說明:本文中所需環境為2003Server+iis6.0+ms sql2000
曾經很早就在網上看到一篇關于<asp.net虛擬主機的重大隱患>的文章,當時并不在意,做過asp虛擬主機的朋友可能都知道,即對每一個用戶都設置一個獨立的服務器用戶和單個目錄的操作權限,能夠基本上解決asp的fso問題。
在網上無意中發現了一個叫做webadmin的asp.net-webshell,對自己的服務器進行測試的時候,讓我大吃一驚,居然對我服務器的c盤有讀取的權限。以及對整個硬盤的修改刪除權限。這樣的話,那么我的服務器的安全……
為了進一步證實,本人曾在國內一些著名的虛擬主機提供商上作過測試,均有和我一樣的問題。
有必要先介紹一下漏洞的原因。
ASP中常用的標準組件:FileSystemObject,這個組件為 ASP 提供了強大的文件系統訪問能力,可以對服務器硬盤上的任何有權限的目錄和文件進行讀寫、刪除、改名等操作。FSO對象來自微軟提供的腳本運行庫scrrun.dll中。
在ASP.NET中我們發現這一問題仍然存在,并且變得更加難以解決。這是因為.NET中關于系統IO操作的功能變得更加強大,而使這一問題更嚴重的是ASP.NET所具有的一項新功能,這就組件不需要象ASP那樣必須要使用regsvr32來注冊了,只需將Dll類庫文件上傳到bin目錄下就可以直接使用了。這一功能確實給開發ASP.NET帶來了很大的方便,但是卻使我們在ASP中將此dll刪除或者改名的解決方法失去效用了,防范此問題就變得更加復雜。需要進一步了解的朋友可以看<asp.net虛擬主機的重大隱患>一文,本文就不再重復。只針對此問題引出虛擬主機的安全設置。
網上提出針對此問題用Microsoft .NET Framework Configration設置System.io的對目錄讀取的權限,經過我們長時間的測試沒有成功,可能是.net framework1.1機制改革了?
廢話不說。先說說解決的思路:在 IIS 6 中,Web 應用程序的工作進程設置為以進程標識“Network Service”運行。在 IIS 5 中,進程外 Web 應用程序則設置為以 IWAM_<服務器名> 帳戶運行,這個帳戶是普通的本地用戶帳戶。
Network Service 是 Windows Server 2003 中的內置帳戶。了解 IIS 5 上的本地用戶帳戶(IUSR 和 IWAM)與這個內置帳戶之間的區別是非常重要的。Windows 操作系統中的所有帳戶都分配了一個 SID(安全標識,Security ID)。服務器是根據 SID,而不是與 SID 相關的名稱來識別服務器上所有帳戶的,而我們在與用戶界面進行交互時,則是使用名稱進行交互的。服務器上創建的絕大部分帳戶都是本地帳戶,都具有一個唯一的 SID,用于標識此帳戶隸屬于該服務器用戶數據庫的成員。由于 SID 只是相對于服務器是唯一的,因此它在任何其他系統上無效。所以,如果您為本地帳戶分配了針對某文件或文件夾的 NTFS 權限,然后將該文件及其權限復制到另一臺計算機上時,目標計算機上并沒有針對這個遷移 SID 的用戶帳戶,即使其上有一個同名帳戶也是如此。這使得包含 NTFS 權限的內容復制可能出現問題。
內置帳戶是由操作系統創建的、一類較為特別的帳戶或組,例如 System 帳戶、Network Service 和 Everyone 組。這些對象的重要特征之一就是,它們在所有系統上都擁有一個相同的、眾所周知的 SID。當將分配了 NTFS 權限的文件復制到內置帳戶時,權限在服務器之間是有效的,因為內置帳戶的 SID 在所有服務器上都是相同的。Windows Server 2003 服務中的 Network Service 帳戶是特別設計的,專用于為應用程序提供訪問網絡的足夠權限,而且在 IIS 6 中,無需提升權限即可運行 Web 應用程序。這對于 IIS 安全性來說,是一個特大的消息,因為不存在緩沖溢出,懷有惡意的應用程序無法破譯進程標識,或是對應用程序的攻擊不能進入 System 用戶環境。更為重要的一點是,再也不能形成針對 System 帳戶的“后門”,例如,再也無法通過 InProcessIsapiApps 元數據庫項利用加載到 Inetinfo 的應用程序。
Network Service 帳戶在創建時不僅僅考慮了在 IIS 6 中的應用。它還具有進程標識 W3WP.exe 的絕大部分(并不是全部)權限。如同 ASPNET 用戶為了運行 ASP.net 應用程序,需要具有 IIS 5 服務器上某些位置的訪問權限,進程標識 W3WP.exe 也需要具有類似位置的訪問權限,而且還需要一些默認情況下沒有指派給內置組的權限。
為了管理的方便,在安裝 IIS 6 時創建了 IIS_WPG 組(也稱為 IIS 工作進程組,IIS Worker Process Group),而且它的成員包括 Local System(本地系統)、Local Service(本地服務)、Network Service(網絡服務)和 IWAM 帳戶。IIS_WPG 的成員具有適當的 NTFS 權限和必要的用戶權限,可以充當 IIS 6 中工作進程的進程標識。
因此,Network Service 帳戶提供了訪問上述位置的權限,具有充當 IIS 6 工作進程的進程標識的充足權限,以及具有訪問網絡的權限。
Msdn上說:在 Windows Server 2003 中,用戶上下文稱為 NETWORK SERVICE。這些用戶帳戶是在 .NET Framework 安裝過程中創建的,它具有唯一的不易破解的密碼,并僅被授予有限的權限。ASPNET 或 NETWORK SERVICE 用戶只能訪問運行 Web 應用程序所需的特定文件夾,如 Web 應用程序存儲已編譯文件的 \bin 目錄。
要將進程標識設置為特定用戶名,以取代 ASPNET 或 NETWORK SERVICE 用戶標識,您提供的用戶名和密碼都必須存儲在 machine.config 文件中。
但是根據實際情況,asp.net的system.io可以無限制訪問不設防的服務器路徑。不知道這算不算一個ms的重大漏洞。而且根本不能使iis以machine.config的用戶執行asp.net程序。J
如何解決呢?答案就是—應用程序池。
IIS 6.0 在被稱為應用程序隔離模式(隔離模式)的兩種不同操作模式下運行,它們是:工作進程隔離模式和 IIS 5.0 隔離模式。這兩種模式都要依賴于 HTTP.sys 作為超文本傳輸協議 (HTTP) 偵聽程序;然而,它們內部的工作原理是截然不同的。
工作進程隔離模式利用 IIS 6.0 的重新設計的體系結構并且使用工作進程的核心組件。IIS 5.0 隔離模式用于依賴 IIS 5.0 的特定功能和行為的應用程序。該隔離模式由 IIs5IsolationModeEnabled 配置數據庫屬性指定。
您所選擇的 IIS 應用程序隔離模式對性能、可靠性、安全性和功能可用性都會產生影響。工作進程隔離模式是 IIS 6.0 操作的推薦模式,因為它為應用程序提供了更可靠的平臺。工作進程隔離模式也提供了更高級別的安全性,因為運行在工作進程中的應用程序的默認標識為 NetworkService。
以 IIS 5.0 隔離模式運行的應用程序的默認標識為 LocalSystem,該標識允許訪問并具有更改計算機上幾乎所有資源的能力。
| IIS 功能 |
IIS 5.0隔離模式宿主/組件 |
工作進程隔離模式宿主/組件 |
| 工作進程管理 |
N/A |
Svchost.exe/WWW 服務 |
| 工作進程 |
N/A |
W3wp.exe/工作進程 |
| 運行進程內ISAPI 擴展 |
Inetinfo.exe |
W3wp.exe |
| 運行進程外ISAPI 擴展 |
DLLHost.exe |
N/A(所有的 ISAPI 擴展都在進程內) |
| 運行ISAPI篩選器 |
Inetinfo.exe |
W3wp.exe |
| HTTP.sys 配置 Svchost.exe/WWW 服務 |
Svchost.exe/WWW |
服務 |
| HTTP 協議支持 |
Windows內核/HTTP.sys |
Windows 內核/HTTP.sys |
| IIS配置數據庫 |
Inetinfo.exe |
Inetinfo.exe |
| FTP |
Inetinfo.exe |
Inetinfo.exe |
| NNTP |
Inetinfo.exe |
Inetinfo.exe |
| SMTP |
Inetinfo.exe |
Inetinfo.exe |
由此可見,我們只能使用工作進程隔離模式解決.net的安全問題。默認情況下,IIS 6.0在工作進程隔離模式下運行,如圖五所示。在這種模式中,對于每一個Web應用,IIS 6.0都用一個獨立的w3wp.exe的實例來運行它。w3wp.exe也稱為工作進程(Worker Process),或W3Core。
可靠性和安全性。可靠性的提高是因為一個Web應用的故障不會影響到其他Web應用,也不會影響http.sys,每一個Web應用由W3SVC單獨地監視其健康狀況。安全性的提高是由于應用程序不再象IIS 5.0和IIS 4.0的進程內應用那樣用System帳戶運行,默認情況下,w3wp.exe的所有實例都在一個權限有限的“網絡服務”帳戶下運行,如圖六所示,必要時,還可以將工作進程配置成用其他用戶帳戶運行。
對,這里,這里就是我們解決的核心。
我們把每一個網站都分配一個獨立的應用程序池,并賦予不同的權限。不就能解決這個問題了嗎?
具體如何做呢,下面我就針對建立一個網站來做一個示范:
首先,我們為網站創建兩個用戶(一個是app_test_user、密碼為appuser,一個是iis_test_user、密碼為iisuser)
1. 打開 計算機管理器
2. 單擊控制臺樹中的用戶→計算機管理→系統工具→本地用戶和組→用戶
3. 單擊“操作”菜單上的“新用戶”輸入用戶名為。app_test_user、密碼為appuser
4. 在對話框中鍵入適當的信息。
5. 選中復選框:
用戶不能更改密碼
密碼永不過期
6. 單擊“創建”,然后單擊“關閉”。
按照此方法在創建iis_test_user賬戶
然后分別把app_test_user添加到iis_wpg組,把iis_test_user添加到Guests組。刪除其他組。
然后,建立相應的應用程序池。
依次打開Internet 信息服務→本地計算機→應用程序池→新建→應用程序池
新建一個名字為test的應用程序池
編輯test應用程序池的屬性→標示→配置→用戶名→瀏覽→把用戶名改為我們剛才建立的app_test_user并輸入相應的密碼
其次建立相應的網站。
依次打開Internet 信息服務→本地計算機→網站→新建→test的網站,目錄為d:\test →編輯test網站的屬性→主目錄→應用程序池→app_test_user →目錄安全性→身份驗證和訪問控制→編輯,選擇我們剛才建立的iis_test_user,并輸入相應的密碼iisuser→保存并退出。
最后設定服務器的安全。
C:只給administrators和system完全控制的權利,刪除掉其他所有的權限,不替換子目錄
C:\Documents and Settings繼承父項,并替換子目錄。
C:\Program Files繼承父項,并替換子目錄,并把C:\Program Files\Common Files\Microsoft Shared繼承屬性刪除并復制現有屬性,增加users的讀取權限并替換子目錄(這樣做是為了能夠讓asp,asp.net使用access等數據庫)。
C:\windows刪除繼承,并復制現有屬性,只給予administrators,system完全控制和users讀取的權限并替換子目錄。
其余所有的盤都只給于administrators和system用戶的完全控制權限,刪除其他所有用戶并替換子目錄。
D:\test(用戶網站目錄)繼承現有屬性并增加app_test_user和iis_test_user完全控制的權限并替換子目錄。
以后每增加一個網站都以此類推。
但是,至此,system.io還是對c:\windows又讀取權限的,(懷疑network servers用戶屬于users組,但是好多服務都要使用users組來執行的,所以不能把c:\windwos去掉users組的讀取權限)但必須知道系統路徑,有兩種方案解決。
1、 再安裝系統的時候使用無人值守安裝,更換c:\windows默認安裝路徑,如更改為c:\testtest(要符合dos的命名規則,不能超過8個字符)。這個是必需的
2、 以下位置具有指派給 IIS_WPG 的權限:
%windir%\help\iishelp\common – 讀取
%windir%\IIS Temporary Compressed Files – 列出、讀取、寫入
%windir%\system32\inetsrv\ASP Compiled Template – 讀取
Inetpub\wwwroot(或內容目錄)- 讀取、執行
此外,IIS_WPG 還具有以下用戶權限:
忽略遍歷檢查(SeChangeNotifyPrivilege)
作為批處理作業登錄(SeBatchLogonRight)
從網絡訪問此計算機(SeNetworkLogonRight)
當然兩種方法結合起來算是最安全的方案,一般使用第一種方案已經算是很安全的,畢竟是用一個webshell來猜測8位字符的目錄還是需要花費時間的。使用防火墻很容易就能察覺出來,并加以控制。
第二種可能根據所安裝軟件不同還要相應增加目錄的讀取權限,詳細情況要根據軟件來確定。
如果主機用戶比較多,這將是一個相當大的勞動量,推薦使用程序來解決問題,下面給出網上不常見的針對iis應用程序池操作的代碼和針對iis虛擬目錄的操作代碼。
操作iis應用程序池
using System;
using System.DirectoryServices;
using System.Reflection;
namespace ADSI1
{
///
/// Small class containing methods to configure IIS.
///
class ConfigIIS
{
///
/// The main entry point for the application.
///
[STAThread]
//主程序入口,可以選擇用哪些,我為了方便,全部功能都寫上去了。
static void Main(string[] args)
{
string AppPoolName = "MyAppPool";
string newvdir1 = "MyVDir";
DirectoryEntry newvdir = CreateVDir(newvdir1);
CreateAppPool(AppPoolName);
AssignAppPool(newvdir, AppPoolName);
ConfigAppPool("Stop",AppPoolName);
}
//創建虛擬目錄
static DirectoryEntry CreateVDir (string vdirname)
{
DirectoryEntry newvdir;
DirectoryEntry root=new DirectoryEntry("IIS://localhost/W3SVC/1/Root");
newvdir=root.Children.Add(vdirname, "IIsWebVirtualDir");
newvdir.Properties["Path"][0]= "c:\\inetpub\\wwwroot";
newvdir.Properties["AccessScript"][0] = true;
newvdir.CommitChanges();
return newvdir;
}
//創建新的應用程序池。
static void CreateAppPool(string AppPoolName)
{
DirectoryEntry newpool;
DirectoryEntry apppools=new DirectoryEntry("IIS://localhost/W3SVC/AppPools");
newpool=apppools.Children.Add(AppPoolName, "IIsApplicationPool");
newpool.CommitChanges();
}
static void AssignAppPool(DirectoryEntry newvdir, string AppPoolName)
{
object[] param={0, AppPoolName, true};
newvdir.Invoke("AppCreate3", param);
}
//method是管理應用程序池的方法,有三種Start、Stop、Recycle,而AppPoolName是應用程序池名稱
static void ConfigAppPool(string method,string AppPoolName)
{
DirectoryEntry appPool = new DirectoryEntry("IIS://localhost/W3SVC/AppPools");
DirectoryEntry findPool = appPool.Children.Find(AppPoolName,IIsApplicationPool");
findPool.Invoke(method,null);
appPool.CommitChanges();
appPool.Close();
}
//應用程序池的列表
static void AppPoolList()
{
DirectoryEntry appPool = new DirectoryEntry("IIS://localhost/W3SVC/AppPools");
foreach(DirectoryEntry a in appPool.Children)
{
Console.WriteLine(a.Name);
}
}
private void VDirToAppPool()
{
DirectroryEntry VD = new DirectoryEntry("IIS://localhost/W3SVC/1/ROOT/ccc");
Console.WriteLine(VD.Properties["AppPoolId"].Value.ToString());
}
}
}
iis6操作的例子
using System;
using System.DirectoryServices;
using System.Collections;
using System.Text.RegularExpressions;
using System.Text;
namespace Wuhy.ToolBox
{
/// </summary>
public class IISAdminLib
{
#region UserName,Password,HostName的定義
public static string HostName
{
get
{
return hostName;
}
set
{
hostName = value;
}
}
public static string UserName
{
get
{
return userName;
}
set
{
userName = value;
}
}
public static string Password
{
get
{
return password;
}
set
{
if(UserName.Length <= 1)
{
throw new ArgumentException("還沒有指定好用戶名。請先指定用戶名");
}
password = value;
}
}
public static void RemoteConfig(string hostName, string userName, string password)
{
HostName = hostName;
UserName = userName;
Password = password;
}
private static string hostName = "localhost";
private static string userName;
private static string password;
#endregion
#region 根據路徑構造Entry的方法
/// <summary>
/// 根據是否有用戶名來判斷是否是遠程服務器。
/// 然后再構造出不同的DirectoryEntry出來
/// </summary>
/// <param name="entPath">DirectoryEntry的路徑</param>
/// <returns>返回的是DirectoryEntry實例</returns>
public static DirectoryEntry GetDirectoryEntry(string entPath)
{
DirectoryEntry ent;
if(UserName == null)
{
ent = new DirectoryEntry(entPath);
}
else
{
// ent = new DirectoryEntry(entPath, HostName+"\\"+UserName, Password, AuthenticationTypes.Secure);
ent = new DirectoryEntry(entPath, UserName, Password, AuthenticationTypes.Secure);
}
return ent;
}
#endregion
#region 添加,刪除網站的方法
/// <summary>
/// 創建一個新的網站。根據傳過來的信息進行配置
/// </summary>
/// <param name="siteInfo">存儲的是新網站的信息</param>
public static void CreateNewWebSite(NewWebSiteInfo siteInfo)
{
if(! EnsureNewSiteEnavaible(siteInfo.BindString))
{
throw new DuplicatedWebSiteException("已經有了這樣的網站了。" + Environment.NewLine + siteInfo.BindString);
}
string entPath = String.Format("IIS://{0}/w3svc", HostName);
DirectoryEntry rootEntry = GetDirectoryEntry(entPath);
string newSiteNum = GetNewWebSiteID();
DirectoryEntry newSiteEntry = rootEntry.Children.Add(newSiteNum, "IIsWebServer");
newSiteEntry.CommitChanges();
newSiteEntry.Properties["ServerBindings"].Value = siteInfo.BindString;
newSiteEntry.Properties["ServerComment"].Value = siteInfo.CommentOfWebSite;
newSiteEntry.CommitChanges();
DirectoryEntry vdEntry = newSiteEntry.Children.Add("root", "IIsWebVirtualDir");
vdEntry.CommitChanges();
vdEntry.Properties["Path"].Value = siteInfo.WebPath;
vdEntry.CommitChanges();
}
/// <summary>
/// 刪除一個網站。根據網站名稱刪除。
/// </summary>
/// <param name="siteName">網站名稱</param>
public static void DeleteWebSiteByName(string siteName)
{
string siteNum = GetWebSiteNum(siteName);
string siteEntPath = String.Format("IIS://{0}/w3svc/{1}", HostName, siteNum);
DirectoryEntry siteEntry = GetDirectoryEntry(siteEntPath);
string rootPath = String.Format("IIS://{0}/w3svc", HostName);
DirectoryEntry rootEntry = GetDirectoryEntry(rootPath);
rootEntry.Children.Remove(siteEntry);
rootEntry.CommitChanges();
}
#endregion
#region Start和Stop網站的方法
public static void StartWebSite(string siteName)
{
string siteNum = GetWebSiteNum(siteName);
string siteEntPath = String.Format("IIS://{0}/w3svc/{1}", HostName, siteNum);
DirectoryEntry siteEntry = GetDirectoryEntry(siteEntPath);
siteEntry.Invoke("Start", new object[] {});
}
public static void StopWebSite(string siteName)
{
string siteNum = GetWebSiteNum(siteName);
string siteEntPath = String.Format("IIS://{0}/w3svc/{1}", HostName, siteNum);
DirectoryEntry siteEntry = GetDirectoryEntry(siteEntPath);
siteEntry.Invoke("Stop", new object[] {});
}
#endregion
#region 確認網站是否相同
/// <summary>
/// 確定一個新的網站與現有的網站沒有相同的。
/// 這樣防止將非法的數據存放到IIS里面去
/// </summary>
/// <param name="bindStr">網站邦定信息</param>
/// <returns>真為可以創建,假為不可以創建</returns>
public static bool EnsureNewSiteEnavaible(string bindStr)
{
string entPath = String.Format("IIS://{0}/w3svc", HostName);
DirectoryEntry ent = GetDirectoryEntry(entPath);
foreach(DirectoryEntry child in ent.Children)
{
if(child.SchemaClassName == "IIsWebServer")
{
if(child.Properties["ServerBindings"].Value != null)
{
if(child.Properties["ServerBindings"].Value.ToString() == bindStr)
{
return false;
}
}
}
}
return true;
}
#endregion
#region 獲取一個網站編號的方法
/// <summary>
/// 獲取一個網站的編號。根據網站的ServerBindings或者ServerComment來確定網站編號
/// </summary>
/// <param name="siteName"></param>
/// <returns>返回網站的編號</returns>
/// <exception cref="NotFoundWebSiteException">表示沒有找到網站</exception>
public static string GetWebSiteNum(string siteName)
{
Regex regex = new Regex(siteName);
string tmpStr;
string entPath = String.Format("IIS://{0}/w3svc", HostName);
DirectoryEntry ent = GetDirectoryEntry(entPath);
foreach(DirectoryEntry child in ent.Children)
{
if(child.SchemaClassName == "IIsWebServer")
{
if(child.Properties["ServerBindings"].Value != null)
{
tmpStr = child.Properties["ServerBindings"].Value.ToString();
if(regex.Match(tmpStr).Success)
{
return child.Name;
}
}
if(child.Properties["ServerComment"].Value != null)
{
tmpStr = child.Properties["ServerComment"].Value.ToString();
if(regex.Match(tmpStr).Success)
{
return child.Name;
}
}
}
}
throw new NotFoundWebSiteException("沒有找到我們想要的站點" + siteName);
}
#endregion
#region 獲取新網站id的方法
/// <summary>
/// 獲取網站系統里面可以使用的最小的ID。
/// 這是因為每個網站都需要有一個唯一的編號,而且這個編號越小越好。
/// 這里面的算法經過了測試是沒有問題的。
/// </summary>
/// <returns>最小的id</returns>
public static string GetNewWebSiteID()
{
ArrayList list = new ArrayList();
string tmpStr;
string entPath = String.Format("IIS://{0}/w3svc", HostName);
DirectoryEntry ent = GetDirectoryEntry(entPath);
foreach(DirectoryEntry child in ent.Children)
{
if(child.SchemaClassName == "IIsWebServer")
{
tmpStr = child.Name.ToString();
list.Add(Convert.ToInt32(tmpStr));
}
}
list.Sort();
int i = 1;
foreach(int j in list)
{
if(i == j)
{
i++;
}
}
return i.ToString();
}
#endregion
}
#region 新網站信息結構體
public struct NewWebSiteInfo
{
private string hostIP; // The Hosts IP Address
private string portNum; // The New Web Sites Port.generally is "80"
private string descOfWebSite; // 網站表示。一般為網站的網站名。例如"www.dns.com.cn"
private string commentOfWebSite;// 網站注釋。一般也為網站的網站名。
private string webPath; // 網站的主目錄。例如"e:\tmp"
public NewWebSiteInfo(string hostIP, string portNum, string descOfWebSite, string commentOfWebSite, string webPath)
{
this.hostIP = hostIP;
this.portNum = portNum;
this.descOfWebSite = descOfWebSite;
this.commentOfWebSite = commentOfWebSite;
this.webPath = webPath;
}
public string BindString
{
get
{
return String.Format("{0}:{1}:{2}", hostIP, portNum, descOfWebSite);
}
}
public string CommentOfWebSite
{
get
{
return commentOfWebSite;
}
}
public string WebPath
{
get
{
return webPath;
}
}
}
#endregion
}
至此,一個相對安全的.net主機就建立起來了,隨著.net2.0的發布越來越逼近,希望ms能針對此問題作一個妥善的防范。
我們已經簡單的介紹了一下ASP.NET中關于文件IO系統的漏洞的防治方法,這一方法有些繁瑣,但是卻可以從根本上杜絕一些漏洞,我們討論的只是很少的一部分,更多的解決放法需要大家共同來探索、學習。