Comprendre les vulnérabilités des serveurs vidéo à travers des exemples d'intrusion

Les serveurs vidéo fourniront un grand nombre de ressources vidéo, et la plupart d'entre eux proposent des services de visualisation et de téléchargement en ligne. Les besoins en trafic sont relativement élevés et, du point de vue du déploiement du serveur lui-même, il existe également des fonctionnalités particulières. Jetons un coup d'œil aux vulnérabilités exposées dans le serveur vidéo à travers un exemple d'intrusion .

À la recherche de vulnérabilités

Nous trouvons un but. Tout d'abord, je l'ai scanné avec un outil, et cela a montré qu'il n'y avait pas de point d'injection. J'ai seulement scanné l'arrière-plan avec Webtool, et aucun programme communautaire n'a été trouvé. Il semble qu'il soit impossible de démarrer à partir du site Web. Jetons un coup d'œil à la sécurité du système. D'après les résultats du scanner d'autorisation d'écriture IIS, nous pouvons voir qu'il n'y a pas de vulnérabilité d'écriture IIS. Nous avons utilisé Superscan pour détecter les informations de port. Comme le montre la figure 1, 3389 était en fait. ouvert. Utilisez un terminal distant pour vous connecter et découvrez que le système est un système Windows 2003. Vous pouvez désormais déterminer l'architecture du serveur : Windows 2003+IIS6.0+MSSQL+asp.

Utilisez ensuite le scanner de mot de passe faible MsSQL extrêmement rapide, raccrochez le dictionnaire et lancez l'analyse. Après quelques minutes, le mot de passe faible est analysé ! , il y avait une lueur d'espoir après avoir arrêté le serveur, puis retiré le connecteur MsSQL pour se connecter, et la connexion a réussi. Utilisez la commande dir dans le CMD de MsSQL pour rechercher le répertoire Web et exécuter echo " ">>c:"program files"viewgoodwebvodwebmediatest.asp, construit un cheval de Troie d'une phrase, déconnecté, connecté avec un client d'une phrase, entré avec succès, peut parcourir presque tous les fichiers, mais beaucoup Le répertoire n'a pas d'autorisation d'écriture. J'ai vérifié les services et les ports du système. Comme il y a trop peu de choses installées, il n'y a pas de Serv-u, PCAnywhere, Radmin, etc., il devient donc un peu difficile d'élever les privilèges.

invasion réussie

NTpass.dll a été trouvé sous c:Inetpub. Il s'agit du fichier écrit par Goldsun pour enregistrer le mot de passe de connexion au système. Accédez à %systemroot%system32eulagold.txt, où les informations d'enregistrement du programme sont stockées (%systemroot% fait référence au répertoire système, ici il devrait être c:windows), ouvrez-le avec les autorisations tout à l'heure et trouvez que de nombreuses connexions d'utilisateurs y sont enregistrées. Le mot de passe, y compris l'utilisateur invité, se connecte à l'aide du port 3389 et obtient les autorisations du bureau.

Détails du déploiement

Cette intrusion semble être davantage une question de chance, mais une analyse minutieuse est très précieuse, notamment pour que les utilisateurs puissent tirer les leçons du déploiement de sécurité des serveurs. De manière générale, on distingue les points suivants :

1. Prévention des mots de passe faibles

2. Détection de routine des fichiers du serveur

3. Pour le contrôle des utilisateurs, le serveur vidéo fournira notamment un formulaire d'adhésion Web pour vérifier les situations d'adhésion anormales.

4. Blocage des ports nécessaires