Ciao,

sto iniziando a studiare, scopo cultura generale, :p il funzionamento di un server Apache (su win2000 pro) che ho installato su un vecchio pc in disuso :D

Tra i vari accessi e attacchi che trovo nei logs di Apache mi ha incuriosito questo:

[Thu Jun 16 22:29:30 2005] [error] [client 70.242.194.174] File does not exist: e:/www/scripts/..%5c%5c/winnt/system32/cmd.exe

Mi sapete spiegare cosa ha tentato di fare questo (70.242.194.174) tizio?

Ciao,

uppo perchè era già finito in terza pagina :D

:D ri-up :D

a occhio sembra un tentativo di buffer overflow per aprire una shell (bah, chiamare shell quella roba di windows...).
non con che privilegi gira apache in windows ma potrebbero essere di amministratore

a occhio sembra un tentativo di buffer overflow per aprire una shell (bah, chiamare shell quella roba di windows...).
non con che privilegi gira apache in windows ma potrebbero essere di amministratore

Ciao Recoil :)
grazie per i chiarimenti che mi stai dando, anche nell'altro post. Come dicevo sto facendo delle prove kamikaze con una macchina allestita allo scopo, perciò sto facendo girare tutto con diritti di amministratore :p

Premetto di essere un assoluto novizio riguardo la "logica Linux e C." Conosco a malapena Knoppix e IPCop.

Vorrei solo capire (per un eventuale utilizzo serio in futuro) a quali problemi si va incontro mantenendo un webserver (visibile da internet) sulla mia rete.

Tornando all'attacco ricevuto... se ho capito bene, pare che il tizio, lanciando il comando "cmd.exe" (la shell :asd: ) abbia tentato di attivare degli "script" dentro alla cartella (e:/www/scripts/) dove custodisco il sito di prova.

Naturalmente il log ha restituito un messaggio di errore perchè la dentro non c'è nessuno script ma solo pagine html statiche...

Ho capito bene?

non conosco apache quindi ho solo ipotizzato il tipo di attacco

il principio del buffer overflow, che ho ipotizzato, è questo:
c'è un buffer di grandezza N al quale arrivano dati in input. se tu mandi una stringa lunga più di N caratteri e non c'è controllo da parte del programma la parte che eccede gli N caratteri sovrascrive parti di codice. l'attacco fa in modo che, sovrascrivendo una parte del codice, vengano eseguite delle particolari operazioni.
in quel caso si voleva eseguire il comando cmd.exe in modo da ottenere la "shell" di windows

non so però come hanno sfruttato (o meglio, tentato di sfruttare) questo buffer overflow. forse basta richiedere una URL formattata in un certo modo

il rischio è che aprendo cmd.exe l'attaccante possa fare di tutto. la "shell" di windows farà anche schifo ma intanto uno può cancellare file, eseguire programmi ecc.