Vulnerabilità di estensioni multiple. Questo file dannoso viene attivato durante l'anteprima del modulo o dopo che è stato caricato?

3

Sto guardando uno dei nostri log dei server Web compromessi e abbiamo scoperto che un utente malintenzionato ha caricato un file con più estensioni. Di seguito è il registro di IIS. Il formato del registro è il seguente. Ho rimosso i cookie e i valori del programma utente in quanto sono un po 'lunghi e irrilevanti.

#Fields: date time cs-uri-stem cs-uri-query c-ip cs-version cs(User-Agent) cs(Cookie) cs(Referer) sc-status sc-substatus sc-bytes time-taken 

Una riga, abbiamo trovato questo registro

2012-03-09 02:49:16 /preview.asp path=./submit/file_20120222_ext_20120309_1049.asp;_20120309_1049.jpg&width=300|17|80040035|Not_a_JPEG_file:_starts_with_0x3c_0x25 xxx.xxx.xxx.xxx HTTP/1.1 - - http://xxx.xxx.xxx.xxx/mail.asp?err=2 500 0 471 203

quindi nella riga seguente, abbiamo trovato il seguente log

2012-03-09 02:51:03 /submit/fle_20120222_ext_20120309_1049.asp;_20120309_1049.jpg - xxx.xxx.xxx.xxx - - - 403 1 1918 0

Qualcuno ha idea se il file dannoso viene attivato nella riga 1 del log o nella riga 2 del log?

    
posta john doe 22.03.2012 - 06:10
fonte

2 risposte

4

Questo attacco richiederebbe due richieste, una per caricare il file e un'altra per eseguirla. Sembra che la seconda richiesta stia tentando di eseguire il payload caricato. La mia ipotesi è che la prima richiesta sia generata dalla normale funzione della tua applicazione e probabilmente non è la richiesta che ha caricato il file.

In ogni caso dovresti provare a sostituire quel file caricato con un mondo Ciao e provare a riprodurre queste richieste dal tuo log. Assicurati anche di controllare manualmente il codice responsabile del caricamento dei file.

    
risposta data 22.03.2012 - 06:57
fonte
2

Sembra che ci siano diverse vulnerabilità in gioco qui.
Prima di tutto, il gestore ASP è addirittura attivo sul tuo server web! ASP è a lungo obsoleto e considerato davvero piuttosto insicuro. Vi raccomando di disabilitare il più presto possibile.

Secondo, questa pagina preview.asp . Cosa fa esattamente? Direi che scarica un file per te, è corretto? Se è così, e non ci sono restrizioni reali su quale file può scaricare, hai alcuni problemi più grandi. O potrebbe essere solo un reindirizzamento, nel qual caso questo problema è un po 'più piccolo ....

In terzo luogo, a quanto pare qualcuno, in qualche modo ha caricato un file arbitrario, nella sottodirectory della web root. Questo è già un grosso buco, vedi anche questa domanda e questo . Sembra che fossero persino in grado di specificare un nome di file utilizzabile ....
Quanto è scaduto il tuo server? Non penso che anche le versioni correnti del gestore ASP siano suscettibili a questo, ma a prescindere non dovresti consentire nomi di file arbitrari.

Infine, è stato l'exploit finale dell'attacco già caricato, richiedendo il vero file caricato, che ovviamente contiene codice arbitrario da eseguire sul server.

    
risposta data 22.03.2012 - 14:44
fonte

Leggi altre domande sui tag