老C(16*65) 2:55:38
一種少見的跨目錄寫webshell方法
老C(16*65) 2:55:50
誰對這個跨目錄寫馬原理了解 ？
老C(16*65) 2:56:10
我試了幾個iis賬戶都不行。
YoCo (私聊不回)(36*37) 2:56:12
跨什么目錄
老C(16*65) 2:56:31
就是虛擬主機跨目錄寫shell的。
YoCo (私聊不回)(36*37) 2:56:31
wscript直接拷貝的吧
老C(16*65) 2:56:36
不是了。
老C(16*65) 2:56:42
組件都被刪了。
老C(16*65) 2:56:49
利用iis的賬戶什么的。
YoCo (私聊不回)(36*37) 2:56:52
那就是本來目錄設置就不嚴
老C(16*65) 2:57:23
可能。
老C(16*65) 2:57:35
IIS SPY可以查看到目標站的路徑和IIS帳號密碼
YoCo (私聊不回)(36*37) 2:58:06
iis賬號的密碼？扯淡呢吧
老C(16*65) 2:58:06
所以我必須找一個everyone有訪問權限的站，IIS SPY看了下，用默認的IIS帳戶的站也挺多，就找了一個可以跨過去，也可以寫馬，那么目標站的帳戶應該也可以訪問這個站吧。于是傳上BS的馬到那個站，訪問，登陸成功，出現(xiàn)BS馬的登陸界面
老C(16*65) 2:58:42
什么叫iis的默認的賬戶 ？
YoCo (私聊不回)(36*37) 2:59:02
要是能看到密碼，那是system32目錄權限給放水了
老C(16*65) 2:59:10
老C(16*65) 2:59:39
已經(jīng)搞定了同服的一個shell
老C(16*65) 2:59:53
現(xiàn)在要向目標站寫馬
老C(16*65) 3:00:12
我利用這個方法
YoCo (私聊不回)(36*37) 3:00:16
用iis？
老C(16*65) 3:00:24
嗯
YoCo (私聊不回)(36*37) 3:00:31
果然奇葩
老C(16*65) 3:00:31
一種少見的跨目錄寫webshell方法
老C(16*65) 3:00:42
就是這篇文章了。
YoCo (私聊不回)(36*37) 3:01:08
恩，ms12-020還有一個秒殺直接添加管理員賬戶的exp
老C(16*65) 3:01:23
命令組件被刪。
YoCo (私聊不回)(36*37) 3:01:43
目錄設置權限不嚴才會被跨目錄，不然就溢出
YoCo (私聊不回)(36*37) 3:01:59
超越神的存在，沒有那回事
老C(16*65) 3:02:16
好吧，有時間去看看這個文章了。
老C(16*65) 3:02:21
http://www.dbjr.com.cn/Article/201106/93922.html
老C(16*65) 3:02:31
我沒弄清楚到底怎么回事
YoCo (私聊不回)(36*37) 3:02:55
這種垃圾黑客站全轉(zhuǎn)載（www.dbjr.com.cn注釋：上面的網(wǎng)址不是本站哈，這里只是替換掉的），站長自己懂不懂還是個未知數(shù)，你也信
YoCo (私聊不回)(36*37) 3:03:00
他那個明擺著wscript可用
老C(16*65) 3:03:12
她這個可用。
老C(16*65) 3:03:21
但是我現(xiàn)在的不可用。
老C(16*65) 3:03:40
他和wscript沒關系吧
YoCo (私聊不回)(36*37) 3:04:03
wscript可用，inetsrv文件夾放水，都是一樣的行為
YoCo (私聊不回)(36*37) 3:04:19
inetsrv文件夾權限放水就能讀到iis賬戶密碼了
老C(16*65) 3:04:26
- -
MeGaMaX(1247203561) 3:03:15
macafee
MeGaMaX(1247203561) 3:03:19
0day
YoCo (私聊不回)(36*37) 3:04:50
同樣的，有些iis服務器裝了mysql或者mssql，也能用root或者sa讀iis配置
YoCo (私聊不回)(36*37) 3:05:20
“echo到目標站根目錄一句話的批處理”
老C(16*65) 3:05:40
- - cmd不行
YoCo (私聊不回)(36*37) 3:05:40
天真，echo要是能用，我還copy直接到根目錄呢
YoCo (私聊不回)(36*37) 3:06:17
我只能說，奇葩
YoCo (私聊不回)(36*37) 3:07:02
要是裝了麥咖啡，你連想都不用想了
老C(16*65) 3:08:10
我覺的他這個原理就是利用目標站的iis訪問權限，來對我們現(xiàn)在有shell這個站進行訪問，可以訪問的話 ，就轉(zhuǎn)到了目標站的路徑下。
老C(16*65) 3:08:25
好像是這樣
老C(16*65) 3:08:35
但是再看看文章上面說的。
老C(16*65) 3:08:42
感覺又不是
老C(16*65) 3:08:43
- -
老C(16*65) 3:08:48
不懂
YoCo (私聊不回)(36*37) 3:11:06
不太現(xiàn)實
YoCo (私聊不回)(36*37) 3:11:39
剛才就說了，直接wscript拷貝的
老C(16*65) 3:11:53
不是吧
老C(16*65) 3:12:10
那按你說的，這個文章完全是瞎說了 ？
.......
目測了下 文章原文 簡單分析了下
IIS默認配置中不存在EVERYOEN權限
除非管理員SB到把WEB目錄放在%WINDIR%TEMP內(nèi)
因為IIS配置除了這個目錄需要一定給與EVERYONE寫入權限外
其他的目錄均可自行配置權限
我想管理員絕對不會SB到把IIS下的WEB目錄開啟一個everyone
所以大膽下一個結(jié)論他先調(diào)轉(zhuǎn)一個系統(tǒng)默認的IUSR_SERVER權限
而目標訪問權限也是這個默認的IUSER_SERVER權限
所以經(jīng)過第一次跳轉(zhuǎn)后 可以訪問到了目標站的WEB
隨后我看到文章的圖片 確定跟我推想的一樣
Uing07說文章不是YY就是人品好到爆的那種...沒通用性
開始沒看圖片
后來看下下圖片感覺寫這篇文章的人
雖然出于好心分享
但是由于SYSTEM權限歸屬可能不是很了解
所以誤導了別人
根據(jù)圖片所示明擺著就是IUSR_SERVER權限
還有IISSPY 直接任何目錄均可以直接寫入任何WEB下的數(shù)據(jù)
所以就有了這篇文章 寫下我的分析
根據(jù)我目測分析還原文章整個過程
首先寫環(huán)境
WEB系統(tǒng)默認訪問權限賬戶為IUSR_18*** 暫且成為TB（跳轉(zhuǎn)B）
菊花A 訪問權限為IUSR_WWW
同時系統(tǒng)默認IUSR_18***權限并未刪除
目標C 訪問權限為IUSR_MANAGE
同時系統(tǒng)默認IUSR_18***權限并未刪除
菊花A往目標C寫數(shù)據(jù)
由于IUSR權限不同無法跳轉(zhuǎn)跨目錄
但是由于同時擁有IUSR_18***權限我斷定寫入數(shù)據(jù)成功了
此WEBSHELL繼承權限應該是IUSR_18***和IUSR_WWW
因為菊花A沒有IUSR_MANAGE
但是WEBSHELL是菊花A 提交過去的
所以默認訪問權限是菊花A的IUSR_18***
而目標C訪問權限是IUSR_MANAGE
所以目標C訪問WEBSHELL時并無此權限
所以寫入成功后并沒有權限訪問
也就是作者說的沒有跨目錄成功
但是SB管理只是給WEB添加各種訪問用戶的權限
并未刪除IUSR_18***這個系統(tǒng)默認的權限
所以菊花A可以先給擁有默認IUSR_18***權限的TB寫入數(shù)據(jù)
這過程完全無障礙 因為同樣擁有IUSR_18***
這次寫入的WEBSHELL還是同時繼承IUSR_18***權限和IUSR_WWW權限
在由TB訪問此文件 因為TB默認訪問權限為IUSR_18***
所以TB可以訪問該WEBSHELL
在由TB寫入到目標C
同時權限繼承IUSR_18*** + IUSR_MANAG +IUSR_WWW
即使服務器不POST的數(shù)據(jù)不繼承權限
但由于TB提交過去的 所以此WEBSHELL此權限是IUSR_18***
目標C訪問權限是IUSR_MANAGE + IUSR_18***
SO訪問成功
整個過程應該是這樣的
寫的我都覺得麻煩
在補充
菊花A 訪問權限IUSR_WWW （同時擁有IUSR_18***）
跳轉(zhuǎn)B 訪問權限IUSR_18***
目標C 訪問權限IUSR_MANAGE （同時擁有IUSR_18***）
菊花A寫入目標C的WEBSHELL的權限用的是IUSR_18***
雖然目標C擁有IUSR_18***的訪問權限
但是由于是菊花A提交繼承 所以WEBSHELL訪問的權限應該是菊花A的IUSR_WWW + IUSR_18***
目標C默認訪問權限是IUSR_MANAGE + IUSR_18***
沒有IUSR_WWW此權限 所以訪問失敗 www.dbjr.com.cn
這里輸入IUSR_WWW帳號密碼還可以可以訪問的
菊花A寫入跳轉(zhuǎn)B的WEBSHELL 用到權限同樣是IUSR_18***
WEBSHELL的訪問權限IUSR_WWW + IUSR_18***
但是跳轉(zhuǎn)B的默認訪問權限為IUSR_18***
所以直接無視IUSR_WWW就可以訪問
在由跳轉(zhuǎn)B寫入目標C
只繼承IUSR_18***
而目標C訪問權限IUSR_MANAGE + IUSR_18***
所以成功

最新評論