IIS bug: Toegang mogelijk tot HDD provider

Erik E gaf mij de tip eens te kijken naar zijn bevindingen bij het aanpassen van een simpele sitemanager gemaakt in Microsoft's Active Server Pages. Hiermee is het mogelijk de directorystructuur van de server waarop de pagina is gehost te bekijken (behalve de root, dus de standaard Windows-directory's uitproberen is wel handig ) en bestanden te bekijken.

Zelf heb ik de bevindingen gecontroleerd en ik kan inderdaad bevestigen dat deze mogelijkheden aanwezig zijn bij 2 gratis ASP-providers. De andere hosters die Erik heeft getest heb ik niet nagelopen, maar ik vertrouw zijn resultaat. Zijn eigen provider heeft inmiddels een oplossing gevonden en de gratis hosters die dit probleem hadden zijn op de hoogte gesteld. Het probleem zit in de rechten van de standaard Internetgebruiker (wordt gebruikt door Internet Information Server) in combinatie met het uploadobject van Microsoft. De gebruikte sitemanager is Anyportal:

Na het uploaden van het script werkt hij perfect: uploaden, deleten en wijzigen gingen zonder problemen op onze website. Na wat denk- en sloopwerk in de code had ik de pagina opnieuw geupload.

Na het inloggen op de pagina kreeg ik een foutmelding plus een link. Na het klikken op de link kwam ik tot mijn verbazing in de root van de server en trof mappen zoals winnt, program files etc. aan.

[...] Na het aanmaken van accounts bij www.atfreeweb.com en na het uploaden van het ASP-bestand konden wij ook zonder problemen pagina's aanpassen van andere gebruikes. Ook hadden wij hier de volledige rechten. Niet alleen bij atfreeweb is dit het geval maar bij 20 andere hostingproviders waar wij dit hebben getest is dit lek aangetroffen.

Zie hieronder een screenshot van de Sitemanager in actie: (voor de veiligheid van de provider zijn is de link hier en daar gecensureerd)

Screenshot ASP bug

Een grotere versie is hier te vinden. (Vanwege een probleem met de image-upload komen de plaatjes vanaf mijn eigen server)

Door Anton Tieleman

Feedback • 14-02-2001 10:34 44

14-02-2001 • 10:34

44

Bron: usss2000.nl

Lees meer

Gartner: Gebruik geen IIS
Gartner: Gebruik geen IIS Nieuws van 26 september 2001
Bedrijfsnieuws

Reacties (44)

-Moderatie-faq
44
42
28
9
2
6
Wijzig sortering

Sorteer op:

Weergave:
martyblock 14 februari 2001 11:53
Jongens, nog nooit van het file system object gehoord? Deze tool, die bij mij allang bekend is, maakt alleen maar gebruik van een file system object, waarmee je dus dir's kunt bekijken.

de isp moet je wel rechten geven om iets te verwijderen, anders werkt het niet.

de isp moet ook het juiste upload protocol ondersteunen.

Stemmingmaken kunnen we allemaal, maar kom nu eens met een echte bug... dit is gewoon een toepassing in asp, niets meer en niets minder....

tweakers, ik had toch wel verwacht dat jullie niet aan deze stemmingmakerij mee zouden doen....
webster @martyblock14 februari 2001 12:04
Hehe, eindelijk iemand die het snapt...

Er zijn ASP objecten om netjes met NT permissies om te gaan. Dit is dus gewoon een kwestie van een slecht geschreven script.
Bobco @webster14 februari 2001 13:14
Hmm, volgens mij ligt dit niet aan het script, maar aan de dingen die de 'webuser' blijkbaar mag doen op die NT bak.

De beheerder van die machine moet gewoon de user manager eens starten en de nodige permissies weghalen bij de user accounts die IIS gebruikt. Kijk voor meer informatie ook maar eens bij MS zelf op http://www.microsoft.com/technet/security/iischk.asp Dit is een complete checklist die je door kunt lopen.
GREENSKiN @webster14 februari 2001 12:28
Het zal wel aan mij liggen, maar om met een script alles op de NT bak te kunnen doen lijkt me niet de bedoeling. Zeker niet als je op een virtual server werkt.
Leon@rdo 14 februari 2001 10:38
Damn er worden de laatste tijd wel erg véél fouten bij website-servers gevonden. Maar dat deze gast er geen misbruik van maakt vind ik wel een goeie zaak.

De betreffende sites zullen zich wel erg schamen :+
first post en dan nog?
wzzrd @Leon@rdo14 februari 2001 12:01
Je weet helemaal niet of die gast er misbruik van heeft gemaakt. Het feit dat 'ie het hier post, zegt helemaal niets.
jurriaan @Leon@rdo14 februari 2001 12:06
Een tijdje terug heb ik zoiets in de nieuwsqueue gezet maar dan met een nogal flinke configuratiefout bij de vuurwerkservers... Die stonden ongeveer vanaf het begin helemaal open (tot serverroot aan toe) kon je alles zo weghalen. Maar raar genoeg heeft dat nooit de frontpage van tweakers gehaald. Wellicht ook omdat t.net natuurlijk bij Vuurwerk draait....
Verwijderd 14 februari 2001 10:51
elk OS heeft zo zijn security holes, dat valt niet te vermijden... Hoe meer mensen een OS gebruiken hoe groter de kans is dat er bugs gevonden worden die opgelost kunnen worden... Gelukkig is MS wat actiever geworden met het dichten van dit soort gaten... Check http://www.securityfocus.com maar eens, dan schrik je van hoeveel "gaten" er zijn... Positief is wel dat er veel van die gaten al opgelost zijn...
Verwijderd @Verwijderd14 februari 2001 11:21
elk OS heeft zo zijn security holes, dat valt niet te vermijden...
Nee, maar je kan ze wel tellen en vergelijken. Een hole waar je ongezien met een vrachtwagen naar binnen kan rijden en van alles mee naar buiten kan nemen is iets anders dan een hole waar je een dun draadje door naar binnen kan sturen waardoor je binnen dingen kan zien.
Maar dit probleem was geloof ik meer een configuratiefout, en niet perse een fout van het OS. Hoewel je het misschien "fout" kan noemen, als de default configuratie de poorten wijd open zet.
Hoe meer mensen een OS gebruiken hoe groter de kans is dat er bugs gevonden worden die opgelost kunnen worden...
.. en hoe meer mensen fouten in dat OS zullen willen uitbuiten, omdat je er meer mee computers mee bereikt. Dit betekent dus niet, dat een OS er zeker veiliger van wordt!
Gelukkig is MS wat actiever geworden met het dichten van dit soort gaten...
Dat is toch wel de minste service die je mag verwachten, als je voor zo'n product betaalt! Maar ja, een bedrijf als MS heeft de eerste verantwoordelijkheid tegenover de aandeelhouders. Als die meer winst zien als MS snel gaten dicht, zal MS snel gaten dichten. Als MS meer winst maakt door te beloven het in een volgende versie op te lossen, wordt het in een volgende versie opgelost. |-(
En je bent van MS afhankelijk, want om nou in de binaries te gaan zitten hacken.
NaioN @Verwijderd14 februari 2001 11:13
Het gaat hier niet om het OS, maar om IIS, dus het schort hier aan de beveiliging binnen IIS.
Je moet hier onderscheid tussen maken, want het OS is niet direkt benaderbaar vanuit Internet je laat er geen gebruikers op inloggen, (voor zover dat mogelijk is), maar IIS staat wel open voor de wereld, dus daar moet je wel extra maatregelen treffen!

(typo's eruit gehaald)
Verwijderd 14 februari 2001 11:57
Nee IIS is niet verrot maar sommige providers vinden het kennelijk te veel moeite om goede permissies te zetten, IIS is zowiezo een minder geschikt OS voor shared hosting.
ISS een operating system ? dùùùùùùùh
Shared Hosting ? Wazzdattanweer ?

ik vind dit soort potings op zijn zagst gezegd niet echt verhelderend.

Internet Information Server is een , jawel... SERVER. Voor de mensen die denken dat een server een computer is met raidschijven en dikke backupsystemen, waar andere mensen hun data neergooien en programma's van mogen draaien: Helaas, het begrip heeft meerdere toepassingen. Een server is OOK een stukje software die een bepaalde "SERVICE" verleent.

Een Operating System is dat stukje software dat er voor zorgt dat alle onderdeeltjes van een computer met elkaar kunnen samenwerken en elkaar ook een beetje beter begrijpen.

Zo zitten de lekker verwarrdende OPERATING SYSTEM windows NT "server", Windows 2000 "Server" Vol met kleine software servertjes. DHCP servers, Password verification servers, Mailservers, Internet servers, FTP servers, en ga zo nog maar even door.

De kast waar NT server o.i.d. op draait heet soms "FTP server" omdat die dan niets anders doet dan alleen een FTP server draaien. Maar dan staat er nog altijd een OS op.

Als je dus praat over lekken in de software is het makkelijk om een goed onderscheid te maken tussen Operating System en Server. En die ZEER zeker niet te verwarren, ookal zijn ze beiden van de zelfde bakker.
raptorix @Verwijderd14 februari 2001 12:07
Lol sorry tis nog vroeg ;)
Ik bedoelde uiteraard webserver, shared hosting is dus het delen van een server met meerder mensen.

Overigens is shared hosting echt een volkomen duidelijk begrip lijkt me, het wordt ook gewoon zo genoemd door betreffende hostingbedrijven
Verwijderd 14 februari 2001 13:26
Even voor de duidelijkheid: dit is geen bug in IIS, geen bug in ASP.
De bug zit in the SA-FileUp objectwaarvan siteman.asp gebruik maakt.
Zie http://www.softartisans.com/softartisans/saf.html
Noem het een "plug-in" voor IIS.
Bij de meeste IIS server wordt deze "plug-in" niet gebruikt en zijn dus niet kwetsbaar....
demonite @Verwijderd14 februari 2001 14:05
SA is niet de enige hoor !

Het IloveU virus maakt ook gebruikt van een filesystem object.. 1 tje die standaard in de vb "engine" (of hoe je het ook moet noemen) zit. En die kan je dus ook met ASP (gezien het VB is) gebruiken..

Dit is trouwens wel een mooi voorbeeld van "This is not a bug! It's a feature!!"
raptorix 14 februari 2001 11:29
Dit is geen Bug maar gewoon een slechte configuratie van de Provider, dit probleem is trouwens al heel heel oud, kijk maar eens op http://www.planet-source-code.com/xq/ASP/txtCodeId.6 121/lngWId.4/qx/vb/scripts/ShowCode.htm
Dromer 14 februari 2001 10:43
Ik denk dat dei jongens het heel netjes hebben gedaan door het gelijk naar buiten te brengen.
Daar draait het allemaal om.
Dat er weer een foutje is gevonden laat alleen maar zien dat de ontwikkelaars veel te snel een product op de markt willen gooien.
Concurrentie is niet altijd alles blijkt maar weer.
4of9 @Dromer14 februari 2001 11:39
Er staat nergens dat het een bug is.

Het is gewoon onoplettendheid van providers en een gebrek aan kennis. Heel veel van dit soort instellingen zijn gewoon bekend en zijn (meestal) makkelijk aan te passen door wat registry settings te weizigen.(of zelfs in IIS zelf) Op de m$ knowledge base staat heel erg veel over security en IIS.

Dat er slimme programmeurs zijn die de Programmatuur beter kennen dan de providers betekend niet dat m$ niet genoeg nadenkt over zijn software. (hoewel dit soms wel het geval is :P)

Oke het staat in de titel dat het een bug is maar toch ;)
The Lord 14 februari 2001 13:00
NTFS, service & registry permissions, daar draait deze fout om. Niet zozeer een OS of service, maar een domme beheerder die niet weet wat hij of zij doet.
Verwijderd @The Lord14 februari 2001 13:12
Yepp, default staat dat Everyone Full Control heeft overal.. tja als je dat niet aanpast dan is het je eigen fout en mag je die beheerder ook geen beheerder noemen..
henk jansen 14 februari 2001 10:40
zo zijn ze misschien ook wel achter het adres van de politie edit gekomen. dit is trouwens best makkelijk. als je weer eens op zo'n onoverzichtelijke site komt kun je zo sneller zoeken wat je zoekt.
Verwijderd 14 februari 2001 10:42
Als je nu de link volgt staat er onder andere..
Niet alleen bij atfreeweb is dit het geval maar bij 20 andere hostingproviders waar wij dit hebben getest hebben wij dit lek aan getroffen. Alle providers zijn op de hoogte gesteld van dit lek.
( http://www.hopla.nl/eep/news/view.asp?id=52 )

Niet zo gunstig voor het, nu nog, gevoelige ASP-concept.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq