转载自:
本期主角:Windows2003+IIS6.0 问题所在:文件名解析存在漏洞 主要危害:夺取网站最高权限 调研时间:2009.9.8~2009.10.18 Windows2003+IIS6.0的文件名解析漏洞,对那些带上传功能的建站程序造成严重的爱情威胁,导致黑客可以轻易入侵这些建站程序。虽然该漏洞不是新漏洞,但因为微软不认为它是一个漏洞,所以没有相应的补丁,更可怕的是目前有很多网站被黑都跟它有关。 大家好!我是AV0Day组织的阿杰。最近听朋友说有不少网站莫名其妙的就被挂马了,于是和他一起进行了研究,发现它们都有一个共同的特点,那就是网站所在的服务器使用的是Windows2003+IIS6.0组合。 当时我就在想,是不是服务器出了问题导致有点网站被黑,想着想着我就想起了一件事情,早在2007年,就爆出Windows2003系统中自带的IIS6.0存在文件名解析漏洞,当时还闹得沸沸扬扬。 不过令我们大跌眼镜的是,微软认为这只是一个设计缺陷而已,并不算是漏洞,因此没有推出相应的补丁。当时还有黑客利用该漏洞,对那些提供文件上传功能的网站进行了入侵,后来很多服务器的管理员学聪明了,堵上了这个漏洞。难道是它又在做怪? 和圈内认识的朋友进行了一番交流,发现作祟的还真的是它。包括新云、桃源网盘、Discuz!等在内的建站程序很多都因为该漏洞被黑客攻击过的,在最近还比较频繁。这些建站程序本身没有问题,却因为该漏洞而被入侵,够倒霉了。 反正最近也没有什么事情,我就动手验证了一下,选取了一个使用“桃源网盘”程序的网站作为了实验目的,证明该漏洞的确可以用,而且非常好用。桃源网盘是一款在线存储建站程序,网站站长通过它可以快速搭建一个功能强大的在线存储网站。文件名解析存在漏洞 在Windows2003+IIS6.0组合中,当文件夹名为类似123.asp的时候,即文件夹名看起来像一个ASP文件的文件名,此时该文件夹下的任何类型的文件都可以在IIS中被当做ASP程序来执行,例如.gif,.jpg,.txt等。 黑客要利用这个漏洞,只要将ASP木马的文件名稍加修改,例如将ASP木马文件名123.asp改成123.asp;123.jpg,由于后缀名为jpg,所以建站程序会认为它是一个图片文件,因此予以放行。将这个文件上传到网站中后,经过IIS6.0的解析,就会执行分号之前的文件名,这样我们的ASP木马就能成功运行了。 安全小知识:ASP木马是用ASP语言编写的建站程序,它和其他ASP程序没有本质区别,只要是能运行ASP的空间就能运行它,这种性质使得ASP木马非常不易被发觉。就算是优秀的杀毒软件,也未必能够检测出它到底是ASP木马还是正常的ASP建站程序。这也是为什么ASP木马猖獗的原因。利用漏洞吃掉网站 第一步:打开谷歌搜索页面,输入关键字“inurl:guest_ly.aspx”进行搜索(图1),可以找到很多使用桃源网盘系统搭建的网站。随意挑选一个网站作为目标网站进行测试,在测试之前我们首先需要注册一个账号,点击主页中的“注册”按钮进行注册。 第二步:将ASP木马进行改名。改成123.asp;123.jpg的形式,文件前缀可以随意。需要注意的是,,上传的ASP木马最好经过免杀,否则上传到服务器上会被杀毒软件查杀,这样会做了无用功。 进入到桃源网盘的文件管理页面,点击“上传”按钮,进入到文件上传页面。点击“浏览”按钮选择之前改好的ASP木马,勾选后面的“重名文件自动更名”选项,点击“上传”按钮将ASP木马上传上去(图2)。 第三步:文件上传成功后,我们看到网页显示“UR中含有非法字符”。出现这个原因是因为其路径不正确,因此我们要手动获取其路径。在网站域名后添加如下URL:show.aspx?type=1&filepath=http://123/并回车。这时网站会报错,提示“Server Error in ‘/’ Application.”(图3),下面还有一串内容:“~/myfile/\’ is not a valid virtual path.”,其中“myfile”则是文件的上传目录。 第四步:得到文件的上传目录后,一切就顺水推舟了。在网站域名后添加如下URL:myfile/guest/123.asp;123.jpg,其中guest是用户名,将它替换成你注册的账号名就可以了。回车后,网站的权限就得到了(图4)。深度分析 文件名解析漏洞的利用条件很简单,首先服务器环境要是Windows2003+IIS6.0,其次建站程序提供了文件上传功能,再次网站不会对上传的文件强制改名。网上符合这三条的网站有很多,因为Windows2003+IIS6.0是网站服务器的主流组合,而大多数的网站都提供有用户的文件上传功能,包括新云CMS、动网论坛等著名的建站程序在内,这些程序无一例外成为了IIS6.0文件名解析漏洞的受害者。 微软的态度令人心寒,君不见无数网站正处于黑客的威胁之中,补丁却迟迟不到。那么作为网站的站长在没有补丁的情况下该如何封堵这个漏洞呢? 首先,我们要检查自己的网站是否已经被黑客利用此漏洞光顾了。进入到网站的文件上传目录,查找是否有类似于123.asp的文件夹存在,如果有则说明网站已经被黑客入侵了。建议通过查看文件的修改日期确定ASP木马的所在位置。 其次,关闭上传目录的脚本执行权限。假设用户上传文件的文件夹名为upfiles,我们进入到IIS,浏览选中upfiles文件夹,在上面点右键,选择“属性”,在属性面板中将该文件的“执行权限”设置为“无”,这样即使用户上传了ASP木马,也无法运行。 这些操作需要你有IIS的权限,如果你使用的是虚拟主机,那么可以联系服务商帮助解决。最后,也是一个简单有效的临时解决办法,就是关闭网站的用户上传功能,或者彻底关闭网站的用户注册权限,这样就可以将威胁降到最低了,但会对网站的使用造成影响。
即使是不成熟的尝试,也胜于胎死腹中的策略。
