[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[stalk:01025] Re: Nimda 感染者からの変なアクセス
- To: security-talk@xxxxxxxxxxxxxxxxxxxx
- Subject: [stalk:01025] Re: Nimda 感染者からの変なアクセス
- From: Tietew <tietew@xxxxxxxxxx>
- Date: Wed, 21 Nov 2001 12:17:51 +0900
Tietew です。
On Wed, 21 Nov 2001 11:47:48 +0900
In article <20011121114748.45046a6c.shikap@xxxxxxxxxxxx>
[[stalk:01021] Re: Nimda 感染者からの変なアクセス]
Shikap <shikap@xxxxxxxxxxxx> wrote:
> > ・・・/scripts/..%c0%qf../winnt/system32/cmd.exe?/c+dir
> > ・・・/scripts/..%c0%9v../winnt/system32/cmd.exe?/c+dir
> > ・・・/scripts/..%c1%pc../winnt/system32/cmd.exe?/c+dir
> >
> > ウイルスのバグなのか、感染中にコピーに失敗したのか、ちょっと謎ですね。
>
> 間違ってないです。というか、UNICODE Directory Trasavalの攻撃が可能かどうか
> 試しています。
>
> この辺解説すると長くなるんで、簡単に言うと、IISは、UNICODEとして
> 上記のような文字列(%c1%pcなど)も強引に解読しちゃう、と言う仕様です。
> 昔、あらい@ラックさんがどの様な文字列でtrasarvalできるか、ってのを
> テストされ、どっかのMLに投稿されてましたけど、めちゃめちゃ種類があった
> 様に思います。(MLは失念。)
[fw-wizard:940] (Report)Microsoft IIS 4.0 / 5.0 Extended UNICODE Directory Traversal Vulnerability
[stalk:00142] Re: snort のできなりパッチいりますか?
あたりだと思います。
てゆうか,ばっちし過去ログです(^^;
―[ Tietew ]――――――――――――――――――――――――――
メ : tietew@xxxxxxxxxx / tietew@xxxxxxxx / tietew@xxxxxxxxxxxx
ホペ: http://www.tietew.net/ Tietew Windows Lab.
http://www.masuclub.net/ 鱒倶楽部
指紋: 26CB 71BB B595 09C4 0153 81C4 773C 963A D51B 8CAA
--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
『オトコとオンナの深い穴』ってどんな穴?
http://books.rakuten.co.jp/infoseek/?svx=971122