原帖由 "t920" 发表:
Null.htw
IIS如果运行了Index Server就包含了一个通过Null.htw有关的漏洞,即服务器上不
存在此.htw结尾的文件。这个漏洞会导致显示ASP脚本的源代码, global.asa里面包含
了用户帐户等敏感信息。如果攻击者提供特殊的URL请求给IIS就可以跳出虚拟目录的限
制,进行逻辑分区和ROOT目录的访问。而这个"hit-highlighting"功能在Index Server
中没有充分防止各种类型文件的请求,所以导致攻击者访问服务器上的任意文件。Null
.htw功能可以从用户输入中获得3个变量:
CiWebhitsfile
CiRestriction
CiHiliteType
你可通过下列方法传递变量来获得如default.asp的源代码:http://www.目标机.c
om/null.htw?CiWebhitsfile=/default.asp%20&%20
CiRestriction=none%20&%20&CiHiliteType=full其中不需要一个合法的.htw文件是因为
虚拟文件已经存储在内存中了。
(8)、webhits.dll & .htw
这个hit-highligting功能是由Index Server提供的允许一个WEB用户在文档上high
lighted(突出)其原始搜索的条目,这个文档的名字通过变量CiWebhitsfile传递给.h
tw文件,Webhits.dll是一个ISAPI应用程序来处理请求,打开文件并返回结果,当用户
控制了CiWebhitsfile参数传递给.htw时,他们就可以请求任意文件,结果就是导致可以
查看ASP源码和其他脚本文件内容。要了解你是否存在这个漏洞,你可以请求如下条目:
"http://www.目标机.com/nosuchfile.htw"
如果你从服务器端获得如下信息:format of the QUERY_STRING is invalid这就表
示你存在这个漏洞。
这个问题主要就是webhits.dll关联了.htw文件的映射,所以你只要取消这个映射就
能避免这个漏洞,你可以在你认为有漏洞的系统中搜索.htw文件,一般会发现如下的程
序:
/iissamples/issamples/oop/qfullhit.htw
/iissamples/issamples/oop/qsumrhit.htw
/isssamples/exair/search/qfullhit.htw
/isssamples/exair/search/qsumrhit.htw
/isshelp/iss/misc/iirturnh.htw (这个一般为loopback使用)
攻击者可以使用如下的方法来访问系统中文件的内容:
"http://www.目标机.com/iissamples/issamples/oop/qfullhit.htw?
ciwebhitsfile=/../../winnt/win.ini&cirestriction=none&cihilitetype=full"
就会在有此漏洞系统中win.ini文件的内容。
..........
欢迎光临 Chinaunix (http://bbs.chinaunix.net/) | Powered by Discuz! X3.2 |