Microsoft Windows Index Server '%20'远程ASP源码泄露漏洞(MS00-006)

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1105767 漏洞类型 未知
发布时间 2000-03-31 更新时间 2005-05-02
CVE编号 CVE-2000-0302 CNNVD-ID CNNVD-200003-056
漏洞平台 Windows CVSS评分 5.0
|漏洞来源
https://www.exploit-db.com/exploits/19830
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200003-056
|漏洞详情
MicrosoftIndexServer是WindowsNT4.0可选安装包中包括的一个基于Web的搜索引擎,在Windows2000系统中作为一个服务安装。IndexServer的Webhits.dll实现上存在漏洞,远程攻击可能利用此漏洞读取系统上ASP脚本的源码或其它系统文件的内容。Cerberus安全小组现在微软的IndexServer服务上发现了第三个漏洞。对于运行在IIS4或IIS5上的IndexServer,即使您把最近的补丁给打上了或者没有.htw文件,都同样受到此漏洞的影响。其中的风险包括系统中的很多ASP页面的源代码或者是象global.asa的文件会被攻击者查看。这些文件包含了很多敏感信息,象用户的ID和密码、还有数据源、数据库用户名及密码。这些都会给攻击者攻击站点/网络提供便利。存在该问题的其中一个原因是因为'null.htw'没有一个映射到系统中任意文件的真实文件。另外,它是一个在内存中的'虚拟文件',因此,即使没有一个真实的.htw文件在系统中也同样存在风险。任何对null.htw的请求都由webhits.dll来处理。
|漏洞EXP
source: http://www.securityfocus.com/bid/1084/info

Index Server can be used to cause IIS to display the source of .asp and possibly other server-side processed files.

By appending a space (%20) to the end of the filename specified in the 'CiWebHitsFile' variable, and setting 'CiHiliteType' to 'Full' and 'CiRestriction' to 'None', it is possible to retrieve the unprocessed source of the file.

This is possible on any machine with Index Server installed, even those with no normal .htw files, because the virtual file null.htw is stored in memory and the .htw extension is mapped by default to webhits.dll . 

Requesting a URL like the following will return the source of default.asp on a vulnerable system:

http://target/null.htw?CiWebHitsFile=/default.asp%20&CiRestriction=none&CiHiliteType=Full
|参考资料

来源:MS
名称:MS00-006
链接:http://www.microsoft.com/technet/security/bulletin/ms00-006.asp
来源:BUGTRAQ
名称:20000331Alert:MSIndexServer(CISADV000330)
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=95453598317340&w=2
来源:BID
名称:1084
链接:http://www.securityfocus.com/bid/1084
来源:OSVDB
名称:271
链接:http://www.osvdb.org/271
来源:NSFOCUS
名称:421
链接:http://www.nsfocus.net/vulndb/421