北京:网站制作 网站建设 网站设计 CAD制图 效果图制作 建筑漫游 机械制图
最佳方案:CAD制图-3D效果图-3D动画制作-建筑漫游和机械效果图
24小时咨询热线:13366838023
首  页 新闻动态 域名注册 虚拟主机 主机托管 专线接入 图形图象艺术设计 CAD机械图制作 3D效果图制作
  建筑漫游 网页制作教程 程序编程教程 网站推广教程 多媒体制作 操作系统教程 图形图象处理教程 平面设计教程 网络安全教程
技术文章
网站的Google排名内部优化攻…
Auto CAD中为三维图形添加尺…
网站制作:如何确定网站栏目…
CSS文件应该保持整洁和统一
符合web标准的网页中调用Fla…
微软就发布了IE8的第二个Bet…
08年全球游戏软件销量同比增…
虚拟建筑场景漫游技术及其应…
三成鲜花通过QQ、网站在线卖…
假冒网站成本只需百元
美家庭学校封杀10大网站排名…
数字光魔地产动画 互动建筑漫…
如何打造实用网站?
客户案例
arca laska服装品牌
北京莱比特环保科技有限公司…
渲淇犬舍
网站建设:绿色健峰
网站制作:天津信汇制药股份有…
网站建设:北京凯伦葡萄酒有限…
网站制作:泰赫雅特汽车销售服…
网站制作:北京顺新联华商贸公…
网站制作:3818库画廊
北京天成鑫缘家政服务中心
美术家协会国际双年展
加拿大瑞潮商业顾问有限公司…
北京新二灯霓虹灯饰有限公司…
  更多>>  


Microsoft IIS UTF 执行远程攻击者任意代码漏洞

来源:  

发现 Microsoft IIS 存在 UTF 目录遍历漏洞,攻击者利用此漏洞能在受影响机器上执行任意代码。

正常情况下,IIS 会阻断 HTTP 请求中那些对 WEB 根目录之外文件的访问。但是,通过使用特殊的 UTF 编码,攻击者能绕过这种过滤机制而非法访问系统文件,并在受影响服务器上执行任意代码。利用此漏洞,远程攻击者通过 WEB 客户端能以 IUSR_machinename 帐号身份访问系统文件:

http://target/Scripts/..%u0025u005c..u0025u005cWINNT/system32/cmd.exe?/c+dir+c:

受影响系统:
Microsoft IIS 4.0
- Cisco Building Broadband Service Manager 5.0
- Cisco Call Manger 1.0
- Cisco Call Manger 2.0
- Cisco Call Manger 3.0
- Cisco ICS 7750
- Cisco IP/VC 3540
- Cisco Unity Server 2.0
- Cisco Unity Server 2.2
- Cisco Unity Server 2.3
- Cisco Unity Server 2.4
- Cisco uOne 1.0
- Cisco uOne 2.0
- Cisco uOne 3.0
- Cisco uOne 4.0
- Microsoft BackOffice 4.0
- Microsoft BackOffice 4.5
- Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0SP1
- Microsoft Windows NT 4.0SP2
- Microsoft Windows NT 4.0SP3
- Microsoft Windows NT 4.0SP4
- Microsoft Windows NT 4.0SP5
- Microsoft Windows NT 4.0SP6
- Microsoft Windows NT 4.0SP6a
- Microsoft Windows NT 4.0SP7
- Microsoft Windows NT 4.0 Option Pack
Microsoft IIS 5.0
- Microsoft Windows 2000
- Microsoft Windows 2000 Datacenter Server
- Microsoft Windows 2000 SP1
- Microsoft Windows 2000 SP2
- Microsoft Windows 2000 Advanced Server
- Microsoft Windows 2000 Advanced Server SP1
- Microsoft Windows 2000 Advanced Server SP2
- Microsoft Windows 2000 Datacenter Server SP1
- Microsoft Windows 2000 Datacenter Server SP2
- Microsoft Windows 2000 Professional
- Microsoft Windows 2000 Professional SP1
- Microsoft Windows 2000 Professional SP2
- Microsoft Windows 2000 Server
- Microsoft Windows 2000 Server SP1
- Microsoft Windows 2000 Server SP2

解决方案:
微软尚未做出反应,建议用户对某些系统命令和脚本作访问权限控制。

2005-1-30 15:04:29

【关闭窗口】
友情链接: 格鲁吉亚旅游与投资
Copyright © 2001-2020 Beijing Aodu Haixun Tchnology Inc.All rights reserved. 版权所有:海讯资源
电  话:010-88409500 13366838023 网站制作专线:010-15210224336(微信同号)
传  真: 电子邮件:haixunceo@126.com