● 与尼姆达Ⅱ相关的IIS UNICODE Bug全面解析 - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: chocolate (chocolate), 信区: Virus
标题: 与尼姆达Ⅱ相关的IIS UNICODE Bug全面解析
发信站: 荔园晨风BBS站 (Wed Oct 31 23:02:08 2001), 站内信件

　　一．存在的漏洞

　　1. 微软IIS 4.0 / 5.0 存在扩展UNICODE目录遍历漏洞，该漏洞既是一远程漏
洞，同时也是一本地漏洞。

　　受影响的版本：

　　Microsoft IIS 5.0

　　+ Microsoft Windows NT 2000

　　Microsoft IIS 4.0

　　+ Microsoft Windows NT 4.0 ;

　　+ Microsoft BackOffice 4.5

　　- Microsoft Windows NT 4.0

　　+ Microsoft BackOffice 4.0

　　- Microsoft Windows NT 4.0

　　不受影响的版本：

　　漏洞描述：

　　微软IIS 4.0和5.0都存在利用扩展UNICODE字符取代"/"和"＼"而能利用"..
/"

　　目录遍历的漏洞。

　　未经授权的用户可能利用IUSR_machinename账号的上下文空间访问任何已知

　　的文件。该账号在默认情况下属于Everyone 和Users组的成员，因此任何与

　　Web根目录在同一逻辑驱动器上的能被这些用户组访问的文件都能被删除，

　　修改或执行，就如同一个用户成功登陆所能完成的一样。

　　测试方法：

　　http://target.computer/scripts/..%c1%1c../path/solo.txt

　　%c0%af = /

　　%c1%9c = 解决方案:

　　该漏洞补丁随微软安全公告MS00-057一起发布

　　www.microsoft.com/technet/security/bulletin/ms00-057.asp

　　可以从如下地址下载补丁:

　　IIS 4.0

　　www.microsoft.com/ntserver/nts/downloads/critical/q269862/default.
asp

　　IIS 5.0

　　www.microsoft.com/windows2000/downloads/critical/q269862/default.
asp

　　2．IIS 4.0/5.0 unicode解码漏洞导致文件泄漏或执行

　　IIS 4.0和IIS 5.0在Unicode字符解码的实现中存在一个安全漏洞，导致用户
可以远程通过IIS执行任意命令。当IIS打开文件时，如果该文件名包含unicode字
符，它会对其进行解码，如果用户提供一些特殊的编码，将导致IIS错误的打开或
者执行某些web根目录以外的文件。

　　对于IIS 5.0/4.0中文版，当IIS收到的URL请求的文件名中包含一个特殊的编
码例如"%c1%hh"

　　或者"%c0%hh",它会首先将其解码变成:0xc10xhh，然后尝试打开这个文件，
Windows 系统

　　认为0xc10xhh可能是unicode编码，因此它会首先将其解码，如果 0x00<= %hh
< 0x40的话，

　　采用的解码的格式与下面的格式类似：

　　%c1%hh -> (0xc1 - 0xc0) * 0x40 + 0xhh

　　%c0%hh -> (0xc0 - 0xc0) * 0x40 + 0xhh

--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.48.234]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店