Security Lab

AN HTTP Server: DoS, XSS, Real patch attack

Дата публикации:10.01.2003
Дата изменения:17.10.2006
Всего просмотров:1277
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание:

D4rkGr3y

Cервер написан Японскими кодерами. Домашняя страница: www.st.rim.or.jp. В багтраки мы сообщили только о трёх уязвимостях, но на самом деле, в веб сервере найден целый букет багов на любой вкус и цвет. Начнём пожалуй с неопубликованных.

Имхо, изначально концепция работы веб сервера построена совершенно не правильно! Ну сам посуди, корневой каталог, доступный через веб, совпадает с тем каталогом, куда ставится сервер. То есть, из браузера атакующий может слить ЛЮБОЙ файл, относящийся к серверу (даже httpd.exe :))). Это конечно не опасно (пароли и настройки хранятся в реестре), но а какже логи? gateway.log, httpd.log, socks.log, errors.log - все эти файлы по дефолту лежат в корне и мы без проблем можем их скачать.

Помимо этого, в каталоге cgi-bin лежат наши любимые IIS'овские Htimage.exe и Imagemap.exe. Насколько я помню, и тот, и другой, подвержен "классическому" переполнению буфера (см. www.securityfocus.com).

Ну а теперь, об остальных, общедоступных, багах.

1. xss & real patch attack

Сплойт: http://[vuln_host]/[any_script]?<h1>HACKED</h2>aaaaaa..[1kb]..a
Причём, [any_script] - любой лежащий на сервере batch\cgi скрипт. Ещё хочу отметить, что вставленный js/html/vb код должен иметь длину не менее 1кб. Если так не получается, то сначала вставляй его, а потом просто дополни до 1кб каким-нибудь мусором (как показано на примере "aaaa..").

2. DoS

Уязвимость была найдена совершенно случайно. Я пытался сделать первые два бага более универсальными, то есть, чтоб их можно было юзать даже при полном отсутствии каких-либо скриптов на сервере (это я пытался провернуть посредством "dos device bug'a"). Так вот, после запроса вида "http://127.0.0.1/aux.cgi?aaaaaa..[1kb]..a" сервер выплёвывает ошибку "Broken pipe" и напроч отказался обрабатывать все последующие запросы к cgi-скриптам. То же самое происходит при запросе aux.bat, но уже с batch-скриптами.

Уязвимость обнаружена D4rkGr3y из Damage Hacking Group

Ссылки: AN HTTPd v.1.41e: DoS, CSS, real patch attack