AMLServer 存在多个漏洞发布时间:2001-06-20 更新时间:2001-06-20 严重程度:高 威胁程度:其它 错误类型:设计错误 利用方式:服务器模式 受影响系统 AMLServer version 3.4.2详细描述 Air Messenger LAN (http://www.internetsoftwaresolutions.org/) SERVER是一个MS WINDOWS下的传呼网关程序,允许你通过通过TCP/IP LAN 收发信息从传呼网关到电话,传呼和EMAIL,其中存在多个漏洞: 1,AMLSERVER目录遍历问题: 通过请求带'../'字符串的URL允许攻击者访问WEB服务器目录以外的目录。 2,AMLSERVER密码档以明文方式保存: 所有用户名和密码都以明文方式保存在pUser.Dat文件中。 3,AMLSERVER路径可发现问题: 通过如下请求: $ telnet target 80|grep Location Location: http://C:\PROGRA~1\ISS\AIRMES~1\Messages 可发现服务器物理地址。 测试代码 见描述部分 解决方案 尚无 相关信息 |
