[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:03336] Re: FYI:IIS5.0 .idq overrun remote exploit code
- To: <connect24h@xxxxxxxxxxxxxxxxxxxx>
- Subject: [connect24h:03336] Re: FYI:IIS5.0 .idq overrun remote exploit code
- From: "hideki okada" <hide@xxxxxxxxxxxxxxxx>
- Date: Thu, 28 Jun 2001 23:34:18 +0900
岡田@ペンギンワールドです。
>
> win2ksecadviceに「IIS5.0 .idq overrun remote exploit code」がpostされま
> した。
>
> Index Server ISAPI エクステンションの未チェックのバッファにより Web
> サーバーが攻撃される (MS01-033)
> http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-033
> こいつのexploit codeだと思われるのですが、どなたか日本語版IIS5.0にあたる
> かどうかチェックされた方はいらっしゃいますでしょうか?
>
> /*
> IIS5.0 .idq overrun remote exploit
> Programmed by hsj : 01.06.21
>
> code flow:
> overrun -> jmp or call ebx -> jmp 8 ->
> check shellcode addr and jump to there ->
> shellcode -> make back channel -> download & exec code
> */
>
Windows2000RC2(日本語) + IIS5にRH7から試してみましたが、exploitすることはで
きませ
んでした。
ツールの使い方が良くわからないからかもしれません。(^^;
iisidqexp ip file という感じで使うようなのですが、fileの部分が???だった
もので
適当なファイルを指定してしまいました。(^^;
ただアタック後、IIS動作停止、又Windows2000のCPU使用率が100%になって極端に動
作が重く
なり事実上使用不能状態。
最低限Dosとしては効果的なようです。
再起動後は元通り回復。
------------------------------------------------------------------------
◎ 洗濯モノたまってない? ◎
http://tenki.infoseek.co.jp/amedas_b_zen.html?svx=971122