Windows 版 (精华区)

发信人: seaman (翩翩少年), 信区: OS
标  题:  WINDOWS NT WARDOC中文译本-(21)
发信站: 紫 丁 香 (Thu Aug 19 09:43:13 1999), 转信

    这种攻击的默认URL结构是：
    http://www.someserver.com/samples/search/queryhit.htm
    这个路径反应出了进入样本页面的默认路径。如果这个路径不是一个有效路径，入侵
者就会仍然点击具有帮助作用的标题“Search This Site”链接，访问相同的信息。一旦
入侵者成功地访问到该html文档，就会出现一个包含有表格字段的Web页面。在这个表格
字段中，访问者一般都会输入他想搜索的信息。入侵者会采用一个文件名搜索字符串，
如：
    #filename=*.txt
    这个字符串会指示索引服务器通过索引的数据目录搜索任何以该文件扩展名结尾的文 
件。请记住，这个文件扩展名并不局限于索引服务器能理解的扩展名。如果索引服务器遇
到一个它不知道的文件类型，它就会把这个文件类型当作二进制来处理，并对文件名、扩
展名、日期及其它属性编写索引。这表明入侵者可搜索任何信息，包括能搜索到修复sam
的*._。有趣的是，索引服务器与其它internet搜索引擎不同，它不会显示请求者没有访
问权限的文件。也就是说，如果索引服务器返回一个它找到文件的信息，那么该文件就是
可访问的。
    入侵者会试着利用的另一个默认功能是Internet信息服务器Web管理界面。在IIS默认
的安装中，Web管理界面内置在Web根目录的”iisadmin”子目录下，这说明它的URL攻击
结构是：
    http://www.someserver.com/iisadmin
    如果管理员在这个界面上已经错误地配置了允许权限，那么，入侵者就会通过管理功
能获得对Web服务器的未授权访问。如果访问成功，就会出现一个管理工具的html界面。
根据IIS和NT处理允许权限的方法，入侵者有可能得到访问界面的权限，但没有真正采取
任何行动的允许权限。因此，如果您正在检查您自己的网络，一定要作一些小的更改，以
确定网络是不是有问题。
    在97年底和98年初曾经发生过大量的Web服务器攻击。在这些攻击中，大部分攻击都
具有一个共同点：web服务器正在运行Microsoft Frontpage Extensions。Frontpage
Extensions是很小的"web bots"，如果您愿意，即可让作者或web站点管理员执行复杂或
相关的任务。
    Frontpage Extensions存在的问题是，默认的Frontpage安装不安全，尤其是在UNIX
版本中。大量支持这些扩展名的服务器都没有设口令，或者把管理权限分配给Everyone群
组。这里的Everyone群组还是表示每个人，包括匿名连接。     
    下面，我们来看一看第一个采用Frontpage客户机软件进行的攻击。
    支持Frontpage的服务器会有若干个以字母”_vti”开头的工作目录。在任何常用的
搜索引擎上搜索默认的Frontpage目录会得到大量从引擎上返回的信息。然后，入侵者就
能对这些服务器进行简单而又反复的攻击。这种攻击的执行过程如下：
    1- 打开您自己的Frontpage个人拷贝
    2- 进入”Open frontpage web”对话框
    3- 输入您要攻击的服务器的URL或IP
    如果服务器没有设口令，或者，如果允许权限是分配给Everyone群组的，Frontpage
就会为您打开远程站点并允许您能够进行更改。这种攻击实际上是很简单的。如果扩展名
正确，就会出现用户名/口令对话。入侵者可以尝试一些基本的组合如管理员/口令。如果
入侵者有兴趣，他会一直尝试下去。
--                 

--
※ 来源:．紫 丁 香 bbs.hit.edu.cn．[FROM: vilab.hit.edu.cn]