Deface attack on ISS 

Для начала стоит сказать, что данная атака применима к Microsoft Internet Information 

Server версии 4, 5. Атака заключается в получении доступа к серверу путем 

использования командной строки web-броузера и дыры в unicode ISS.  

Что нам потребуется:  

Для начала формат командной строки: 

http://dns_ip/exec_dir/expl_code/exec_file_path?/c+command+options+path  

 Ну что, поехали.  

 dns_ip Это идентификатор сервера в сети. Или DNS или IP, что-то одно!!! 

К примеру: dns: lamos.tyt ip: 212.44.150.12 exec_dir Это директория, в которой разрешено 

выполнение командных файлов. В основном это cgi-bin, scripts, да, я раз встречал sscripts 

expl_code А вот тут самое интересное. Это последовательность байт, которые 

используют эту самую дыру в unicode ISS. Последовательность формируется 

определенным образом, каким - в след. статье опишу. Вам нужно скачать файл с уже 

приготовленными последовательностями кодов и, если есть желание утилитку, которую я 

написал для облегчения формирования полной строки 

В общем так. Строки, в которых в самом начале присутствует // уже готовы к применению, 

остается лишь приписать имя сервера с ISS. Строки, которые начинаются с .. требуют 

указания имени сервера и папки, такие коды попались. По мере нахождения новых 

вариантов я буду пополнять этот файл, об 

этом я буду уведомлять в updates'ах. Так что читайте внимательно обновления сайта. 

Также планируется апгрейд программы для парсинга кодов, возможно - генерация, пока 

что проблемы с алгоритмом. А вообще поищите на разных поисковиках. советую 

google.com Строка для поиска - deface attack, deface code codes util by black c0de util src 

C++   exec_file_path Тут путь к исполняемому файлу. Нам хватит командной строки. 

Исключим такой вариант как windows 9X и будем считать. что у нас NT со своей cmd.exe, 

которая находиться в %systemroot%system32 Да, тут вы можете использовать любую 

программу! Самое главное, чтобы она находилась в папке с правами на выполнение! 

command Это команда, посылаемая выполняемому файлу, то бишь нашему cmd.exe. Во 

всех deface-codes заданы команды на листинг корня диска c:, то есть команда dir options 

это параметры. к примеру для dir пригодиться параметр /X, который позволит выводить 

имена файлов и папок в формате 8.3, это пригодиться, так как через строку браузера 

только в таком формате имена и указывать нужно ;)) path ну, это путь. то есть в случае 

?/c+dir+/X+%systemroot% нам выведет листинг системной папки винды. - а теперь пару 

замечаний: в командной строке пробелы пропускаются!  

- все плюсы, что указаны в качестве разделителей полей сохраняются! 

- подстрока ?/с обязательна между путем и командой! 

- имена в формате 8.3! 

Теперь осталось скопировать приготовленную вами страничку. Для этого можно 

использовать комманду copy. Дальше - ваша фантазия. У вас есть доступ к всем ресурсам, 

так как программы будут работать с системными привилегиями. 

 PS M$ уже выпустил хотфикс для ISS. 

PPS Также есть специальные программы, которые анализируют сервера на наличие 

данной уязвимости. Ищите и найдете! Опять же, на америкосовских поисковиках ;) 

(XSpider) PPS Стоит подумать насчет backdoor и *.log, скоро здесь будет утилита, чистящая 

логи!Теперь, что касается утилиты: так как в файле с кодлайнами уже указаны 

параметры ?/ccommand+options+path - программу следует запускать без последнего 

параметра. 

>defbc.exe codes.txt http://DNS