從 Web Log 學習系統漏洞 9

同樣又是 phpmyadmin 的漏洞測試, 不過很好奇有個 claroline 不曉得是做什麼, 查了一下咕狗好像是個線上學習的軟體, 不過跟 phpmyadmin 有什麼關係?

111.231.252.125 - - [29/Apr/2018:17:20:48 +0800] "GET /myadmin2/index.php HTTP/1.1" 404 216
111.231.252.125 - - [29/Apr/2018:17:20:48 +0800] "GET /xampp/phpmyadmin/index.php HTTP/1.1" 404 224
111.231.252.125 - - [29/Apr/2018:17:20:48 +0800] "GET /phpMyadmin_bak/index.php HTTP/1.1" 404 222
111.231.252.125 - - [29/Apr/2018:17:20:48 +0800] "GET /www/phpMyAdmin/index.php HTTP/1.1" 404 222
111.231.252.125 - - [29/Apr/2018:17:20:49 +0800] "GET /tools/phpMyAdmin/index.php HTTP/1.1" 404 224
111.231.252.125 - - [29/Apr/2018:17:20:49 +0800] "GET /phpmyadmin-old/index.php HTTP/1.1" 404 222
111.231.252.125 - - [29/Apr/2018:17:20:49 +0800] "GET /phpMyAdminold/index.php HTTP/1.1" 404 221
111.231.252.125 - - [29/Apr/2018:17:20:49 +0800] "GET /pma-old/index.php HTTP/1.1" 404 215
111.231.252.125 - - [29/Apr/2018:17:20:52 +0800] "GET /claroline/phpMyAdmin/index.php HTTP/1.1" 404 228

從 Web Log 學習系統漏洞 8

這是關於Drupal漏洞, google後資料似乎不多, 還讓我找了一下, 好像是殭屍病毒利用Drupal漏洞散布傳播, 接著綁架你的電腦幫它挖比特幣, 真有趣

擋了很久, 煩人的百度爬蟲最近又跑來了...

106.248.77.248 - - [19/Apr/2018:23:09:54 +0800] "GET /administrator/manifests/files/joomla.xml HTTP/1.1" 404 238
95.111.34.8 - - [20/Apr/2018:15:41:03 +0800] "GET / HTTP/1.1" 200 1692
95.111.34.8 - - [20/Apr/2018:15:41:04 +0800] "POST /wls-wsat/CoordinatorPortType HTTP/1.1" 400 226
95.111.34.8 - - [20/Apr/2018:15:41:10 +0800] "POST /user/register?element_parents=account/mail/%23value&ajax_form=1&_wrapper_format=drupal_ajax HTTP/1.1" 404 211
95.111.34.8 - - [20/Apr/2018:15:41:16 +0800] "GET / HTTP/1.1" 200 1692
95.111.34.8 - - [20/Apr/2018:15:41:16 +0800] "GET /rss.php?mode=recent HTTP/1.1" 404 205
95.111.34.8 - - [20/Apr/2018:15:41:17 +0800] "GET /wp-login.php HTTP/1.1" 404 210
80.82.70.187 - - [20/Apr/2018:20:20:01 +0800] "GET http://www.baidu.com/cache/global/img/gs.gif HTTP/1.1" 404 221
114.115.169.130 - - [20/Apr/2018:20:30:08 +0800] "PROPFIND / HTTP/1.1" 405 236

企業儲存方案 enterprise storage

1. iSCSI, 光纖通道和 InfiniBand 三種解決方案, 該選擇哪種解決方案？

InfiniBand 適用於高性能解決方案, 而且成本高, 光纖通道次之, iSCSI 成本低


2. 區塊級儲存blocl-level storage 或檔案級儲存file-level storage 哪種較適合 SQL 資料庫？

皆可, 各有優缺點, 最終取決於是否擁有現有的高可用性SMB文件服務器基礎架構, SQL資料庫可以在SMB 3.0發布後運行SMB文件共享, 整體性能與塊級存儲相似


3. 如何減少儲存管理？

用iSCSI, 因光纖通道和InfiniBand 較複雜, iSCSI解決方案需要更少的硬體和更少的軟體, 所有這些選擇都可以減少存儲管理員的管理開銷


4. 使用哪個伺服器角色來配置VMWare ESX / ESXi虛擬機？

可以使用Server for NFS角色創建VMWare ESX / ESXi虛擬機支持的NFS文件共享


5. 是否會在NFS或SMB上運行Windows Seerver 2012虛擬機中的Hyper-V？

Hyper-V虛擬機可以在SMB上運行，但NFS不支援


6. UNIX客戶端可使用哪種文件共享協定？

以前NFS是UNIX客戶端訪問文件共享的首選協定, 但現今大多數UNIX客戶端本身都支持NFS和SMB

從 Web Log 學習系統漏洞 7

Oracle WebLogic Server 的遠端命令執行漏洞, 藉由發出假的HTTP請求來取得伺服器管理權限

212.174.162.170 - - [08/Apr/2018:19:34:20 +0800] "PROPFIND / HTTP/1.1" 405 236
212.174.162.170 - - [08/Apr/2018:19:34:20 +0800] "POST /wls-wsat/CoordinatorPortType HTTP/1.1" 404 226
201.159.135.113 - - [08/Apr/2018:19:38:50 +0800] "PROPFIND / HTTP/1.1" 405 236
201.159.135.113 - - [08/Apr/2018:19:38:51 +0800] "POST /wls-wsat/CoordinatorPortType HTTP/1.1" 404 226
85.21.233.164 - - [08/Apr/2018:22:46:55 +0800] "CONNECT api.ipify.org:443 HTTP/1.1" 405 235
112.66.108.27 - - [08/Apr/2018:22:50:45 +0800] "GET /currentsetting.htm HTTP/1.1" 404 216
177.35.179.149 - - [09/Apr/2018:17:51:45 +0800] "GET /cgi/common.cgi HTTP/1.1" 404 212
177.35.179.149 - - [09/Apr/2018:17:51:48 +0800] "GET /stssys.htm HTTP/1.1" 404 208
177.35.179.149 - - [09/Apr/2018:17:51:51 +0800] "GET / HTTP/1.1" 200 1692
177.35.179.149 - - [09/Apr/2018:17:51:54 +0800] "POST /command.php HTTP/1.1" 404 209
41.32.152.137 - - [09/Apr/2018:20:24:05 +0800] "PROPFIND / HTTP/1.1" 405 236
41.32.152.137 - - [09/Apr/2018:20:24:05 +0800] "POST /wls-wsat/CoordinatorPortType HTTP/1.1" 404 226
87.197.162.138 - - [09/Apr/2018:22:46:06 +0800] "GET / HTTP/1.0" 200 1692
211.23.154.138 - - [10/Apr/2018:08:46:56 +0800] "GET / HTTP/1.1" 200 1692
186.166.129.1 - - [10/Apr/2018:11:12:10 +0800] "PROPFIND / HTTP/1.1" 405 236
186.166.129.1 - - [10/Apr/2018:11:12:11 +0800] "POST /wls-wsat/CoordinatorPortType HTTP/1.1" 404 226
192.95.31.55 - - [10/Apr/2018:12:14:32 +0800] "GET /.git/config HTTP/1.0" 404 209
216.10.247.173 - - [10/Apr/2018:13:06:12 +0800] "GET / HTTP/1.1" 200 1692
216.10.247.173 - - [10/Apr/2018:13:06:12 +0800] "GET /HNAP1/ HTTP/1.1" 404 204

Web Application Proxy(WAP), Web應用程式代理

Web應用程式代理(Web Application Proxy, WAP)是 Windows Server中的一項服務, 可以協助企業將公用 Web應用程式安全的開放給網際網路上的用戶, 同時防止外部用戶直接存取內部網路的 Web應用程式, Web應用程式代理基於 Active Directory或受支援的身份驗證來控制存取 Web應用程式的用戶, 此外它還可以提供可靠的通訊加密以確保網路上的傳輸及資料安全不受破壞

w-studio.idv.tw

Web應用程式代理是 Windows Server 2012 R2中推出的遠端存取角色服務, 此角色服務功能為反向 Web代理, 並為位於網際網路上的用戶提供對內部公司 Web應用程式或遠端桌面閘道伺服器的存取

Web應用程式代理使用 ADFS技術對網際網路用戶進行預先身份驗證, 並充當 ADFS代理來發布聲明感知應用程式, 聲明感知應用程式可以使用有關用戶的任何信息(例如群組成員身份、電子郵件、部門或公司)來授權用戶

在安裝 Web應用程式代理之前必須先部署 ADFS, ADFS為用戶提供單點登錄(SSO)功能, 這表示如果用戶輸入一次存取企業 Web應用程式的憑證則不會要求他們再次輸入其憑證以存取企業 Web應用程式w-studio.idv.tw

將 Web應用程式代理伺服器放置在兩個防火牆設備之間的外圍網路中是一種典型設置, 發布的 ADFS伺服器和應用程式位於公司網路上並與網域控制站和其他內部伺服器一起受到第二道防火牆的保護, 此方案為位於網際網路上的用戶提供對企業應用程式的安全存取, 同時保護企業 IT基礎架構免受網際網路上的安全威脅

使用路由及遠端存取(RRAS)簡單試做NAT功能

使用路由及遠端存取 Routing and Remote Access (RRAS)簡單試做 NAT功能, 首先準備環境:

。有網域的內網主機

。連線網域及外網的 Router主機

。模擬在外網的主機

1. 確認模擬外網主機的 IP

2. 將此外網主機的防火牆啟用 ICMP回應要求, 以測試 ping是否連線 (因使用IPv4所以只需啟用 ICMPv4) w-studio.idv.tw

路由及遠端存取Routing and Remote Access (RRAS)

在 Windows Server 2016 中, 路由和遠端存取(Routing and Remote Access, RRAS)可以作為基於軟體的路由器, 從而管理子網路之間流動的資料, 它的路由功能包括 LAN 到 LAN、LAN 到 WAN、指定撥號(demand-dial)和 NAT流量

RRAS支援下列幾種的路由:

。靜態路由(IPv4/IPv6): 路由資訊是靜態的, 必須手動輸入

關於PKI (Public key infrastructure)

Public key infrastructure(PKI)可幫助參與電子交易的每一方身份確認和驗證, 還有助於在電腦和託管在應用程式伺服器上對應的應用程式之間建立信任, 一個常見的例子包括使用 PKI 技術來保護網站和遠端存取, 數位憑證包含電子憑證的關鍵 PKI 元件, 然後對用戶或電腦進行身份驗證, Windows Server 2016 支援使用 Active Directory 憑證服務(ADCS)元件在組織中建立憑證服務基礎架構w-studio.idv.tw

使用 PKI 進行遠端存取:

當組織的員工從網際網路存取內部資源時, 須保護傳輸中的通信和資料不被未經授權的用戶攔截, 因此應該加密組織內部資源與使用網際網路的員工之間的通信, 另外應該對從網際網路連線的用戶及其電腦進行身份驗證, Windows Server 2016 中的遠端存取技術使用 PKI 對用戶和電腦進行身份驗證, 並在用戶遠端存取內部資源時對資料和通信進行加密

在組織中使用 PKI 進行遠端存取時應考慮以下幾點:

。使用 PKI 僅對資料和流量進行加密的情況下, 這僅將憑證安裝在遠端存取伺服器上, 用戶透過其帳號和密碼進行身份驗證

。除了加密之外還會使用 PKI 來驗證用戶和他們的電腦, 這種情況下使用 PKI 進行加密並向用戶和電腦發佈憑證, 注意某些組織選擇向用戶或電腦發佈憑證, 但不會同時向兩者發佈

。憑證的三種類型:

-自我簽署憑證(self-signed certificates)由伺服器本身發佈, 預設僅受發佈的伺服器信任而不受組織中的其他電腦信任, 在中小型組織中使用自我簽署憑證透過安裝精靈設定的 DirectAccess, 其提供了簡單的設定w-studio.idv.tw

-私有 CA(Private CA)發佈的憑證: 在想要管理自己的 PKI 基礎架構並將 PKI 用於多種目的(例如遠端存取、用戶端和伺服器身份驗證)的組織中, 可使用由私有 CA 發佈的憑證, 這些組織明白在使用私有 CA 時成本較低, 因為不需要購買大量憑證

-公用 CA(Public CA)發佈的憑證: 在為需要被許多不同作業系統、電腦和設備信任的應用程式部署憑證的組織中使用由公用 CA 發佈的憑證, 在這些組織中不能使用私有 CA, 因為預設只有網域電腦信任私有 CA 憑證, 未部署 PKI 基礎架構或需要較少數量憑證的組織也使用公用 CA

私有 CA 及公用 CA 發佈的憑證比較:

	優點	缺點
私有CA	。提供對憑證管理更好的控制 。與公用 CA 相比成本更低 。自訂範本 。自動註冊	。預設不受外部用戶端(網頁瀏覽器、作業系統)信任 。需要更多的管理
公用 CA	。受到許多外部用戶端(網頁瀏覽器、作業系統)的信任 。需要最少的管理	。與私有 CA 相比成本更高 。費用基於申請的憑證數量 。憑證採購較慢

一些組織已開始為其 PKI 架構使用混合方法使用外部公用 CA 作為根 CA, 並使用內部 CA(私有CA)的層次結構來發佈憑證, 為組織提供了讓外部用戶端信任其內部發佈的憑證的優勢, 同時仍提供內部 CA 的優勢w-studio.idv.tw

關於 CA, 之後操作 ADCS 時再做說明

網路原則伺服器(Network Policy Server)

網路原則伺服器(Network Policy Server)是網路原則和存取服務伺服器角色的一部分, 它能為連線請求身份驗證和請求授權去建立和執行組織範圍的網路存取原則, 還可以將網路原則伺服器用作 RADIUS代理, 將連線請求轉發到另一個網路原則伺服器或在遠端 RADIUS伺服器群組中設定的其他 RADIUS伺服器

w-studio.idv.tw

安裝遠端存取(Remote Access)伺服器角色

1. 新增伺服器角色及功能

2. 選擇安裝的伺服器

遠端存取(Remote Access)簡單介紹

遠端存取(Remote Access), 能讓外部使用者以安全的方式連線到公司或企業的網路, 在 Windows Server 2016 中將四種技術: VPN, DirectAccess, Routing, 及 Web Application Proxy(WAP)整合為一個遠端存取管理伺服器角色

公司可在不同的伺服器上部署多種遠端存取技術, 而一些公司可能會將它們部署在同一台伺服器上, 例如部署 DirectAccess 讓使用者能夠無縫存取公司網路, 或管理員能夠管理網際網路上的伺服器或工作站, 部署 Web Application Proxy(WAP) 以更安全地從智慧手機、平板或家用電腦存取內部應用程式而無需更改這些設備上的設定或者需在公司網路內w-studio.idv.tw

遠端存取技術提供了各種解決方案, 允許從不同位置安全存取公司或組織的資訊設施, 雖然公司或組織自己通常完全擁有和保護區域網路(LAN), 但與伺服器、共享和應用程式的遠端連接必須經常跨越不受保護和不受管理的網際網路, 使用公共網路傳輸資料的任何方法都必須保護該資料的完整性和機密性

w-studio.idv.tw Remote Access

遠端存取的選項:

。DirectAccess:

DirectAccess讓遠端用戶能夠安全地存取公司資源而無需連接到 VPN, 例如電子郵件伺服器、共享文件夾和內部網站, DirectAccess也透過在辦公室內外提供相同的連接體驗提高外務人員的工作效率w-studio.idv.tw

。VPN:

VPN讓在異地工作的用戶(例如在家、客戶站點或公共無線網路)能夠使用公共網路(如Internet)存取公司或組織專線網路上的伺服器, 從用戶的角度來看 VPN是電腦、VPN用戶端和公司伺服器之間的點對點連接

。Routing:

Windows Server 2016 可作為兩個內部網路之間或網際網路與內部網路之間的路由器或 NAT 設備, 路由與路由表一起使用並支援 RIP 第2版、IGMP和 DHCP中繼代理

。Web Application Proxy(WAP):

Web Application Proxy必須從網際網路存取其公司的內部 Web應用程式的用戶提供反向代理功能, Web Application Proxy使用以下選項對用戶進行預先身份驗證：

-ADFS技術, 其中 Web Application Proxy作為 ADFS 代理

-直通身份驗證, 其中身份驗證不是由 Web Application Proxy執行而是由已發布的應用程式執行

遠端存取伺服器角色的管理:

1. 遠端存取管理主控台(Remote Access Management console):

可管理 DirectAccess、VPN和 Web Application Proxy w-studio.idv.tw

2. 路由及遠端存取主控台(Routing and Remote Access console):

可設置為 NAT設備、IPv4和 IPv6 協定的路由器以及 VPN伺服器

3. PowerShell指令:

Set-DAServer, Get-DAServer, Set-RemoteAccess, Get-RemoteAccess