|漏洞详情
多个厂商的应用软件包括(IIS4.0和NortonInternetSecurity2001)的日志文件属性设置不安全,允许拥有本地权限的非特权用户修改日志文件。缺省情况下,微软的IIS4、IIS5将所有HTTP请求以W3C扩展日志文件格式存入文本文件中,该日志文件位于%WinDir%System32LogFilesW3SVC1目录下,每天都会创建一个日志文件。WEBServer运行时,用户无法删除当天的日志文件,因为它被W3SVC服务锁定了。必须停止该服务才能删除当天的日志文件。对于运行II4的WindowsNT4SP6a,这个日志文件的缺省权限是Administrators:FullControlEveryone:Change(RWXD)IUSR_ComputerName:FullControlSystem:FullControl即Everyonegroup的成员可以读、写、执行、删除该文件,而IIS内置帐号对这个日志文件拥有完全控制权限。然而,与服务控制管理数据库相关联的DACL禁止Everyonegroup成员停止W3SVC服务。因此本地非特权用户无法修改日志文件。但是,由于inetinfo.exe打开日志文件时指定了FILE_SHARE_READ和FILE_SHARE_WRITE参数。其它应用程序可以使用OpenFileWin32API,指定(OF_REOPEN|OF_READWRITE)参数,再次打开当天的日志文件。此时,不必停止W3SVC服务,就可以修改当天的日志文件。当攻击者无权停止W3SVC服务时,就可利用这点清除日志。比如,针对IIS4做完UNICODE攻击后,不必提升到SYSTEM权限停止W3SVC服务,就可以擦除日志。注意,这需要IUSR_ComputerName(内置帐号)权限,而这可通过UNICODE漏洞获取。NortonInternetSecurity2001分别在如下日志文件中记录攻击和告警ProgramFilesNortonInternetSecurityiamfw.relProgramFilesNortonInternetSecurityiamalert.rel如果所在文件系统是NTFS,这两个日志文件的缺省权限是Everyone:FullControlNIS2001打开日志文件时指定了FILE_SHARE_REA
|参考资料
来源:XF
名称:iis-modify-log(7919)
链接:http://xforce.iss.net/xforce/xfdb/7919
来源:BID
名称:3888
链接:http://www.securityfocus.com/bid/3888
来源:NSFOCUS
名称:2160
链接:http://www.nsfocus.net/vulndb/2160
恐龙抗狼扛1年前0
kankan啊啊啊啊3年前0
66666666666666