黑客案例——浏览器执行exe文件的探讨

天云上人

　　一：真的能在浏览器中执行命令文件吗？
% V" W; J2 C! e2 u; e2 `2 g
　　答案是肯定的。不过先别高兴，只能执行服务器端的，而且是必须经过授权的。否则服务器想黑你就太容易了，谁敢看我我就格式化谁。

% f( v$ ]) T% i1 B7 T8 w5 `! l　　二：他是如何实现的。是靠asp文件吗？

2 `+ o2 O- z+ l5 C% A　　在服务器端执行文件是靠SSI来实现的，SSI时服务器端包含的意思（不是SSL），我们经常使用的#include就是服务器端包含的指令之一。不过，这次要介绍的就是——#exec。就是他可以实现服务器端执行指令。
* V3 D# A3 ]4 B$ ~* y
　　不过，这次他不能用于.asp的文件。而只能用.stm、.shtm 和 .shtml这些扩展名。而能解释执行他们的就是Ssinc.dll。所以，你写好的代码必须保存成.stm等格式才能确保服务器能执行。

　　三：如何执行呢？

　　终于开始讨论实质性问题了。
7 z: c* S2 d) I. P0 K7 B
　　它的语法是：

　　CommandType是参数，他有两个可选类型：

/ M+ J. R( g( b8 ]$ |3 m　　1.CGI 运行一个应用程序

　　如 CGI 脚本、ASP 或 ISAPI 应用程序。

　　CommandDes cription 参数是一个字符串。此字符串包含应用程序的虚拟路径，后跟一个问号以及传送给应用程序的任一参数，参数之间由加号分隔(+)。

　　他可是#exec命令最有用的参数，也是#exec命令存在的大部分理由。他可以处理已授权的CGI脚本，或Isapi应用程序。微软为了向下兼容一些早期的ISAPI应用程序，而创建了该项命令。我们知道，微软早期的WEB应用程序都是靠ISAPI解释的，而且也兼容CGI程序。你现在也可以在你的WEB根目录中找到CGI-BIN的目录。

$ G: ~8 a5 q' ~0 [$ y0 Z: l　　我们可以用一下例子说明。

7 P/ R5 w2 |# i2 M# [　　这种命令我们在一些UNIX主机上可以经常见到。现在，我们也可以在自己的.shtml中运用他了。当然，如果服务器允许的话。

/ D6 |2 q; a1 {3 A　　还有一种类型的程序：

% _) B6 d/ q) `7 y- Y) Q　　这种命令方式将启动一个进程外的程序来解释并动态输出信息到网页上。这种方式不常见。但你仍然可以在一些网站中见到。
% `" s# \. |( O& ]0 N$ C8 s
! J" B7 d$ m& `　　2.CMD参数
9 U" w0 \* ~9 k( N
8 R$ G, l" N* H, v　　他可是#exec命令中最可怕的参数，也是#exec命令禁止使用的大部分理由。他也是我们一些网友实现最终幻想的利器。可惜，要得到我们幻想的招数有些困难，也几乎是不可能的。
" {4 M$ x2 @5 z
8 [1 C( u0 a) U4 j* Z　　以下是微软关于CMD参数的说明，你一定要读明白再试！

　　CMD 运行 shell 命令。 CommandDes cription 参数是一个字符串，其中包含 shell命令程序的完整物理路径，后跟由空格分隔的任何命令行参数。如果没有指定全路经，Web 服务器将搜索系统路径。默认情况下，该指令是被禁用的，这是因为它会对 Web站点造成安全方面的危险；例如，用户可能使用 format 命令格式化您的硬盘。

/ c4 }7 p" n7 s" J+ C0 D0 z9 ?0 z& E　　我本人建议关闭，因为现在微软也不推荐用这个命令。不过，如果你是服务器的管理员，可以试一试。

) R% D* c+ b8 B　　你可以新建一个test.shtml的文件，然后在首行设置一个命令。
, w& P4 T8 o2 _9 P) _5 U! a3 C
3 y/ R( j6 s9 S& K2 z' [# o9 s　　[an error occurred while processing this directive]
# Z/ L0 P, I; v( {
( L0 H0 J! {; `, N* c, `　　'NT中的一个帮助文件（没有危险）。

1 v: X; H6 n' L! `) P( `　　或试一试！

0 r$ b- C) L. z4 g# F8 b　　[an error occurred while processing thisdirective]
6 d1 h( X+ D9 {1 B
　　'window98下的显示内存的一个命令。（没有危险）
: V0 C' f% V( U: k8 G7 n
# R; m, u$ g4 U9 I0 A　　然后你在该虚拟目录中将其权限设为脚本，或可执行。
) f' n' [; ]7 Y
. _# P% Q9 ^: ~- _( b) M' Y2 }　　最后，你可以在浏览器中输入该地址http://localhost/xxx/test.shtml如果你看到浏览器中显示了他们的屏幕输入信息。那么，恭喜你。你试成功了。

　　四：最终幻想
+ Q* h2 Z2 B' s
0 P6 o; ^  J$ D. [, s( Q# [　　如果我们想执行多的命令呢？那么闭上眼，往下看吧。

3 \/ j5 q7 {' ]# c* N! V5 [4 T　　首先，你打开注册表编辑器（记住要先备份），然后找

　　KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services　\W3SVC4'也可能是w3svc　 \Parameters

$ i  r2 S0 M% y/ `- q( _2 T7 z　　选择新建一个Dword值SSIEnableCmdDirective，它的两个值为0，1。下面是微软的说明。

7 M" X9 ~6 Z3 b" d! J+ w　　服务器端的 #exec cmd 命令包括可执行外壳命令。安全意识强的站点希望通过将此值设置为 0 来关闭 #exec cmd命令，并以此作为外加的安全防范，尤其是在允许不受信任的使用者将文件放置到服务器时更是如此。默认状态下，注册表中不存在此值；要允许该命令执行外壳命令，必须先创建此值并将值设置为1。

　　还可以在添一个Dwordd值AllowSpecialCharsInShell它的两个值为0，1。下面是微软的说明。
( V% f7 @" j8 J2 m$ A8 O
& }; H; R- \% V/ x4 h! k　　范围：0，1 默认值：0 (禁用)

　　本值控制在运行批处理文件（ .bat 和 .cmd 文件）时，是否允许在命令行使用[ 　 ( , ; % < > ] 等 Cmd.exe特殊字符。这些特殊字符可能引发严重的安全隐患。如果该项值设置为 1，心怀叵测的用户可以在服务器上随意执行命令。因此，强力推荐用户保留其默认设置0。默认情况下，这些特殊字符不能传递到脚本映射 CGI 程序。如果设置为 1，除了管道符号 　 和标准 I/O 重定向符（< 和>）之外（这两类字符在命令处理器中具有特殊含义），这些特殊字符都能够传递到脚本映射 CGI 程序。
/ w" [7 ^1 z' e  c9 i) n5 ?
　　下面我就不详述了。不过你要执行一些你希望的命令可不是这么简单(如：[an error occurred while processing thisdirective])你不会成功的，如果死机不要怨我。