Vulnerabilidad de extensión múltiple. ¿Este archivo malicioso se activa durante la vista previa del formulario o después de que se haya cargado?

3

Estoy viendo uno de nuestros registros de servidor web comprometidos y encontramos que un atacante ha subido un archivo con extensión múltiple. A continuación se muestra el registro de IIS. El formato de registro es el siguiente. He eliminado las cookies y los valores de agente de usuario porque son un poco largos e irrelevantes.

#Fields: date time cs-uri-stem cs-uri-query c-ip cs-version cs(User-Agent) cs(Cookie) cs(Referer) sc-status sc-substatus sc-bytes time-taken 

Uno de la línea, encontramos este registro

2012-03-09 02:49:16 /preview.asp path=./submit/file_20120222_ext_20120309_1049.asp;_20120309_1049.jpg&width=300|17|80040035|Not_a_JPEG_file:_starts_with_0x3c_0x25 xxx.xxx.xxx.xxx HTTP/1.1 - - http://xxx.xxx.xxx.xxx/mail.asp?err=2 500 0 471 203

luego en la siguiente línea, encontramos el siguiente registro

2012-03-09 02:51:03 /submit/fle_20120222_ext_20120309_1049.asp;_20120309_1049.jpg - xxx.xxx.xxx.xxx - - - 403 1 1918 0

¿Alguien tiene alguna idea de si el archivo malicioso se activa en la línea 1 del registro o en la línea 2 del registro?

    
pregunta john doe 22.03.2012 - 06:10
fuente

2 respuestas

4

Este ataque requeriría dos solicitudes, una para cargar el archivo y otra para ejecutarlo. Parece que la segunda solicitud está intentando ejecutar la carga útil cargada. Supongo que la primera solicitud es generada por la función normal de su aplicación y es probable que no sea la solicitud que subió el archivo.

En cualquier caso, deberías intentar reemplazar ese archivo cargado con un mundo de saludo e intentar reproducir estas solicitudes desde tu registro. También asegúrese de auditar manualmente el código responsable de las cargas de archivos.

    
respondido por el rook 22.03.2012 - 06:57
fuente
2

Parece que hay varias vulnerabilidades en juego aquí.
¡En primer lugar, que el controlador ASP está incluso activo en su servidor web! ASP es obseleto desde hace mucho tiempo, y realmente se considera bastante inseguro. Te recomiendo que deshabilites lo antes posible.

Segundo, esta página preview.asp . ¿Qué hace esto exactamente? Supongo que descarga un archivo para ti, ¿es correcto? Si es así, y no hay restricciones reales sobre el archivo que puede descargar, tiene algunos problemas mayores. O podría ser simplemente una redirección, en cuyo caso este problema es un poco más pequeño ...

Tercero, aparentemente alguien, de alguna manera subió un archivo arbitrario, al subdirectorio de la raíz web. Esto ya es un gran agujero, vea también esta pregunta y éste . Parece que incluso pudieron especificar un nombre de archivo explotable ...
¿Cuánto tiempo está desactualizado su servidor? No creo que incluso las versiones actuales del controlador ASP sean susceptibles a esto, pero independientemente de esto no debería permitir nombres de archivos arbitrarios.

Por último, fue la explotación final del ataque ya cargado, que solicitó el archivo cargado real, que por supuesto contiene código arbitrario para ejecutarse en el servidor.

    
respondido por el AviD 22.03.2012 - 14:44
fuente

Lea otras preguntas en las etiquetas