IIS put上传漏洞
漏洞原因:
webdav服务拓展、网站的一些权限配置不当。
WebDAV(Web-based Distributed AuthoringVersioning,基于Web的分布式创作和版本控制) 一种基于 HTTP 1.1协议的通信协议。它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可对Web Server直接读写,并支持写文件锁定(Locking)及解锁(Unlock),还可以支持文件的版本控制。
特点:
1.具有正确权限的用户可以在 WebDAV目录中复制和移动文件。
2.修改与某些资源相关联的属性。例如,用户可写入并检索文件的属性信息。
3.锁定并解锁资源以便多个用户可同时读取一个文件。但每次只能有一个人修改文件。
4.搜索 WebDAV 目录中的文件的内容和属性。
漏洞产生条件:
1.网站开启Webdav服务
2.网站开启写入权限
3.网站开启脚本资源访问
漏洞复现
开启webDAV服务
网站权限设置
因为我们需要通过PUT和MOVE方式去上传和修改文件后缀,因此这里可以采用IISWrite工具
上传文件。首先在请求文件中填入上传后的文件名,文件名可随意命名,但后缀不能是IIS映射的所有脚本后缀,然后在数据包格式中选择“PUT”,接着选择需要上传的文件,会显示出webshell文件的路径
接着修改文件后缀名。将上传的webshell.txt修改成后缀为asp的文件。在数据包格式里选择“MOVE”,然后点击“提交数据包”。
站点下已经存在shell.asp
IIS远程代码执行
漏洞原因:
漏洞产生根本原因参考大佬文章:CVE-2017-7269 IIS6.0远程代码执行漏洞分析及Exploit:https://paper.seebug.org/259/
漏洞复现
开启webDAV服务
exp:cve-2017-7269
复制到
/usr/share/metasploit-framework/modules/exploits/windows/iis/
攻击成功,输入shell
查看用户权限
网站根目录无权限创建文件夹
根目录有权限
ctrl c退出shell,将提权工具iis6.0上传到c盘建立的jadore文件夹
上传成功
系统权限拿到
新建用户jadore并加入管理员组
远程连接未打开
上传3389.bat,利用iis6.exe运行
可以看到远程桌面已经打开,连接即可
IIS 解析漏洞
漏洞原理:
1.目录解析
/xxx.asp/xxx.jpg
即在网站建立文件夹为.asp、.asa的文件夹,该文件夹内的任何拓展名文件都被IIS6.0当成asp文件来解析并执行。
利用:上传路径控制
2.文件解析
*.asp;.jpg
即分号后面的内容不被解析,服务器将*.asp;.jpg当成*.asp
除此之外还有*.asa、*.cer、*.cdx
**漏洞条件:**结合文件上传即可
