微軟dvwssr.dll后門

2019-11-18 22:43:36

字體：大中小

來源：轉載

供稿：網友

涉及程序：
MS IIS server/Frontpage Ext Server
描述
微軟開發的兩個動態庫存在后門允許用戶查看asp文件源程序和下載整個網站
詳細
隨IIS和Frontpage Extention server而來的動態庫程序，存在后門，允許用戶遠程讀取
asp、asa和CGI程序的源代碼。但這個動態庫要求有密碼，這個后門的密碼是： "Netsc
ape engineers are weenies!"
程序路徑為： /_vti_bin/_vti_aut/dvwssr.dll
一般安裝了 Frontpage98的 IIS服務器都有這個路徑和文件。
這個程序要求解碼后才能發揮讀取asp等源程序的功能，有趣的是，這個密碼正是嘲弄其
競爭對手Netscape的。
我們提供一個有該漏洞的國外網站給安全技術人員參考：
http://62.236.90.195
其網站上有一個ASP程序 : http://62.236.90.195/cqsdoc/showcode.asp
關于讀取源程序，請下載這個測試程序，用法為:
[john@linux john]$ ./dvwssr1.pl 62.236.90.195 /cqsdoc/showcode.asp
國內有很多網站都有這個漏洞，請管理員盡快更正!
另外, dvwssr.dll還存在緩沖溢出，容易被DOS攻擊，對于這個緩沖溢出的漏洞，可能能
利用遠程執行指令，但目前沒有可用的exploit出來。
有一個DOS的腳本：
#!/usr/bin/perl
PRint "GET /_vti_bin/_vti_aut/dvwssr.dll?";
print "a" x 5000;
print " HTTP/1.1/nHost: yourhost/n/n";
另注：對該漏洞的說法，發現者、bugtraq和微軟都有不同的版本
微軟不認為這是后門，但有咬文嚼字之嫌。
參見：
http://www.microsoft.com/technet/security/bulletin/fq00-025.asp
這個漏洞的實質是一個字符串，就是我們前面提到的 "Netscape engineers are weeni
es!"
只要知道這個字符串，和了解相關的算法，就可以獲得ASP等程序的源碼。
我們已經做了大量測試，證實的確有效。
解決方案
刪除 dvwssr.dll
安裝 Office 2000 Server Exten

上一篇：利用 ISAPI 實現向數據庫中添加記錄（一）

下一篇：一個BBS的源代碼(六)