黑客是怎样攻击服务器的（中）

<>黑客是怎样攻击服务器的（中） </P>
<>　　Microsoft IIS MDAC RDS安全弱点  
$ k! ?8 ?* ]/ V8 ?
1 @$ z- p! w& j5 A$ P% B. w??受影响的服务器：运行IIS 4.0并安装了MDAC 2.1或更早版本的Windows NT服务器  

- F/ r+ j% \; \3 {: m8 X6 r! n??在发现IIS eEye安全弱点的大约一个月后，IIS 4.0的另一个弱点又暴露出来。使用
. j' v7 |  t  C6 N  w' g, z0 hMicrosoft数据访问组件(MDAC)和远程数据服务(RDS)，攻击者可以建立非法的ODBC连接，
$ b" o) T: I& j: @" z并获得对Web服务器上的内部文件的访问权。如果安装了Microsoft Jet OLE DB提供程序
或Datashape提供程序，攻击者可以使用Visual Basic for Applications shell()函数发
3 \7 ?( p# ]  Y  i出能够在服务器上执行的命令。  

??在安装了MDAC 2.1或更高版本的IIS 4.0上，从位于其公共目录中的msadcmsadcs.dll，
可以找到MDAC RDS弱点。Rain Forest Puppy在其站点中对该弱点进行了详细说明。该弱
点利用了IIS上MDAC默认安装时的不适当配置和安全机制的缺乏这一漏洞。在等价于NT
( W! q% e3 Q, _8 G* P1 w$ ^Administrator的IIS Web服务器进程的安全权限背景下，进行这种攻击的黑客可以在NT
  O' W" m' S4 Y, {系统上远程执行任意命令。  

??MDAC的弱点不是由于技术造成的，而是由于用户对它的配置方式所致。很多站点是通
过NT Option Pack 4.0安装IIS 4.0的。如果NT Option Pack 4.0是以典型或默认配置安
) w. g9 @5 X" w8 a8 H装的，那么MDAC就容易遭到这种攻击。大多数使用默认安装的系统管理员都没有具体调整
% a* W8 h0 _; i) j8 x8 ]过这些设置，从而使Web服务器的安全性大大降低。  
% w6 p% O2 Q2 b
  _  q' j* p) R8 t" m% p! ^' p3 T??Foundstone公司的George Kurtz、Purdue大学的Nitesh Dhanjani和我曾经共同设计
了一个只有一行的命令字符串，该命令将利用MDAC RDS弱点，使远程NT系统启动一个通过
" l2 X' ~# f- u- [FTP或TFTP进行的文件传输过程。这个命令将告诉服务器到从某个外部系统下载并执行
; F% s: K+ c' L0 r0 K& o# `: T' J3 |Netcat。Netcat将运行Windows命令外壳程序，并建立一个返回攻击者计算机的连接，这
样，攻击者就获得了对远程NT系统的完全管理控制权。  

??Microsoft已经发布了相应的安全公告，并对使IIS 4.0免受该弱点攻击的保护措施进
) `4 e, \  g3 ]  P  I( v行了说明。  

# [6 Y; H: b$ n* DAllaire ColdFusion 4.0弱点  
0 X  I2 X- a1 g2 P
$ q5 P9 [1 v" ~# l??受影响的服务器：运行在Windows NT上的Allaire ColdFusion Server 4.0  
/ R- l( a4 t! {$ A) y; O2 f0 s
??作为还算容易使用的、功能强大的脚本语言，ColdFusion已经广泛流行起来。但流行
并不意味着安全。ColdFusion的问题不在于该服务器自身，而是在于它附带的脚本。
ColdFusion 4.0提供了示范应用程序和范例，它们可以在位于Web服务器根目录中的
cfdocsexampleapp和cfdocsexpeval目录中找到。当用户执行典型安装时，将安装这些应
用程序和脚本。ColdFusion所附带的部分范例经过修改后，将允许非法访问服务器上所包
含的敏感数据。这些弱点表明，基本的应用程序服务器可以被编写得不好的应用程序脚本歪
曲利用。  
$ U4 U& f5 k# r! F9 E9 X. D
4 y) u/ n- W+ o' u2 H8 o) s??存在这种弱点的一个范例应用程序是cfdocsexampleappdocssourcewindow.cfm。因为
! R% ?5 K7 A# z1 _: d, `  x9 K4 RColdFusion是作为具有Administrator权限的系统服务运行的，所以，该程序可以被用来
任意访问和查看NT Web服务器上的任何文件，包括boot.ini。用这种方法可以检索任何文
6 @* m4 t' R) b3 ?2 ]9 m! z( d件。Packet Storm对该弱点做了完整解释。  
* T% W: [) \9 m+ Z# c
5 Q1 X6 _' V* x7 @& z??而更严重的弱点存在于cfdocsexpevalopenfile.cfm、
cfdocsexpevaldisplayopenedfile.cfm和cfdocsexpevalexprcalc.cfm中。这三个文件可
& N- v! ^$ L: P  C( R# X) D以用来查看服务器上的任何文件，更为严重的是，它们还能将任意文件上载到服务器。对该
弱点如何发作的讨论超出了本文的范围，欲了解详细信息请访问L0pht Heavy Industries
的咨询信息。表达式求值程序exprcalc.cfm用于让开发人员计算被上载文件中的
7 w* a" A1 _0 i- RColdFusion表达式的值。作为预防手段，该脚本在进行表达式计算时便会把被上载的文件
删除掉，但要避免删除却是件容易的事。这样，攻击者可以上载恶意文件，并最终控制服务
; C: `  B: p  v7 ~. `2 l器。  
3 w% r$ p$ F% s; H7 ~/ T) a6 m3 ^# L
??这些就是ColdFusion的示范脚本中最严重的弱点。要防止出现问题，请从任何运行中
- u. J( {+ B  g6 S的服务器中删除ColdFusion示范脚本。Allaire的Security Zone提供了补丁程序，并提
; z2 R$ T2 r( a. \供了如何保护ColdFusion服务器的进一步信息。</P>