12月 26

Microsoft IIS のセミコロンバグ検証メモ

Microsoft IISにファイル名の処理に脆弱性が存在し、ファイルの拡張子による制限を回避することが可能だそうです。
具体的には、「test.asp;.jpg」として脆弱性の存在するホストに保存すると
IISはこれを「test.asp」として解釈するいうものです。
ホストにファイルをアップロード可能であるようなWebアプリケーションが存在し
そのアップロード先に実行権限が与えられていた場合に
この手法を使ってファイルをアップロードすると、IISの実行権限で任意のコマンドを実行できてしまうというものです。

この脆弱性はIIS6と5に存在するそうですので
# 2009/12/27追記
# ココでは6.0以前、7.5以外は影響をうけるとありますね。
IIS6で任意のディレクトリの内容を表示することができるaspファイル「dir.asp」を「dir.asp;.jpg」として
アップロードし、実行可能かどうかという検証を行いました。

結果、アップロードしたファイルは「dir.asp」として任意のディレクトリを表示することが可能でした。

dirこのように攻撃を成功させるにはいくつかの条件が必要であるため
危険度は低いとも考えられますが、影響を受ける条件が揃った場合は、結構なインパクトだと思います。

現在のところ修正プログラムはリリースされていないため回避策は
Webアプリケーションで対応する場合には
ファイルアップロードを行うアプリ上でアップロードするファイル名を保存する際には名前をランダムなものにする。
システムで対応する場合には
アップロードファイル保存ディレクトリには実行権限を与えない。
などが考えられるかと思います。

ここまで書いて思ったのですが、この脆弱性はWebDAV経由からも利用できそうですね。

Category: exploit | Microsoft IIS のセミコロンバグ検証メモ はコメントを受け付けていません。
12月 24

Firefoxのdocument.locationのURL偽装検証メモ

Firefox 3.5.5及び、3.0.15以前のdocument.locationプロパティに入力検証の脆弱性が発見されてました。
アドレスバーに表示されるURLを偽装できるそうで、フィッシングなんかに利用できそうな問題です。
自分のブラウザがたまたま3.5.5だったのでこの脆弱性をチェックするためにデモページも作ってみました。
デモページはココです。
デモページのリンク先は「http://n.pentest.jp/20093985/fake.html」なのですが
脆弱性が存在するバージョンのFirefoxでリンク先に飛ぶとアドレスバーが「https://www.google.com /」と表示されます。
本当のリンク先である「fake.html」のソースは下記の通りです。
<html>
<title>!!!!!!!!!! fake page !!!!!!!!!</title>
<body onload="javascript:window.location = 'https://www.google.com%20';window.stop();void(0);">
<h1>Google?</h1>
</body>
</html>
「https://www.google.com%20」を指定して、「window.stop」で読み込みを停止させている辺りがミソなんですね。
昔、画像の位置によってロケーションバーを上書きしたように見せるなんてのもありましたが
今回のものは、文字列として上書きされているので気付きづらいだろうなーという印象を受けました。

Category: exploit | Firefoxのdocument.locationのURL偽装検証メモ はコメントを受け付けていません。
12月 3

FreeBSD rtldの環境変数処理における脆弱性検証メモ

FreeBSDセキュリティチームが緊急で暫定パッチをリリースするなどで
各所で話題になっている脆弱性の検証メモです。
この脆弱性は、Run-Time Link Editor(rtld)に欠陥が存在するそうで
LD_PRELOADやLIBMAPなどなどの環境変数が適切に検証されないことにより発生するようです。

結果については、下図の通りです。
freebsd_execl_local_exploit_m
ntsujiユーザがroot権限に昇格していることが分かるかと思います。
ボクが検証を行ったのは、7.2-STABLEなのですが、
8及びFreeBSD 9-CURRENTなども影響を受けることが確認されているようです。

091204追記:
正式版パッチがリリースされているようです。

ついでにCVEも振られています。
CVE-2009-4146
CVE-2009-4147

Category: exploit | FreeBSD rtldの環境変数処理における脆弱性検証メモ はコメントを受け付けていません。
12月 1

セキュリティ・ダークナイトはじめました。

title
9月に「セキュリティ対策の「ある視点」」という連載が最終回を迎えたのですが、昨日から新連載を始めさせていただくことになりました。

今回の連載タイトルは「セキュリティ・ダークナイト」です。
# タイトルや画像については各所から色々ご意見をいただいていたりしますw

前回の連載では、ペネトレーションテストを軸に書かせていただくことが殆どだったのですが
今回の連載からはボクが気になったことや取り組んでいることを書かせていただきたいと思っています。

タイトルの意味については記事の冒頭に書かせていただいておりますので、お読みいただければ幸いです。

第一回は、6月に参加した「CTF」の予選から抜粋した問題を解き進めていく様子を紹介しています。

Category: site | セキュリティ・ダークナイトはじめました。 はコメントを受け付けていません。