本文通过三个场景展示了如何利用Web服务器日志文件中的信息进行网络***。包括通过日志文件找到内部网络入口、获取用户凭证及敏感信息的过程。
也许是观念问题。当你浏览了使服务器安全的所有步骤,很难想像几个小的信息的用途。但是***们没有看到你对网络安全已经做的,只看到你没有做的。开发者和管理员确切地弄明白什么信息对***是有用的也有一些困难。
例如,几个Windows管理员采取措施保护他们的IIS日志文件。一般在IIS机器上,我能发现自从服务器安装以来每个曾经创建的日志文件。
***怎么使用日志文件?
场景1
有一次,我闯进了一家卖高价通信业简讯公司的Web服务器。公司有五种不同的简讯,每种简讯每年的订价是$1,000。我也注意到订单包括一个让公司自动在你订购结束后再发来让你信用卡付费账单的选项。这意味着公司保存着信用卡号。而且不只是一些信用卡号——还有高限额的公司卡。
闯入了Web服务器以后,我认识到它是一个没有连接到公司网络的共存的服务器,公司没有把真实的信用卡信息保存在Web服务器上,所以它证明那儿没有什么有用东西。下一步我要弄明白这个公司实际上在Internet的哪个地方,那正是迟早会有用的IIS日志文件所在的地方。
浏览日志,很清楚,一些IP地址比另外一些IP地址更常出现。我考虑这个公司的员工会比任何别的人更常访问他们的Web站点,我是正确的。这些IP地址把我带到了一个不安全的DSL,连接到他们的公司办公室再连到秘书的PC。就在她的Windows桌面上是一个Excel电子表格,名字叫rebills.xls。
场景2
从前我试图***一个×××站点。通常,×××站点没有好的列表,因为用来订购的信用卡有一半已经被偷了。但是×××站点确实提供了一个可用在其他***中的很好的信息源。我并不真正进入服务器,但是我通过一些巧妙的猜测来查找地点(管理员保存日志文件的一个目录)。
许多Web浏览器有一个功能,可以方便地把用户名和密码作为URL的一部分输入。如果用户名是joe,密码是joe99,可以这样输入URL:
许多人没有意识到的是:你浏览的每个URL都会把前一个URL显示为Web服务器日志文件的参考字符串。日志条目看上去是这样:
我浏览日志并收集了用户名和密码的列表。通过我做的一个脚本试了列表中每个用户名/密码来访问几个流行的Web站点,例如:Hotmail,Yahoo!,eBay,PayPal,E*Trade等等。人们时常为不同的账号使用相同的用户名和密码。
许多人没有意识到的是:你浏览的每个URL都会把前一个URL显示为Web服务器日志文件的参考字符串。日志条目看上去是这样:
我浏览日志并收集了用户名和密码的列表。通过我做的一个脚本试了列表中每个用户名/密码来访问几个流行的Web站点,例如:Hotmail,Yahoo!,eBay,PayPal,E*Trade等等。人们时常为不同的账号使用相同的用户名和密码。
显然这就是为什么我想要别人的PayPal账号和Hotmail账号的原因?答案是当有人标记某事时,他们常常获得有用户名/密码的确认邮件,有时候还有其他的识别信息。这些E-mail总是建议用户将E-mail保存下来以后参考。我要去的第一个地方是保存的E-mail文件夹,看看我能收集什么其他的信息。都怪一些×××站点不保留其日志文件。
场景3
在拥有一个服务器后,我喜欢浏览日志文件来寻找其他***者的证据。我首先这样做是因为我不想竞争,第二其他***们常因不小心而被抓住。如果一个***被抓住,就会使公司因害怕而更安全,然后那也成了我的问题。我宁愿没有任何别的人在我的服务器上。所以我搜集日志文件并打上漏洞补丁。
除了日志文件还有其他地方可以找到信息。在攻入服务器之后我首先要做的一件事情是检查最近的文档历史、cookies、回收站以及Windows注册表中许多最近使用过(MRU)的列表。我这样做是因为,我认为如果什么东西是重要的,那么管理员很可能在过去的30天之内访问过。从那儿,我就发现了他们访问了哪个Web站点,是否安装了FTP客户端。这些似乎都不重要,但这是能使我进一步进入到他们网络的信息。
我收集所发现的全部信息。事实上我要找的就是数字、名字、地址、日期等信息。我每天盯着成千上万的消费者的名字,但是现在他们看上去对我都一样了:不过是字符串,数据库中的字段,线路的字节。我是一个杰出的***,我的成功之处就是没有人知道我真的是这么好。
dis-card:我要退出去了。
temor:再见。
我一关闭机器,dis-card就不再存在了。我上床睡觉,第二天早上醒来就去上班。第二天晚上,我再登录进来,又开始整个过程,挣钱太容易了。
本文节选自电子工业出版社2005年3月出版的《网络盗窃——10个******的故事》。
dis-card:我要退出去了。
temor:再见。
我一关闭机器,dis-card就不再存在了。我上床睡觉,第二天早上醒来就去上班。第二天晚上,我再登录进来,又开始整个过程,挣钱太容易了。
本文节选自电子工业出版社2005年3月出版的《网络盗窃——10个******的故事》。
近期活动:
2009.11.12-13 北京美泉宫饭店
看雪、褚诚云、Kris Kaspersky……大腕专家与您分享软件安全前沿话题!
在线报名>>
特别优惠:
1、如果您于2009年9月30日前报名并于2009年11月10日前缴纳参会费用,即可获赠价值300元的由电子工业出版社出版的图书。
2、如果您于2009年10月20日前报名并于2009年11月10日前缴纳参会费用,即可获赠价值200元的由电子工业出版社出版的图书。
3、如果您于2009年11月10日前报名并于2009年11月10日前缴纳参会费用,即可获赠价值100元的由电子工业出版社出版的图书。
2、如果您于2009年10月20日前报名并于2009年11月10日前缴纳参会费用,即可获赠价值200元的由电子工业出版社出版的图书。
3、如果您于2009年11月10日前报名并于2009年11月10日前缴纳参会费用,即可获赠价值100元的由电子工业出版社出版的图书。
转载于:https://blog.51cto.com/broadviewsec/206623
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
