精华区 [关闭][返回]

当前位置:网易精华区>>讨论区精华>>电脑技术>>● 计算机安全>>◆系统漏洞◆>>Oracle Web Listener 4.0.x (for NT) CGI

主题:Oracle Web Listener 4.0.x (for NT) CGI
发信人: kevinlee()
整理人: (2000-03-22 19:20:40), 站内信件
 
受影响的系统:Oracle Web Listener 4.0.x for NT + Microsoft Windows NT 4
.0
不受影响的版本: 未知 
远程: YES / 本地:UnKnown

内容摘要:
Oracle Web Listener 4.0.x CGI 这个漏洞导致攻击者可以在服务器上远程执行
任意命令 
主要原因在于配置的失误,在安装时默认的虚拟目录在"ows-bin"或"cgi-bin"
(也就是c:\orant\ows\4.0\bin下)。 

漏洞的利用: 
在安装时默认的虚拟目录下,/ows-bin目录(也就是c:\orant\ows\4.0\bin下)安装
了一些批处理文件,这个漏洞导致攻击者可以在服务器上远程执行任意命令,攻击
者只需要在批处理文件的后面增加"?&"字符串,以及要执行的命令即可。

例子:
http://www.example.com/ows-bin/perlidlc.bat?&dir 

解决方案:
a.改变默认安装路径 b.删除或禁用ows-bin目录 
 

--
------- 
Sincerly  
KevinLee
http://mudfrog.126.com               (网络安全站点) 
irc: shell.cicnet.cc:6667 #mudfrog   (网络安全频道) 
irc: irc.szonline.net:6667 #internet (网络安全频道) 

※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.96.190.124]

[关闭][返回]