臺灣大學計資中心網路組北區學術資訊安全維運中心-資通安全.PDFVIP

臺灣大學計資中心網路組 北區學術資訊安全維運中心 資訊安全分析報告 網頁主機目錄遊走攻擊 簡介與防制 北區ASOC 團隊製 2014/02 1 1. 目錄遊走攻擊簡介3 2. 目錄遊走攻擊重要案例分析3 3. 如何自我檢查主機是否具有目錄遊走情況5 4. 如何預防主機目錄遊走問題11 2 1. 目錄遊走攻擊簡介 目錄遊走（Directory Traversal ）多為網頁伺服器管理者未將系統目錄 設定足夠安全性，使有心人士可以利用特定語法，如../../ ，跨越並跳脫正 常網頁路徑，直接存取特定路徑之檔案，這些內容多為系統重要資訊，如 Linux 系統下包含密碼之/etc/passwd 或/etc/shadow 等，有心人士取得相 關檔案，加以組合與破解，即能取得系統管理者權限。 2. 目錄遊走攻擊重要案例分析 2014 年1 月6 日遠通電收重要系統資訊外洩，內容遭放置於貼圖網站， 貼圖內容如下，1 月7 日立法委員與各主流媒體爭相報導，成為全台新聞關 注焦點。經分析後，發現該外漏之檔案為Linux 作業系統之/etc/passwd 檔， 本檔案與/etc/shadow 形成一組對映，真實密碼編碼後儲存於/etc/shadow 檔內，本次雖僅被公佈/etc/passwd 檔，但很有可能/etc/shadow 也遭竊 取。 Linux 作業系統中的 /etc/shadow 檔案是用來儲放 Linux 相關資訊 與帳號密碼的檔案，/etc/shadow 檔雖將檔案編碼，但仍可使用工具進行破 3 解，如 Ophcrack 即為坊間知名之密碼破解工具，在取得密碼與管理者帳號 後，可進行遠端登入作業，完整控制主機。 /etc/passwd 結構： 帳號名稱：密碼：UID ：GID ：使用者資訊說明：家目錄：Shell /etc/shadow 結構： 帳號名稱：密碼：最近更動密碼的日期：密碼不可被更動的天數：密碼 需重新變更天數：密碼需變更期限前之警告天數：密碼失效日：帳號失效日 期：保留 4 3. 如何自我檢查主機是否具有目錄遊走情況 可利用檢測工具 DotDotPwn 來自我檢查主機是否有目錄遊走之弱點， DotDotPwn 是利用 Perl 所撰寫的目錄遊走掃瞄工具，可至官方 Blog 下載 最新版本(http://dotdotpwn.blogspot.tw/) ，因為是使用Perl 所撰寫，所 以必須在本機安裝 Perl 所需要的編譯器，可至 Perl 官方網站下載 (/get.html) 。使用ActivePerl 或者 Strawberry 皆可。 不同通訊協定皆可使用 DotDotPwn 進行掃描，所以在使用前，請先至 CPAN(/) 下載並將下列這些通訊協定模組置於 *:\ Perl64\ lib 中，以便DotDotPwn 調度使用。 5 而在完成相關環境設定後，可使用 cmd