침입 사례를 통해 비디오 서버의 취약점을 파악

비디오 서버는 수많은 비디오 리소스를 제공하며 대부분은 온라인 보기 및 다운로드 서비스를 제공합니다. 트래픽 요구 사항은 상대적으로 높으며 서버 자체 배포의 관점에서 볼 때 몇 가지 특별한 기능도 있습니다. 침입 사례를 통해 비디오 서버에 노출된 취약점을 살펴보겠습니다 .

취약점 찾기

우리는 목적을 찾습니다. 먼저 툴로 스캔해 보니 인젝션 포인트가 없는 것으로 나오네요.. 웹툴로 배경만 스캔해봤는데 커뮤니티 프로그램은 발견되지 않네요. 웹사이트에서는 시작이 안되는거 같습니다. 시스템의 보안을 살펴보면 IIS 쓰기 권한 검사 결과에는 IIS 쓰기 취약점이 없음을 알 수 있습니다. 그림 1에서 볼 수 있듯이 실제로 3389가 포트 정보를 탐지했습니다. 열었습니다. 원격 터미널을 사용하여 로그인하고 시스템이 Windows 2003 시스템인지 확인합니다. 이제 기본적으로 서버 아키텍처(Windows 2003+IIS6.0+MSSQL+asp)를 확인할 수 있습니다.

그런 다음 매우 빠른 MsSQL 취약한 비밀번호 스캐너를 사용하고 사전을 끊고 검색을 시작하세요. 몇 분 후에 취약한 비밀번호가 검색됩니다! , 서버를 철거한 후 희미한 희망이 있었고, 이어서 MsSQL 커넥터를 꺼내서 연결했는데, 연결에 성공했습니다. MsSQL의 CMD에서 dir 명령을 사용하여 웹 디렉터리를 찾고 echo "를 실행합니다. ”>>c:”program files”viewgoodwebvodwebmediatest.asp, 한 문장으로 구성된 트로이 목마 생성, 연결 끊김, 한 문장 클라이언트에 연결, 성공적으로 입력, 거의 모든 파일을 탐색할 수 있지만 많은 디렉터리 쓰기 권한이 없습니다.. 시스템 서비스와 포트를 확인해 봤습니다. 설치된 것들이 너무 적어서 Serv-u, PCAnywhere, Radmin 등이 없어서 권한 승격이 조금 어려워집니다.

성공적인 침공

NTpass.dll은 c:Inetpub에서 발견되었습니다. 이는 Goldsun이 시스템 로그인 비밀번호를 기록하기 위해 작성한 파일입니다. 프로그램 레코드 정보가 저장된 %systemroot%system32eulagold.txt로 이동하여(%systemroot%는 시스템 디렉터리를 나타내며 여기서는 c:windows여야 함) 지금 권한으로 열고 다음을 찾습니다. Guest 사용자를 포함한 많은 사용자 로그인이 여기에 기록됩니다. 포트 3389를 사용하여 로그인하고 데스크톱 권한을 얻으십시오.

배포 세부정보

이번 침입은 운에 따른 것으로 보이지만 특히 사용자가 서버의 보안 배포를 통해 배울 수 있는 점에서는 신중한 분석이 매우 중요합니다. 일반적으로 다음과 같은 사항이 있습니다.

1. 취약한 비밀번호 예방

2. 서버 파일의 일상적인 탐지

3. 사용자 제어를 위해 특히 비디오 서버에서는 비정상적인 회원 상황을 확인할 수 있는 웹 회원 양식을 제공합니다.

4. 필요한 포트 차단