本文小菜,大牛路过。写出来只是认为比较搞笑而已,N年前的漏洞。
今天下午,接到一个单位认识的人的QQ,说他们下属的一个单位的网站被黑了,让帮他们分析下是怎么进来的。加了他们机房同事的QQ,了解了下情况:WINDOWS 2003系统,IIS+asp+html他们今天发现有人在他们网站根目录放了一个b.txt,里面写着个by xxxxx,扔百度搜一下,一大排的by xxxxx(名字略去,不解释;黑站挂名太装B,我可不给你打广告)。
问他b.txt修改日期,截图显示是6月25日6点44分,常规方法,先分析日志,看看日志有没有被删。这里有个插曲,我说要网站25号以前5天的日志,结果人家给了我一大堆系统日志,没一个网站的(唉,伤不起啊)。最后终于找到了WEB日志给我发了过来。我直接找25号那天的日志,拔了半天没找到一点头绪,就找到了个ewebeditor和fckeditor编辑器,于是怀疑编辑器漏洞上传上去的,毕竟这两个编辑器漏洞还是很多的。但是找了半天都找不到POST的地方,当时想 难道是被清理了,那就不好办了,拔啊拔啊。
忽然意识到自己犯了个错误,IIS日志默认应该是有时区差的,一般为8个小时。于是就问人要0625这个日志的修改时间,创建时间是25日8:00,修改时间是26日8:00。这也就是说日志里的0:00的访问记录实际上应该是8点的访问记录,那我要找6:44的记录就应该是24日晚上22:44的记录。
于是又翻24号的日志,依旧没有找到POST之类的提交。但是我发现了一条令我更吃惊的记录
- 2011-06-24 22:44:08 W3SVC1812118 xxx.xxx.xxx.xxx PUT /b.txt - 80 - xxx.xxx.xxx.xxx Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+InfoPath.2) - 201 0 0 906
- 2011-06-24 22:44:40 W3SVC1812118 xxx.xxx.xxx.xxx GET /b.txt - 80 - xxx.xxx.xxx.xxx Mozilla/4.0+(compatible;+MSIE+8.0;+Windows+NT+6.1;+Trident/4.0) - 200 0 0 359
b.txt居然是直接PUT上去的,狂汗啊狂汗啊。
这下就清楚了,IIS写权限漏洞啊,多少年前的漏洞来,现在想找这样的漏洞都难找。
哎,gov网站伤不起啊,Windows伤不起啊,IIS伤不起啊。。。。。。。
还是LINUX好。
PS:IIS写权限漏洞 是IIS站点属性主目录选项卡中 选择了写入选项
这样会导致别人有权限直接往服务器上上传文件。
阅读(2724) | 评论(5) | 转发(0) |
你想复杂了,哈哈哈 ------ps:半个小时后.........哈哈哈..........
你懂的。