《网络攻防与协议分析》课件——3.文件上传下载漏洞的入侵检测配置.pptxVIP

文件上传下载漏洞

的入侵检测配置

文件上传漏洞攻击者WEB服务器上传页面资源服务器可执行文件1、上传伪装的可行执行文件2、保存到资源服务器3、执行攻击操作只有静态资源访问权限，没有动态脚本执行权限没有执行权限，导致失败原理大部分网站都有上传的功能，比如说上传pdf，上传png、php、exe等文件，一些文件会被网站所过滤，但是大部分web的过滤不够严格，导致在上传的位置上，用户可以上传一些带有脚本的文件，web端对脚本文件进行php解析，可以任意执行脚本文件。危害上传文件是web脚本语言，一般来说都是php，也会有其他的js等，服务器都是有一个解析方式的，在没有做过滤的情况下，上传的脚本语言会被服务器的解析方式当作代码来执行，恶意代码的话，我们可以想象这个危害的严重性。产生危害原因最直接的原因就是写网页的开发人员对脚本的过滤不严格所导致的。其他还有一些版本不适配的漏洞、文件解析漏洞等等。

WebShell可以通过服务器开放端口获取服务器的某些权限，从而能够收集服务器信息，设置提权。WebShell利用文件上传漏洞、SQL注入漏洞、RCE漏洞等，将恶意文件放到WEB服务器中，就可以利用这个后面进行文件管理、远程命令执行、提权等恶意操作。通过WebShell规则和WebShell文件进行检查可以规避攻击者利用恶意文件插入后门，从而进行Web防护。

漏洞检测配置实验关于本实验通过配置入侵检测策略，实现文件过滤的检测。实验目的理解文件过滤的原理，练习入侵检测策略的配置。实验背景Kali主机和靶机之间，通过防火墙设备进行网络连接，防火墙将连接靶机的流量，通过端口镜像引流到入侵检测设备。IDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LANAKali主机CentOS靶机入侵检测防火墙/24/24

漏洞检测配置实验-基础配置拓扑搭建基础配置1、防火墙接口IP地址配置#启动“pikachu”靶场，sudo密码centos[centos@localhost~]#sudodockerstartpikachuIDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LANAKali主机CentOS靶机入侵检测防火墙/24/24

漏洞检测配置实验-基础配置拓扑搭建基础配置2、防火墙配置DHCPIDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LANAKali主机CentOS靶机入侵检测防火墙/24/24

漏洞检测配置实验-基础配置拓扑搭建基础配置3、防火墙ge3接口配置镜像接口引流IDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LANAKali主机CentOS靶机入侵检测防火墙/24/24

漏洞检测配置实验-基础配置拓扑搭建基础配置4、防火墙配置一条全通策略，放通流量IDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LANAKali主机CentOS靶机入侵检测防火墙/24/24

漏洞检测配置实验-基础配置拓扑搭建基础配置5、配置入侵检测ge2接口为“旁路模式”IDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LANAKali主机CentOS靶机入侵检测防火墙/24/24

漏洞检测配置实验-文件过滤配置漏洞攻击入侵检测配置1、配置文件过滤策略IDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LANAKali主机CentOS靶机入侵检测防火墙/24/24

漏洞检测配置实验-文件过滤配置漏洞攻击入侵检测配置2、在安全配置文件中应用文件过滤策略IDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LANAKali主机CentOS靶机入侵检测防火墙/24/24

漏洞检测配置实验-实验验证实验验证1、Kali打开命令行终端，使用curl访问CentOS的文件“VulnFile.zip” curl–v‘:8080/VulnFile.zip’

漏洞检测配置实验-实验验证实验验证3、在入侵检测的“内容日志”中，能看到响应的告警信息。