西安網(wǎng)站建設(shè) | 西安網(wǎng)站制作 | 西安網(wǎng)站設(shè)計 | 西安小程序開發(fā) | 兄弟網(wǎng)絡 - 西安網(wǎng)站建設(shè)十余年經(jīng)驗,值得信賴!
了解市場新觀點,內(nèi)部案例剖析,增強服務意識與專業(yè)水平。

iis常見漏洞及防范措施(二)

來源:西安網(wǎng)站制作   日期:2015-05-28 09:22:14   點擊:3325

10. .idc & .ida Bugs 
    這個漏洞實際上類似ASP dot 漏洞,其能在IIS4.0上顯示其WEB目錄信息,很奇怪的說有些還在IIS5.0上發(fā)現(xiàn)過此類漏洞,通過增加?idc?或者?ida? 后綴到URL會導致IIS嘗試允許通過數(shù)據(jù)庫連接程序.DLL來運行.IDC,如果此.idc不存在,它就返回一些信息給客戶端。 
或者 anything.idq 
                 
11.+.htr Bug 
     對有些ASA和ASP追加+.htr的URL請求就會導致文件源代碼的泄露:  
                
12.NT Site Server Adsamples 
   通過請求site.csc,一般保存在/adsamples/config/site.csc中,攻擊者 可能獲得一些如數(shù)據(jù)庫中的DSN,UID和PASS的一些信息,如:  
                 

                 
 13./iisadmpwd 
      IIS4.0中包含一個有趣的特征就是允許遠程用戶攻擊WEB服務器上的用戶帳號,就是你的WEB服務器是通過NAT來轉(zhuǎn)換地址的,還可以被攻擊。 每個IIS4.0安裝的時候建立一個虛擬目錄/iisadmpwd,這個目錄包含多個 .htr文件,匿名用戶允許訪問這些文件,這些文件剛好沒有規(guī)定只限制 在loopback addr(127.0.0.1),請求這些文件就跳出對話框讓你通過WEB來修改用戶的帳號和密碼。這個目錄物理映射在下面的目錄下: 
                  c:winntsystem32inetsrviisadmpwd 
                  Achg.htr 
                  Aexp.htr 
                  Aexp2.htr 
                  Aexp2b.htr 
                  Aexp3.htr 
                  Aexp4.htr 
                  Aexp4b.htr 
                  Anot.htr 
                  Anot3.htr 
                  這樣,攻擊者可以通過暴力來猜測你的密碼。 
                 
14.Translate:f Bug 
      泄露asp文件源代碼 存在OFFICE 2000和FRONTPAGE 2000Server Extensions中的WebDAV中, 當有人請求一個ASP/ASA后者其他任意腳本的時候在HTTP GET加上Translate:f 后綴,并在請求文件后面加/就會顯示文件代碼,當然在沒有打WIN2K SP1補丁 為前提。這個是W2K的漏洞,但由于FP2000也安裝在IIS4.0上,所以在IIS4.0上也有這個漏洞。利用程序: trasn1.pl,trans2.pl 
                
 15.Unicode 
    IIS 4.0和IIS 5.0在Unicode字符解碼的實現(xiàn)中存在一個安全漏洞,導致用戶可以遠程通過IIS執(zhí)行任意命令。當IIS打開文件時,如果該文件名包含unicode字符,它會對其進行解碼,如果用戶提供一些特殊 的編碼,將導致IIS錯誤的打開或者執(zhí)行某些web根目錄以外的文件。  
               
可能需要察看以下幾個目錄 
                  GET 
                  /scripts/..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\ 
                  HTTP/1.0rnrn 
                  GET 
                  /msadc/..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\ 
                  HTTP/1.0rnrn 
                  GET 
                  /_vti_bin/..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\ 
                  HTTP/1.0rnrn 
                  GET 
                  /_mem_bin/..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\ 
                  HTTP/1.0rnrn 
                  GET 
                  /cgi-bin/..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\ 
                  HTTP/1.0rnrn 
                  eeye開發(fā)了工具包iishack1.5針對這一漏洞進行測試 
                  16.iis5.0 緩沖溢出 
                  微軟Win 2K IIS 
5的打印ISAPI擴展接口建立了.printer擴展名到msw3prt.dll的映射關(guān)系,缺省情況下該映射存在。當遠程用戶提交對.printer的URL請求時,IIS 
5調(diào)用msw3prt.dll解釋該請求。由于msw3prt.dll缺乏足夠的緩沖區(qū)邊界檢查,遠程用戶可以提交一個精心構(gòu)造的針對.printer的URL請求,其"Host:"域包含大約420字節(jié)的數(shù)據(jù),此時在msw3prt.dll中發(fā)生典型的緩沖區(qū)溢出,潛在允許執(zhí)行任意代碼。溢出發(fā)生后,WEB服務停止響應,Win 2K可以檢查到WEB服務停止響應,從而自動重啟它,因此系統(tǒng)管理員很難意識到發(fā)生過攻擊。利用程序見iis5hack.zip 
               
  17.IIS CGI文件名二次解碼漏洞 
     IIS在加載可執(zhí)行CGI程序時,會進行兩次解碼。第一次解碼是對CGI文件名進行http解碼,然后判斷此文件名是否為可執(zhí)行文件,例如檢查后綴名是否為".exe"或".com"等等。在文件名檢查通過之后,IIS會再進行第二次解碼。正常情況下,應該只對該CGI的參數(shù)進行解碼,然而,IIS錯誤地將已經(jīng)解碼過的CGI文件名和CGI參數(shù)一起進行解碼。這樣,CGI文件名就被錯誤地解碼了兩次。 
                  通過精心構(gòu)造CGI文件名,攻擊者可以繞過IIS對文件名所作的安全檢查,例如對"../"或"./"的檢查,在某些條件下,攻擊者可以執(zhí)行任意系統(tǒng)命令。 

                  例如,對于’’這個字符,正常編碼后是%5c。這三個字符對應的編碼為: 
                  ’%’ = %25 
                  ’5’ = %35 
                  ’c’ = %63 
                  如果要對這三個字符再做一次編碼,就可以有多種形式,例如: 
                  %255c 
                  %%35c 
                  %%35%63 
                  %25%35%63 
                  ... 
    因此,".."就可以表示成"..%255c"或"..%%35c"等等形式。在經(jīng)過第一次解碼之后,變成"..%5c"。IIS會認為這是一個正常的字符串,不會違反安全規(guī)則檢查。而在第二次被解碼之后,就會變成".."。因此攻擊者就可以使用".."來進行目錄遍歷,執(zhí)行web目錄之外的任意程序。

上一篇:iis常見漏洞及防范措施(一)     下一篇:如何有效預防網(wǎng)站安全問題
掃碼立即溝通
公眾號加關(guān)注
版權(quán)所有:西安兄弟信息科技有限公司 陜ICP備07012704號-8   地址:西安市三橋街道恒大都市廣場(1號線灃東自貿(mào)園站C1口)  營業(yè)執(zhí)照    網(wǎng)站地圖  
關(guān)閉
029-86512630 工作:8:30-17:30

*