Chinaunix首页 | 论坛 | 博客
  • 博客访问: 273785
  • 博文数量: 33
  • 博客积分: 880
  • 博客等级: 准尉
  • 技术积分: 660
  • 用 户 组: 普通用户
  • 注册时间: 2009-04-02 22:25
文章分类

全部博文(33)

文章存档

2011年(33)

分类: WINDOWS

2011-06-27 21:04:39

    本文小菜,大牛路过。写出来只是认为比较搞笑而已,N年前的漏洞。
    今天下午,接到一个单位认识的人的QQ,说他们下属的一个单位的网站被黑了,让帮他们分析下是怎么进来的。加了他们机房同事的QQ,了解了下情况:WINDOWS 2003系统,IIS+asp+html他们今天发现有人在他们网站根目录放了一个b.txt,里面写着个by xxxxx,扔百度搜一下,一大排的by xxxxx(名字略去,不解释;黑站挂名太装B,我可不给你打广告)。
   问他b.txt修改日期,截图显示是6月25日6点44分,常规方法,先分析日志,看看日志有没有被删。这里有个插曲,我说要网站25号以前5天的日志,结果人家给了我一大堆系统日志,没一个网站的(唉,伤不起啊)。最后终于找到了WEB日志给我发了过来。我直接找25号那天的日志,拔了半天没找到一点头绪,就找到了个ewebeditor和fckeditor编辑器,于是怀疑编辑器漏洞上传上去的,毕竟这两个编辑器漏洞还是很多的。但是找了半天都找不到POST的地方,当时想 难道是被清理了,那就不好办了,拔啊拔啊。
   忽然意识到自己犯了个错误,IIS日志默认应该是有时区差的,一般为8个小时。于是就问人要0625这个日志的修改时间,创建时间是25日8:00,修改时间是26日8:00。这也就是说日志里的0:00的访问记录实际上应该是8点的访问记录,那我要找6:44的记录就应该是24日晚上22:44的记录。
  于是又翻24号的日志,依旧没有找到POST之类的提交。但是我发现了一条令我更吃惊的记录
  1. 2011-06-24 22:44:08 W3SVC1812118 xxx.xxx.xxx.xxx PUT /b.txt - 80 - xxx.xxx.xxx.xxx Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+InfoPath.2) - 201 0 0 906
  2. 2011-06-24 22:44:40 W3SVC1812118 xxx.xxx.xxx.xxx GET /b.txt - 80 - xxx.xxx.xxx.xxx Mozilla/4.0+(compatible;+MSIE+8.0;+Windows+NT+6.1;+Trident/4.0) - 200 0 0 359
b.txt居然是直接PUT上去的,狂汗啊狂汗啊。
这下就清楚了,IIS写权限漏洞啊,多少年前的漏洞来,现在想找这样的漏洞都难找。
 
哎,gov网站伤不起啊,Windows伤不起啊,IIS伤不起啊。。。。。。。
还是LINUX好。
 
 
PS:IIS写权限漏洞 是IIS站点属性主目录选项卡中  选择了写入选项
这样会导致别人有权限直接往服务器上上传文件。
 
阅读(2448) | 评论(5) | 转发(0) |
给主人留下些什么吧!~~

pl0142011-07-21 21:49:03

长经验了,IIS当然不如apache等了

woiszzw2011-07-05 14:21:35

这么说,他们的系统十分危险啊。

10502chenjiao2011-07-04 14:28:50

可真伤不起。嘿嘿

十年梦生2011-06-28 07:22:19

beyond333350:   你想复杂了,哈哈哈     ------ps:半个小时后.........哈哈哈..........
你懂的。

beyond3333502011-06-27 22:38:10

  你想复杂了,哈哈哈     ------ps:半个小时后.........哈哈哈.....