● 利用frontpage入侵 - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: sonicboy (sonicboy), 信区: Security
标题: 利用frontpage入侵
发信站: 荔园晨风BBS站 (Wed May 7 15:22:19 2003)

利用frontpage入侵

下面，我们来看一看第一个采用Frontpage客户机软件进行的攻击。支持Frontpage的服务
器会有若干个以字母”_vti”开头的工作目录。在任何常用的搜索引擎上搜索默认的Fron
tpage目录会得到大量从引擎上返回的信息。然后，入侵者就能对这些服务器进行简单而又
反复的攻击。这种攻击的执行过程如下： 1- 打开您自己的Frontpage 2- 进入”Open fr
ontpage web”对话框 3- 输入您要攻击的服务器的URL或IP 如果服务器没有设口令，或者
，如果允许权限是分配给Everyone群组的，Frontpage就会为您打开远程站点并允许您能够
进行更改。这种攻击实际上是很简单的。如果扩展名正确，就会出现用户名/口令对话。入
侵者可以尝试一些基本的组合如管理员/口令。如果入侵者有兴趣，他会一直尝试下去。
另外，入侵者还可以用同样的"open frantpage web"方法来得到完整的用户列表。这种方
法可以用在brute force攻击中。鉴于对通过这种方法终止用户名的收集进行解释的文件资
料已经公开发布，您就应该建立一个象FP_www.yourdomain.com:80这样的限制群组。这个
新的限制群组确实起作用，除非入侵者采用的是您的服务器的IP地址，而不是域名。还有
其它一些方法能够与Frontpage一起使用，它们会抓取Frontpage口令文件。

Frontpage一般把口令存储在_vti_pvt目录下，有相同的service.pwd。入侵者会试着执行
下列URL：http://www.someserver.com/_vti_pvt 如果允许权限设置不正确并允许目录浏
览，入侵者就会得到该目录下的文件，包括service.pwd。管理员通常会重视安装和站点的
安全性并限制对该目录的访问。尽管这个方法不错，但始终要防止NTFS对网络造成破坏。
根据NTFS的配置，用户仍然可以得到口令文件的访问权限，即使对其父文件夹的访问已经
被拒绝。在这种情况下，入侵者只需在URL中输入访问该文件的完整路径，如：http://ww
w.someserver.com/_vti_pvt/service.pwd

尽管Frontpage口令文件是加密文件，但它是用标准DES加密的，因此，任何DES解密高手都
能在正确诊断该文件后获得口令信息。另外，入侵者也会刺探其它_vti目录，因为这些目
录有时也会保存敏感信息。在掌握了用户名并对口令解密后，入侵者就会用他的Frontpag
e重新连接并提供身份证明信息；或者，如果相同的用户名/口令在上下文中能起作用，入
侵者即可通过其它方式利用这些身份证明信息，如映射网络驱动器等。（注：Service.p
wd不是唯一已知的口令文件名。已经掌握的口令文件有Authors.pwd , admin.pwd, users
.pwd和administrators.pwd等。）

在Frontpage相关的方法中，二进制FTP方法被看作是技术上最成熟的方法，虽然这种方法
实现起来相当容易。这个二进制攻击会使入侵者通过Frontpage扩展名执行任意二进制文件
。入侵者必须找到既支持Frontpage又支持FTP匿名可写程序的服务器。在通过FTP连接到服
务器之后，入侵者就可以新建一个名为_vti_bin的目录。然后他就可以下载他想放在新建
目录下的任何可执行程序。一旦上载了可执行文件，入侵者就会输入下列URL：http://ww
w.someserver.com/_vti_bin/uploaded_file 然后，服务器就会执行这个文件。在二进制
进攻方法被传播开来不久之后就发现了_vti_cnf。这会使入侵者查看到特定目录下的所有
文件。通过用_vti_cnf替换index.html，入侵者就能看到该目录下的所有文件，并有可能
获得访问权限。这种攻击结构如下：标准结构—http://www.someserver.com/some_dire
...ture/index.html 攻击结构—http://www.someserver.com/some_dire...ucture/_vti
_cnf

看起来，能产生类似结果的相同攻击类型数不胜数。遗憾的是，事实确实如此。在这些缺
陷中，有很多已经被研究缺陷变体的人士所发现，但并不是所有影响NT Web服务的缺陷都
来自Internet信息服务器。

另外还有其它一些将在NT上运行的Web服务器软件包，象众所周知的Apache Web服务器。当
然，有了这些第三方Web服务器软件包和在这些第三方软件包上运行的脚本，新的缺陷注定
会暴露出来。 Webcom Datakommunikation曾经发布了一个允许Web站点的访问者在来宾卡
上签名的cgi脚本。Cgi脚本的名字是guest.exe。只要发出正确的命令，这个小小的cgi脚
本就会使攻击者查看到您服务器上的任意文本文件。

访问者要签名的表格页面包含了很多隐藏字段。其中一个隐藏输入字段如下（根据David
Litchfield的报告）： input type="hidden" name="template" values="c:\inetpub\ww
wroot\gb\template.htm"> or input type=”hidden” name=”template” values=”/g
b/template.htm”> 这里的template.htm是在用户输入信息后通过wguest.exe显示出来的
文件。为了利用这一点，攻击者会查看源代码并把该文档保存在他的桌面上，然后通过改
变他想查看的任意文件的路径对这一行进行编辑，例如： input type="hidden" name="t
emplate" values="c:\winnt\system32\$winnt$.inf"> [如果完成了独立安装，即可通过
这个文件得到管理口令] 然后，点击”Submit”，wguest.exe就会显示这个文件。这种方
法没有用PWL文件测试过。不过，攻击者必须知道他要查看的文件的正确路径。另一个“类
属的”HTTPD方法涉及到一个在WindowsNT上运行的第三方Web服务器产品，称为Sambar服务
器。下面是直接从招贴中引用的内容：查看攻击对象的HDD是大有可能的。您可通过使用这
些关键字 +sambar +server +v4.1 搜索Internet，找到运行Sambar服务器的计算机。如
果您找到的站点是：http://www.site.net/，就做一次测试，运行一个perl脚本：
http://www.site.net/cgi-bin/dumpenv.pl 现在您看到的是攻击对象的计
算机的完整环境，包括他的路径。您可以试着通过以下URL以管理员的身份登录：http://
www.site.net/session/adminlo...dmin/index.html 默认登录为：admin；默认口令为空
白。如果攻击对象还没有更改他的设置，您现在就能控制他的服务器。另一个特征是查看
攻击对象的HDD。如果您能运行perl脚本，也就应该能（在大多数情况下）通过他的路径查
看目录的脚本。大多数人在路径行中都有 C:/program files和C:/windows，因此，您可以
利用以下URL：http://www.site.net/c:/program files/sambar41 我们在这里简单提一下
Netscape Enterprise Server。有些软件版本通过允许用户访问目录对?PageServices参
数作出反应。http://www.site.net/?PageServices就是实现方法。

--
HIHI!I AM SONICBOY,MY QQ IS 28860.MY BBS : http://waterclub.126.com
SONICBOY EDONKEY SERVER:61.144.225.74:4661
※ 来源:．荔园晨风BBS站 http://bbs.szu.edu.cn [FROM: 61.144.235.39]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店