DoS для WIN DoS для WIN Благодаря Х ты, наверное, уже провел сетку по всему району, поимел халявный нет и организовал свой веб- и фтп-сервак. А теперь сидишь и наслаждаешься проделанной работой. Но не все так просто... В этой статье я хочу поведать тебе про DoS-уязвимости серверов, основанных на операционной системе выньдовс, чтобы ты знал, откуда ждать опасность... DoS для WEB-СЕРВЕРА Чтение исходника ASP-скрипта Бага, присущая ранним версиям (3.0) виндового веб-сервера, состоит в прибавлении всего лишь одной точечки к имени файла, которая доставляет просто уйму радости, разрешая скачать исходник ASP-скрипта, в котором нерадивые админы могут хранить пароли. Автор баги: Lynn Kyle ([email protected]) Найдена: 22 марта 1998 Патч: Поставить более новую винду DoS атака, осуществляемая при помощи viewcode.asp (из backoffice). Заставить хост притормозить работу и отказать в обслуживании поможет следующая строчка: http://<имясервера>/whetever/viewcode.asp?source=/////////////////<много-много слешей>/// Автор: неизвестный герой Система: Microsoft BackOffice с файлом viewcode.asp Патч: удалить или переименовать файл viewcode.asp Глюк M$ IIS, приводящий к DoS. Если послать строку более 8K на веб-сервер IIS, тогда машинка упадет, плавно склеив ласты... Автор: Todd Fast, Andrea Arcangeli ([email protected]) Системы: любая непатченная система M$ IIS (до версии 4.0), под НТ Патч: поставить сервис пак или обновить систему до версии 4.0 Microsoft Internet Information Server abracadabra.bat Баг, доступный в одной из древнейших версий веб-сервера от мелкософта. abracadabra.{bat,cmd} исполняется как CGI-приложение и позволяет выполнять разные команды на удаленном серваке IIS. Автор: www.omna.com Системы: Microsoft IIS http server v.1.0, 2.0b Патч: поставить более новые винды или по адресу ftp://ftp.microsoft.com/bussys/iis/iis-public/ Переполнение буфера ASP.DLL и другие мелкие баги... Эксплоит для реализации этой атаки лежит по адресу: http://www.xakep.ru/post/15144/exploit.txt (правда, бага тестировалась на китайской версии винтукей) и реализует ошибку в ASP.DLL, приводящую к DoS'у. Эксплоит выполняет переполнение буфера и открывает 1111 порт, связывая его с cmd.exe. В некоторых случаях система выдаст ошибку occured.anyhow, это диалоговое окно должно быть закрыто на сервере, в противном случае эксплоит работать не будет. Автор: CHINANSL Security Team Системы: IIS 4.0-5.0 Патч: сходить на мелкософт и скачать последний сервиспак Уязвимость в ISAPI фильтре ISM.DLL Эта ошибка позволяет удаленному атакующему нарушать работу web-службы с возможностью выполнения произвольного кода. Ism.dll обрабатывает файлы с расширением .htr, недостаток в модуле позволяет атакующему частично или полностью нарушать работоспособность сайта. Теоретически возможно использовать данную уязвимость для выполнения произвольного кода с правами IWAM_COMPUTERNAME. Проблема связана с обработкой параметра модулей: /foo.htr? <buffer> =x ". Результат зависит от внутреннего состояния распределенной памяти IIS. В случае IIS 5.0-5.1 служба автоматически перезапустится. Неоднократное использование этой уязвимости потребует перезагрузки сервера. Пример: POST /EEYE.htr HTTP/1.1 Host: 0day.big5.com Transfer-Encoding: chunked 20 XXXXXXXXXXXXXXXXXXXXXXXXEEYE2002 0 [enter][enter] Автор: инфа взята с сайта ввв.хакер.ру Системы: 4.0-5.1 DoS против IIS+FP2002 Ошибка во внутреннем взаимодействии объектов позволяет злонамеренному пользователю разрушать процесс IIS 4.0, 5.0 и 5.1. Frontpage содержит обработчик URL (URL parser) для динамических компонентов (shtml.exe/dll). Если хакер запрашивает /_vti_bin/shtml.exe, где URL с динамическим содержанием заменен длинным URL, подмодуль отфильтрует URL и возвратит нулевое значение к web-службе URL parser. Строка символов размером 25 Кб, состоящая из символов с ASCII-кодом 300(?), вызовет нарушение доступа, и сервис Inetinfo.exe будет закрыт. В случае IIS 5.0-5.1 процесс будет автоматически перезапущен. В IIS 4.0 потребуется ручная перезагрузка. Автор: Дейв Аител от @stake и Питер Грундл от KPMG Система: Microsoft Internet Information Server 4.0,5.0, 5.1 с FP2002 Dos против Microsoft IIS 5.0 Microsoft IIS 5.0 склонен к DoS, если ему послать специально обработанный уродливый HTTP Get заголовок. Если к IIS 5.0 послан обработанный HTTP Get запрос, который содержит фальсифицированное и чрезмерное поле "Content-length", сервер ведет себя необычно. Сервер сохраняет подключение открытым, однако не отвечает на него. Это может использоваться для DoS атаки против Web сервера. Пример: GET /testfile HTTP/1.1 Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */* Accept-Language: en-us Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0) Host: 192.168.0.10 Connection: Keep-Alive Content-Length: 5300643 Authorization: Basic Эксплоит: http://www.securitylab.ru/?ID=27321 Автор: Ivan Hernandez, Georgi Guninski Патч: пока нету DoS против OmniHTTPd OmniHTTPd - универсальный Web-сервер для Windows 9x и NT. При попытке обработать длинный HTTP-запрос (более 4096 символов) сервер перестает отвечать на дальнейшие запросы и зависает. Пример: perl -e 'print "HEAD / "."a"x4096 ."\n\n"' | nc 127.0.0.1 80 Эта атака срабатывает и с другими типами запросов - 'get', 'post' и т.п. Автор: Martin J. Muench Система: OmniHTTPd v2.09 Патч: "Nothing published yet" - вот что написано у них на сайте... DoS против Macromedia Sitespring сервер Уязвимость обнаружена в Macromedia Sitespring 1.2.0(277.1), которая использует Sybase runtime engine v7.0.2.1480. Посылая уродливый запрос к базе данных (1077 x chr(2) + \r\n\r\n к 2500 порту), работа служб Sitespring web и Sybase runtime engine аварийно завершится. Если послать движку базы данных такую штучку "1077 x chr(2) + \r\n\r\n" - то глюк базы, влекущий за собой останов веб-сервера, просто обеспечен. Автор: Peter Grundl ([email protected]) Система: Macromedia Sitespring Server Патч: искать тут http://www.macromedia.com/software/sitespring/ DoS против Advanced Web Server Professional Advanced Web Server Professional (http://elaboration.8bit.co.uk)- Web-сервер от GameCheats для Microsoft Windows. При попытке обработать уродливый HTTP-запрос, состоящий из одной CRLF, Web-сервер зависнет с ошибкой в advserver.exe. Если эту операцию повторить 100 раз, сервер перестанет принимать новые подключения. Уязвимость обнаружена в GameCheats Advanced Web Server Professional 1.0.3 0000. Автор: elab (http://elaboration.8bit.co.uk) Система: GameCheats Advanced Web Server Professional 1.0.3 0000 Патч: как исправить, смотреть тут http://elaboration.8bit.co.uk/projects/texts/advisories/AdvServer.DoS.txt DoS против Apache Tomcat Запросы (более 75), состоящие из большого количества нулевых символов, приводят к аварийному завершению работы Web-службы. Уязвимость затрагивает только Windows версию Tomcat. Автор: http://jakarta.apache.org Система: уязвимость обнаружена в Apache Software Foundation Tomcat 4.0.3 Патч: проапгрейдиться по адресу http://jakarta.apache.org/builds/jakarta-tomcat-4.0/release/v4.1.3-beta/ Переполнение буфера в Macromedia ColdFusion jrun.dll, приводящее к DoS'у IIS Allaire Macromedia ColdFusion - сервер Web-приложений для Microsoft Windows. Переполнение буфера обнаружено в ColdFusion MX server, когда он используется вместе с Microsoft IIS. При получении уродливого HTTP-заголовка, превышающего 4096 байт, и если template filename больше 8092 байт, произойдет переполнение в модуле 'jrun.dll'. Успешное использование баги может приводить к зависанию IIS и возможному выполнению произвольного кода. Автор: Macromedia Система: уязвимость обнаружена в Macromedia ColdFusion Server MX Патч: http://www.macromedia.com/security Переполнение буфера в Apache 1.3.24 для вин32 Переполнение буфера в Apache 1.3.24 обнаружено при обработке некоторых типов записей в .htaccess файле. .htaccess файл с более 10000 байтами, назначенными переменной DATE_LOCALE, приведет к ошибке сегментации Web сервера. Уязвимость может использоваться для выполнения произвольного кода и для реализации DoS'а. Пример: SetEnv DATE_LOCALE "X", где X - строка более 12288 байт. Или эксплойт можно забрать тут: http://securitylab.ru/?ID=31672 Автор: Frank DENIS Система: Apache Software Foundation Apache 1.3.24 на win32 Патч: проапгрейдить апач до более новой версии Выполнение произвольного кода в 4D WebServer 4D WebServer - клиент/сервер система управления базами данных для Microsoft Windows и MacOS. 4D WebServer не в состоянии корректно обработать большой Http запрос. Http запрос большого размера может вызвать переполнение буфера с возможностью выполнения произвольного кода и полного зависона системы. Автор: Dumitru Vlad Система: 4D WebServer 6.7.3 Патч: вот слова автора дырки: "4D was contacted 20020606 but returned no reply" DoS ДЛЯ FTP-СЕРВЕРА DoS против TransSoft Broker FTP Server Transoft Broker (http://www.transsoft.com/broker.htm) - FTP-сервер для Windows-платформ. Передача команды cwd с последовательностью символов "...." приведет к зависанию Ftp-сервера, например: CWD .... Система: TransSoft Broker FTP Server 5.0 Патч: не обнаружен... DoS в ftp сервере TYPSoft TYPSoft FTP server (www.typsoft.com) - маленький и эффективный FTP-сервер для Windows, мало того, что позволяет просматривать содержимое произвольных директорий путем простого ввода команды ls (пример: "ls ../../*.*" "ls ../../My%20files/*.*"), так этот сервачок еще и подвержен DoS нападению. Если сервер получает специально сформированные команды 'RETR' или 'STOR', то это приведет к 100% использованию процессора и краху сервиса. Для нормальной работы требуется перезапуск сервера. Эксплойт можно посмотреть по этой ссылке: http://securitylab.ru/?ID=26796. Автор: SecurityLab Система: TYPSoft FTP Server 0.97.1 Патч: на сайте проги об этом молчат... партизаны... Microsoft FTP-сервер Микрософт отличился и тут... FTP-сервак из IIS уязвим к отказу от обслуживания в команде STAT. DoS может быть вызван удаленным нападающим, который имеет учетную запись на FTP-сервере (в т.ч. и анонимную). Успешное применение уязвимости приводит к аварийному завершению работы FTP-сервера. Пример: STAT ?*<240xX> (полный эксплоит: http://www.xakep.ru/post/15038/exploit.txt). Уязвимость связанна с переполнением буфера, однако любые попытки эксплуатировать ее приводят к перезагрузки inetinfo.exe. Автор: найдено на сайте ксакепа Система: Microsoft Internet Information Server 4.0-5.1 Патч: MS02-018 Dos для Broker FTP server В Broker FTP найдена возможность DoS-атаки, используя периодически команду cwd .... Эффект увеличивается, если между точками добавить несколько пробелов. Эксплоит закачивается тут: http://securitylab.ru/?ID=25161. Автор: SecurityLab Система: Broker FTP 5.9.5.0 Патч: нету Serv-U FTP Server уязвим к атаке NULL byte(DoS) Посылка на фтп-сервер Serv-U строки, содержащей большое количество нулевых байтов, приводит к ошибке стека. Для реализации уязвимости не требуется знать правильную комбинацию имя пользователя/пароль. Автор: Blue Panda ([email protected]) Система: FTP Serv-U 2.5e Патч: сделать апгрейд до следующей версии DoS ДЛЯ MAIL-СЕРВЕРА Argosoft Mail Server Argosoft Mail Server Pro (http://www.argosoft.com/applications/mailserver/) содержит встроенный HTTP-сервер для webmail-доступа. Без предварительной регистрации нападающий может получить доступ к любому файлу на диске или подвесить сервер, добавляя к запросу последовательность "/.. " после пути к картинкам webmail-сервера или почтового вложения для законного пользователя (который в настоящее время активен в системе). Эсксплоит на: http://nfinity.yoll.net/ Автор: team n.finity ([email protected]) Система: Argosoft Mail Server Plus / Pro <= 1.8.1.5 Патч: http://www.argosoft.com/applications/mailserver/ EServ EServ - это комбинация из Mail, News, Web, FTP и Proxy Server для систем Microsoft Windows 9x/NT/2000. Описание баги в этой программе можно найти по адресу: http://ntsecurity.nu. Автор: Arne Vidstrom, http://ntsecurity.nu Система: EServ 2.97 и более ранние Патч: ftp://ftp.eserv.ru/pub/beta/2.98 Exchange 2000 Некорректный почтовый атрибут приводит к 100% использованию ресурсов CPU в Exchange 2000. Так как эту багу нашли сами микрософтовцы, то эксплоита найти не удалось... Автор: Микрософт Система: Exchange 2000 Патч: http://www.microsoft.com/technet/security/bulletin/MS02-025.asp Переполнение буфера в Atrium Software Mercur Mail Server Уязвимость защиты в программе позволяет отдаленным злоумышленникам вызывать переполнение буфера с возможностью выполнения потенциально опасного кода. Небольшую прогу на си для реализации этой дырки можно скачать на http://securitylab.ru/?ID=26308. Автор: Martin Rakhmanoff ([email protected]) Система: MERCUR SMTP-Server v3.30.03 Патч: отсутствует Эксплоит, реализующий DoS против inetinfo.exe Эта ошибка затрагивает все системы Windows 2000, выполняющие SMTP-службу, которые не применили hotfix для MS02-012. Exchange сервер также уязвим, т.к. использует тот же самый SMTP-компонент. Успешная эксплуатация этой уязвимости приводит к аварийному отключению всех сервисов, выполняющихся под inetinfo.exe, в т.ч. IIS, FTP, Gopher и т.д. Эти сервисы будут автоматически перезагружены, однако любые установленные сеансы будут потеряны. Эксплоит отсюда: http://securitylab.ru/?ID=29320. Автор: SecurityLab Система: Windows 2000 Патч: хотфикс S02-012 Продолжение следует =>.
DoS для WIN часть 2 DoS для MS SQL сервера Переполнение буфера в Microsoft SQL Server 2000. MS SQL сервер содержит две недокументированные функции кодирования пароля, pwdencrypt и pwdcompare. В одной из этих функций, pwdencrypt(), обнаружено переполнение буфера: SELECT pwdencrypt(REPLICATE('A',353)). Для успешного выполнения уязвимости атакующий должен получить непривилегированный доступ к базе данных. Подробности тут: http://securitylab.ru/?ID=31472 Автор: Martin Rakhmanoff (jimmers) [email protected] Система: Microsoft SQL Server 2000 (up to SP2). Патч: поставить сервис пак 3 Переполнение буфера в Lumigent Log Explorer Lumigent Log Explorer - эксплорер журнала транзакций для Microsoft SQL Server 7/2000. Программа поставляется с дополнительными сохраненными процедурами, хранящимися в p_logattach.dll. Некоторые их этих процедур уязвимы к удаленному переполнению буфера и потенциально к выполнению произвольного кода. Пример: declare @bo varchar(8000) set @bo = replicate('A', 800) exec xp_logattach_StartProf @bo declare @bo varchar(8000) set @bo = replicate('A',800) exec xp_logattach_setport @bo declare @bo varchar(8000) set @bo = replicate('A',800) exec xp_logattach @bo Система: Lumigent Log Explorer version 3 Патч: мелкософт молчит, а спецы советуют давать доступ к журналу только проверенным людям DoS в Microsoft SQL Server 2000 В Microsoft SQL Server 2000 обнаружено годное для удаленного использования переполнение буфера в функции OpenDataSource в комбинации с MS Jet Engine. Так как проблема связана с Jet Engine, другие программы, использующие Jet, также могут быть уязвимы. Создавая специально обработанный SQL запрос, используя функцию OpenDataSource, можно вызвать переполнение буфера в процессе SQL Server, получая удаленный контроль за выполнением процесса. Любой код будет выполнен с системными привилегиями. Так как переполнение связанно с Unicode кодированием, оно очень просто в эксплуатации. Уязвимость может использоваться через Web сервер, уязвимый к внедрению SQL кода. Нехитрый эксплоит (http://securitylab.ru/?ID=31578), создает файл SQL-ODSJET-BO на диске "с:". Автор: David Litchfield ([email protected]) Система: Microsoft SQL Server 2000 sp0-sp2 Патч: сервис пак 3 DoS ПОНЕМНОЖКУ Переполнение буфера в telnet сервере Microsoft Microsoft поставляет Telnet-сервер с несколькими программами. Реализация этого сервера в Windows 2000 и Interix 2.2 содержит переполнение буфера в коде, который обрабатывает обработку опций telnet-протокола. Уязвимость позволяет нападающему выполнять произвольный код с системными правами. DoS происходит, если буфер, в который заносится имя пользователя при входе в систему, превышает 4300 знаков, и посылаемый код содержит 127(0x7b, backspace). Это приведет к краху сервера с ошибкой 0x41414141. Проверить на багу можно с помощью двух строчек: perl -e '{printf "%s\x7f%s","A"x4500,"A"x100}' telnet victimbox Автор: Система: Windows 2000 и Interix 2.2 SHOUTcast SHOUTcast - Winamp-основанная система потокового аудио от Nullsoft (или, по-простому, инет-радио), которая содержит переполнение буфера, а также уязвимость защиты, которая позволяет злоумышленникам разрушить сервер, посылая ему семь длинных запросов, длиной около 4 Кб каждый, внутри HTTP-запроса. Уязвимость позволяет получить полный доступ к бажной системе. Нападавший должен знать DJ пароль, чтобы осуществить эту уязвимость. Это ограничивает воздействие уязвимости, однако, если, например, shoutcast-сервер выполняется как корень, DJ может получить привилегии корня. Переполнение происходит при посылке следующих данных 8001-му порту: password\n icy-name: netric icy-[doesn't matter]: [buffer] Ну а полный эксплоит валяется по адресу http://www.netric.org/exploits/mayday-linux.c для версии 1.8.9 и http://securitylab.ru/?ID=26236 для версии 1.8.2. Автор: eSDee of Netric (www.netric.org)/FraMe ([email protected]) Система: Nullsoft SHOUTcast 1.8.2/1.8.9 Патч: искать инфу на официальном сайте SHOUTcast'a в форуме техподдержки DoS для Wingate Wingate страдает от уязвимости защиты, которая позволяет отдаленным злоумышленникам вызывать DoS против машины, выполняющей Wingate 4.01. Программа не способна обработать большое количество подключений, которые посылают данные MSG_OOB. Эксплоит без труда можно найти, введя в браузер следующую шняжку: http://securitylab.ru/?ID=26357 Автор: человек с ником god Система: Wingate 4.01 Патч: апгрейд до следующей версии Уязвимость в Aolserver 3.0 Aolserver 3.0 разрушается, если ему переслать длинную строку авторизации. Также, возможно, эта уязвимость позволяет хакеру выполнять произвольный код через переполнение буфера. Эксплоит тута: http://securitylab.ru/?ID=26231. Продолжение следует.
Гггг... Да уж, аж противно читать, и 10% ниосилил. DoS в SSH 2.0 - 3.0.2 Ты давно последний раз такого мамонта видел? ISS 4.0 - 5.0, та же потеха. PHP 3.0.... Ты бы ещё про ping of death в подробностях нам рассказал и с картинками. Статья тухлая, безполезная. Ставлю минусов - без апЕляцЫй. UPD: я вспомнил почему первая часть баян - спизжено из Xakep Spec без указания авторства. Тут ещё и плагиат получается. P.S. Критег шадос всё обкакал, но вы уж извините - такая работа у критегов =)
ShadOS, статьи спиженны не с Xakep Spec ,а по поводу автарства я сказал кто признаеться укажу имя автора, прежди чем делать заявления , сначало разберись. То что в статьях проскакивает старый материал так статьи и зделаны в ознокомительных целях! P.S. С восприятием критики все норм, гловная когда апкакивать статьи ненадорваться! +)))
