校园Web服务器Unicode漏洞防护的几点建议.docVIP

校园Web服务器Unicode漏洞防护的几点建议 　　摘 要：目前，很多学校都拥有自己的Web服务器，应用的操作系统是Windows NT/2000，所以很多服务器存在Unicode漏洞，使得校园网存在着严重的安全隐患。针对Windows NT/2000的Unicode漏洞进行分析，提出了解决的办法。 　　关键词：Unicode漏洞；网络攻击；网络防护；Web服务器安全 　　很多学校Web服务器使用的操作系统是Windows NT/2000，且很多主机都存在着Unicode漏洞，使得Web主机的IIS很容易受到来自于网络的攻击，让网络入侵者很容易就侵入主机，甚至改掉Web主页，删除硬盘上的重要数据。如果入侵者得到Administrator权限，那对于Web主机就会更加危险。以下是笔者对Unicode漏洞的分析和防护的几点思考。 　　一、Unicode漏洞的原理 　　对于用Windows NT/2000操作系统作为Web服务器，存在的Unicode漏洞大概分为四种：%c1%1c、%c0%cf、%c1%pc、%c0%9v。对于 c1 1c，简体中文操作系统里面没有这个字，按照一般的情况分析，根据系统内码文件转换＼winnt＼system32＼c_936.nls会编码成“？”。而在简体中文版的IIS中 c1 1c会被解码成（c1-c0）*40+1c=5c=“＼”。该编码出现在IIS检测处理路径字符串中的“＼”后面，所以可以利用IIS路径达到访问上一级目录的目的。 　　其实原因就在于Unicode的编码存在BUG，在Unicode的编码中： 　　%c1%1c - （0xc1 - 0xc0） * 0x40 + 0x1c = 0x5c =‘/’；%c0%2f - （0xc0 - 0xc0） * 0x40 + 0x2f = 0x2f =‘＼’，而NT4中‘/’编码为%c1%9c ，在WIN2000英文版中为%c0%af 。 　　该漏洞是利用扩展Unicode字符取代“/”和“＼”而能利用“../”目录遍历，因此在一台存在Unicode漏洞的服务器的IP地址后边加上/scripts/..%c1%1c../winnt/system32/cmd.exe？/c+dir+c：＼就可以看到主机C盘上的所有文件和文件夹。 　　二、Unicode漏洞的危害 　　未经授权的用户可能利用IUSR_machinename账号的上下文空间访问任何已知的文件。该账号在默认情况下属于Everyone 和Users组的成员，因此所有与Web根目录在同一个硬盘分区上的文件都有可能被删除、修改或运行，就如同一个用户成功登录系统所能完成的操作一样。 　　三、Unicode漏洞的攻击方法 　　1.利用漏洞修改Web主页 　　方法一： 　　对于存在Unicode漏洞的主机，入侵者可以利用在IE的地址栏里输入http：//主机的IP/scripts/..%c1%9c../winnt/system32/cmd.exe？/c+dir+c：＼， 这样可以看到Web主机上C盘的所有内容。 　　如果入侵者要想知道主页放在什么目录的话，将dir+c：＼换成set，从IE返回的信息中查找PATH_TRANSLATED=c：＼inetpub＼wwwroot这一句或者相似的语句。c：＼inetpub＼wwwroot就是Web主页所在的文件夹。入侵者为了避免操作系统对一些特殊字符的检测，一般会用本地电脑的cmd.exe文件拷贝到目标主机的c：＼inetpub＼scripts文件夹中。如果检查到网页的主页名字后，可以利用echo命令来添加要写入的信息，将主页文件更换掉。 　　方法二： 　　除了上面的方法外，入侵者还可以将自己做的网页替换掉Web主机的主页。先是在本地硬盘建立个共享文件夹（如Look），把自己制作的网页复制进去。照样把cmd.exe复制到目标文件夹c：＼inetpub＼scripts下，名字为Look.exe，映射本地的Look目录为目标的一个盘（如q：），把q：里的网页拷贝到目标主机的目录里，覆盖原来主机的主页文件，再把映射断开就可以了。这是利用本地共享目录和映射硬盘的方法替换主页。 　　2.删除硬盘上的东西 　　某些入侵者进入主机后，喜欢删除主机上的一些重要文件，这是一件令人头痛的事情。而入侵者要做的就是把http：//主机的ip/scripts/..%c1%9c../winnt/system32/cmd.exe？/c+dir+c：的命令dir改成del就行了。 　　3.建立代理服务器 　　往往入侵者想要取得更高的权限，把Web主机建立成代理服务器。这种方法跟“利用FTP脚本替换目标主机的主页”一样，在目标主机上建立一个可执行的命令文件