Verstehen Sie die Schwachstellen von Videoservern anhand von Einbruchsbeispielen

Videoserver stellen eine große Anzahl von Videoressourcen bereit, und die meisten von ihnen bieten Online-Anzeige- und Download-Dienste. Der Verkehrsbedarf ist relativ hoch und aus Sicht der Bereitstellung des Servers selbst gibt es auch einige Besonderheiten. Werfen wir einen Blick auf die im Videoserver aufgedeckten Schwachstellen anhand eines Einbruchsbeispiels .

Auf der Suche nach Schwachstellen

Wir finden einen Zweck. Zuerst habe ich es mit einem Tool gescannt und festgestellt, dass es keinen Injektionspunkt gibt. Ich habe nur den Hintergrund mit Webtool gescannt und es wurde kein Community-Programm gefunden. Es scheint, dass es unmöglich ist, von der Website aus zu starten. Werfen wir einen Blick auf die Sicherheit des Systems. Aus den Ergebnissen des IIS-Schreibberechtigungsscanners können wir ersehen, dass es keine IIS-Schreibschwachstelle gibt. Wie in Abbildung 1 gezeigt, war 3389 tatsächlich vorhanden geöffnet. Melden Sie sich über ein Remote-Terminal an und stellen Sie fest, dass es sich bei dem System um ein Windows 2003-System handelt. Jetzt können Sie grundsätzlich die Serverarchitektur bestimmen: Windows 2003+IIS6.0+MSSQL+asp.

Dann verwenden Sie den extrem schnellen MsSQL-Scanner für schwache Passwörter, legen Sie das Wörterbuch auf und beginnen Sie mit dem Scannen. Nach ein paar Minuten ist das schwache Passwort gescannt! Nach dem Herunterfahren des Servers gab es einen Hoffnungsschimmer. Dann wurde der MsSQL-Connector herausgenommen, um eine Verbindung herzustellen, und die Verbindung war erfolgreich. Verwenden Sie den Befehl dir im CMD von MsSQL, um das Webverzeichnis zu finden und echo " auszuführen. „>>c:“Programmdateien“viewgoodwebvodwebmediatest.asp, erstellt einen Ein-Satz-Trojaner, trennt die Verbindung, verbindet sich mit einem Ein-Satz-Client, erfolgreich eingegeben, kann fast alle Dateien durchsuchen, aber viele Das Verzeichnis hat keine Schreibberechtigung. Da zu wenige Dinge installiert sind, gibt es kein Serv-u, PCAnywhere, Radmin usw., daher wird es etwas schwierig, die Berechtigungen zu erweitern.

erfolgreiche Invasion

NTpass.dll wurde unter c:Inetpub gefunden. Dies ist die von Goldsun geschriebene Datei zum Aufzeichnen des System-Anmeldekennworts. Gehen Sie zu %systemroot%system32eulagold.txt, wo die Programmdatensatzinformationen gespeichert sind (%systemroot% bezieht sich auf das Systemverzeichnis, hier sollte es c:windows sein), öffnen Sie es gerade mit den Berechtigungen und finden Sie es Viele Benutzeranmeldungen werden darin aufgezeichnet, einschließlich des Gastbenutzers. Melden Sie sich über Port 3389 an und erhalten Sie Desktop-Berechtigungen.

Bereitstellungsdetails

Bei diesem Eindringen scheint es eher um Glück zu gehen, aber eine sorgfältige Analyse ist durchaus wertvoll, insbesondere damit Benutzer aus der Sicherheitsbereitstellung von Servern lernen können. Generell gibt es folgende Punkte:

1. Verhinderung schwacher Passwörter

2. Routinemäßige Erkennung von Serverdateien

3. Zur Benutzerkontrolle stellt insbesondere der Videoserver ein Web-Mitgliedschaftsformular zur Verfügung, um ungewöhnliche Mitgliedschaftssituationen zu überprüfen.

4. Blockierung notwendiger Ports