老C(16*65) 2:55:38
一種少見(jiàn)的跨目錄寫webshell方法
老C(16*65) 2:55:50
誰(shuí)對(duì)這個(gè)跨目錄寫馬原理了解 ？
老C(16*65) 2:56:10
我試了幾個(gè)iis賬戶都不行。
YoCo (私聊不回)(36*37) 2:56:12
跨什么目錄
老C(16*65) 2:56:31
就是虛擬主機(jī)跨目錄寫shell的。
YoCo (私聊不回)(36*37) 2:56:31
wscript直接拷貝的吧
老C(16*65) 2:56:36
不是了。
老C(16*65) 2:56:42
組件都被刪了。
老C(16*65) 2:56:49
利用iis的賬戶什么的。
YoCo (私聊不回)(36*37) 2:56:52
那就是本來(lái)目錄設(shè)置就不嚴(yán)
老C(16*65) 2:57:23
可能。
老C(16*65) 2:57:35
IIS SPY可以查看到目標(biāo)站的路徑和IIS帳號(hào)密碼
YoCo (私聊不回)(36*37) 2:58:06
iis賬號(hào)的密碼？扯淡呢吧
老C(16*65) 2:58:06
所以我必須找一個(gè)everyone有訪問(wèn)權(quán)限的站，IIS SPY看了下，用默認(rèn)的IIS帳戶的站也挺多，就找了一個(gè)可以跨過(guò)去，也可以寫馬，那么目標(biāo)站的帳戶應(yīng)該也可以訪問(wèn)這個(gè)站吧。于是傳上BS的馬到那個(gè)站，訪問(wèn)，登陸成功，出現(xiàn)BS馬的登陸界面
老C(16*65) 2:58:42
什么叫iis的默認(rèn)的賬戶 ？
YoCo (私聊不回)(36*37) 2:59:02
要是能看到密碼，那是system32目錄權(quán)限給放水了
老C(16*65) 2:59:10
老C(16*65) 2:59:39
已經(jīng)搞定了同服的一個(gè)shell
老C(16*65) 2:59:53
現(xiàn)在要向目標(biāo)站寫馬
老C(16*65) 3:00:12
我利用這個(gè)方法
YoCo (私聊不回)(36*37) 3:00:16
用iis？
老C(16*65) 3:00:24
嗯
YoCo (私聊不回)(36*37) 3:00:31
果然奇葩
老C(16*65) 3:00:31
一種少見(jiàn)的跨目錄寫webshell方法
老C(16*65) 3:00:42
就是這篇文章了。
YoCo (私聊不回)(36*37) 3:01:08
恩，ms12-020還有一個(gè)秒殺直接添加管理員賬戶的exp
老C(16*65) 3:01:23
命令組件被刪。
YoCo (私聊不回)(36*37) 3:01:43
目錄設(shè)置權(quán)限不嚴(yán)才會(huì)被跨目錄，不然就溢出
YoCo (私聊不回)(36*37) 3:01:59
超越神的存在，沒(méi)有那回事
老C(16*65) 3:02:16
好吧，有時(shí)間去看看這個(gè)文章了。
老C(16*65) 3:02:21
http://www.dbjr.com.cn/Article/201106/93922.html
老C(16*65) 3:02:31
我沒(méi)弄清楚到底怎么回事
YoCo (私聊不回)(36*37) 3:02:55
這種垃圾黑客站全轉(zhuǎn)載（www.dbjr.com.cn注釋：上面的網(wǎng)址不是本站哈，這里只是替換掉的），站長(zhǎng)自己懂不懂還是個(gè)未知數(shù)，你也信
YoCo (私聊不回)(36*37) 3:03:00
他那個(gè)明擺著wscript可用
老C(16*65) 3:03:12
她這個(gè)可用。
老C(16*65) 3:03:21
但是我現(xiàn)在的不可用。
老C(16*65) 3:03:40
他和wscript沒(méi)關(guān)系吧
YoCo (私聊不回)(36*37) 3:04:03
wscript可用，inetsrv文件夾放水，都是一樣的行為
YoCo (私聊不回)(36*37) 3:04:19
inetsrv文件夾權(quán)限放水就能讀到iis賬戶密碼了
老C(16*65) 3:04:26
- -
MeGaMaX(1247203561) 3:03:15
macafee
MeGaMaX(1247203561) 3:03:19
0day
YoCo (私聊不回)(36*37) 3:04:50
同樣的，有些iis服務(wù)器裝了mysql或者mssql，也能用root或者sa讀iis配置
YoCo (私聊不回)(36*37) 3:05:20
“echo到目標(biāo)站根目錄一句話的批處理”
老C(16*65) 3:05:40
- - cmd不行
YoCo (私聊不回)(36*37) 3:05:40
天真，echo要是能用，我還copy直接到根目錄呢
YoCo (私聊不回)(36*37) 3:06:17
我只能說(shuō)，奇葩
YoCo (私聊不回)(36*37) 3:07:02
要是裝了麥咖啡，你連想都不用想了
老C(16*65) 3:08:10
我覺(jué)的他這個(gè)原理就是利用目標(biāo)站的iis訪問(wèn)權(quán)限，來(lái)對(duì)我們現(xiàn)在有shell這個(gè)站進(jìn)行訪問(wèn)，可以訪問(wèn)的話 ，就轉(zhuǎn)到了目標(biāo)站的路徑下。
老C(16*65) 3:08:25
好像是這樣
老C(16*65) 3:08:35
但是再看看文章上面說(shuō)的。
老C(16*65) 3:08:42
感覺(jué)又不是
老C(16*65) 3:08:43
- -
老C(16*65) 3:08:48
不懂
YoCo (私聊不回)(36*37) 3:11:06
不太現(xiàn)實(shí)
YoCo (私聊不回)(36*37) 3:11:39
剛才就說(shuō)了，直接wscript拷貝的
老C(16*65) 3:11:53
不是吧
老C(16*65) 3:12:10
那按你說(shuō)的，這個(gè)文章完全是瞎說(shuō)了 ？
.......
目測(cè)了下 文章原文 簡(jiǎn)單分析了下
IIS默認(rèn)配置中不存在EVERYOEN權(quán)限
除非管理員SB到把WEB目錄放在%WINDIR%TEMP內(nèi)
因?yàn)镮IS配置除了這個(gè)目錄需要一定給與EVERYONE寫入權(quán)限外
其他的目錄均可自行配置權(quán)限
我想管理員絕對(duì)不會(huì)SB到把IIS下的WEB目錄開(kāi)啟一個(gè)everyone
所以大膽下一個(gè)結(jié)論他先調(diào)轉(zhuǎn)一個(gè)系統(tǒng)默認(rèn)的IUSR_SERVER權(quán)限
而目標(biāo)訪問(wèn)權(quán)限也是這個(gè)默認(rèn)的IUSER_SERVER權(quán)限
所以經(jīng)過(guò)第一次跳轉(zhuǎn)后 可以訪問(wèn)到了目標(biāo)站的WEB
隨后我看到文章的圖片 確定跟我推想的一樣
Uing07說(shuō)文章不是YY就是人品好到爆的那種...沒(méi)通用性
開(kāi)始沒(méi)看圖片
后來(lái)看下下圖片感覺(jué)寫這篇文章的人
雖然出于好心分享
但是由于SYSTEM權(quán)限歸屬可能不是很了解
所以誤導(dǎo)了別人
根據(jù)圖片所示明擺著就是IUSR_SERVER權(quán)限
還有IISSPY 直接任何目錄均可以直接寫入任何WEB下的數(shù)據(jù)
所以就有了這篇文章 寫下我的分析
根據(jù)我目測(cè)分析還原文章整個(gè)過(guò)程
首先寫環(huán)境
WEB系統(tǒng)默認(rèn)訪問(wèn)權(quán)限賬戶為IUSR_18*** 暫且成為TB（跳轉(zhuǎn)B）
菊花A 訪問(wèn)權(quán)限為IUSR_WWW
同時(shí)系統(tǒng)默認(rèn)IUSR_18***權(quán)限并未刪除
目標(biāo)C 訪問(wèn)權(quán)限為IUSR_MANAGE
同時(shí)系統(tǒng)默認(rèn)IUSR_18***權(quán)限并未刪除
菊花A往目標(biāo)C寫數(shù)據(jù)
由于IUSR權(quán)限不同無(wú)法跳轉(zhuǎn)跨目錄
但是由于同時(shí)擁有IUSR_18***權(quán)限我斷定寫入數(shù)據(jù)成功了
此WEBSHELL繼承權(quán)限應(yīng)該是IUSR_18***和IUSR_WWW
因?yàn)榫栈ˋ沒(méi)有IUSR_MANAGE
但是WEBSHELL是菊花A 提交過(guò)去的
所以默認(rèn)訪問(wèn)權(quán)限是菊花A的IUSR_18***
而目標(biāo)C訪問(wèn)權(quán)限是IUSR_MANAGE
所以目標(biāo)C訪問(wèn)WEBSHELL時(shí)并無(wú)此權(quán)限
所以寫入成功后并沒(méi)有權(quán)限訪問(wèn)
也就是作者說(shuō)的沒(méi)有跨目錄成功
但是SB管理只是給WEB添加各種訪問(wèn)用戶的權(quán)限
并未刪除IUSR_18***這個(gè)系統(tǒng)默認(rèn)的權(quán)限
所以菊花A可以先給擁有默認(rèn)IUSR_18***權(quán)限的TB寫入數(shù)據(jù)
這過(guò)程完全無(wú)障礙 因?yàn)橥瑯訐碛蠭USR_18***
這次寫入的WEBSHELL還是同時(shí)繼承IUSR_18***權(quán)限和IUSR_WWW權(quán)限
在由TB訪問(wèn)此文件 因?yàn)門B默認(rèn)訪問(wèn)權(quán)限為IUSR_18***
所以TB可以訪問(wèn)該WEBSHELL
在由TB寫入到目標(biāo)C
同時(shí)權(quán)限繼承IUSR_18*** + IUSR_MANAG +IUSR_WWW
即使服務(wù)器不POST的數(shù)據(jù)不繼承權(quán)限
但由于TB提交過(guò)去的 所以此WEBSHELL此權(quán)限是IUSR_18***
目標(biāo)C訪問(wèn)權(quán)限是IUSR_MANAGE + IUSR_18***
SO訪問(wèn)成功
整個(gè)過(guò)程應(yīng)該是這樣的
寫的我都覺(jué)得麻煩
在補(bǔ)充
菊花A 訪問(wèn)權(quán)限IUSR_WWW （同時(shí)擁有IUSR_18***）
跳轉(zhuǎn)B 訪問(wèn)權(quán)限IUSR_18***
目標(biāo)C 訪問(wèn)權(quán)限IUSR_MANAGE （同時(shí)擁有IUSR_18***）
菊花A寫入目標(biāo)C的WEBSHELL的權(quán)限用的是IUSR_18***
雖然目標(biāo)C擁有IUSR_18***的訪問(wèn)權(quán)限
但是由于是菊花A提交繼承 所以WEBSHELL訪問(wèn)的權(quán)限應(yīng)該是菊花A的IUSR_WWW + IUSR_18***
目標(biāo)C默認(rèn)訪問(wèn)權(quán)限是IUSR_MANAGE + IUSR_18***
沒(méi)有IUSR_WWW此權(quán)限 所以訪問(wèn)失敗 www.dbjr.com.cn
這里輸入IUSR_WWW帳號(hào)密碼還可以可以訪問(wèn)的
菊花A寫入跳轉(zhuǎn)B的WEBSHELL 用到權(quán)限同樣是IUSR_18***
WEBSHELL的訪問(wèn)權(quán)限IUSR_WWW + IUSR_18***
但是跳轉(zhuǎn)B的默認(rèn)訪問(wèn)權(quán)限為IUSR_18***
所以直接無(wú)視IUSR_WWW就可以訪問(wèn)
在由跳轉(zhuǎn)B寫入目標(biāo)C
只繼承IUSR_18***
而目標(biāo)C訪問(wèn)權(quán)限IUSR_MANAGE + IUSR_18***
所以成功

最新評(píng)論