摘 要：目前，很多學(xué)校都擁有自己的Web服務(wù)器，應(yīng)用的操作系統(tǒng)是Windows NT/2000，所以很多服務(wù)器存在Unicode漏洞，使得校園網(wǎng)存在著嚴(yán)重的安全隱患。針對Windows NT/2000的Unicode漏洞進行分析，提出了解決的辦法。

關(guān)鍵詞：Unicode漏洞；網(wǎng)絡(luò)攻擊；網(wǎng)絡(luò)防護；Web服務(wù)器安全

很多學(xué)校Web服務(wù)器使用的操作系統(tǒng)是Windows NT/2000，且很多主機都存在著Unicode漏洞，使得Web主機的IIS很容易受到來自于網(wǎng)絡(luò)的攻擊，讓網(wǎng)絡(luò)入侵者很容易就侵入主機，甚至改掉Web主頁，刪除硬盤上的重要數(shù)據(jù)。如果入侵者得到Administrator權(quán)限，那對于Web主機就會更加危險。以下是筆者對Unicode漏洞的分析和防護的幾點思考。

一、Unicode漏洞的原理

對于用Windows NT/2000操作系統(tǒng)作為Web服務(wù)器，存在的Unicode漏洞大概分為四種：%c1%1c、%c0%cf、%c1%pc、%c0%9v。對于 c1 1c，簡體中文操作系統(tǒng)里面沒有這個字，按照一般的情況分析，根據(jù)系統(tǒng)內(nèi)碼文件轉(zhuǎn)換＼winnt＼system32＼c_936.nls會編碼成“？”。而在簡體中文版的IIS中 c1 1c會被解碼成（c1-c0）*40+1c=5c=“＼”。該編碼出現(xiàn)在IIS檢測處理路徑字符串中的“＼”后面，所以可以利用IIS路徑達到訪問上一級目錄的目的。

其實原因就在于Unicode的編碼存在BUG，在Unicode的編碼中：

%c1%1c -> （0xc1 - 0xc0） * 0x40 + 0x1c = 0x5c =‘/’；%c0%2f -> （0xc0 - 0xc0） * 0x40 + 0x2f = 0x2f =‘＼’，而NT4中‘/’編碼為%c1%9c ，在WIN2000英文版中為%c0%af 。

該漏洞是利用擴展Unicode字符取代“/”和“＼”而能利用“../”目錄遍歷，因此在一臺存在Unicode漏洞的服務(wù)器的IP地址后邊加上/scripts/..%c1%1c../winnt/system32/cmd.exe？/c+dir+c：＼就可以看到主機C盤上的所有文件和文件夾。

二、Unicode漏洞的危害

未經(jīng)授權(quán)的用戶可能利用IUSR_machinename賬號的上下文空間訪問任何已知的文件。該賬號在默認情況下屬于Everyone 和Users組的成員，因此所有與Web根目錄在同一個硬盤分區(qū)上的文件都有可能被刪除、修改或運行，就如同一個用戶成功登錄系統(tǒng)所能完成的操作一樣。

三、Unicode漏洞的攻擊方法

1.利用漏洞修改Web主頁

方法一：

對于存在Unicode漏洞的主機，入侵者可以利用在IE的地址欄里輸入http：//主機的IP/scripts/..%c1%9c../winnt/system32/cmd.exe？/c+dir+c：＼， 這樣可以看到Web主機上C盤的所有內(nèi)容。

如果入侵者要想知道主頁放在什么目錄的話，將dir+c：＼換成set，從IE返回的信息中查找PATH_TRANSLATED=c：＼inetpub＼wwwroot這一句或者相似的語句。c：＼inetpub＼wwwroot就是Web主頁所在的文件夾。入侵者為了避免操作系統(tǒng)對一些特殊字符的檢測，一般會用本地電腦的cmd.exe文件拷貝到目標(biāo)主機的c：＼inetpub＼scripts文件夾中。如果檢查到網(wǎng)頁的主頁名字后，可以利用echo命令來添加要寫入的信息，將主頁文件更換掉。

方法二：

除了上面的方法外，入侵者還可以將自己做的網(wǎng)頁替換掉Web主機的主頁。先是在本地硬盤建立個共享文件夾（如Look），把自己制作的網(wǎng)頁復(fù)制進去。照樣把cmd.exe復(fù)制到目標(biāo)文件夾c：＼inetpub＼scripts下，名字為Look.exe，映射本地的Look目錄為目標(biāo)的一個盤（如q：），把q：里的網(wǎng)頁拷貝到目標(biāo)主機的目錄里，覆蓋原來主機的主頁文件，再把映射斷開就可以了。這是利用本地共享目錄和映射硬盤的方法替換主頁。

2.刪除硬盤上的東西

某些入侵者進入主機后，喜歡刪除主機上的一些重要文件，這是一件令人頭痛的事情。而入侵者要做的就是把http：//主機的ip/scripts/..%c1%9c../winnt/system32/cmd.exe？/c+dir+c：的命令dir改成del就行了。

3.建立代理服務(wù)器

往往入侵者想要取得更高的權(quán)限，把Web主機建立成代理服務(wù)器。這種方法跟“利用FTP腳本替換目標(biāo)主機的主頁”一樣，在目標(biāo)主機上建立一個可執(zhí)行的命令文件，并且有一個放有代理軟件的空間，把代理軟件放到目標(biāo)上運行即可。

四、Unicode漏洞的防護措施

下面是筆者總結(jié)出來的防范Unicode漏洞的幾點措施：

1.打上最新補丁

作為一個有責(zé)任的網(wǎng)絡(luò)管理員，應(yīng)加強服務(wù)器的安全，經(jīng)常給服務(wù)器打上最新的系統(tǒng)補丁，這是預(yù)防Unicode漏洞比較有效的方法。但在網(wǎng)絡(luò)上，安全也只是相對的，正所謂道高一尺魔高一丈，完全相信系統(tǒng)補丁或是網(wǎng)絡(luò)防火墻也不是萬全之策。

2.防止漏洞掃描軟件的掃描

一些普通的入侵者大都是利用掃描軟件來掃描Web主機的Unicode漏洞。所以網(wǎng)絡(luò)管理員先要采取相應(yīng)的措施來阻止掃描軟件的掃描。筆者介紹幾種躲避掃描軟件掃描的方法：

（1）更改winnt目錄名

在安裝winnt或者win2000時，缺省文件夾目錄是c：＼winnt。一般情況下要把這個文件夾改成別的名稱，這樣利用掃描器軟件提交http：//$host[$a]/scripts/..%c1%9c../winnt/system32/cmd。exe？/c+dir+c：＼類似的url時就會返回“該頁找不到”的返回信息，從而使大部分掃描軟件失去效用。如果系統(tǒng)已經(jīng)安裝在缺省的目錄c：＼winnt，而又不想更改winnt/2000的文件夾名稱，可以用下面的方法來解決。

（2）更改cmd.exe和各種常用命令的名稱

更改cmd.exe的名稱也可以達到相同的效果，并且使得主機更加的安全可靠，假如只更改winnt/win2000所在目錄的名稱，一旦入侵者猜對目錄名稱后仍然可以入侵主機。同時還要把一些不常用的并且有潛在危害的命令改成只有自己知道的名稱。

（3）改變Web文件夾的位置

一般情況下Web主頁所放的位置是在c：＼InetPub＼wwwroot下。在c：＼InetPub里有scripts之類的目錄。如果不需要他們的話，可以把Web目錄轉(zhuǎn)移到別的分區(qū)，比如e：＼netroot然后把c：＼InetPub目錄整個刪除掉。

有些安全意識好的管理員，雖然Web服務(wù)器也存在Unicode漏洞，但將Web目錄轉(zhuǎn)移到了D盤，并且D盤是不可寫的，這樣，一般的入侵者就難以入侵主機并修改主頁。但請注意，這只能防止一般的入侵者，高級別的入侵者還是能通過別的方法達到入侵主機的目的。

（4）停止不必要的服務(wù)

在Internet服務(wù)器中，為了系統(tǒng)的安全，必須停掉所有的缺省Web目錄的服務(wù)。然后全部刪除掉，只保留所必要的服務(wù)，以免留下安全隱患。

（5）改變服務(wù)的端口號

在不影響網(wǎng)絡(luò)訪問率的情況下，可以把Web服務(wù)的端口由80改成別的，比如178。因為大部分入侵者是利用Unicode漏洞進行攻擊的，他們經(jīng)常用的方法就是用掃描軟件掃描一個IP地址段，經(jīng)過更改端口，就可以躲避入侵者對特定網(wǎng)段的掃描了。值得關(guān)注的是，利用這種方法只能防止IP地址段的掃描，而入侵者通過別的方法，如通過修改掃描軟件的插件來達到掃描的目的，主機受攻擊的可能性已經(jīng)大大降低。

（6）限制iusr_server的權(quán)限

上面所說的措施是把入侵者拒絕于Web服務(wù)器之外，但還是會有入侵者自動地找上門來。入侵者利用Unicode漏洞遍歷目錄時的用戶權(quán)限是決定于iusr_server的權(quán)限的，而通常iusr_server是屬于guest組的，所以我們還要進一步限制iusr_server的權(quán)限，方法如下：

采用NTFS格式的文件系統(tǒng)，將Web文件夾外所有的訪問權(quán)限設(shè)置為：用戶iusr_server不可訪問。注意不要給iusr_server對Web目錄有寫權(quán)限，那些確實需要開放寫權(quán)限不可的地方，如聊天室或論壇，可以適當(dāng)?shù)剡x擇性放開。

3.分析日志，尋找入侵痕跡

要想知道是否有入侵者非法入侵主機，還要求網(wǎng)絡(luò)管理員經(jīng)常對訪問日志進行分析。對于一名網(wǎng)絡(luò)管理員，要有經(jīng)常查看系統(tǒng)訪問日志的習(xí)慣。主機日志雖然非常的多，看起來也很麻煩，但針對于Unicode漏洞的入侵者，網(wǎng)絡(luò)管理員一般只要分析查看Web主機的訪問日志就可以了。掃描軟件的掃描和已經(jīng)攻擊完了的動作都會被記錄下來，特別要注意是否有“cmd.exe”的字樣出現(xiàn)。

4.管理好admin賬戶和密碼

大部分的入侵者都是沖著Unicode漏洞而來的，他們一般采用強大的漏洞掃描工具。在掃描的過程中，往往簡單的管理員賬戶和密碼（如：賬戶：admin密碼：1234）很容易就被猜中，讓入侵者很容易就可以進入Web主機。一般情況下，只要密碼設(shè)置復(fù)雜些就可以避免被猜中的可能，長度最好超過8位，大小寫和復(fù)雜字符同時出現(xiàn)，如：W*&%&$98這樣的密碼就很難被猜中。

5.經(jīng)常更改管理員的密碼

網(wǎng)絡(luò)管理員應(yīng)該要保證只有管理員一個用戶出現(xiàn)在管理員組中，經(jīng)常檢查有沒有可疑的用戶出現(xiàn)。很多入侵者喜歡在管理員組里增加一個用戶，留作后門使用。而這樣做往往給管理員提供了尋找可疑入侵的機會，平時只要多花些時間多注意檢查就可以了。

Unicode漏洞是最容易讓入侵者利用的一個漏洞，如果網(wǎng)絡(luò)管理員不重視Web服務(wù)器安全的話，小小的漏洞可能會造成非常嚴(yán)重的后果。所以提醒網(wǎng)絡(luò)管理員們，網(wǎng)絡(luò)中沒有絕對的安全，平時要多加強服務(wù)器的安全檢查和防護，有備才會無患！

（作者單位 浙江省舟山市舟山職業(yè)技術(shù)學(xué)校）