/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Exploits til IIS / W2kSP2 ?
Fra : Povl H. Pedersen


Dato : 20-11-02 13:02

Hej,

Jeg skulle gerne være i stand til at demonstrere, at man kan overtage
en IIS server der ikke ikke er patchet op. I dette tilfælde er det en
out-of-the box maskine med Windows 2000 Advanced Server + SP2 + IIS
opsat af en leverandør. Formålet er, at sørge for at leverandøren
kører IIS Lockdown og patcher op.

Den er ikke patchet yderligere, og der er ikke kørt IIS lockdown. Jeg
har fuld adgang til maskinen som domain, men skulle gerne kunne
demonstrere et remote exploit, og også gerne nogle simple DoS angreb.

Det har været svært at finde konkrete exploits der virker. Det
nærmeste ser ud til at være Bogus Content-length.

 
 
F.Larsen (20-11-2002)
Kommentar
Fra : F.Larsen


Dato : 20-11-02 22:19

"Povl H. Pedersen" <pope@my.terminal.dk> wrote in message
news:cc6cf183.0211200402.2d3ed2a2@posting.google.com...
> Hej,
>
> Jeg skulle gerne være i stand til at demonstrere, at man kan overtage
> en IIS server der ikke ikke er patchet op. I dette tilfælde er det en
> out-of-the box maskine med Windows 2000 Advanced Server + SP2 + IIS
> opsat af en leverandør. Formålet er, at sørge for at leverandøren
> kører IIS Lockdown og patcher op.
>

Jeg kan ikke se problemet. Lad maskinen stå en par dage og så er den helt
automatisk kompromiteret af en server virus...

:=)

--
Flemming
http://home.cbkn.dk/Rhodos/
http://home.cbkn.dk/spyware/



Peder Vendelbo Mikke~ (21-11-2002)
Kommentar
Fra : Peder Vendelbo Mikke~


Dato : 21-11-02 01:59

Povl H. Pedersen skrev:

> Jeg skulle gerne være i stand til at demonstrere, at man kan overtage
> en IIS server der ikke ikke er patchet op. I dette tilfælde er det en
> out-of-the box maskine med Windows 2000 Advanced Server + SP2 + IIS
> opsat af en leverandør. Formålet er, at sørge for at leverandøren
> kører IIS Lockdown og patcher op.

Hvad med at demonstrere bugbear?
(dem der skal se demonstrationen kan sikkert huske at have læst eller at
have hørt om den)

<URL: http://securityresponse.symantec.com/avcenter/venc/data/w32.bugbear@mm.html >
(3/4 nede af siden)

Derefter kan du jo vise hvad man kan når man kan udskifte filer i wwwroot
--
Fix Outlook Express 5.*. Nu med emoticons, _understreget_,
/skråtstillet/ og *fed* tekst: <URL: http://flash.to/oe-quotefix >


Arne Schwerdtfegger (29-11-2002)
Kommentar
Fra : Arne Schwerdtfegger


Dato : 29-11-02 00:13

pope@my.terminal.dk (Povl H. Pedersen) wrote in
news:cc6cf183.0211200402.2d3ed2a2@posting.google.com:

> Hej,
>
> Jeg skulle gerne være i stand til at demonstrere, at man kan overtage
> en IIS server der ikke ikke er patchet op.
[snip]
> Det har været svært at finde konkrete exploits der virker. Det
> nærmeste ser ud til at være Bogus Content-length.

'ikke et patchet op' må siges at være et meget løst begreb.
http://packetstormsecurity.org/0105-exploits/jill.c : Jill.c (fixed
version) is a remote exploit for the IIS 5.0 / Windows 2000 remote .printer
overflow. Spawns a reverse cmd shell.

--
Knud

Peder Vendelbo Mikke~ (29-11-2002)
Kommentar
Fra : Peder Vendelbo Mikke~


Dato : 29-11-02 08:48

Arne Schwerdtfegger skrev:

> 'ikke et patchet op' må siges at være et meget løst begreb.

Næh, det er da bare en server der er opsat med original-cden og ikke er
blevet opdateret med ServicePacks eller HotFixes siden da.

Hvis ikke den er patchet overhovedet, er det nok ikke urimeligt at tro at
den heller ikke er opsat med andet end standardindstillinger.
--
Fix Outlook Express 5.*. Nu med emoticons, _understreget_,
/skråtstillet/ og *fed* tekst: <URL: http://flash.to/oe-quotefix >


Søg
Reklame
Statistik
Spørgsmål : 177560
Tips : 31968
Nyheder : 719565
Indlæg : 6408941
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste