[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[connect24h:03334] Re: FYI:IIS5.0 .idq overrun remote exploit code

To: connect24h@xxxxxxxxxxxxxxxxxxxx
Subject: [connect24h:03334] Re: FYI:IIS5.0 .idq overrun remote exploit code
From: Koji Shikata <shikap@xxxxxxxxxxxx>
Date: Thu, 28 Jun 2001 22:01:46 +0900

しかＰです。

On Thu, 28 Jun 2001 09:34:10 +0900
hamamoto <r00t@xxxxxxxxxxx> wrote:
> Index Server ISAPI エクステンションの未チェックのバッファにより Web
> サーバーが攻撃される (MS01-033)
>
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-033
> こいつのexploit codeだと思われるのですが、どなたか日本語版IIS5.0にあたる
> かどうかチェックされた方はいらっしゃいますでしょうか？
> 
> /*
>  IIS5.0 .idq overrun remote exploit
>  Programmed by hsj  : 01.06.21
> 
>  code flow:
>   overrun -> jmp or call ebx -> jmp 8 ->
>   check shellcode addr and jump to there ->
>   shellcode -> make back channel -> download & exec code
> */
> 
> だそうです。
・・・どっかでみた名前、と思ったら、某セキュリティサイトでたまーに
ハッキングのテクニック（１バイトバッファオーバーフローなんての）
を紹介している人ですね。
＃道理で日本国内で出回っているわけだ(^^;

動くかどうか試したわけではないですが（IISもってないし）、
動く確立がめちゃ高いと思います。

-- 
  ＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
  　　鹿田　幸治　　　　　　　Koji.Shikata
  　　　E-Mail:shikap@xxxxxxxxxxxx
              :shikap@xxxxxxxxxxxx
　snort1.7のパッチ公開中 http://www.yk.rim.or.jp/~shikap/patch/
  ＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝


------------------------------------------------------------------------
　　　　　　　　　　　◎　洗濯モノたまってない？　◎　　　　　　　　　　
　　　　 http://tenki.infoseek.co.jp/amedas_b_zen.html?svx=971122

References:
- [connect24h:03323] FYI:IIS5.0 .idq overrun remote exploit code
  - From: hamamoto

Prev by Date: [connect24h:03333] Re: セカンダリ DNS 互助会
Next by Date: [connect24h:03335] Re: OCN から BizADSL8 へ移行中
Previous by thread: [connect24h:03323] FYI:IIS5.0 .idq overrun remote exploit code
Next by thread: [connect24h:03336] Re: FYI:IIS5.0 .idq overrun remote exploit code
Index(es):
- Date
- Thread