IIS漏洞入侵
IIS（Internet Information Server）服务为Web服务器提供了强大的Internet和Intranet服务功能。主要通过端口80来完成操作，因为作为Web服务器，80端口总要打开，具有很大的威胁性。长期以来攻击IIS服务是黑客惯用的手段，笔者记得有段时间两大黑客组织对攻就频繁地用到了IIS漏洞入侵。这种情况现在还依然存在，多是由于企业管理者或网管对安全问题关注不够造成的。
Unicode漏洞
　　 针对IIS的攻击方式可以说是五花八门，使用大量的数据请求，使IIS超负荷而停止工作，是初级黑客的必修课程。不过鉴于篇幅限制，针对IIS的攻击本文不做详细介绍，而是说说入侵IIS。IIS有十多种常见漏洞，但利用得最多的莫过于Unicode解析错误漏洞。微软IIS 4.0/5.0在Unicode字符解码的实现中存在一个安全漏洞，用户可以远程通过IIS执行任意命令。当IIS打开文件时，如果该文件名包含Unicode字符，它会对它进行解码。如果用户提供一些特殊的编码，将导致IIS错误地打开或者执行某些Web根目录以外的文件或程序。我们此文就着重来讲讲如何利用这个漏洞入侵IIS。
　　 对于IIS 4.0/5.0中文版，当IIS在收到的URL请求的文件名中，包含一个特殊的编码例如“%c1%hh”或者“%c0%hh”，它会首先将其解码变成“0xc10xhh”， 然后尝试打开这个文件。Windows系统认为“0xc10xhh”可能是Unicode编码，因此它会首先将其解码，如果 “0x00 <= %hh <0x40”的话，采用的解码的格式与下面的类似：
　　 %c1%hh->(0xc1-0xc0)*0x40+0xhh
　　 %c0%hh->(0xc0-0xc0)*0x40+0xhh
　　 因此，利用这种编码，我们可以构造很多字符，例如:
　　 %c1%1c->(0xc1-0xc0)*0x40+0x1c=0x5c='/'
　　 %c0%2f->(0xc0-0xc0)*0x40+0x2f=0x2f='\'
　　 攻击者可以利用这个漏洞来绕过IIS的路径检查，去执行或者打开任意的文件。此漏洞从中文版IIS4.0+SP6开始，还影响中文版WIN2000+IIS5.0、中文版WIN2000+IIS5.0+SP1。
　　 在NT4中“/”编码为“%c1%9c”；在英文版的WIN2000中为“%c0%af”；在中文版的WIN2000里是“%c1%1c”。此外还有多种编码，不逐一阐述，大家可以查查资料。本文均以WIN2000为例，其他类型请自行替换。
判断是否存在漏洞
　　 用该漏洞的扫描器来进行扫描是一种常见的方法。但我们知道，扫描并不是一个真正的黑客攻击行为，它只是一种寻找入口的方式。IIS的Unicode漏洞扫描器有很多，如RangeScan或者是unicodeScan都可以进行扫描以收集服务器信息。还有些综合性的扫描软件除了能发现Unicode漏洞之外，同时还能收集服务器的其它漏洞——X-Scan（下载地址）。
　　 当然也可以在IE浏览器中输入以下语句来进行判断：
　　
　　 学过DOS的应该可以看懂，其实就是利用当中的非法请求使我们连到system32下，如果Inetpub目录不和Winnt在同一盘符，或者目录级数有改动，就可能会引起请求失败。
　　 如果存在漏洞，那么在浏览区可看到如下类似信息：
　　 Directory of C:\inetpub\scripts
　　 2005-03-05 15:49 〈DIR〉 .
　　 2005-09-05 15:49 〈DIR〉 ..
　　 是不是有自己机器的感觉了，正点！要的就是这种感觉！
　　 cmd.exe相当于DOS里的command.com，因此，我们可以执行很多命令了！
　　 注意：在上面输入的判断语句中，“/c”后面的“+”，实际上是空格，请记牢！dir是DOS中的查看文件和目录命令，不懂DOS的朋友快去学习。
　　 看了上面的介绍，不用说大家也知道我们可以利用此漏洞对服务器展开攻击了！
修改网站首页
1．确定网站首页名称
　　 一般网站默认首页文件为index.htm、index.html、index.asp、default.htm、defautl.html或default.asp中的一个，我们可以通过输入不同的首页名称来测试并确定要修改的网站首页。在IE地址栏中输入以下三个网址：
　　
　　
　　 通过对上面三个网址的测试，我们发现只有第三个网址可以正常打开，说明这个网站的首页名称为index.htm。好了，那么我们就修改它吧！
2．修改原理
　　 最方便的方法是echo法：echo是一个系统命令，主要用于设置回应开关。
　　 echo test >c:\autoexec.bat就是把test加入autoexec.bat里并删除原有内容；
　　 echo timedate >>c:\autoexec.bat就是加入timedate但不删除原有内容。
　　 明白了吗？接下来我们就可以逍遥地修改了。
3．更改网站首页
　　 在IE中输入以下地址：
　　 + HaHaThisismyhack +>c:\inetpub\wwwroot\index.htm
　　 IE浏览器返回来的结果可能为以下两种情况之一：
　　 1）HTTP 500 - 内部服务器错误
　　 2）The parameter is incorrect
　　 通过返回信息提示和对CMD的分析,可能是命令语句中参数错误,加入"符号再试试：
　　 1） + HaHaThisismyhack +>c:\inetpub\wwwroot\index.htm
　　 表示把HaHaThisismyhack加入到index.htm文件并删除原有内容。
　　 2）+ by2005-3-9+>>c:\inetpub\wwwroot\index.htm
　　 表示把by2005-3-9加入到index.htm文件中,但不删除原有内容。
　　 如果正常,上面两条语句的回应应该都为CGI错误，这表示语句执行成功了，系统只是程序性地报个错误，不用理会它。
　　 现在再来打开网站aa.feedom.net看看吧,怎么样了，是不是被你改掉了？在实际操作中，由于目录权限等网管因素的存在，可能这个方法也会失效，这时，我们就可以用copy cmd.exe 为另一个.exe文件的方式解决，不过要记住路径，别出错了，例如：
　　
　　c:\inetpub\wwwroot\index.htm">%c1%1c../a.exe?/c+echo+hackedbycshu+>;c:\inetpub\wwwroot\index.htm
　　 本文讲到的技术比较简单，很适合初学者研究和学习。也许你通过本文的实例方式，已经能修改我们提供的服务器首页了，但是在实际操作中，服务器环境必然有变化，而且障碍也许是你未曾研究或接触过的。所以只有牢牢地掌握了基础知识才有进阶的资本。大家可以根据文中提到的知识点查阅资料辅助学习。
第一关难点攻略
1.上传文件始终报错
　　 有的朋友通过上一期文章介绍的步骤，利用我们提供的木马程序，在访问页面，并上传首页文件时被堵住了。其实我们在第一关的文章里提到过这些细节问题，可能有些读者忽略了。
　　 ①进入木马配置页面后，点击“Stream”按钮；
　　 ②根据文章要求，我们必须在“PATH：”栏里，将访问地址改为“D:\www\cp.feedom.net\ct”；
　　 ③点击“浏览”按钮，选择一个本地硬盘中的index***.htm文件（***为自定义名称）；
　　 提示：根据文章中的说明，该木马程序并不支持文件名重名，由于参与的读者众多，index.htm文件早已有人上传，所以不改文件名将会提示上传错误的。
　　 ④现在最关键的地方来了，在“保存为：”栏里，必须填写完整的文件路径。例如“D:\www\cp.feedom.net\ct\index***.htm”，如果文件名不写是会报错的，这是绝大多数参与者易犯的错误；
　　 ⑤现在你只要点“上传”按钮即可。
2.不能替换首页
　　 有的朋友反映，index***.htm已经成功地上传了，但是第一关的任务是要将改为首页，虽然现在可以通过“上传的文件名”来访问已上传的网页，但并没有将它改为 的首页——index.htm呀，显然只上传文件是不够的，还差一步。
　　 细心的读者肯定注意到了，“Stream”页面中，在每一个已上传的文件后面，都有“Down、Edit、SaveAs”几个按钮，你只有点击“SaveAs”，然后将你上传的htm文件更名为Index.htm就可以了。虽然我们提到的木马程序不能覆盖文件，但可以通过这个方式达到替换首页的目的。