在最近发现的WINdows操作系统一系列安全漏洞中,除了workstationservice远程溢出漏洞外,还要一个漏洞也相当的危险,那就是Microsoft Frontpage server extensions远程缓冲区溢出漏洞。这个漏洞可以使黑客远程获取系统权限,危害程度很高,用户们也应该注意,下面还是让我们来看看这个漏洞的攻防情况。
漏洞情况
Frontpage服务器扩展是IIS的一个安装组件(图一),他增强了WEB服务器的功能,使得创作者能够远程管理和发布网站,例如通过Fontpage直接与Server Extersions交互,实现文件上载,连接到数据源,修改web授权等操作。
第一个漏洞是由于Frontpage服务扩展的远程调试功能存在缓冲区溢出,这个功能用于用户远程连接Frontpage服务扩展的服务器和远程调试内容使用,如Visual interdev,攻击者成功利用这个漏洞可以以本地SYSTEME权限在系统上执行任意命令,然后再系统上执行任意操作,如安装程序、查看更改或删除数据、建立拥有全部权限的账户等。
第二个漏洞存在于SMARThtml解析器中,提供对web表单和其他基于Frontpage动态内容的支持,攻击者利用这个漏洞可以使运行Frontpage服务扩展的服务器临时停止对正常请求的响应。
很明显,第一个漏洞比第二个漏洞要严重的多,我们这里要介绍也是第一个漏洞的攻防:
攻击的方法
虽然Fontpage Server Extersions漏洞不像Workstation Service存在那么普遍,但网上使用Fontpage Server Extersions的主机数量也不少,但并不是每台IIS主机都安装有Fontpage服务器扩展的,我们如何才能检测开放Fontpage服务器扩展的主机呢?安装了Fontpage服务器扩展会在主页存放的文件夹建立一个“/_vti_pvt/”文件夹,这是此漏洞的标志,根据此点我们可以在IE输入这样一条请求:http://IP/vti_pvt/,如果存在/vti_pvt文件夹就会返回结果:“网页无法显示”,如果不存在/vti_pvt文件夹就会返回结果:“无法找到网页”,这是检测Fontpage服务器是否安装的一个方法
目前网上也已经出现了这个Fontpage漏洞的利用程序以及编译好的攻击程序,利用这些攻击程序黑客能轻而易举的获取漏洞主机的系统权限,如果找到安装了Fontpage Server Extersions的主机就可以进行测试攻击了,我们先来看看此漏洞的一个溢出程序fp.exe,利用这个程序如果成功溢出后,他会在对方主机的9999端口上bind a shell,我们只要连接到9999端口就可以执行CMD命令了:
很简单把,只要输入要攻击的目标主机地址及其web服务器端口就行,web服务器端口一般通用的是80。
假设我们现在找到一个80端口,开了IIS服务并安装了Fontpage Server Extersions的win XP服务器,IP地址是192.168.1.11,我们来试着对他进行溢出攻击,打开命令行工具,输入fp 192.168.1.11程序自动一步步的进行溢出。
如果一切顺利,溢出成功的话,就会直接出现对方主机的Shell(图四),而且是system权限,你可以执行任意命令,如果在溢出过程中出现了错误,就不可能出现Shell
本文内容所提及均为本地测试或经过目标授权同意,旨在提供教育和研究信息,内容已去除关键敏感信息和代码,以防止被恶意利用。文章内提及的漏洞均已修复,作者不鼓励或支持任何形式的非法行为。