Deface attack on ISS Для начала стоит сказать, что данная атака применима к Microsoft Internet Information Server версии 4, 5. Атака заключается в получении доступа к серверу путем использования командной строки web-броузера и дыры в unicode ISS. Что нам потребуется: Для начала формат командной строки: http://dns_ip/exec_dir/expl_code/exec_file_path?/c+command+options+path Ну что, поехали.
dns_ip Это идентификатор сервера в сети. Или DNS или IP, что-то одно!!! К примеру: dns: lamos.tyt ip: 212.44.150.12 exec_dir Это директория, в которой разрешено выполнение командных файлов. В основном это cgi-bin, scripts, да, я раз встречал sscripts expl_code А вот тут самое интересное. Это последовательность байт, которые используют эту самую дыру в unicode ISS. Последовательность формируется определенным образом, каким - в след. статье опишу. Вам нужно скачать файл с уже приготовленными последовательностями кодов и, если есть желание утилитку, которую я написал для облегчения формирования полной строки В общем так. Строки, в которых в самом начале присутствует // уже готовы к применению, остается лишь приписать имя сервера с ISS. Строки, которые начинаются с .. требуют указания имени сервера и папки, такие коды попались. По мере нахождения новых вариантов я буду пополнять этот файл, об этом я буду уведомлять в updates'ах. Так что читайте внимательно обновления сайта. Также планируется апгрейд программы для парсинга кодов, возможно - генерация, пока что проблемы с алгоритмом. А вообще поищите на разных поисковиках. советую google.com Строка для поиска - deface attack, deface code codes util by black c0de util src C++ exec_file_path Тут путь к исполняемому файлу. Нам хватит командной строки. Исключим такой вариант как windows 9X и будем считать. что у нас NT со своей cmd.exe, которая находиться в %systemroot%system32 Да, тут вы можете использовать любую программу! Самое главное, чтобы она находилась в папке с правами на выполнение! command Это команда, посылаемая выполняемому файлу, то бишь нашему cmd.exe. Во всех deface-codes заданы команды на листинг корня диска c:, то есть команда dir options это параметры. к примеру для dir пригодиться параметр /X, который позволит выводить имена файлов и папок в формате 8.3, это пригодиться, так как через строку браузера только в таком формате имена и указывать нужно ;)) path ну, это путь. то есть в случае ?/c+dir+/X+%systemroot% нам выведет листинг системной папки винды. - а теперь пару замечаний: в командной строке пробелы пропускаются! - все плюсы, что указаны в качестве разделителей полей сохраняются! - подстрока ?/с обязательна между путем и командой! - имена в формате 8.3! Теперь осталось скопировать приготовленную вами страничку. Для этого можно использовать комманду copy. Дальше - ваша фантазия. У вас есть доступ к всем ресурсам, так как программы будут работать с системными привилегиями. PS M$ уже выпустил хотфикс для ISS. PPS Также есть специальные программы, которые анализируют сервера на наличие данной уязвимости. Ищите и найдете! Опять же, на америкосовских поисковиках ;) (XSpider) PPS Стоит подумать насчет backdoor и *.log, скоро здесь будет утилита, чистящая логи!Теперь, что касается утилиты: так как в файле с кодлайнами уже указаны параметры ?/ccommand+options+path - программу следует запускать без последнего параметра. >defbc.exe codes.txt http://DNS
|