“一种少见的跨目录写webshell方法 ”的文章的分析与见解_安全设置教程-查字典教程网
“一种少见的跨目录写webshell方法 ”的文章的分析与见解
“一种少见的跨目录写webshell方法 ”的文章的分析与见解
发布时间:2016-12-21 来源:查字典编辑
摘要:老C(16*65)2:55:38一种少见的跨目录写webshell方法老C(16*65)2:55:50谁对这个跨目录写马原理了解?老C(16...

老C(16*65) 2:55:38

一种少见的跨目录写webshell方法

老C(16*65) 2:55:50

谁对这个跨目录写马原理了解 ?

老C(16*65) 2:56:10

我试了几个iis账户都不行。

YoCo (私聊不回)(36*37) 2:56:12

跨什么目录

老C(16*65) 2:56:31

就是虚拟主机跨目录写shell的。

YoCo (私聊不回)(36*37) 2:56:31

wscript直接拷贝的吧

老C(16*65) 2:56:36

不是了。

老C(16*65) 2:56:42

组件都被删了。

老C(16*65) 2:56:49

利用iis的账户什么的。

YoCo (私聊不回)(36*37) 2:56:52

那就是本来目录设置就不严

老C(16*65) 2:57:23

可能。

老C(16*65) 2:57:35

IIS SPY可以查看到目标站的路径和IIS帐号密码

YoCo (私聊不回)(36*37) 2:58:06

iis账号的密码?扯淡呢吧

老C(16*65) 2:58:06

所以我必须找一个everyone有访问权限的站,IIS SPY看了下,用默认的IIS帐户的站也挺多,就找了一个可以跨过去,也可以写马,那么目标站的帐户应该也可以访问这个站吧。于是传上BS的马到那个站,访问,登陆成功,出现BS马的登陆界面

老C(16*65) 2:58:42

什么叫iis的默认的账户 ?

YoCo (私聊不回)(36*37) 2:59:02

要是能看到密码,那是system32目录权限给放水了

老C(16*65) 2:59:10

老C(16*65) 2:59:39

色情站。已经搞定了同服的一个shell

老C(16*65) 2:59:53

现在要向目标站写马

老C(16*65) 3:00:12

我利用这个方法

YoCo (私聊不回)(36*37) 3:00:16

黄站用iis?

老C(16*65) 3:00:24

YoCo (私聊不回)(36*37) 3:00:31

果然奇葩

老C(16*65) 3:00:31

一种少见的跨目录写webshell方法

老C(16*65) 3:00:42

就是这篇文章了。

YoCo (私聊不回)(36*37) 3:01:08

恩,ms12-020还有一个秒杀直接添加管理员账户的exp

老C(16*65) 3:01:23

命令组件被删。

YoCo (私聊不回)(36*37) 3:01:43

目录设置权限不严才会被跨目录,不然就溢出

YoCo (私聊不回)(36*37) 3:01:59

超越神的存在,没有那回事

老C(16*65) 3:02:16

好吧,有时间去看看这个文章了。

老C(16*65) 3:02:21

/Article/201106/93922.html

老C(16*65) 3:02:31

我没弄清楚到底怎么回事

YoCo (私聊不回)(36*37) 3:02:55

这种垃圾黑客站全转载(注释:上面的网址不是本站哈,这里只是替换掉的),站长自己懂不懂还是个未知数,你也信

YoCo (私聊不回)(36*37) 3:03:00

他那个明摆着wscript可用

老C(16*65) 3:03:12

她这个可用。

老C(16*65) 3:03:21

但是我现在的不可用。

老C(16*65) 3:03:40

他和wscript没关系吧

YoCo (私聊不回)(36*37) 3:04:03

wscript可用,inetsrv文件夹放水,都是一样的傻逼行为

YoCo (私聊不回)(36*37) 3:04:19

inetsrv文件夹权限放水就能读到iis账户密码了

老C(16*65) 3:04:26

- -

MeGaMaX(1247203561) 3:03:15

macafee

MeGaMaX(1247203561) 3:03:19

0day

YoCo (私聊不回)(36*37) 3:04:50

同样的,有些iis服务器装了mysql或者mssql,也能用root或者sa读iis配置

YoCo (私聊不回)(36*37) 3:05:20

“echo到目标站根目录一句话的批处理”

老C(16*65) 3:05:40

- - cmd不行

YoCo (私聊不回)(36*37) 3:05:40

真他妈的天真,echo要是能用,我还copy直接到根目录呢

YoCo (私聊不回)(36*37) 3:06:17

我只能说,奇葩

YoCo (私聊不回)(36*37) 3:07:02

要是装了麦咖啡,你连想都不用想了

老C(16*65) 3:08:10

我觉的他这个原理就是利用目标站的iis访问权限,来对我们现在有shell这个站进行访问,可以访问的话 ,就转到了目标站的路径下。

老C(16*65) 3:08:25

好像是这样

老C(16*65) 3:08:35

但是再看看文章上面说的。

老C(16*65) 3:08:42

感觉又不是

老C(16*65) 3:08:43

- -

老C(16*65) 3:08:48

不懂

YoCo (私聊不回)(36*37) 3:11:06

不太现实

YoCo (私聊不回)(36*37) 3:11:39

刚才就说了,直接wscript拷贝的

老C(16*65) 3:11:53

不是吧

老C(16*65) 3:12:10

那按你说的,这个文章完全是瞎说了 ?

.......

目测了下 文章原文 简单分析了下

IIS默认配置中不存在EVERYOEN权限

除非管理员SB到把WEB目录放在%WINDIR%TEMP内

因为IIS配置除了这个目录需要一定给与EVERYONE写入权限外

其他的目录均可自行配置权限

我想管理员绝对不会SB到把IIS下的WEB目录开启一个everyone

所以大胆下一个结论他先调转一个系统默认的IUSR_SERVER权限

而目标访问权限也是这个默认的IUSER_SERVER权限

所以经过第一次跳转后 可以访问到了目标站的WEB

随后我看到文章的图片 确定跟我推想的一样

Uing07说文章不是YY就是人品好到爆的那种...没通用性

开始没看图片

后来看下下图片感觉写这篇文章的人

虽然出于好心分享

但是由于SYSTEM权限归属可能不是很了解

所以误导了别人

根据图片所示明摆着就是IUSR_SERVER权限

还有IISSPY 直接任何目录均可以直接写入任何WEB下的数据

所以就有了这篇文章 写下我的分析

根据我目测分析还原文章整个过程

首先写环境

WEB系统默认访问权限账户为IUSR_18*** 暂且成为TB(跳转B)

菊花A 访问权限为IUSR_WWW

同时系统默认IUSR_18***权限并未删除

目标C 访问权限为IUSR_MANAGE

同时系统默认IUSR_18***权限并未删除

菊花A往目标C写数据

由于IUSR权限不同无法跳转跨目录

但是由于同时拥有IUSR_18***权限我断定写入数据成功了

此WEBSHELL继承权限应该是IUSR_18***和IUSR_WWW

因为菊花A没有IUSR_MANAGE

但是WEBSHELL是菊花A 提交过去的

所以默认访问权限是菊花A的IUSR_18***

而目标C访问权限是IUSR_MANAGE

所以目标C访问WEBSHELL时并无此权限

所以写入成功后并没有权限访问

也就是作者说的没有跨目录成功

但是SB管理只是给WEB添加各种访问用户的权限

并未删除IUSR_18***这个系统默认的权限

所以菊花A可以先给拥有默认IUSR_18***权限的TB写入数据

这过程完全无障碍 因为同样拥有IUSR_18***

这次写入的WEBSHELL还是同时继承IUSR_18***权限和IUSR_WWW权限

在由TB访问此文件 因为TB默认访问权限为IUSR_18***

所以TB可以访问该WEBSHELL

在由TB写入到目标C

同时权限继承IUSR_18*** + IUSR_MANAG +IUSR_WWW

即使服务器不POST的数据不继承权限

但由于TB提交过去的 所以此WEBSHELL此权限是IUSR_18***

目标C访问权限是IUSR_MANAGE + IUSR_18***

SO访问成功

整个过程应该是这样的

写的我都觉得麻烦

在补充

菊花A 访问权限IUSR_WWW (同时拥有IUSR_18***)

跳转B 访问权限IUSR_18***

目标C 访问权限IUSR_MANAGE (同时拥有IUSR_18***)

菊花A写入目标C的WEBSHELL的权限用的是IUSR_18***

虽然目标C拥有IUSR_18***的访问权限

但是由于是菊花A提交继承 所以WEBSHELL访问的权限应该是菊花A的IUSR_WWW + IUSR_18***

目标C默认访问权限是IUSR_MANAGE + IUSR_18***

没有IUSR_WWW此权限 所以访问失败

这里输入IUSR_WWW帐号密码还可以可以访问的

菊花A写入跳转B的WEBSHELL 用到权限同样是IUSR_18***

WEBSHELL的访问权限IUSR_WWW + IUSR_18***

但是跳转B的默认访问权限为IUSR_18***

所以直接无视IUSR_WWW就可以访问

在由跳转B写入目标C

只继承IUSR_18***

而目标C访问权限IUSR_MANAGE + IUSR_18***

所以成功

相关阅读
推荐文章
猜你喜欢
附近的人在看
推荐阅读
拓展阅读
  • 大家都在看
  • 小编推荐
  • 猜你喜欢
  • 最新安全设置学习
    热门安全设置学习
    网络安全子分类