home *** CD-ROM | disk | FTP | other *** search
/ Hackers Handbook - Millenium Edition / Hackers Handbook.iso / library / hack99 / iis.4.0.metabase.passwd.txt < prev    next >
Encoding:
Internet Message Format  |  1999-03-24  |  2.9 KB
  1. Date: Mon, 22 Feb 1999 11:26:41 +0100
  2. From: Patrick CHAMBET <pchambet@club-internet.fr>
  3. To: sans@clark.net
  4. Subject: Alert: IIS 4.0 metabase can reveal plaintext passwords
  5.  
  6. Hi all,
  7.  
  8. We knew that Windows NT passwords are stored in 7 different places across
  9. the system. Here is a 8th place: the IIS 4.0 metabase.
  10.  
  11. IIS 4.0 uses its own configuration database, named "metabase", which can
  12. be compared to the Windows Registry: the metabase is organised in Hives,
  13. Keys and Values. It is stored in the following file:
  14.  
  15. C:\WINNT\system32\inetsrv\MetaBase.bin
  16.  
  17. The IIS 4.0 metabase contains these passwords:
  18.  
  19. - IUSR_ComputerName account password (only if you have typed it in the
  20. MMC)
  21. - IWAM_ComputerName account password (ALWAYS !)
  22. - UNC username and password used to connect to another server if one of
  23. your virtual directories is located there.
  24. - The user name and password used to connect to the ODBC DSN called
  25. "HTTPLOG" (if you chose to store your Logs into a database).
  26.  
  27. Note that the usernames are in unicode, clear text, that the passwords are
  28. srambled in the metabase.ini file, and that only Administrators and SYSTEM
  29. have permissions on this file.
  30. BUT a few lines of script in a WSH script or in an ASP page allow to print
  31. these passwords in CLEAR TEXT.
  32.  
  33. The user name and password used to connect to the Logs DSN could allow a
  34. malicious user to delete traces of his activities on the server.
  35.  
  36. Obviously this represents a significant risk for Web servers that allow
  37. logons and/or remote access, although I did not see any exploit of the
  38. problem I am reporting yet. Here is an example of what can be gathered:
  39.  
  40. "
  41. IIS 4.0 Metabase
  42. ⌐ Patrick Chambet 1998 - pchambet@club-internet.fr
  43.  
  44. --- UNC User ---
  45. UNC User name: 'Lou'
  46. UNC User password: 'Microsoft'
  47. UNC Authentication Pass Through: 'False'
  48.  
  49. --- Anonymous User ---
  50. Anonymous User name: 'IUSR_SERVER'
  51. Anonymous User password: 'x1fj5h_iopNNsp'
  52. Password synchronization: 'False'
  53.  
  54. --- IIS Logs DSN User ---
  55. ODBC DSN name: 'HTTPLOG'
  56. ODBC table name: 'InternetLog'
  57. ODBC User name: 'InternetAdmin'
  58. ODBC User password: 'xxxxxx'
  59.  
  60. --- Web Applications User ---
  61. WAM User name: 'IWAM_SERVER'
  62. WAM User password: 'Aj8_g2sAhjlk2'
  63. Default Logon Domain: ''
  64. "
  65.  
  66. For example, you can imagine the following scenario:
  67. A user Bob is allowed to logon only on a server hosting IIS 4.0, say
  68. server (a). He need not to be an Administrator. He can be for example
  69. an IIS 4.0 Web Site Operator. Then, he launches a WSH script that extracts
  70. the login name and password of the account used to access to a virtual
  71. directory located on another server, say (b).
  72. Now, Bob can use these login name and passord to logon on server (b).
  73. And so forth...
  74.  
  75. Microsoft was informed of this vulnerability.
  76.  
  77. _______________________________________________________________________
  78. Patrick CHAMBET - pchambet@club-internet.fr
  79. MCP NT 4.0
  80. Internet, Security and Microsoft solutions
  81. e-business Services
  82. IBM Global Services
  83.  
  84.  
  85.