Windows系列的漏洞列表

i-winnerUID: 183200

分析微软程序一段时间，虽然找到了一堆漏洞，但还是赞叹微软程序接口的规范、分明的层次结构，又在程序中感受到了数学中那种严密的逻辑思维的美，所以经常留言灌水的时候我会留下一句“I love microsoft.”程序有BUG是很正常的，这也可以得到大家的理解，可BUG之外的一些东西就不能让人理解了。今天分析到一段程序，破坏了微软给我的这种好印象，真让我搞不懂微软到底要干什么。还是先让大家看看例子吧，中文简体WIN2000+IIS5.0环境。



http://192.168.8.48/A.ida/%c1%00.ida

文件 E:\Inetpub\wwwroot\A.ida\@.ida。 系统找不到指定的路径。



解释：

%c1%00解码成了c1 00，这正常。但再一次解码成了（c1-c0)*40+00=40='@'



http://192.168.8.48/A.ida/%c1%01.ida

文件 E:\Inetpub\wwwroot\A.ida\A.ida。 系统找不到指定的路径。



解释：

%c1%01解码成了c1 01，这正常。但再一次解码成了（c1-c0)*40+01=41='A'



http://192.168.8.48/A.ida/%c1%02.ida

文件 E:\Inetpub\wwwroot\A.ida\B.ida。 系统找不到指定的路径。

....



http://192.168.8.48/A.ida/%c1%3a.ida

文件 E:\Inetpub\wwwroot\A.ida\z.ida。 系统找不到指定的路径。

....



大家可能还没意思到这能干什么，那看看我们能干什么吧。把计数器e：\inetpub\wwwroot\counter.asp拷贝成e:\inetpub\count.asp，也就是到了WEB目录的上级目录，文件名也改了避免混淆，这时在浏览器里面输入：http://192.168.8.48/..%c1%1ccount.asp，乖乖，计数器界面出来了，也就是说你访问到了WEB目录的上级目录。再结合一些别的技巧，可以看到虚拟目录所在盘任意文件。这点危害性不用我再多说，懂一点安全的就知道这是严重的“漏洞”了。打上SP1仍然还有这种编码问题。



c1 1c，中文简体里面没有这种字，照正常的情况该根据内码转换文件\winnt\system32\c_936.nls会编码成“？”。大家会SOFT-ICE的可以实验，设置断点 bpx CreateFileA拦截文件打开操作，再打开一个文件，断点出来后把文件名最后修改成c1 1c,再设置断点bpx CreateFileW,g运行出来看看这个c1 1c 解码成了什么？解码成了3f就是“？”号，这是正常的汉字转换成内码结果。但对中文简体版IIS中c1 1c解码成了（c1-c0)*40+1c=5c='\'，作为一个程序员，我真的不能读懂这段程序，虽然自认为长期看别人程序，能轻易看出编程程序员的思想，但在微软面前我还是只能承认我的水平还不到家。



禁不住要问，微软，你到底想干什么？



IIS中利用%c1编码查看虚拟目录所在盘任意文件漏洞。



以下是WIN系列的漏洞列表



1、WIN9X共享、远程管理密码校验漏洞；

2、WIN9X共享服务文件句柄范围检测错误，导致共享服务拒绝服务漏洞；

3、WIN9X访问共享文件驱动类型判断错误导致死机漏洞；

4、WIN9X系统IPX协议中的NMPI协议导致死机漏洞；

5、WINNT、WIN2000、WIN9X访问共享泄露当前用户名、密码漏洞；

6、WINNT、WIN2000访问共享时SMB下一个命令指针越界导致死机漏洞；

7、 IIS的“+.htr”泄露原代码漏洞；

8、 IIS的“...........htr”泄露原代码漏洞；

9、 WIN2000、WINNT等字符串截断漏洞；

10、ASP.DLL、SHTML.DLL泄露原代码漏洞；

11、ASP拒绝服务漏洞；

12、可执行虚拟目录可执行非“.exe”后缀的可执行CGI程序漏洞；

13、IIS加载CGI未检测文件名可传递命令行参数等漏洞；

14、IIS加载CGI程序环境块过长导致拒绝服务漏洞；

15、虚拟目录的子目录可以得到上级目录的执行等权限漏洞；

16、IIS加载可执行CGI未检测文件名漏洞；

17、IIS加载可执行CGI程序自动用CMD.EXE解释“.BAT”文件漏洞；

18、IIS可执行任意目录可执行文件漏洞；

19、IIS的再一个泄露原代码漏洞；

20、IIS解析.htr文件路径错误漏洞；

21、PHP4 FOR WIN32的php4isapi.dll 溢出漏洞；

22、PHP4 FOR WIN32的php.exe可查看WINDOWS任意文件漏洞；

23、WINDOWS创建特殊目录漏洞；

24、一些计数器CGI的溢出漏洞；

25、IE浏览器临时文件名未限制漏洞；

26、IE浏览器窗口区分漏洞；

27、IIS中利用%c1编码查看虚拟目录所在盘任意文件漏洞；

28、WINNT+IIS4.0本地普通用户可获得SYSTEM组权限漏洞；