“一種少見的跨目錄寫webshell方法 ”的文章的分析與見解

老C(16*65) 2:55:38
一種少見的跨目錄寫webshell方法
老C(16*65) 2:55:50
誰對這個跨目錄寫馬原理了解 ?
老C(16*65) 2:56:10
我試了幾個iis賬戶都不行。
YoCo (私聊不回)(36*37) 2:56:12
跨什么目錄
老C(16*65) 2:56:31
就是虛擬主機跨目錄寫shell的。
YoCo (私聊不回)(36*37) 2:56:31
wscript直接拷貝的吧
老C(16*65) 2:56:36
不是了。
老C(16*65) 2:56:42
組件都被刪了。
老C(16*65) 2:56:49
利用iis的賬戶什么的。
YoCo (私聊不回)(36*37) 2:56:52
那就是本來目錄設置就不嚴
老C(16*65) 2:57:23
可能。
老C(16*65) 2:57:35
IIS SPY可以查看到目標站的路徑和IIS帳號密碼
YoCo (私聊不回)(36*37) 2:58:06
iis賬號的密碼?扯淡呢吧
老C(16*65) 2:58:06
所以我必須找一個everyone有訪問權限的站,IIS SPY看了下,用默認的IIS帳戶的站也挺多,就找了一個可以跨過去,也可以寫馬,那么目標站的帳戶應該也可以訪問這個站吧。于是傳上BS的馬到那個站,訪問,登陸成功,出現(xiàn)BS馬的登陸界面
老C(16*65) 2:58:42
什么叫iis的默認的賬戶 ?
YoCo (私聊不回)(36*37) 2:59:02
要是能看到密碼,那是system32目錄權限給放水了
老C(16*65) 2:59:10
老C(16*65) 2:59:39
已經(jīng)搞定了同服的一個shell
老C(16*65) 2:59:53
現(xiàn)在要向目標站寫馬
老C(16*65) 3:00:12
我利用這個方法
YoCo (私聊不回)(36*37) 3:00:16
用iis?
老C(16*65) 3:00:24
嗯
YoCo (私聊不回)(36*37) 3:00:31
果然奇葩
老C(16*65) 3:00:31
一種少見的跨目錄寫webshell方法
老C(16*65) 3:00:42
就是這篇文章了。
YoCo (私聊不回)(36*37) 3:01:08
恩,ms12-020還有一個秒殺直接添加管理員賬戶的exp
老C(16*65) 3:01:23
命令組件被刪。
YoCo (私聊不回)(36*37) 3:01:43
目錄設置權限不嚴才會被跨目錄,不然就溢出
YoCo (私聊不回)(36*37) 3:01:59
超越神的存在,沒有那回事
老C(16*65) 3:02:16
好吧,有時間去看看這個文章了。
老C(16*65) 3:02:21
http://www.dbjr.com.cn/Article/201106/93922.html
老C(16*65) 3:02:31
我沒弄清楚到底怎么回事
YoCo (私聊不回)(36*37) 3:02:55
這種垃圾黑客站全轉(zhuǎn)載(www.dbjr.com.cn注釋:上面的網(wǎng)址不是本站哈,這里只是替換掉的),站長自己懂不懂還是個未知數(shù),你也信
YoCo (私聊不回)(36*37) 3:03:00
他那個明擺著wscript可用
老C(16*65) 3:03:12
她這個可用。
老C(16*65) 3:03:21
但是我現(xiàn)在的不可用。
老C(16*65) 3:03:40
他和wscript沒關系吧
YoCo (私聊不回)(36*37) 3:04:03
wscript可用,inetsrv文件夾放水,都是一樣的行為
YoCo (私聊不回)(36*37) 3:04:19
inetsrv文件夾權限放水就能讀到iis賬戶密碼了
老C(16*65) 3:04:26
- -
MeGaMaX(1247203561) 3:03:15
macafee
MeGaMaX(1247203561) 3:03:19
0day
YoCo (私聊不回)(36*37) 3:04:50
同樣的,有些iis服務器裝了mysql或者mssql,也能用root或者sa讀iis配置
YoCo (私聊不回)(36*37) 3:05:20
“echo到目標站根目錄一句話的批處理”
老C(16*65) 3:05:40
- - cmd不行
YoCo (私聊不回)(36*37) 3:05:40
天真,echo要是能用,我還copy直接到根目錄呢
YoCo (私聊不回)(36*37) 3:06:17
我只能說,奇葩
YoCo (私聊不回)(36*37) 3:07:02
要是裝了麥咖啡,你連想都不用想了
老C(16*65) 3:08:10
我覺的他這個原理就是利用目標站的iis訪問權限,來對我們現(xiàn)在有shell這個站進行訪問,可以訪問的話 ,就轉(zhuǎn)到了目標站的路徑下。
老C(16*65) 3:08:25
好像是這樣
老C(16*65) 3:08:35
但是再看看文章上面說的。
老C(16*65) 3:08:42
感覺又不是
老C(16*65) 3:08:43
- -
老C(16*65) 3:08:48
不懂
YoCo (私聊不回)(36*37) 3:11:06
不太現(xiàn)實
YoCo (私聊不回)(36*37) 3:11:39
剛才就說了,直接wscript拷貝的
老C(16*65) 3:11:53
不是吧
老C(16*65) 3:12:10
那按你說的,這個文章完全是瞎說了 ?
.......
目測了下 文章原文 簡單分析了下
IIS默認配置中不存在EVERYOEN權限
除非管理員SB到把WEB目錄放在%WINDIR%TEMP內(nèi)
因為IIS配置除了這個目錄需要一定給與EVERYONE寫入權限外
其他的目錄均可自行配置權限
我想管理員絕對不會SB到把IIS下的WEB目錄開啟一個everyone
所以大膽下一個結(jié)論他先調(diào)轉(zhuǎn)一個系統(tǒng)默認的IUSR_SERVER權限
而目標訪問權限也是這個默認的IUSER_SERVER權限
所以經(jīng)過第一次跳轉(zhuǎn)后 可以訪問到了目標站的WEB
隨后我看到文章的圖片 確定跟我推想的一樣
Uing07說文章不是YY就是人品好到爆的那種...沒通用性
開始沒看圖片
后來看下下圖片感覺寫這篇文章的人
雖然出于好心分享
但是由于SYSTEM權限歸屬可能不是很了解
所以誤導了別人
根據(jù)圖片所示明擺著就是IUSR_SERVER權限
還有IISSPY 直接任何目錄均可以直接寫入任何WEB下的數(shù)據(jù)
所以就有了這篇文章 寫下我的分析
根據(jù)我目測分析還原文章整個過程
首先寫環(huán)境
WEB系統(tǒng)默認訪問權限賬戶為IUSR_18*** 暫且成為TB(跳轉(zhuǎn)B)
菊花A 訪問權限為IUSR_WWW
同時系統(tǒng)默認IUSR_18***權限并未刪除
目標C 訪問權限為IUSR_MANAGE
同時系統(tǒng)默認IUSR_18***權限并未刪除
菊花A往目標C寫數(shù)據(jù)
由于IUSR權限不同無法跳轉(zhuǎn)跨目錄
但是由于同時擁有IUSR_18***權限我斷定寫入數(shù)據(jù)成功了
此WEBSHELL繼承權限應該是IUSR_18***和IUSR_WWW
因為菊花A沒有IUSR_MANAGE
但是WEBSHELL是菊花A 提交過去的
所以默認訪問權限是菊花A的IUSR_18***
而目標C訪問權限是IUSR_MANAGE
所以目標C訪問WEBSHELL時并無此權限
所以寫入成功后并沒有權限訪問
也就是作者說的沒有跨目錄成功
但是SB管理只是給WEB添加各種訪問用戶的權限
并未刪除IUSR_18***這個系統(tǒng)默認的權限
所以菊花A可以先給擁有默認IUSR_18***權限的TB寫入數(shù)據(jù)
這過程完全無障礙 因為同樣擁有IUSR_18***
這次寫入的WEBSHELL還是同時繼承IUSR_18***權限和IUSR_WWW權限
在由TB訪問此文件 因為TB默認訪問權限為IUSR_18***
所以TB可以訪問該WEBSHELL
在由TB寫入到目標C
同時權限繼承IUSR_18*** + IUSR_MANAG +IUSR_WWW
即使服務器不POST的數(shù)據(jù)不繼承權限
但由于TB提交過去的 所以此WEBSHELL此權限是IUSR_18***
目標C訪問權限是IUSR_MANAGE + IUSR_18***
SO訪問成功
整個過程應該是這樣的
寫的我都覺得麻煩
在補充
菊花A 訪問權限IUSR_WWW (同時擁有IUSR_18***)
跳轉(zhuǎn)B 訪問權限IUSR_18***
目標C 訪問權限IUSR_MANAGE (同時擁有IUSR_18***)
菊花A寫入目標C的WEBSHELL的權限用的是IUSR_18***
雖然目標C擁有IUSR_18***的訪問權限
但是由于是菊花A提交繼承 所以WEBSHELL訪問的權限應該是菊花A的IUSR_WWW + IUSR_18***
目標C默認訪問權限是IUSR_MANAGE + IUSR_18***
沒有IUSR_WWW此權限 所以訪問失敗 www.dbjr.com.cn
這里輸入IUSR_WWW帳號密碼還可以可以訪問的
菊花A寫入跳轉(zhuǎn)B的WEBSHELL 用到權限同樣是IUSR_18***
WEBSHELL的訪問權限IUSR_WWW + IUSR_18***
但是跳轉(zhuǎn)B的默認訪問權限為IUSR_18***
所以直接無視IUSR_WWW就可以訪問
在由跳轉(zhuǎn)B寫入目標C
只繼承IUSR_18***
而目標C訪問權限IUSR_MANAGE + IUSR_18***
所以成功
相關文章
局域網(wǎng)共享安全方式之用局域網(wǎng)文件共享系統(tǒng)實現(xiàn)共享文件夾安全設置
現(xiàn)在很多單位都有文件服務器,經(jīng)常會共享文件讓局域網(wǎng)用戶訪問。那么,如何才能保護局域網(wǎng)內(nèi)共享文件夾的安全性呢?下面通過本文給大家分享局域網(wǎng)共享安全方式之用局域網(wǎng)文2017-05-11- 這篇文章主要介紹了IIS的FastCGI漏洞處理方法,需要的朋友可以參考下2017-04-30
IIS PHP fastcgi模式 pathinfo取值錯誤任意代碼執(zhí)行漏洞修復方法
這篇文章主要介紹了PHP fastcgi模式 pathinfo取值錯誤任意代碼執(zhí)行漏洞,需要的朋友可以參考下2017-04-30- IIS短文件名泄露漏洞,IIS上實現(xiàn)上存在文件枚舉漏洞,攻擊者可利用此漏洞枚舉獲取服務器根目錄中的文件,這里為大家分享一下安裝方法,需要的朋友可以參考下2017-04-23
用mcafee麥咖啡設置服務器基本用戶安全(防止新建用戶與修改密碼)
這篇文章主要介紹了用麥咖啡設置服務器基本用戶安全(防止新建用戶與修改密碼),需要的朋友可以參考下2017-02-26- 這篇文章主要介紹了防范黑客入侵,關閉端口封鎖大門 黑客無法入侵的相關資料,需要的朋友可以參考下2016-10-31
現(xiàn)代網(wǎng)絡性能監(jiān)控工具應具備何種技能?網(wǎng)絡與應用程序監(jiān)控
大家都知道現(xiàn)在市場上的網(wǎng)絡性能監(jiān)控工具大有所在,這為現(xiàn)在的IT行業(yè)的人員提供了很多便利,幫助IT管理團隊監(jiān)控網(wǎng)絡性能,并且?guī)椭鶬T管理人員確定系統(tǒng)性能的瓶頸所在,進而2016-10-19- 雖然現(xiàn)在網(wǎng)絡很發(fā)達,但對我們普通人而言,也就是10多年的上網(wǎng)歷史,好多人還沒意識到信息安全的重要性。那么如何保證自己的上網(wǎng)安全?下面小編為大家分享10條防范自救,一2016-10-12
- 這篇文章主要介紹了遠離病毒 八項基本原則的相關資料,需要的朋友可以參考下2016-10-08
- 這篇文章主要介紹了Linux 防范病毒的方法的相關資料,需要的朋友可以參考下2016-10-08