发信人: niking()
整理人: (2000-02-10 14:25:15), 站内信件
|
受影响的版本:Microsoft Index Server2.0 [WinNT4.0,WinNT 2000.0]
不受影响的版本: 未知
远程: YES / 本地:YES
内容摘要:
Index Sserver2.0是WinNT4.0 Option Pack中附带的一个软件的工具,其中的功能
已经被WinNT 2000中的Indexing Services所包含。当与IIS结合使用时,Index S
erver和Indexing Services便可以在最初的环境来浏览Web Search的结果,它将生
成一个HTML文件,其中包含了查找后所返回页面内容的简短引用,并将其连接至所
返回的页面[即符合查询内容的页面],也就是超级连接。要做到这一点,它便需要
支持由webhits.dll ISAPI程序处理的.htw文件类型。这个dll允许在一个模版中
使用"../"用做返回上级目录的字符串.这样,了解服务器文件结构的攻击者便可以
远程的阅读该机器上的任意文件了。
漏洞的利用:
1)您的系统中存在.htw文件
Index Server提供的这种超级连接允许Web用户获得一个关于他搜寻结果的返回页
,这个页面的名字是与CiWebHitsFile变量一起通过.htw文件的,webhits.dll这个
ISAPI程序将处理这个请求,对其进行超级连接并返回该页面。因此用户便可以控
制通过.htw文件的CiWebHits变量,请求到任何所希望获得的信息。另外存在的一
个问题便是ASP或其他脚本文件的源代码也可以利用该方法来获得。
上面我们说过webhits.dll后接上"../"便可以访问到Web虚拟目录外的文件,下面
我们来看个例子:
http://target/iissamples/issamples/oop/qfullhit.dll?CiWebHitsFile=/../
../winnt/system32/logfiles/w3svc1/ex000121.log&CiRestriction=none&CiHi
liteType=Full
在浏览器中输入该地址,便可以获得该服务器上给定日期的Web日志文件.
在系统常见的.htw样本文件有:
/iissamples/issamples/oop/qfullhit.htw
/iissamples/issamples/oop/qsumrhit.htw
/iissamples/exair/search/qfullhit.htw
/iissamples/exair/search/qsumrhit.hw
/iishelp/iis/misc/iirturnh.htw [这个文件通常受loopback限制]
2)您的系统中不存在.htw文件
调用一个webhits.dll ISAPI程序需要通过.htw文件来完成,如果您的系统中不存
在.htw文件,虽然请求一个不存在的.htw文件将失败,但是您的仍然存在可被利用
的漏洞。其中的窍门便是利用inetinfo.exe来调用webhits.dll,这样同样能访问
到Web虚拟目录外的文件。但我们需要通过制作一个的特殊的URL来完成该漏洞的
利用。首先我们需要一个有效的文件资源,这个文件必须是一个静态的文件,如".
htm",".html",".txt"或者".gif",".jpg"。这些文件将用作模版来被webhits.dl
l打开。现在我们需要获得inetinfo.exe来利用webhits.dll,唯一可以做到这点的
便是请求一个.htw文件:
http://target/default.htm.htw?CiWebHitsFile=/../../winnt/system32/logf
iles/w3svc1/ex000121.log&CiRestriction=none&CiHiliteType=Full
很明显,这个请求肯定会失败,因为系统上不存在这个文件。但请注意,我们现在已
经调用到了webhits.dll,我们只要在一个存在的文件资源后面[也就是在.htw前面
]加上一串特殊的数字( %20s ),[就是在例子中default.htm后面加上这个代表空
格的特殊数字],这样我们便可以欺骗过web服务器从而达到我们的目的.由于在缓
冲部分中.htw文件名字部分被删除掉[由于%20s这个符号],所以,当请求传送到we
bhits.dll的时候,便可以成功的打开该文件,并返回给客户端,而且过程中并不要
求系统中真的存在.htw文件。
解决方案:
微软已经对该问题发放了补丁:
Index Server 2.0:
Intel: http://www.microsoft.com/downloads/release.asp?ReleaseID=17727
Alpha: http://www.microsoft.com/downloads/release.asp?ReleaseID=17728
Windows 2000 Indexing Services:
Intel: http://www.microsoft.com/downloads/release.asp?ReleaseID=17726
Last Modify Time [1999-01-31]
本文出自MudfrogTechnology,如有转载请标明出处.Allright Reserved By Mudf
rog Technology
--
Sincerly
Niking
http://mudfrog.126.com (网络安全站点)
irc: irc.szonline.net:6667 #internet (网络安全频道)
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.104.98.12]
|
|