Windows 版 (精华区)

发信人: seaman (翩翩少年), 信区: OS
标  题: WINDOWS NT WARDOC中文译本-(23)
发信站: 紫 丁 香 (Thu Aug 19 09:47:53 1999), 转信

    访问者要签名的表格页面包含了很多隐藏字段。其中一个隐藏输入字段如下（根据
David Litchfield的报告）：
    input type="hidden" name="template"
    value="c:\inetpub\wwwroot\gb\template.htm">
    or
    input type=”hidden” name=”template” value=”/gb/template.htm”>
    这里的template.htm是在用户输入信息后通过wguest.exe显示出来的文件。为了利用
这一点，攻击者会查看源代码并把该文档保存在他的桌面上，然后通过改变他想查看的任
意文件的路径对这一行进行编辑，例如：    
    input type="hidden" name="template"
    value="c:\winnt\system32\$winnt$.inf">
    [如果完成了独立安装，即可通过这个文件得到管理口令]
    然后，点击”Submit”，wguest.exe就会显示这个文件。这种方法没有用PWL文件测
试过。不过，攻击者必须知道他要查看的文件的正确路径。
    另一个“类属的”HTTPD方法涉及到一个在WindowsNT上运行的第三方Web服务器产
品，称为Sambar服务器。下面是直接从招贴中引用的内容：
    查看攻击对象的HDD是大有可能的。您可通过使用这些关键字

    +sambar +server +v4.1
    搜索Internet，找到运行Sambar服务器的计算机。
    如果您找到的站点是：http://www.site.net/，就做一次测试，运行一个perl脚本：
    http://www.site.net/cgi-bin/dumpenv.pl
    现在您看到的是攻击对象的计算机的完整环境，包括他的路径。您可以试着通过以下
URL以管理员的身份登录：
    http://www.site.net/session/adminlogin?Rcpage=/sysadmin/index.html
    默认登录为：admin；默认口令为空白。如果攻击对象还没有更改他的设置，您现在
就能控制他的服务器。另一个特征是查看攻击对象的HDD。如果您能运行perl脚本，也就
应该能（在大多数情况下）通过他的路径查看目录的脚本。大多数人在路径行中都有
C:/program files和C:/windows，因此，您可以利用以下URL：
    http://www.site.net/c:/program files/sambar41
    我们在这里简单提一下Netscape Enterprise Server。有些软件版本通过允许用户访 
问目录对?PageServices参数作出反应。http://www.site.net/?PageServices就是实现方
法。
    最后，我们再来看看FTP。FTP是一个比较安全的协议。很多人会认为平台和版本冗余
使它更安全，总的来说，这种看法是正确的。但多数经验丰富的安全专业人士会告诉您，
如果最终管理员没有受过专业培训，版本和平台实在没有多大意义。鉴于Rhino9按照FTP
允许权限已经能够渗透大量的服务器，我们就在这里给一个简单的提示。有些管理员不会
注意或理解他们的Web服务器上的”Anonymous world writable”。但Rhino9通过一个错
误配置的FTP服务器提出了疑问并渗透到整个网络。
    通过anon-ftp-writable把NetCat上载到服务器上、通过URL执行这个程序以及把它绑
定到端口上都很容易实现。从那一刻起，您在NT上就有了一个远程“外壳”。通过连接到
该远程NetCat绑定，所有从该外壳发出的命令行功能似乎都是从具有在内部用户上下文中
运行的NetCat绑定的那个外壳发出的。  

--
※ 来源:．紫 丁 香 bbs.hit.edu.cn．[FROM: vilab.hit.edu.cn]