[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[connect24h:03345] Re: FYI:IIS5.0 .idq overrun remote exploit code

To: connect24h@xxxxxxxxxxxxxxxxxxxx
Subject: [connect24h:03345] Re: FYI:IIS5.0 .idq overrun remote exploit code
From: hamamoto <r00t@xxxxxxxxxxx>
Date: Fri, 29 Jun 2001 14:53:52 +0900

はまもとです。

On Fri, 29 Jun 2001 14:14:15 +0900
阿部裕康 <CSC971007@xxxxxxxxxxxx> wrote:

> 
> はじめまして、こんにちは。
> 
> 僕も頂いた情報を元に動かしてみました。
> 
> 相手は日本語版Win2k+SP2(IIS5.0)です。
> IISは特にパッチは当ててない状態です。
> 
> 指定ファイルはダミーにしましたが、相手側のCドライブ直下に
> aa.exeというファイルが作成されるのを確認できました。

それで成功です。
タスクマネージャを見ていただければわかると思いますが。
aa.exeがバックグラウンドでロードされていると思われます。
ダミーファイルをトロイの木馬にすれば、外部に対して口を
あけてくれます。

ちなみに攻撃元はどのOSですか？
一応、FreeBSDからは動かないという話でしたが、FreeBSD
からも成功したという報告も受けています。


+---------------------------------------------------------------------
| はまもと
| ■常時接続の宴（インターネット常時接続ニュースサイト）
| http://cn24h.hawkeye.ac/
| ■24 時間常時接続メーリングリスト開催中
| http://cn24h.hawkeye.ac/connect24h.html
| ■セカンダリDNS互助会
| http://cn24h.hawkeye.ac/dns.html 
+----------------------------------------------------------------------


------------------------------------------------------------------------
　　　　　　　　　　　　まだいる？　梅雨前線。　　　　　　　　　　　　
　　　　　 http://tenki.infoseek.co.jp/gms_b.html?svx=971122

References:
- [connect24h:03344] RE: FYI:IIS5.0 .idq overrun remote exploit code
  - From: 阿部裕康

Prev by Date: [connect24h:03344] RE: FYI:IIS5.0 .idq overrun remote exploit code
Next by Date: [connect24h:03346] Re: FYI:IIS5.0 .idq overrun remote exploit code
Previous by thread: [connect24h:03344] RE: FYI:IIS5.0 .idq overrun remote exploit code
Next by thread: [connect24h:03346] Re: FYI:IIS5.0 .idq overrun remote exploit code
Index(es):
- Date
- Thread