微软Windows 2000 IIS 5的打印ISAPI扩展接口建立了.printer扩展名到msw3prt.dll的映射关系，默认情况下该映射存在。当远程用户提交对.printer的URL请求时，IIS 5调用msw3prt.dll解释该请求。由于msw3prt.dll缺乏足够的缓冲区边界检查，远程用户可以提交一个精心构造的针对.printer的URL请求，其Host:域包含大约420字节的数据，此时在msw3prt.dll中发生典型的缓冲区溢出，潜在允许执行任意代码。溢出发生后，Web服务停止响应，Windows 2000可以检查到Web服务停止响应，从而自动重启它，因此系统管理员很难意识到受到攻击。默认情况下，IIS 5.0服务器存在一个后缀为printer的应用程序映射，这个映射使用位于\WINNT\System32\下的名为 msw3prt.dll 的动态库文件。这个功能是用于基于Web控制的 *** 打印的，是Windows 2000为Internet Printing Protocol(IPP)协议而设置的应用程序功能。但是这个映射存在一个缓冲区溢出错误，可以导致inetinfo.exe出错，允许入侵者通过Web获取服务器的管理权限，入侵者制造一个 .printer 的ISAPI请求，当Http host参数的值达到420个字符时就会发生缓冲区溢出：GET /NULL.printer HTTP/1.0Host: [buffer] 这时，Web Server会停止响应。Windows 2000操作系统发现Web异常停止后，会自动重启。通过构造包含适当的Shell Code的脚本，入侵者可以以system用户的身份，不停地远程通过Web执行任何指令。这个漏洞的危害比IISHACK更大，原因是由于IIS 4.0不自动重启，用IISHACK的入侵者只能获得一次Shell，而通过这个漏洞入侵者可以不停地利用。目前Internet上已经有一个exploit程序，可以绑定系统的cmd.exe程序，自由地执行指令。 由于此漏洞就是由于.printer后缀的脚本会输送给msw3prt.dll，只怪这个文件存在溢出漏洞。我们可以删除.printer映射。在控制面板->管理工具->Internet服务管理器->Web站点属性对话框中的“主目录”选项卡。单击配置，找到.printer映射，然后删除便可 图 删除printer脚本映射 厂商补丁程序：微软已经为此发布了一个安全公告(MS01-023)以及相应补丁程序程序：http://www.microsoft.com/technet/security/bulletin/MS01-023.asp补丁程序下载：Microsoft Windows 2000: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=29321Microsoft Windows 2000 Datacenter Server: 注意：由于Windows 2000数据中心服务器的补丁程序因硬件不同，须向原设备制造商索取本文出自 51CTO.COM技术博客