[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[stalk:01021] Re: Nimda 感染者からの変なアクセス
- To: security-talk@xxxxxxxxxxxxxxxxxxxx
- Subject: [stalk:01021] Re: Nimda 感染者からの変なアクセス
- From: Shikap <shikap@xxxxxxxxxxxx>
- Date: Wed, 21 Nov 2001 11:47:48 +0900
■━━━━━━━━━━◆読んでトクして、さらに…◆━━━━━━━━━━■
------------------------------------------------------------------------
http://yomutoku.infoseek.co.jp/?sv=RO&svx=971145
------------------------------------------------------------------------
┃1┃0┃0┃0┃万┃円┃当┃た┃る┃カ┃モ┃⇒よむトクメール
┗━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━━━━━━━━━━━━━
しかPです。
On Wed, 21 Nov 2001 09:30:01 +0900
Delta <ml@xxxxxxxxxx> wrote:
> たまにこんなパターンのも来ます。
>
> ・・・/scripts/..%c0%qf../winnt/system32/cmd.exe?/c+dir
> ・・・/scripts/..%c0%9v../winnt/system32/cmd.exe?/c+dir
> ・・・/scripts/..%c1%pc../winnt/system32/cmd.exe?/c+dir
>
> ウイルスのバグなのか、感染中にコピーに失敗したのか、ちょっと謎ですね。
間違ってないです。というか、UNICODE Directory Trasavalの攻撃が可能かどうか
試しています。
この辺解説すると長くなるんで、簡単に言うと、IISは、UNICODEとして
上記のような文字列(%c1%pcなど)も強引に解読しちゃう、と言う仕様です。
昔、あらい@ラックさんがどの様な文字列でtrasarvalできるか、ってのを
テストされ、どっかのMLに投稿されてましたけど、めちゃめちゃ種類があった
様に思います。(MLは失念。)
--
===============================
鹿田 幸治 Koji.Shikata
E-Mail:shikap@xxxxxxxxxxxx
snort1.7のパッチ公開中 http://www.yk.rim.or.jp/~shikap/patch/
セキュリティスタジアム 2001 http://sec-stadium.hawkeye.ac/
PGP署名 http://www.yk.rim.or.jp/~shikap/signature.gpg
Key fingerprint = FB7E 55C4 75A1 3350 9B11 30F8 97EE A777 2726 DC8B
===============================
--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
『オトコとオンナの深い穴』ってどんな穴?
http://books.rakuten.co.jp/infoseek/?svx=971122