客户端计算机和包含有服务器扩展的站点服务器之间使用开放的 HTTP 协议进行通讯,这个协议与客户端计算机上的 Web 浏览器和站点服务器互操作时所用的相同。站点服务器机器上不需要文件共享,也不需要 FTP 和 telnet。使用 FrontPage 服务器扩展不需要专门的文件系统共享调用。
当站点服务器上安装 FrontPage 服务器扩展之后,不论在 Internet 还是在 intranet 上,每个有 FrontPage 客户端的计算机都有对 FrontPage 站点进行创作和管理的功能。任何 Web 浏览器都有服务器扩展的浏览阶段功能。下面,我们来看一看第一个采用Frontpage客户机软件进行的攻击。支持Frontpage的服务器会有若干个以字母”_vti”开头的工作目录。在任何常用的搜索引擎上搜索默认的Frontpage目录会得到大量从引擎上返回的信息。然后,入侵者就能对这些服务器进行简单而又反复的攻击。这种攻击的执行过程如下:1- 打开您自己的Frontpage2- 进入”Open frontpage web”对话框3- 输入您要攻击的服务器的URL或IP如果服务器没有设口令,或者,如果允许权限是分配给Everyone群组的,Frontpage就会为您打开远程站点并允许您能够进行更改。这种攻击实际上是很简单的。如果扩展名正确,就会出现用户名/口令对话。入侵者可以尝试一些基本的组合如管理员/口令。如果入侵者有兴趣,他会一直尝试下去。另外,入侵者还可以用同样的"open frantpage web"方法来得到完整的用户列表。这种方法可以用在brute force攻击中。鉴于对通过这种方法终止用户名的收集进行解释的文件资料已经公开发布,您就应该建立一个象FP_www.yourdomain.com:80这样的限制群组。这个新的限制群组确实起作用,除非入侵者采用的是您的服务器的IP地址,而不是域名。还有其它一些方法能够与Frontpage一起使用,它们会抓取Frontpage口令文件。
Frontpage一般把口令存储在_vti_pvt目录下,有相同的service.pwd。入侵者会试着执行下列URLhttp://www.someserver.com/_vti_pvt如果允许权限设置不正确并允许目录浏览,入侵者就会得到该目录下的文件,包括service.pwd。管理员通常会重视安装和站点的安全性并限制对该目录的访问。尽管这个方法不错,但始终要防止NTFS对网络造成破坏。根据NTFS的配置,用户仍然可以得到口令文件的访问权限,即使对其父文件夹的访问已经被拒绝。在这种情况下,入侵者只需在URL中输入访问该文件的完整路径,如:http://www.someserver.com/_vti_pvt/service.pwd尽管Frontpage口令文件是加密文件,但它是用标准DES加密的,因此,任何DES解密高手都能在正确诊断该文件后获得口令信息。另外,入侵者也会刺探其它_vti目录,因为这些目录有时也会保存敏感信息。在掌握了用户名并对口令解密后,入侵者就会用他的Frontpage重新连接并提供身份证明信息;或者,如果相同的用户名/口令在上下文中能起作用,入侵者即可通过其它方式利用这些身份证明信息,如映射网络驱动器等。(注:Service.pwd不是唯一已知的口令文件名。已经掌握的口令文件有Authors.pwd , admin.pwd, users.pwd和administrators.pwd等。)在Frontpage相关的方法中,二进制FTP方法被看作是技术上最成熟的方法,虽然这种方法实现起来相当容易。这个二进制攻击会使入侵者通过Frontpage扩展名执行任意二进制文件。入侵者必须找到既支持Frontpage又支持FTP匿名可写程序的服务器。在通过FTP连接到服务器之后,入侵者就可以新建一个名为_vti_bin的目录。然后他就可以下载他想放在新建目录下的任何可执行程序。一旦上载了可执行文件,入侵者就会输入下列URL:http://www.someserver.com/_vti_bin/uploaded_file然后,服务器就会执行这个文件。在二进制进攻方法被传播开来不久之后就发现了_vti_cnf。这会使入侵者查看到特定目录下的所有文件。通过用_vti_cnf替换index.html,入侵者就能看到该目录下的所有文件,并有可能获得访问权限。这种攻击结构如下:标准结构http://www.someserver.com/some_directory_structure/index.html攻击结构http://www.someserver.com/some_directory_structure/_vti_cnf
看起来,能产生类似结果的相同攻击类型数不胜数。遗憾的是,事实确实如此。在这些缺陷中,有很多已经被研究缺陷变体的人士所发现,但并不是所有影响NT Web服务的缺陷都来自Internet信息服务器。另外还有其它一些将在NT上运行的Web服务器软件包,象众所周知的Apache Web服务器。当然,有了这些第三方Web服务器软件包和在这些第三方软件包上运行的脚本,新的缺陷注定会暴露出来。Webcom Datakommunikation曾经发布了一个允许Web站点的访问者在来宾卡上签名的cgi脚本。Cgi脚本的名字是guest.exe。只要发出正确的命令,这个小小的cgi脚本就会使攻击者查看到您服务器上的任意文本文件。
访问者要签名的表格页面包含了很多隐藏字段。其中一个隐藏输入字段如下(根据David Litchfield的报告):input type="hidden" name="template"value="c:\inetpub\wwwroot\gb\template.htm">orinput type=”hidden” name=”template” value=”/gb/template.htm”>这里的template.htm是在用户输入信息后通过wguest.exe显示出来的文件。为了利用这一点,攻击者会查看源代码并把该文档保存在他的桌面上,然后通过改变他想查看的任意文件的路径对这一行进行编辑,例如:input type="hidden" name="template"value="c:\winnt\system32\$winnt$.inf"> [如果完成了独立安装,即可通过这个文件得到管理口令]然后,点击”Submit”,wguest.exe就会显示这个文件。这种方法没有用PWL文件测试过。不过,攻击者必须知道他要查看的文件的正确路径。另一个“类属的”HTTPD方法涉及到一个在WindowsNT上运行的第三方Web服务器产品,称为Sambar服务器。下面是直接从招贴中引用的内容:查看攻击对象的HDD是大有可能的。您可通过使用这些关键字 sambar server v4.1搜索Internet,找到运行Sambar服务器的计算机。如果您找到的站点是http://www.site.net/,就做一次测试,运行一个perl脚本:http://www.site.net/cgi-bin/dumpenv.pl现在您看到的是攻击对象的计算机的完整环境,包括他的路径。您可以试着通过以下URL以管理员的身份登录:http://www.site.net/session/adminlogin?Rcpage=/sysadmin/index.html默认登录为:admin;默认口令为空白。如果攻击对象还没有更改他的设置,您现在就能控制他的服务器。另一个特征是查看攻击对象的HDD。如果您能运行perl脚本,也就应该能(在大多数情况下)通过他的路径查看目录的脚本。大多数人在路径行中都有C:/program files和C:/windows,因此,您可以利用以下URL:http://www.site.net/c:/program files/sambar41我们在这里简单提一下Netscape Enterprise Server。有些软件版本通过允许用户访问目录对?PageServices参数作出反应http://www.site.net/?PageServices就是实现方法。