发信人: yurer(孤星)
整理人: ipaq(2001-05-27 14:37:30), 站内信件
|
鉴别伪装的漏洞
2001-01-17· analysist修改·中联绿盟
近日,国内一网友发现一国外站点存在明显的漏洞,但是却不能利用现成的Expolites来控制这台站点,而 且在入侵的过程中发现有一些可疑的地方,感觉这可能是伪装的漏洞。 于是在国内著名的中联绿盟的NT技术论 坛发了一篇帖子。绿盟的袁哥经过实际测试,确定了这个站点是国外一家安全公司的站点, 本身这些漏洞是伪 装的。同时,他也提供了下列证据来证实他的结论。
1、+.htr漏洞,你换成大写的+.HTR就不一样了,而WINDOWS+IIS不区分大小写。 并且.htr的返回信息不是 那样的,那像.htw的返回信息。
2、用.ida请求能返回物理路径信息,但加上%返回信息应该是%解码后的路径, 但返回信息没有解码%,显 然也是伪装的。
3、那个解码执行CMD.EXE如果发现URL最后是CMD.EXE串会返回一段警告信息。其实如果是真有这漏洞的话,他那种检测太好逃避了。
4、直接TELNET查看返回信息,没有IIS的BANNER。很可能就不是IIS系统。
因为一些原因,没有再多试。在此奉劝大家不要去试这站点,一个可能监视你有些什么攻击方法, 再一个 万一你做得不好,他拿来告你攻击也不好。
本身我们学安全应该学的是怎么保护我们的系统安全,研究攻击方法也是为这服务,而不是拿来破坏。 |
|