7.NTIndexServer存在返回上级目录的漏洞
问题描述:
IndexSserver2.0是WinNT4.0OptionPack中附带的一个软件的工具,其中的功能已被WinNT/2000中的IndexingServices所包含。当和IIS结合使用时,IndexServer和IndexingServices便能够在最初的环境来浏览WebSearch的结果,他将生成一个HTML文档,其中包含了查找后所返回页面内容的简短引用,并将其连接至所返回的页面[即符合查询内容的页面],也就是终极连接。要做到这一点,他便需要支持由Webhits.dll-ISAPI程式处理的.htw文档类型。这个Dll允许在一个模版中使用“../”用做返回上级目录的字符串。这样,了解服务器文档结构的攻击者便能够远程的阅读该机器上的任意文档了。
漏洞的利用:
(1)您的系统中存在.htw文档
IndexServer提供的这种终极连接允许Web用户获得一个关于他搜寻结果的返回页,这个页面的名字是和CiWebHitsFile变量一起通过.htw文档的,Webhits.dll这个ISAPI程式将处理这个请求,对其进行终极连接并返回该页面。因此用户便能够控制通过.htw文档的CiWebHits变量,请求到任何所希望获得的信息。另外存在的一个问题便是ASP或其他脚本文档的源代码也能够利用该方法来获得。
上面我们说过Webhits.dll后接上“../”便能够访问到Web虚拟目录外的文档,下面我们来看个例子:
http://somerul/iissamples/issamples/oop/qfullhit.dll?
iWebHitsFile=/../../winnt/system32/logfiles/w3svc1/ex000121.log&CiRestriction=none&Ci-HiliteType=Full
在浏览器中输入该地址,便能够获得该服务器上给定日期的Web日志文档。
在系统常见的.htw样本文档有: /iissamples/issamples/oop/qfullhit.htw /iissamples/issamples/oop/qsumrhit.htw /iissamples/exair/search/qfullhit.htw /iissamples/exair/search/qsumrhit.hw /iishelp/iis/misc/iirturnh.htw[这个文档通常受loopback限制] |
(2)您的系统中不存在.htw文档
调用一个Webhits.dllISAPI程式需要通过.htw文档来完成,假如您的系统中不存在.htw文档,虽然请求一个不存在的.htw文档将失败,但是您的仍然存在可被利用的漏洞。其中的窍门便是利用Inetinfo.exe来调用Webhits.dll,这样同样能访问到Web虚拟目录外的文档。但我们需要通过制作一个的特别的URL来完成这个文档必须是个静态的文档,如“.htm”,“.html”,“.txt”或“.gif”,“.jpg”。这些文档将用作模版来被Webhits.dll打开。现在我们需要获得Inetinfo.exe来利用Webhits.dll,唯一能够做到这点的便是请求一个.htw文档:
http://url/default.htm.htwCiWebHitsFile=/../../winnt/system32/logfiles/w3svc1/ex000121.l-og&CiRestriction=none&CiHiliteType=Full
很明显,这个请求肯定会失败,因为系统上不存在这个文档。但请注意,我们现在已调用到了Webhits.dll,我们只要在一个存在的文档资源后面[也就是在.htw前面]加上一串特别的数字( s),[就是在例子中“default.htm”后面加上这个代表空格的特别数字],这样我们便能够欺骗过Web服务器从而达到我们的目的.由于在缓冲部分中.htw文档名字部分被删除掉[由于 s这个符号],所以,当请求传送到Webhits.dll的时候,便能够成功的打开该文档,并返回给客户端,而且过程中并不需要系统中真的存在.htw文档。
问题解决和建议:
微软已对该问题发放了补丁:
IndexServer2.0: |
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
