Microsoft IIS ISM.DLL文件名截断泄漏文件内容漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1105923 漏洞类型 输入验证
发布时间 2000-07-17 更新时间 2005-10-12
CVE编号 CVE-2000-0630 CNNVD-ID CNNVD-200007-043
漏洞平台 Windows CVSS评分 5.0
|漏洞来源
https://www.exploit-db.com/exploits/20089
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200007-043
|漏洞详情
IIS是Microsoft的一个产品,是用来在网站上提供HTTP、FTP等的服务器程序。运行在WindowsNT和Windows2000操作系统上。NSFocus安全小组发现了微软IIS4.0/5.0的一个安全漏洞。攻击者可以利用这个漏洞来获取某些特定类型文件(例如:.ASP,.ASA,.INI等等文本类型文件以及二进制文件)的全部或者部分内容。而正常情况下,攻击者是不应该有权限访问这些文件或者浏览文件内容的。攻击者会构造一个特殊格式的URL请求,它由一个目标文件名再加上"+"号以及".htr"后缀组成。例如:global.asa+.htr。当将这个URL提交给MicrosoftIIS4.0/5.0后,IIS会认为用户正在请求处理一个HTR文件,因此会将这个请求转交给ISM.DLLASAPI应用程序去处理。ISM.DLL在打开并执行这个文件之前,会首先检查文件名。当在文件名中检查到一个"+"号以后,ISM.DLL会从这里将文件名截断,只保留"+"号以前的文件名(实际上就是真正要浏览的目标文件,例如:global.asa),然后试图打开并执行它。如果该文件并不是HTR文件,ISM.DLL将会泄漏该文件的全部或者部分内容。通常,对于.ASP文件,ISM.DLL会删除其中的大部分内容,但是仍然可能泄漏一些敏感信息,例如包含文件(通常是.inc文件)的名字和路径等等。而对于global.asa文件,通常会将其全部内容显示出来,如果这个文件中包含一些重要敏感信息,例如SQLserver数据库的用户名和密码,可能使攻击者更加容易地入侵或者攻击系统。
|漏洞EXP
source: http://www.securityfocus.com/bid/1488/info

Microsoft IIS 4.0 and 5.0 can be made to disclose fragments of source code which should otherwise be inaccessible. This is done by appending "+.htr" to a request for a known .asp (or .asa, .ini, etc) file. Appending this string causes the request to be handled by ISM.DLL, which then strips the +.htr string and may disclose part or all of the source of the .asp file specified in the request. There has been a report that source will be displayed up to the first '<%' encountered - '<%' and '%>' are server-side script delimiters. Pages which use the <script runat=server></script> delimiters instead will display the entire source, or up to any '<%' in the page. This vulnerability is a variant of a previously discovered vulnerability, BugTraq ID 1193.

http://victim/global.asa+.htr
|参考资料

来源:MS
名称:MS00-044
链接:http://www.microsoft.com/technet/security/bulletin/ms00-044.asp
来源:XF
名称:iis-htr-obtain-code
链接:http://xforce.iss.net/static/5104.php
来源:BID
名称:1488
链接:http://www.securityfocus.com/bid/1488
来源:NSFOCUS
名称:4027
链接:http://www.nsfocus.net/vulndb/4027