[stalk:00397] Re: IIS CGI Filename Decode Error Vulnerability

[Shikap <shikap@xxxxxxxxxxxx>]

しかＰです。

on 01.5.16 1:26 PM, TAKAGI, Hiromitsu at takagi@xxxxxxxxx wrote:
> 
> On Wed, 16 May 2001 12:48:39 +0900
> "他力本願堂" <tarikihongandou@xxxxxxxxxxx> wrote:
>> 0x255cはそのまま１バイトコード二個とすれば「%¥」になりますので
>> そのへんでなんかやっちゃってそうな気がするんですよねえ。
>> 0x25　→　「%」
>> 0x5c　→　[¥」
>> 展開後に%¥で、%だけ除去してエンコードしきれないまま渡す
>> とかそういうことやってるんじゃないかな(´д｀;
> 
> 今回の問題は、「『URLエンコード』のデコードを二度（以上）処理してしまっ
> ている」という問題だと思います。
> 
> %255c -> %5c -> \
むぅ、やっぱりそう考えるしかないのかしらん。
ということで、試してみると、（0x25＝%、0x35＝5、0x63＝c）
%%35c -> %5c -> \
%%35%63 -> %5%63 -> %5c -> \
%25%35%63 -> %%35%63 -> %5%63 -> %5c -> \
わはは、うまくいった。（苦笑）
つーことは、もしかして"."や"/"もこの要領でコーディングすると
穴がつける、っちゅうことかしら。
たりきさん、試してみませんか？(^^)


つか、どうしたらそんなプログラムを作れるのかしら＞ＭＳ
これ、何度もデコードするようにループさせていると言うことだから、
無限ループにはめることもできたりして？さすがにちょっと無理か。
＃再帰的に関数呼んでいてくれるとおもしろいのだが。

どちらにしても、単純なルールセトだけではkiddiesくらいしか
捕捉できない、と言うことになりますね。


> 同様の問題は3月中旬に別のものに対して指摘されており、その問題はOSに近
> い基本部分に原因がありそうなので、IISだけでなく広範に影響を及ぼす可能
> 性があるのではないかと推定しています。

３月中旬の指摘についてポインタを見つけられない私がいますが（だめだめ）、
もし上記の指摘が真実ならば、相当影響部位が広そうですね。

-- 
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
　　鹿田　幸治　　　　　　　Koji.Shikata
　　　E-Mail:koji.shikata@xxxxxxxxxxxx
            :shikap@xxxxxxxxxxxx
snortパッチ公開中：http://www.yk.rim.or.jp/‾shikap/patch/
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝


--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
　　　　　　　　　　　ふとした疑問ありますか？　　　　　　　　　　　
　　 http://www.infoseek.co.jp/GHome?pg=gn_top.html&svx=971122