IIS有十多种常见漏洞,但利用得最多的莫过于Unicode解析错误漏洞。微软IIS 4.0/5.0在Unicode字符解码的实现中存在一个安全漏洞,用户可以远程通过IIS执行任意命令。当IIS打开文件时,如果该文件名包含Unicode字符,它会对它进行解码。如果用户提供一些特殊的编码,将导致IIS错误地打开或者执行某些Web根目录以外的文件或程序。我们此文就着重来讲讲如何利用这个漏洞入侵IIS。
对于IIS 4.0/5.0中文版,当IIS在收到的URL请求的文件名中,包含一个特殊的编码例如“%c1%hh”或者“%c0%hh”,它会首先将其解码变成“0xc10xhh”, 然后尝试打开这个文件。Windows系统认为“0xc10xhh”可能是Unicode编码,因此它会首先将其解码,如果 “0x00<= %hh < 0x40”的话,采用的解码的格式与下面的类似:
%c1%hh->(0xc1-0xc0)*0x40+0xhh
%c0%hh->(0xc0-0xc0)*0x40+0xhh
因此,利用这种编码,我们可以构造很多字符,例如:
%c1%1c->(0xc1-0xc0)*0x40+0x1c=0x5c='/'
%c0%2f->(0xc0-0xc0)*0x40+0x2f=0x2f='\'
攻击者可以利用这个漏洞来绕过IIS的路径检查,去执行或者打开任意的文件。此漏洞从中文版IIS4.0+SP6开始,还影响中文版WIN2000+IIS5.0、中文版W