入侵检测系统,英文简写为ids,顾名思义,它是用来实时检测攻击行为以及报告攻击的。如果把防火墙比作守卫网络大门的门卫的话,那么入侵检测系统(ids)就是可以主动寻找罪犯的巡警。因而寻求突破ids的技术对漏洞扫描、脚本注入、url攻击等有着非凡的意义,同时也是为了使ids进一步趋向完善。
snort是很多人都在用的一个ids了,其实它也并不是万能的,笔者下面就来谈谈突破诸如snort这类基于网络的ids的方法:多态url技术。
提起多态二字,大家可能会联想到编写病毒技术中的“多态”、“变形”等加密技术,其实我这里所要讲的url多态编码技术和病毒的多态变形技术也有神似之处,就是用不同的表现形式来实现相同的目的。
对于同一个url,我们可以用不同形式的编码来表示。ids在实时检测时,将它检测到的数据与其本身规则集文件中规定为具有攻击意图的字符串进行对比,如果相匹配的话,则说明系统正在受攻击,从而阻止攻击以及发出警报。因为实现同一目的的url可以用不同的形式来表示,所以经过变形编码后的url可能就不在ids的规则集文件中,也就扰乱了ids的识别标志分析引擎,从而就实现了突破、绕过ids的效果!
多态url编码技术有许多种,笔者在此介绍9种常用且有一定代表性的方法。为了便于讲解,这里以提交地址为/msadc/msadcs.dll的url来作为例。“/msadc/msadcs.dll”已经被收集到snort等各大ids的规则集文件中,因而当我们向目标机器直接提交/msadc/msadcs.dll时都会被ids截获并报警。
第一招:“/./”字符串插入法
鉴于“./”的特殊作用,我们可以把它插入进url中来实现url的变形。比如对于/msadc/msadcs.dll,我们可以将它改写为/././msadc/././msadcs.dll、/./msadc/.//./msadcs.dll等形式来扰乱了ids的识别标志分析引擎,实现了欺骗ids的目的。而且改写后编码后的url与未修改时在访问效果上是等效的。笔者曾经通过实验表明这种方法可以绕过snort等ids。
第二招:“00”ascii码
前段时间动网上传漏洞就是利用的这一特性,大家肯定对此很熟悉了。它的原理就是计算机处理字符串时在ascii码为00处自动截断。我们就可以把/msadc/msadcs.dll改写为/msadc/msadcs.dlliloveheikefangxian,用winhex将.dll与ilove之间的空格换为00的ascii码,保存后再用nc配合管道符提交。这样在有些ids看来/msadc/msadcs.dlliloveheikefangxian并不与它的规则集文件中规定为具有攻击意图的字符串相同,从而它就会对攻击者的行为无动于衷。瞧!“计算机处理字符串时在ascii码为00处自动截断”这一原理的应用多么广泛啊!从哲学上讲,事物之间相互存在着联系,我们应该多思考,挖掘出内在规律,这样就会有新的发现。
第三招:使用路径分隔符“”
对于像微软的iis这类web服务器,““也可以当“/”一样作为路径分隔符。有些ids在设置规则集文件时并没有考虑到非标准路径分隔符“”。如果我们把/msadc/msadcs.dll改写为msadcmsadcs.dll就可以逃过snort的法眼了,因为snort的规则集文件里没有msadcmsadcs.dll这一识别标志。值得一提的是路径分隔符“”还有个妙用,就是前段时间《黑客防线》上提到的“\”暴库大法,“\”就是“”的16进制表现形式。
第四招:十六进制编码
对于一个字符,我们可以用转义符号“%”加上其十六进制的ascii码来表示。比如/msadc/msadcs.dll中第一个字符“/”可以表示为/,接下来的字符可以用它们对应的16进制的ascii码结合“%”来表示,经过此法编码后的url就不再是原先的模样了,ids的规则集文件里可能没有编码后的字符串,从而就可以绕过ids。但是这种方法对采用了http预处理技术的ids是无效的。
第五招.非法unicode编码
utf-8编码允许字符集包含多余256个字符,因此也就允许编码位数多于8位。“/”字符的十六进制的ascii码是2f,用二进制数表示就是00101111。utf-8格式中表示2f的标准方法仍然是2f,但是也可以使用多字节utf-8来表示2f。字符“/”可以像下表中所示使用单字节、双字节、三字节的utf-8编码来表示:
“/”字符表示方式二进制十六进制
单字节0xxxxxxx001011112f
双字节110xxxxx10xxxxxx1100000010101111c0af
三字节1110xxxx10xxxxxx10xxxxxx111000001000000010101111e080af
按照此方法,我们可以对整个字符串都进行相应的编码。虽然编码后的url的最终指向的资源都相同,但它们的表达方式不同,ids的规则集文件中就可能不存在此过滤字符串,从而就实现了突破ids的目的。
第六招:多余编码法
多余编码又称双解码。还记的2000-2001年iis的unicode解码漏洞和双解码漏洞闹得沸沸扬扬,那时有许多朋友稀里糊涂的以为unicode解码漏洞就是双解码漏洞,其实它们两者是两回事,前者的原理笔者已在上述的“非法unicode编码”中有所描述。而多余编码就是指对字符进行多次编码。比如“/”字符可以用/表示,“/”中的“%”、“2”、“f”字符又都可以分别用它的ascii码的十六进制来表示,根据数学上的排列组合的知识可知,其编码的形式有2的3次方,于是“/”可以改写为:“%2f”、“%2f”等等来实现url的多态,编码后的字符串可能没被收集在ids的规则集文件中,从而可以骗过有些ids。
第七招.加入虚假路径
在url中加入“../”字符串后,在该字符串后的目录就没有了意义,作废了。因此利用“../”字符串可以达到扰乱了识别标志分析引擎、突破ids的效果!
第八招:插入多斜线
我们可以使用多个“/”来代替单个的“/”。替代后的url仍然能像原先一样工作。比如对/msadc/msadcs.dll的请求可以改为////msadc////msadcs.dll,经笔者曾经实验,这种方法可以绕过某些ids。
第九招:综合多态编码
聪明的你一看这个小标题就知道了,所谓综合,就是把以上介绍的几种多态变形编码技术结合起来使用,这样的话效果会更好。
后记:当我刚才提到“00ascii码”以及非标准路径分隔符“”时,大家可能会倍感熟悉,因为这与前段时间流行的动网上传漏洞以及暴库大法有着密切联系。黑客是门艺术,黑客讲究的是灵感是思路,我们通过深入思考,旧的知识也可以创造出新的技术!