---

Hej,

Jeg skulle gerne være i stand til at demonstrere, at man kan overtage
en IIS server der ikke ikke er patchet op. I dette tilfælde er det en
out-of-the box maskine med Windows 2000 Advanced Server + SP2 + IIS
opsat af en leverandør. Formålet er, at sørge for at leverandøren
kører IIS Lockdown og patcher op.

Den er ikke patchet yderligere, og der er ikke kørt IIS lockdown. Jeg
har fuld adgang til maskinen som domain, men skulle gerne kunne
demonstrere et remote exploit, og også gerne nogle simple DoS angreb.

Det har været svært at finde konkrete exploits der virker. Det
nærmeste ser ud til at være Bogus Content-length.

---

"Povl H. Pedersen" <pope@my.terminal.dk> wrote in message
news:cc6cf183.0211200402.2d3ed2a2@posting.google.com...
> Hej,
>
> Jeg skulle gerne være i stand til at demonstrere, at man kan overtage
> en IIS server der ikke ikke er patchet op. I dette tilfælde er det en
> out-of-the box maskine med Windows 2000 Advanced Server + SP2 + IIS
> opsat af en leverandør. Formålet er, at sørge for at leverandøren
> kører IIS Lockdown og patcher op.
>

Jeg kan ikke se problemet. Lad maskinen stå en par dage og så er den helt
automatisk kompromiteret af en server virus...

:=)

--
Flemming
http://home.cbkn.dk/Rhodos/
http://home.cbkn.dk/spyware/

---

Povl H. Pedersen skrev:

> Jeg skulle gerne være i stand til at demonstrere, at man kan overtage
> en IIS server der ikke ikke er patchet op. I dette tilfælde er det en
> out-of-the box maskine med Windows 2000 Advanced Server + SP2 + IIS
> opsat af en leverandør. Formålet er, at sørge for at leverandøren
> kører IIS Lockdown og patcher op.

Hvad med at demonstrere bugbear?
(dem der skal se demonstrationen kan sikkert huske at have læst eller at
have hørt om den)

<URL: http://securityresponse.symantec.com/avcenter/venc/data/w32.bugbear@mm.html >
(3/4 nede af siden)

Derefter kan du jo vise hvad man kan når man kan udskifte filer i wwwroot
--
Fix Outlook Express 5.*. Nu med emoticons, _understreget_,
/skråtstillet/ og *fed* tekst: <URL: http://flash.to/oe-quotefix >

---

pope@my.terminal.dk (Povl H. Pedersen) wrote in
news:cc6cf183.0211200402.2d3ed2a2@posting.google.com:

> Hej,
>
> Jeg skulle gerne være i stand til at demonstrere, at man kan overtage
> en IIS server der ikke ikke er patchet op.
[snip]
> Det har været svært at finde konkrete exploits der virker. Det
> nærmeste ser ud til at være Bogus Content-length.

'ikke et patchet op' må siges at være et meget løst begreb.
http://packetstormsecurity.org/0105-exploits/jill.c : Jill.c (fixed
version) is a remote exploit for the IIS 5.0 / Windows 2000 remote .printer
overflow. Spawns a reverse cmd shell.

--
Knud

---

Arne Schwerdtfegger skrev:

> 'ikke et patchet op' må siges at være et meget løst begreb.

Næh, det er da bare en server der er opsat med original-cden og ikke er
blevet opdateret med ServicePacks eller HotFixes siden da.

Hvis ikke den er patchet overhovedet, er det nok ikke urimeligt at tro at
den heller ikke er opsat med andet end standardindstillinger.
--
Fix Outlook Express 5.*. Nu med emoticons, _understreget_,
/skråtstillet/ og *fed* tekst: <URL: http://flash.to/oe-quotefix >