Уязвимые сценарии

Одной из основных уязвимостей Web-серверов, в том числе сервера IIS, - это плохое программирование сценариев, используемых в интерактивных Web-страницах. Дело в том, что для обмена информацией со сценариями Web-серверов используется протокол CGI (Common Gateway Interface - Общий шлюзовой интерфейс), который вообще не обеспечивает никакой защиты, а всего лишь регламентирует передачу параметров от клиента Web серверному сценарию. Получив запрос к сценарию CGI, сервер просто передает полученные параметры сценарию, запущенному на сервере. Причем права сценария на доступ к ресурсам серверного компьютера определяются контекстом безопасности Web-сервера, т.е., применительно к серверу IIS, с правами учетной записи System, обеспечивающей практически полный доступ к ресурсам системы. Вот что это дает хакеру.

То, что происходит с переданными CGI-сценарию параметрами, определяется программой, а программы пишут программисты. И каждый, кто хоть когда-либо писал программы, знает, насколько трудно и утомительно согласовать типы фактических и формальных параметров программы, и насколько мешает творческой фантазии необходимость скрупулезно проверять корректность передаваемых параметрами данных. Поэтому часто эта задача оставляется на потом, или вообще отбрасывается - и программа становится полностью зависимой от внешней среды.

Так что если, к примеру, в сценарий Perl, выполняемый в режиме интерпретации, т.е, шаг за шагом, по мере считывания кода программы, передать вместо, скажем, числового значения некий программный код, то не исключено, что вместо аварийного завершения сценарий сможет исполнить переданный код. И это - самые настоящие парадные двери для хакера, поскольку плохо написанных сценариев - хоть пруд пруди, и, немного поискав по сайтам Web, где-нибудь да наткнешься на открытые двери. И вот, чтобы упростить себе жизнь, хакеры придумали специальные сканеры CGI-сценариев, которые, обойдя весь Web-сайт, находят применяемые в нем сценарии и сообщают о них заинтересованному и понимающему человеку.

Мы рассмотрим здесь один из наиболее популярных сканеров CGI-сценариев DOMNED CGI Scanner 2.1 (http://shieldandsword.narod.ru/soft/scansec/scan-sec.htm). На Рис. 6 представлено рабочее окно сканера, содержащее шесть вкладок.

Рис. 6. Рабочее окно CGl-сканера DOMNED CGI Scanner 2.1

Рассмотрим функциональные возможности, предоставляемые вкладками рабочего окна сканера D@MNED CGI Scanner 2.1.

На вкладке Scanners log (Журнал сканирования) отображается статистика по всем найденным уязвимым сценариям. Кнопки на панели инструментов, перечисленные в порядке слева направо, позволяют запустить и остановить сканирование, а также очистить и сохранить созданный журнал.

Вкладка Scan list (Список сканируемых узлов), представленная на Рис. 7, содержит список серверов, предназначенных для сканирования. Кнопки в левой части панели инструментов позволяют сохранить, открыть и очистить список серверов, перечисленных на вкладке. Для пополнения списка серверов в поле на панели инструментов следует ввести адрес сервера и щелкнуть на кнопке с крестиком. Чтобы отредактировать элемент списка, следует мышью выделить элемент списка, в поле на панели инструментов ввести новое значение и щелкнуть на кнопке со стрелками вверх и вниз. Внизу вкладки представлены элементы управления, позволяющие сканировать целую подсеть класса С. Установка флажка Scan subnet (Сканировать подсеть) отменяет применение списка серверов и заставляет сканировать подсеть класса С в диапазоне IP-адресов, указанном в полях слева. Например, эта запись может быть такой: 234.56.78.1 - 8.

Рис. 7. Вкладка редактирования списка сканируемых серверов

Рис. 8. Список уязвимых CGI-сценариев

Вкладка CGI holes (Уязвимости CGI) (Рис. 8) содержит список CGI-сценариев, содержащих известные автору программы уязвимости. Этот стандартный список отображается на вкладке, и его можно пополнить, загрузить и отредактировать с помощью кнопок на панели инструментов, аналогичных содержащихся на вкладке Scan list (Список сканируемых узлов).

Вкладка Spy (Шпион) отображает информацию о сканируемом хосте (Рис. 9), включая тип Web-сервера (в данном случае - IIS 5.1), и путь к первой странице сервера (корневой каталог сервера).

Рис. 9. Шпион CGI-сканера поработал достаточно эффективно!

Вкладка Option (Параметры), представленная на Рис. 10, содержит настройки прокси-сервера, пути к папке сценариев и средства для выбора языка пользовательского интерфейса. Советуем не пренебрегать настройками прокси-сервера - любой мало-мальски квалифицированный хакер работает только через прокси-сервер, что дает хотя бы какой-то шанс не засветиться (не сильно обольщайтесь, однако...).

Рис. 10, Настройки CGl-сканера весьма полезны

Работа со сканером D@MNED CGI Scanner 2.1 не вызывает затруднений. Для иллюстрации отсканируем в нашей экспериментальной сети хост А1ех-1 с IP-адресом 1.0.0.7, выполнив такие шаги.

• На вкладке Scan list (Список сканируемых узлов) удалите установленный по умолчанию хост http://www.altavista.com и добавьте IP-адрес 1.0.0.7.

• Перейдите на вкладку Scanner log (Журнал сканирования) и запустите процедуру сканирования. В результате получится список уязвимых сценариев, представленный на Рис. 11.

Рис. 11. Список уязвимостей сервера IIS 5.0 впечатляет

Числовые коды в списке уязвимостей (на Рис. 11 отображены 200 и 500) отмечают результат проверки; эти коды перечислены в справочной системе программы. Например, 200 означает успешное завершение - сценарий найден, а 500 - неудачу. Так что теперь можно собрать все сообщения с кодом 200 (они так и отмечены - SUCCESS) и далее можно поискать эксплойт для найденной уязвимости.

К сожалению, авторы программы DOMNED CGI Scanner 2.1 не позаботились о более точном описании найденных уязвимостей и об указании соответствующих им эксплойтов. Такое описание, без сомнения, позволило бы более эффективно взломать сервер с найденной уязвимостью. Поэтому для дальнейшего продвижения хакеру следует прибегнуть к базам данных уязвимостей и эксплойтов, например, MITRE CVE (http://www.mitre.org). В данном случае, как видно из Рис. 11, сервер IIS содержит файлы.htr и.idq.; Вот что на этот счет говорит база уязвимостей MITRE.