Virtual Servers
2.2 应用剖析
2.2.2 剖析所用的搜索工具
搜索引擎始终是黑客最好的朋友。至少一个主要的互联网搜索引擎在过去至少索引过一 次你的目标Web 应用,这是件很好的事情。在本书编写的时候最流行和有效的搜索引擎包括 Google、Bing、 Yahoo、 Ask、 AOL 和许多其他搜索引擎(你可以在本章结尾的“参考与延伸阅 读”小节中找到链接)。
我们最喜欢的是Google。下面是我们在采用基于搜索引擎的方法对 Web 应用进行剖析时 利用的一些基本技术(下面的例子根据Google 的语法):
● 使用“site:www.victim.com”(包括引号)搜索特定的网站,查找包含 site:www.victim.
com 的 URL。
● 使用 related:www.victim.com 搜索与特定网站相关的页面,返回与 www.victim.com 相关 的更有针对性的结果。
● 检查从 Google 存档中取出网页内容的“缓冲”结果。这样,你可以查看网站中的特定 页面,而不用离开舒适的www.google.com。这就像一个超级代理!
● 调查被称作相似页面的搜索结果链接。这些工作和前面的“related”关键字相似。
● 检查包含新闻组帖子的搜索结果,查看是否有与网站相关的帖子。这可能包含用户对登
他带来一些收入。通过研究,Bob知道大部分防病毒软件能够发现预编译的bot程序,因此他决 定获取一份源代码来编译自己的bot。Bob专门订购了一个通过HTTP上的SSL与他租赁的主机通 信的bot程序,从而减少了bot出站通信被安全软件拦截的几率。因为Bot使用HTTP上的SSL,
bot的所有通信流量将被加密并且能够通过大部分内容过滤技术。Bob在各种搜索引擎上注册了 广告经营者(Ad Syndicator),作为广告经营者,他将在自己的网站上显示来自搜索引擎的广 告轮换程序(如AdSense)的广告,对于他在网站上的每次广告单击,他可以得到一点小小的 收入(几分钱)。
Bob使用一些与bot一同订购的利用程序(exploits),加上一些订购的应用程序级漏洞来入 侵全世界的Web服务器。使用标准的Web开发工具,他修改了网站上的HTML或者PHP页面,
载入他的广告经营用户名和密码,这样他的广告就代替了网站自己的广告。实际上,Bob强迫 他所破解的网站加入广告经营,这样当用户单击这些广告时,就将把钱送给他,而不是实际的 网站经营者。这种通过用户单击网站广告赚钱的方法被称为按单击付费广告(pay-per-click,
PPC),是Google所有收入的来源。
接下来,Bob使用armadillo packer软件打包恶意软件,使它看上去像来自于公司CEO的一 个新PowerPoint幻灯片文件。他编写一封具体的定制电子邮件,让主管们相信附件是合法的并 且来自于CEO。 服务器发送命令和带有具体数据的控制消息来进行交互。由于Bob的bot程序通过HTTP进行通 信,所以不用担心所感染的机器上运行的防火墙阻挡bot访问他所租赁的Web服务器,因为大 部分防火墙都允许端口443上的出站通信。而且,他也不用担心Web内容过滤,因为传输的数 据看上去是无害的。另外,当他打算窃取查看受害者公司集团的PowerPoint幻灯片的财务数据 时,只需要将数据加密,这样Web过滤程序就无法看到这些数据。他没有使用大量繁殖的蠕虫 来发布他的bot,因此受害者的防病毒软件没有发现这个bot的安装,因为防病毒软件没有这个 bot的特征码。
这个bot程序一旦安装,就作为一个浏览器助手对象(Browser Helper Object,BHO)代替 Internet Explorer,这使bot程序能访问该公司的所有常规HTTP通信和Internet Explorer的所有功 能,例如HTML解析、窗口标题以及访问网页的密码字段。这是Bob的bot程序嗅探发送到公司 他带来一些收入。通过研究,Bob知道大部分防病毒软件能够发现预编译的bot程序,因此他决 定获取一份源代码来编译自己的bot。Bob专门订购了一个通过HTTP上的SSL与他租赁的主机通 信的bot程序,从而减少了bot出站通信被安全软件拦截的几率。因为Bot使用HTTP上的SSL,
bot的所有通信流量将被加密并且能够通过大部分内容过滤技术。Bob在各种搜索引擎上注册了 广告经营者(Ad Syndicator),作为广告经营者,他将在自己的网站上显示来自搜索引擎的广 告轮换程序(如AdSense)的广告,对于他在网站上的每次广告单击,他可以得到一点小小的 收入(几分钱)。
Bob使用一些与bot一同订购的利用程序(exploits),加上一些订购的应用程序级漏洞来入 侵全世界的Web服务器。使用标准的Web开发工具,他修改了网站上的HTML或者PHP页面,
载入他的广告经营用户名和密码,这样他的广告就代替了网站自己的广告。实际上,Bob强迫 他所破解的网站加入广告经营,这样当用户单击这些广告时,就将把钱送给他,而不是实际的 网站经营者。这种通过用户单击网站广告赚钱的方法被称为按单击付费广告(pay-per-click,
PPC),是Google所有收入的来源。
接下来,Bob使用armadillo packer软件打包恶意软件,使它看上去像来自于公司CEO的一 个新PowerPoint幻灯片文件。他编写一封具体的定制电子邮件,让主管们相信附件是合法的并 且来自于CEO。 服务器发送命令和带有具体数据的控制消息来进行交互。由于Bob的bot程序通过HTTP进行通 信,所以不用担心所感染的机器上运行的防火墙阻挡bot访问他所租赁的Web服务器,因为大 部分防火墙都允许端口443上的出站通信。而且,他也不用担心Web内容过滤,因为传输的数 据看上去是无害的。另外,当他打算窃取查看受害者公司集团的PowerPoint幻灯片的财务数据 时,只需要将数据加密,这样Web过滤程序就无法看到这些数据。他没有使用大量繁殖的蠕虫 来发布他的bot,因此受害者的防病毒软件没有发现这个bot的安装,因为防病毒软件没有这个 bot的特征码。
这个bot程序一旦安装,就作为一个浏览器助手对象(Browser Helper Object,BHO)代替 Internet Explorer,这使bot程序能访问该公司的所有常规HTTP通信和Internet Explorer的所有功 能,例如HTML解析、窗口标题以及访问网页的密码字段。这是Bob的bot程序嗅探发送到公司 录困难的抱怨,或者管理员提出的软件组件方面的帮助要求。
● 确保只使用域名 site:victim.com 进行搜索,这能返回“mail.victim.com”或 “beta.victim.
com”这样的搜索结果。
主页上指向“online courses(在线课程)”的一个链接如下:
https://site/wconnect/wc.dll?acecode%7ESubGroup%7EONL%7EOnline%2BCourses
追随这个链接,我们进一步深入网站中,注意到如下URL:
https://site/wconnect/ wc.dll?acecode~GroupCatalog~GROUP~ONLFIN~Financial+
Planning+Online~ONL
https://site/wconnect/ wc.dll?acecode~GroupCatalog~GROUP~ONLFIN~Financial+
Planning+Online~ON L~&ORDER=LOCATION
注意,不管我们转向哪里,参数都被传递给wc.dll。所以我们必须找到更多关于这个文 件的内容。为此,我们在Google 上搜索 /wconnect/wc.dll。结果返回一个其他运行这个文件 的网站列表。在一些快速的调查之后,我们确定这个文件属于West-Wind 开发的应用“Web Connection”。为了进一步研究,我们来到 West-Wind 网站的支持页面,找到了管理指南。在 阅读文档时,我们注意到http://site/wconnect/admin.asp 上有一个基于 Web 的管理页面,于 是返回到该网站并且试图访问这个页面。但是我们对管理页面的请求得到一个“IP 地址被拒 绝”的错误信息,因为我们试图从一个未授权的IP 地址访问受限区域。似乎管理员很好地使 用了访问控制列表(ACL)。我们发现这是一个死胡同,因为无法了解 IP 地址欺骗的方法。
但是,我们生来就是要迎接挑战的,我们再次回到文档。这次我们注意到只需要输入http://
site.com/wconnect/wc.dll?_maintain_ShowStatu 就可以访问应用的一个状态页面。这个页面如 图2-5 所示。
他带来一些收入。通过研究,Bob知道大部分防病毒软件能够发现预编译的bot程序,因此他决 定获取一份源代码来编译自己的bot。Bob专门订购了一个通过HTTP上的SSL与他租赁的主机通 信的bot程序,从而减少了bot出站通信被安全软件拦截的几率。因为Bot使用HTTP上的SSL,
bot的所有通信流量将被加密并且能够通过大部分内容过滤技术。Bob在各种搜索引擎上注册了 广告经营者(Ad Syndicator),作为广告经营者,他将在自己的网站上显示来自搜索引擎的广 告轮换程序(如AdSense)的广告,对于他在网站上的每次广告单击,他可以得到一点小小的 收入(几分钱)。
Bob使用一些与bot一同订购的利用程序(exploits),加上一些订购的应用程序级漏洞来入 侵全世界的Web服务器。使用标准的Web开发工具,他修改了网站上的HTML或者PHP页面,
载入他的广告经营用户名和密码,这样他的广告就代替了网站自己的广告。实际上,Bob强迫 他所破解的网站加入广告经营,这样当用户单击这些广告时,就将把钱送给他,而不是实际的 网站经营者。这种通过用户单击网站广告赚钱的方法被称为按单击付费广告(pay-per-click,
PPC),是Google所有收入的来源。
接下来,Bob使用armadillo packer软件打包恶意软件,使它看上去像来自于公司CEO的一 个新PowerPoint幻灯片文件。他编写一封具体的定制电子邮件,让主管们相信附件是合法的并 且来自于CEO。 服务器发送命令和带有具体数据的控制消息来进行交互。由于Bob的bot程序通过HTTP进行通 信,所以不用担心所感染的机器上运行的防火墙阻挡bot访问他所租赁的Web服务器,因为大 部分防火墙都允许端口443上的出站通信。而且,他也不用担心Web内容过滤,因为传输的数 据看上去是无害的。另外,当他打算窃取查看受害者公司集团的PowerPoint幻灯片的财务数据
接下来,Bob使用armadillo packer软件打包恶意软件,使它看上去像来自于公司CEO的一 个新PowerPoint幻灯片文件。他编写一封具体的定制电子邮件,让主管们相信附件是合法的并 且来自于CEO。 服务器发送命令和带有具体数据的控制消息来进行交互。由于Bob的bot程序通过HTTP进行通 信,所以不用担心所感染的机器上运行的防火墙阻挡bot访问他所租赁的Web服务器,因为大 部分防火墙都允许端口443上的出站通信。而且,他也不用担心Web内容过滤,因为传输的数 据看上去是无害的。另外,当他打算窃取查看受害者公司集团的PowerPoint幻灯片的财务数据