[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[stalk:00394] Re: IIS CGI Filename Decode Error Vulnerability

To: <security-talk@xxxxxxxxxxxxxxxxxxxx>
Subject: [stalk:00394] Re: IIS CGI Filename Decode Error Vulnerability
From: Shikap <shikap@xxxxxxxxxxxx>
Date: Wed, 16 May 2001 11:49:40 +0900



しかＰ＠ひさかたぶり、です。
＃ちょっとDoS攻撃受けてまして。
＃攻撃しているのは会社(^^;と私の歯から(^^;;;;

on 01.5.15 8:42 PM, MICKY at micky@xxxxxxxxx wrote:
> 犬なりに手抜きsnortルール書きました。
> 
> alert TCP $EXTERNAL_NET any -> $HOME_NET 80 (msg:"IIS UNICODE ATTACK
> DETECTED"; content:"/scripts/..%255c..%255cwinnt/system32/cmd.exe"; nocase ;)
> 

これもIIS Unicodeといっしょで、"%255c"で引っかけるだけじゃだめみたい。
> /* Modify this value to whichever sequence you want.
>  *
>  * %255c = %%35c = %%35%63 = %25%35%63 = /
>  *
>  */
     From "IIS Exploit" by Filip Maertens <filip@xxxxxxxxxx> on Bugtraq

なので、４×２＝８のルールを最低でも作る必要がありそうな・・・・

あと、どうして%255cとかで"/"や"¥"に変化しちゃうんでしょう？
アルゴリズムが分かればsnortのプリプロセッサにできるんだけどなぁ。
＃ルールセットじゃちょっと苦しいと思うんですよねぇ。

-- 
＝＝＝?＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
　　鹿田　幸治　　　　　　　Koji.Shikata
　　　E-Mail:koji.shikata@xxxxxxxxxxxx
            :shikap@xxxxxxxxxxxx
snortパッチ公開中：http://www.yk.rim.or.jp/‾shikap/patch/
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝


--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
　　　　　　　　　　　ふとした疑問ありますか？　　　　　　　　　　　
　　 http://www.infoseek.co.jp/GHome?pg=gn_top.html&svx=971122

Follow-Ups:
- [stalk:00395] Re: IIS CGI Filename Decode Error Vulnerability
  - From: 他力本願堂

References:
- [stalk:00389] Re: IIS CGI Filename Decode Error Vulnerability
  - From: MICKY

Prev by Date: [stalk:00393] Re: arachNIDS at whitehats
Next by Date: [stalk:00395] Re: IIS CGI Filename Decode Error Vulnerability
Previous by thread: [stalk:00389] Re: IIS CGI Filename Decode Error Vulnerability
Next by thread: [stalk:00395] Re: IIS CGI Filename Decode Error Vulnerability
Index(es):
- Date
- Thread