No script em python tem uma variável randomica que compõe a string http:
...
numeros = str(random.choice(xrange(10)))...
url.open('http://' + alvo + '/' + pasta + '/.dll/' + ascii + barras + '~' +
numeros)
...
<rule>
ip dst(www)
tcp dst(80)
tcp
regex(0|1|2|3|4|5|6|7|8|9)message=(iisattacks) Ataque ao IIS 5.1
action=action1
</rule>
Eu só usei regex para os números e não para string http inteira, só para ficar mais simples. Mas poderia colocar dentro do regex toda a composição da string:
...
pasta = random.choice(['_vti_bin','_sharepoint'])
ascii = random.choice(['%3f','"','*',':','<','>'])
barras = random.choice(['\\','/'])
numeros = str(random.choice(xrange(10)))
...
Mas foi só p
ara ilustrar o exploit. Por
exemplo:
http://www.exemplo.com.br/_vti_bin/.dll/*\~
0
Ele vai barrar só por causa do
0. Se tiver uma string http que contenha um
0 ele vai barrar também. É claro que num ambiente de produção esta regra seria sem sentido, pois barraria qualquer coisa que tivesse um
0. Mas quem vai usar o Win XP com web server? Mais eu vou melhorar esta regra, para toda a string http. Se tiver uma sugestão para a regra, me passa que eu altero no tutorial. No site abaixo mostra as strings que geram a negação de serviço para o IIS, eu fiz o script baseado nele:
http://www.securiteam.com/windowsntfocus/6E00E2KEUS.html
Obrigado pela observação.
André Bertelli Araújo &l
t;andre <at> bertelli.name> escreveu:
Notei esta regra no tutorial, está correto?
<rule>
ip dst(www)
tcp dst(80)
tcp regex(0|1|2|3|4|5|6|7|8|9)
message=(iisattacks) Ataque ao IIS 5.1
action=action1
</rule>
Em 14/08/06, Rogerio Ferreira <rogerio_ips <at> yahoo.com.br> escreveu:
>
>
> Dê uma olhada no link abaixo:
>
> http://rogeriotux.objectis.net/artigos
>
> Rogerio Ferreira
> http://rogeriotux.objectis.net
>
>
> pcprotegido <pcprotegido <at> yahoo.com.br> escreveu:
>
> gostei do anuncio de que HLBR pode manter minha rede protegida.
>
>&nbs
p; estou querendo mais conhecimento sobre o mesmo.
>
>
>
>
>
>
>
>
> ________________________________
Yahoo! Search
> Música para ver e ouvir: You're Beautiful, do James Blunt
>
>
>
--
.o. André Bertelli Araújo Debian GNU/Linux
..o http://bertelli.name Linux user #248583
ooo <><
Yahoo! Acesso Grátis - Internet rápida e grátis. Instale o discador agora!
__._,_.___
---------------------------------------------------------------------
Esta lista não admite a abordagem de outros assuntos que não estejam ligados ao IPS HLBR. Quem insistir em não seguir esta regra será moderado sem prévio aviso.
---------------------------------------------------------------------
Sair da lista: hlbr-unsubscribe <at> yahoogrupos.com.br
---------------------------------------------------------------------
Esta lista é moderada de acordo com o previsto em
http://www.listas-discussao.cjb.net
---------------------------------------------------------------------
Servidor Newsgroup da lista: news.gmane.org
Grupo: gmane.comp.security.ids.hlbr
---------------------------------------------------------------------
HLBR no Orkut:
http://www.orkut.com/Community.aspx?cmm=16263377
---------------------------------------------------------------------
| Yahoo! Grupos, um serviço oferecido por: |
|
Links do Yahoo! Grupos
__,_._,___
RSS Feed