
Power Users,高級用戶組��,Power Users 可以執行除了為 Administrators 組保留的任務外的其他任何操作系統任務�。分配給 Power Users 組的默認權限允許 Power Users 組的成員修改整個計算機的設置�。但Power Users 不具有將自己添加到 Administrators 組的權限�����。在權限設置中��,這個組的權限是僅次于Administrators的�。
Users:普通用戶組��,這個組的用戶無法進行有意或無意的改動。因此�����,用戶可以運行經過驗證的應用程序�,但不可以運行大多數舊版應用程序��。Users 組是最安全的組��,因為分配給該組的默認權限不允許成員修改操作系統的設置或用戶資料。Users 組提供了一個最安全的程序運行環境����。在經過 NTFS 格式化的卷上,默認安全設置旨在禁止該組的成員危及操作系統和已安裝程序的完整性�����。用戶不能修改系統注冊表設置����、操作系統文件或程序文件�����。Users 可以關閉工作站,但不能關閉服務器���。Users 可以創建本地組����,但只能修改自己創建的本地組����。
Guests:來賓組,按默認值���,來賓跟普通Users的成員有同等訪問權,但來賓帳戶的限制更多。
Everyone:顧名思義�,所有的用戶,這個計算機上的所有用戶都屬于這個組�����。
其實還有一個組也很常見����,它擁有和Administrators一樣、甚至比其還高的權限�,但是這個組不允許任何用戶的加入,在察看用戶組的時候���,它也不會被顯示出來�����,它就是SYSTEM組��。系統和系統級的服務正常運行所需要的權限都是靠它賦予的。由于該組只有這一個用戶SYSTEM�����,也許把該組歸為用戶的行列更為貼切�����。
權限實例攻擊
權限將是你的最后一道防線!那我們現在就來對這臺沒有經過任何權限設置��,全部采用Windows默認權限的服務器進行一次模擬攻擊����,看看其是否真的固若金湯���。
假設服務器外網域名為http://www.webserver.com,用掃描軟件對其進行掃描后發現開放WWW和FTP服務���,并發現其服務軟件使用的是IIS5.0和Serv-u 5.1,用一些針對他們的溢出工具后發現無效���,遂放棄直接遠程溢出的想法���。
打開網站頁面,發現使用的是動網的論壇系統�,于是在其域名后面加個/upfile.asp,發現有文件上傳漏洞���,便抓包,把修改過的ASP木馬用NC提交��,提示上傳成功�����,成功得到WEBSHELL��,打開剛剛上傳的ASP木馬���,發現有MS-SQL����、Norton Antivirus和BlackICE在運行��,判斷是防火墻上做了限制���,把SQL服務端口屏蔽了����。
通過ASP木馬查看到了Norton Antivirus和BlackICE的PID,又通過ASP木馬上傳了一個能殺掉進程的文件�,運行后殺掉了Norton Antivirus和BlackICE。再掃描����,發現1433端口開放了���,到此�,便有很多種途徑獲得管理員權限了,可以查看網站目錄下的conn.asp得到SQL的用戶名密碼����,再登陸進SQL執行添加用戶��,提管理員權限�。也可以抓SERV-U下的ServUDaemon.ini修改后上傳,得到系統管理員權限��。
還可以傳本地溢出SERV-U的工具直接添加用戶到Administrators等等���。大家可以看到,一旦黑客找到了切入點����,在沒有權限限制的情況下,黑客將一帆風順的取得管理員權限�。
那我們現在就來看看Windows 2000的默認權限設置到底是怎樣的。對于各個卷的根目錄,默認給了Everyone組完全控制權���。這意味著任何進入電腦的用戶將不受限制的在這些根目錄中為所欲為。
系統卷下有三個目錄比較特殊�,系統默認給了他們有限制的權限��,這三個目錄是Documents and settings、PRogram files和Winnt�����。對于Documents and settings��,默認的權限是這樣分配的:Administrators擁有完全控制權;Everyone擁有讀&運���,列和讀權限;Power users擁有讀&運����,列和讀權限;SYSTEM同Administrators;Users擁有讀&運����,列和讀權限。對于Program files�,Administrators擁有完全控制權;Creator owner擁有特殊權限;Power users有完全控制權;SYSTEM同Administrators;Terminal server users擁有完全控制權��,Users有讀&運����,列和讀權限。
對于Winnt����,Administrators擁有完全控制權;Creator owner擁有特殊權限;Power users有完全控制權;SYSTEM同Administrators;Users有讀&運��,列和讀權限�。而非系統卷下的所有目錄都將繼承其父目錄的權限,也就是Everyone組完全控制權!
現在大家知道為什么我們剛剛在測試的時候能一帆風順的取得管理員權限了吧?權限設置的太低了!一個人在訪問網站的時候����,將被自動賦予IUSR用戶�,它是隸屬于Guest組的。本來權限不高��,但是系統默認給的Everyone組完全控制權卻讓它“身價倍增”����,到最后能得到Administrators了���。
那么,怎樣設置權限給這臺WEB服務器才算是安全的呢?大家要牢記一句話:“最少的服務+最小的權限=最大的安全”對于服務�,不必要的話一定不要裝����,要知道服務的運行是SYSTEM級的哦��,對于權限�����,本著夠用就好的原則分配就是了�。
對于WEB服務器��,就拿剛剛那臺服務器來說�,我是這樣設置權限的�����,大家可以參考一下:各個卷的根目錄、Documents and settings以及Program files�����,只給Administrator完全控制權�,或者干脆直接把Program files給刪除掉;給系統卷的根目錄多加一個Everyone的讀、寫權;給e:www目錄�,也就是網站目錄讀����、寫權。
最后��,還要把cmd.exe這個文件給挖出來,只給Administrator完全控制權�。經過這樣的設置后���,再想通過我剛剛的方法入侵這臺服務器就是不可能完成的任務了��?����?赡苓@時候又有讀者會問:“為什么要給系統卷的根目錄一個Everyone的讀���、寫權?網站中的ASP文件運行不需要運行權限嗎?”問的好�����,有深度����。是這樣的�����,系統卷如果不給Everyone的讀�、寫權的話�,啟動計算機的時候�,計算機會報錯,而且會提示虛擬內存不足���。
當然這也有個前提----虛擬內存是分配在系統盤的�����,如果把虛擬內存分配在其他卷上���,那你就要給那個卷Everyone的讀、寫權����。ASP文件的運行方式是在服務器上執行�����,只把執行的結果傳回最終用戶的瀏覽器���,這沒錯����,但ASP文件不是系統意義上的可執行文件��,它是由WEB服務的提供者----IIS來解釋執行的����,所以它的執行并不需要運行的權限�����。
