受影响的版本: Xitami Web Server release 2.5b4 for Win 95 / 98 / NT / Win2k
  是否本地:  是
  是否远程:  非
  风险等级:  中

  问题描述:
  我发现Xitami WEbserver将Xitami Webserver管理的纯文本密码存储在默认安装文件夹C:\Xitami的defaults.aut文件中.即使你改变了安装文件夹,它还是存储在那里.

  例如:
  defaults.aut
  # Created at installation time
  #
  [/Admin]
  admin="root123" $#@60;----- admin=username password=root123
  [Private]
  Jacky=robusta

  问题存在于当攻击者获得Xitami根目录的物理访问并打开Defaults.Aut文件时,攻击者可以利用这个来获得webserver管理系统的管理员权限,例如:http://localhost/admin,然后攻击者输入存储在defaults.aut文件中的用户名和密码,这样攻击者就获得了web server的完全访问权.

  如果你试图在下次登录Xitami WEb管理站点时将密码文件存储到另一个文件夹,将出现这个错误信息--$#@62; Abort at smthttp:Resolve-Virtual-Hostname: (Have-Client-Request, Finished-Event)导致Webserver不能用,而且你需要重装整个应用程序.

  措施:
  不让你的工作站或服务器开放Xitami web server的根目录物理访问,改变webserver的默认文件夹,不要使用C:\Xitami.