|
|
|
联系客服020-83701501

旁注虚拟主机IIS权限重分配跨目录得webshell

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
旁注虚构主机IIS权限重分拨跨目录得webshell

外洋的IDC运营商最常见的模式便是IIS搭配解析asp,有星外,新网,西数,华众等等。。。
这些虚构主机提权凡是相称难。最近小生在和习科中心浸透群里的一次浸透测试中,就碰到了一次,这里讲一下。

I)前奏
旁注,同服,虚构主机做事器,只否决asp解析,aspx和php都不否决
最恶运的是,这个虚构主机竟然忘了禁用wscript
可是做事器上装了混混软件360和杀毒软件诺顿,尽管我不太体会混混软件和杀毒软件为何会共存,可是我比较懂得的是,比较难提权。

II)提权
既然是旁注,那便是想设施跨目录,那么跨到哪个目录呢?
IIS的话,真实是很复杂的,ASPX大马通常自带,可是asp的话需要实行呼吁的。看习科兵器库:

Default
1 http://attach.blackbap.org/down/wzaq/iis.vbs

这个脚本是iis Web账户暗码读取的脚本,上传cmd.exe,cscript.exe以及这个iis.vbs到可写可实行目录(通常是c:\windows\temp)
今后

Default
1 cscript iis.vbs

就得到iis的账户和暗码另有路径了

1.png

有些虚构主机,一台做事器上面上千个asp站,复杂超时
那么要改改:

Default
1 cscript iis.vbs > iis.txt

多么就可能警省web超时了

提权的时分的确是费了很大一番劲,各类溢出用遍了,无法靡烂,各类神器用遍了,搞不到serv-u这些软件

2.png

不过开首照样靡烂了,多么我们就靡烂削减了一个administrators的账户cond0r,暗码是123!@#asdASD
iis溢出得到system,shell.user组件削减用户绕过360

III)跨目录
假如变乱凡是这么凋射,那么这个帖子也就没啥意思了
问题有多么几个,第一,远程桌面做事关闭,读取注册表默许为3389,可是用webshell扫描本机端口3389是关闭的,nmap扫了下,没检测到远程桌面的端口
第二,netstat呼吁被禁,本人传一个netstat.exe也没回显,一样的net.exe也是一样的

多么即使提权靡烂了,也无法上岸做事器,好吧,我们不是有IIS的暗码吗?
一样是习科兵器库里面,在网站平循分类下

Default
1 http://attach.blackbap.org/down/wzaq/bs.rar

用这个神器,上传到iis的虚构主机当前,运转,,第一个界面默许点“ok”
今后会弹出以下考据框:

3.png

这里可能输入目的IIS账户的用户名和暗码(IUSER_00744 %MjI1NDkyMDA5MTAyNjE),可是通常这个设施是不太有效的
这里也不无例外的凋射了,那我间接用administrators的账号好了,输入方才创立的cond0r的账户和暗码

4.png

多么子容貌我们就得到了administrators的权限来浏览目录
固然了,这个权限也很复杂的就把目的站拿下了
我写的帖子,通常真实不是说哪个口头怎么样怎样拿下甚么站,习科团队正轨的受权浸透哪个单独拿出来也可能作为楷模案例来说,可是哪个案例也凡是无奈复制到其余地方去的,所以我讲的凡是思维,有了本人的思维就有了魂魄,走出本人的路才是真正的黑阔。

link:http://bbs.blackbap.org/thread-3868-1-1.html

点评:这篇文章的亮点在于从新分拨权限跨目录,集体很多人拿到shell当前想提权,碰到各类不顺的时分,可能看看这篇文章,给出了一个不错的思路。

本文由网络平安攻防研究室(www.91ri.org)信息平安小组收集整顿,转载请说明来因。

数安新闻+更多

证书相关+更多