IIS4IIS5 CGI环境块伪造0day

发布时间：2014-07-15 11:50:28作者：知识屋

大约14年前发现一直到现在的0day

是IIS4IIS5的，对应操作系统是winnt和win2000系统，微软不再支持这些软件，他们的策略想淘汰这些系统，11年报告后微软决定不再修补。算是很严重的漏洞，只是影响的软件现在使用率相对比较低，但总量也不少。

具体漏洞详细信息如下：

IIS加载CGI环境块伪造漏洞

危害等级：高危

危害类型：缓冲区溢出、远程执行代码、信息泄露

影响平台：Winntwin2000

影响软件：IIS4、IIS5

基本情况：

IIS4、IIS5加载CGI，处理环境块的时候，错误的把“n”字符用“x00”替换，导致可以伪造任意环境块。IIS加载CGI的时候，把自己的请求加上“HTTP_”前缀加入环境变量和本地环境变量区分，通过利用”n”替换成””的漏洞就可以把这些前缀去掉，从而任意伪造环境块变量。攻击者可以在http头里提交“a=bnPATH_TRANSLATED:var”使得IIS加载CGI的时候环境块变量成为”HTTP_a=b”和“PATH_TRANSLATED=var”，成功伪造环境块“PATH_TRANSLATED=var”，让php.exe执行脚本文件“var”，从而执行任意命令。

CGI加载有两种方式，一种本身就是编译成.exe的可执行程序，这些常见的有一些计数器、一些网站自己开发的应用程序、还有一些应用比较广的WEB应用程序等。还有一种是通用脚本映射到.EXE解释执行（映射到.dll的是isapi，不受影响），这些常见的有PERL脚本等。

具体危害看具体CGI程序对环境块的处理方式，可能会导致的部分结果：

1、 CGI处理本地环境变量的时候缓冲溢出，一些CGI处理本地环境变量的时候，因为这些变量一般不能设置或者本来是可信的，没有考虑缓冲大小检查等。

2、有些环境块变量影响一些CGI的处理逻辑、信任关系等。

3、加载dll或者加载进程时因为伪造的path环境变量加载攻击者的程序。

验证步骤：

1、win2000+iis5配置.php映射到php.exe(即cgi方式，如果影射到.dll是isapi方式，没有此漏洞)

2、请求发送:

“GET /a.php HTTP/1.1rna=bnPATH_TRANSLATED:c:windowswin.inirnHOST：192.168.0.1rnrn”

3、iis将返回win.ini内容。

4、也可以利用iis的日志文件写出php命令，利用此漏洞让php.exe调用iis日志文件执行命令等。

漏洞利用程序：