文档介绍:IIS的Unicode漏洞攻击
IIS有十多种常见漏洞,但利用得最多的莫过于Unicode解析错误漏洞。微软IIS ,用户可以远程通过IIS执行任意命令。当IIS打开文件时,如果该文件名包含Unicode字符,它会对它进行解码。如果用户提供一些特殊的编码,将导致IIS错误地打开或者执行某些Web根目录以外的文件或程序。我们此文就着重来讲讲如何利用这个漏洞入侵IIS。
对于IIS ,当IIS在收到的URL请求的文件名中,包含一个特殊的编码例如“%c1%hh”或者“%c0%hh”,它会首先将其解码变成“0xc10xhh”, 然后尝试打开这个文件。Windows系统认为“0xc10xhh”可能是Unicode编码,因此它会首先将其解码,如果“0x00<= %hh < 0x40”的话,采用的解码的格式与下面的类似:
%c1%hh->(0xc1-0xc0)*0x40+0xhh
%c0%hh->(0xc0-0xc0)*0x40+0xhh
因此,利用这种编码,我们可以构造很多字符,例如:
%c1%1c->(0xc1-0xc0)*0x40+0x1c=0x5c='/'
%c0%2f->(0xc0-0xc0)*0x40+0x2f=0x2f='\'
攻击者可以利用这个漏洞来绕过IIS的路径检查,去执行或者打开任意的文件。+SP6开始,还影响中文版WIN2000+、中文版WIN2000++SP1。
在NT4中“/”编码为“%c1%9c”;在英文版的WIN2000中为“%c0%af”;在中文版的WIN2000里是“%c1%1c”。此外还有多种编码,不逐一阐述,大家可以查查资料。本文均以WIN2000为例,其他类型请自行替换。
判断是否存在漏洞
用该漏洞的扫描器来进行扫描是一种常见的方法。但我们知道,扫描并不是一个真正的黑客攻击行为,它只是一种寻找入口的方式。IIS的Unicode***器有很多,如RangeScan或者是unicodeScan都可以进行扫描以收集服务器信息。还有些综合性的扫描软件除了能发现Unicode漏洞之外,同时还能收集服务器的其它漏洞——X-Scan(下载地址:/upload/X-Scan-v3..rar)。
当然也可以在IE浏览器中输入以下语句来进行判断:
http://aa./scripts/..%c1%1c../winnt/system32/?/c+dir
学过DOS的应该可以看懂,其实就是利用当中的非法请求使我们连到system32下,pub目录不和Winnt在同一盘符,或者目录级数有改动,就可能会引起请求失败。
如果存在漏洞,那么在浏览区可看到如下类似信息:
Directory of C:\inetpub\scripts
2005-03-05 15:49 〈DIR〉.
2005-09-05 15:49 〈DIR〉..
是不是有自己机器的感觉了,正点!要的就是这种感觉!
cmd.,因此,我们可以执行很多命令了!
注意:在上面输入的判断语句中,“/c”后面的“+”,实际上是空格,请记牢!dir是DOS中的查