技术分析与防护方案创新.PDFVIP

Microsoft Windows Server 2003 R2 IIS 6.0 远程代码执行 技术分析与防护方案 发布时间：2017 年 3 月 28 日 综述 3 月 27 日 ，Zhiniang Peng 和 Chen Wu 发布了关于 IIS 6.0 WebDAV 远程 代码执行的漏洞信息 （CVE-2017-7269 ，CNNVD-201703-1151 ）。该漏洞源于 Microsoft Windows Server 2003 R2 的 IIS 6.0 中 WebDAV 服务下 ScStoragePathFromUrl 函数存在缓冲区溢出漏洞。如果一个 PROPFIND 请求 中包含以If: http://开头的超长头部，将触发一个缓冲区溢出漏洞，攻击者可 以利用此漏洞远程执行任意代码 ，此利用方法和 2016 年 7-8 月份爆出的方法一 致。网上已有公布的 POC。。 相关地址 ： /edwardz246003/IIS_exploit /vuldb/ssvid-92834 @绿盟科技2017 受影响的版本 Windows Server 2003 R2 下的 Microsoft IIS (6.0) 不受影响的版本 目前验证其他版本不受影响。 绿盟威胁情报中心 NTI 关于 IIS 6.0 远程代码执行范围分布图 (1) 全球受影响分布图 (2) 国内受影响省份分布图 @绿盟科技2017 (3) 国内受影响城市分布图 @绿盟科技2017 (4) 全球受影响国家 TOP 20 排行 (5) 国内受影响省份排行 @绿盟科技2017 漏洞分析 该漏洞源于 Microsoft Windows Server 2003 R2 的 IIS 6.0 中 WebDAV 服 务下 ScStoragePathFromUrl 函数存在缓冲区溢出漏洞。如果一个 PROPFIND 请求中包含以If: http://开头的超长头部，将触发一个缓冲区溢出漏洞，攻击 者可以利用此漏洞远程执行任意代码。 漏洞验证 根据 github 公布的 PoC ，复现了漏洞情景。 相关链接：/edwardz246003/IIS_exploit @绿盟科技2017 首先，手动开启 IIS 6.0 的 WebDAV 扩展服务（此扩展服务默认不开 启）。 开启 WebDAV 服务后，执行攻击脚本，发现 IIS 6.0 的进程执行了计算器的 进程，测试复现成功。这里因为继承了 IIS 的权限，所以打开的 calc.exe 属于 network service ，所以计算器在后台运行。 @绿盟科技2017 漏洞原理分析 IIS 6.0 的 WebDAV 模块 %systemroot%\system32\inetsrv\ httpext.dll 的函 数 ScStoragePathFromUrl 存在缓存区溢出漏洞。 当其接收到一个以“If: http://” 开始的较长 header 头的 PROPFIND 请求时， 没有正确校验长度，将超长的字符串复制到栈中。当 IIS 程序处理 PROPFIND 请求 CPropFindRequest-Execute ，然后在调用HrCheckIfHeader 处理 If 头部 的时候，调用 ScStoragePathFromUrl 将 url 地址转化为本地的地址时没有检查 传入 url 的长度。导致传入过长 url 后造成栈溢出。 @绿盟科技2017 在 HrCheckIfHeader 中， ScCanonicalizePrefixedURL(if_