webdav漏洞的利用.docVIP

webdav漏洞的利用 D0000D发往论坛板块 No2 号板块 技术文章 D8888D贴子标题 webdav漏洞的利用 D8888D主贴内容 一、 漏洞基本情况 1、 漏洞名称及描述 名称：Microsoft Windows 2000 WebDAV远程缓冲区溢出漏洞 微软安全公告：MS03-007 Unchecked Buffer In Windows Component Could Cause Web Server Compromise(815021) 地址[url=/technet/security/bulletin/MS03-007.asp]链接标记/technet/security/bulletin/MS03-007.asp[/url] 描述：IIS 5.0包含的WebDAV组件不充分检查传递给部分系统组件的数据，远程攻击者利用这个漏洞 对WebDAV进行缓冲区溢出攻击，可能以Web进程权限在系统上执行任意指令。 2、 受影响系统 Microsoft IIS 5.0 - Microsoft Windows 2000 Professional/Server/ Datacenter Server SP3 - Microsoft Windows 2000 Professional/Server/ Datacenter Server SP2 - Microsoft Windows 2000 Professional/Server/ Datacenter Server SP1 - Microsoft Windows 2000 Professional/Server/ Datacenter Server 3、 什么是WebDAV组件 Microsoft IIS 5.0 (Internet Information Server 5)是Microsoft Windows 2000自带的一个网络 信息服务器，其中包含HTTP服务功能。IIS5默认提供了对WebDAV的支持，WebDAV（基于Web的分布式写作和改写）是一组对HTTP协议的扩展，它允许用户协作地编辑和管理远程Web服务器上的文件。使用WebDAV，可以通过HTTP向用户提供远程文件存储的服务，包括创建、移动、复制及删除远程服务器上的文件，但是作为普通的HTTP服务器，这个功能不是必需的。 4、 漏洞产生的原因 这个漏洞产生的原因具体是由于WebDAV使用了ntdll.dll中的一些API函数，而这些函数存在一个缓 冲区溢出漏洞，而Microsoft IIS 5.0带有WebDAV组件对用户输入的传递给ntdll.dll程序处理的请求未作充分的边界检查，远程入侵者可以通过向WebDAV提交一个精心构造的超长的数据请求而导致发生缓冲区溢出，成功利用这个漏洞可以获得LocalSystem权限，这意味着入侵者可以获得主机的安全控制能力。所以确切地说，这个漏洞并不是IIS造成的，而是ntdll.dll里面的一个API函数造成的。也就是说，很多调用这个API的应用程序都存在这个漏洞。 5、 测试代码：见附件 WebDAV远程缓冲区溢出漏洞的基本情况我们这里介绍到这里了，如果读者有兴趣想进一步了解这个漏 洞具体的溢出原理分析，建议可以去安全焦[url=/]链接标记/[/url]中参阅isno写的两篇关于WebDAV远程溢出漏洞分析的文章，很精彩！我这里就不班门弄斧了。 二、如何检测漏 在上面介绍漏洞基本情况的时候，我们已经说了IIS 5.0的默认配置是提供了对WebDAV的支持，也就是说，如果你的win 2000提供了IIS服务而没有打过针对此漏洞的补丁，那么一般情况下你的IIS就会存在这个漏洞，但如何来确定呢？我们可以借助一些工具来帮我们进行检测。 1、 第一个检测工具：Ptwebdav.exe 下载地址[url=/txt/show.php?id=10]链接标记/txt/show.php?id=10[/url] 简介：Ptwebdav.exe是一个老外写的专门用来远程检测Windows 2000 IIS 5.0服务器是否存在WebDAV 远程缓冲区溢出漏洞的东东，其操作界面非常简单，只要在其IP or hostname中填入要检测的主机和IIS服务端口，然后按check就可以了。笔者正用它来检测本地主机是否存在WebDAV漏洞，一会儿它就会在下面窗口里显示结果。这个工具不错，但它每次只能检测一台机子，如果你想检测一个网段内所有主机就比较麻烦了，一台台地检测不知道要检测到什么时候。让我们来看看第二个检测软件，它能帮我们解决这个问题。 2、 第二个检测工具：WebDAVScan v1.0 下载地址[url=/Down/show.php?id=65]链接标记/