老C(16*65) 2:55:38
一種少見的跨目錄寫webshell方法
老C(16*65) 2:55:50
誰對這個跨目錄寫馬原理了解 ？
老C(16*65) 2:56:10
我試了幾個iis賬戶都不行。
YoCo (私聊不回)(36*37) 2:56:12
跨什么目錄
老C(16*65) 2:56:31
就是虛擬主機跨目錄寫shell的。
YoCo (私聊不回)(36*37) 2:56:31
wscript直接拷貝的吧
老C(16*65) 2:56:36
不是了。
老C(16*65) 2:56:42
組件都被刪了。
老C(16*65) 2:56:49
利用iis的賬戶什么的。
YoCo (私聊不回)(36*37) 2:56:52
那就是本來目錄設(shè)置就不嚴(yán)
老C(16*65) 2:57:23
可能。
老C(16*65) 2:57:35
IIS SPY可以查看到目標(biāo)站的路徑和IIS帳號密碼
YoCo (私聊不回)(36*37) 2:58:06
iis賬號的密碼？扯淡呢吧
老C(16*65) 2:58:06
所以我必須找一個everyone有訪問權(quán)限的站，IIS SPY看了下，用默認(rèn)的IIS帳戶的站也挺多，就找了一個可以跨過去，也可以寫馬，那么目標(biāo)站的帳戶應(yīng)該也可以訪問這個站吧。于是傳上BS的馬到那個站，訪問，登陸成功，出現(xiàn)BS馬的登陸界面
老C(16*65) 2:58:42
什么叫iis的默認(rèn)的賬戶 ？
YoCo (私聊不回)(36*37) 2:59:02
要是能看到密碼，那是system32目錄權(quán)限給放水了
老C(16*65) 2:59:10
老C(16*65) 2:59:39
色情站。已經(jīng)搞定了同服的一個shell
老C(16*65) 2:59:53
現(xiàn)在要向目標(biāo)站寫馬
老C(16*65) 3:00:12
我利用這個方法
YoCo (私聊不回)(36*37) 3:00:16
黃站用iis？
老C(16*65) 3:00:24
嗯
YoCo (私聊不回)(36*37) 3:00:31
果然奇葩
老C(16*65) 3:00:31
一種少見的跨目錄寫webshell方法
老C(16*65) 3:00:42
就是這篇文章了。
YoCo (私聊不回)(36*37) 3:01:08
恩，ms12-020還有一個秒殺直接添加管理員賬戶的exp
老C(16*65) 3:01:23
命令組件被刪。
YoCo (私聊不回)(36*37) 3:01:43
目錄設(shè)置權(quán)限不嚴(yán)才會被跨目錄，不然就溢出
YoCo (私聊不回)(36*37) 3:01:59
超越神的存在，沒有那回事
老C(16*65) 3:02:16
好吧，有時間去看看這個文章了。
老C(16*65) 3:02:21
https://www.jb51.net/Article/201106/93922.html
老C(16*65) 3:02:31
我沒弄清楚到底怎么回事
YoCo (私聊不回)(36*37) 3:02:55
這種垃圾黑客站全轉(zhuǎn)載（www.jb51.net注釋：上面的網(wǎng)址不是本站哈，這里只是替換掉的），站長自己懂不懂還是個未知數(shù)，你也信
YoCo (私聊不回)(36*37) 3:03:00
他那個明擺著wscript可用
老C(16*65) 3:03:12
她這個可用。
老C(16*65) 3:03:21
但是我現(xiàn)在的不可用。
老C(16*65) 3:03:40
他和wscript沒關(guān)系吧
YoCo (私聊不回)(36*37) 3:04:03
wscript可用，inetsrv文件夾放水，都是一樣的傻逼行為
YoCo (私聊不回)(36*37) 3:04:19
inetsrv文件夾權(quán)限放水就能讀到iis賬戶密碼了
老C(16*65) 3:04:26
- -
MeGaMaX(1247203561) 3:03:15
macafee
MeGaMaX(1247203561) 3:03:19
0day
YoCo (私聊不回)(36*37) 3:04:50
同樣的，有些iis服務(wù)器裝了mysql或者mssql，也能用root或者sa讀iis配置
YoCo (私聊不回)(36*37) 3:05:20
“echo到目標(biāo)站根目錄一句話的批處理”
老C(16*65) 3:05:40
- - cmd不行
YoCo (私聊不回)(36*37) 3:05:40
真他媽的天真，echo要是能用，我還copy直接到根目錄呢
YoCo (私聊不回)(36*37) 3:06:17
我只能說，奇葩
YoCo (私聊不回)(36*37) 3:07:02
要是裝了麥咖啡，你連想都不用想了
老C(16*65) 3:08:10
我覺的他這個原理就是利用目標(biāo)站的iis訪問權(quán)限，來對我們現(xiàn)在有shell這個站進行訪問，可以訪問的話 ，就轉(zhuǎn)到了目標(biāo)站的路徑下。
老C(16*65) 3:08:25
好像是這樣
老C(16*65) 3:08:35
但是再看看文章上面說的。
老C(16*65) 3:08:42
感覺又不是
老C(16*65) 3:08:43
- -
老C(16*65) 3:08:48
不懂
YoCo (私聊不回)(36*37) 3:11:06
不太現(xiàn)實
YoCo (私聊不回)(36*37) 3:11:39
剛才就說了，直接wscript拷貝的
老C(16*65) 3:11:53
不是吧
老C(16*65) 3:12:10
那按你說的，這個文章完全是瞎說了 ？
.......
目測了下 文章原文 簡單分析了下
IIS默認(rèn)配置中不存在EVERYOEN權(quán)限
除非管理員SB到把WEB目錄放在%WINDIR%TEMP內(nèi)
因為IIS配置除了這個目錄需要一定給與EVERYONE寫入權(quán)限外
其他的目錄均可自行配置權(quán)限
我想管理員絕對不會SB到把IIS下的WEB目錄開啟一個everyone
所以大膽下一個結(jié)論他先調(diào)轉(zhuǎn)一個系統(tǒng)默認(rèn)的IUSR_SERVER權(quán)限
而目標(biāo)訪問權(quán)限也是這個默認(rèn)的IUSER_SERVER權(quán)限
所以經(jīng)過第一次跳轉(zhuǎn)后 可以訪問到了目標(biāo)站的WEB
隨后我看到文章的圖片 確定跟我推想的一樣
Uing07說文章不是YY就是人品好到爆的那種...沒通用性
開始沒看圖片
后來看下下圖片感覺寫這篇文章的人
雖然出于好心分享
但是由于SYSTEM權(quán)限歸屬可能不是很了解
所以誤導(dǎo)了別人
根據(jù)圖片所示明擺著就是IUSR_SERVER權(quán)限
還有IISSPY 直接任何目錄均可以直接寫入任何WEB下的數(shù)據(jù)
所以就有了這篇文章 寫下我的分析
根據(jù)我目測分析還原文章整個過程
首先寫環(huán)境
WEB系統(tǒng)默認(rèn)訪問權(quán)限賬戶為IUSR_18*** 暫且成為TB（跳轉(zhuǎn)B）
菊花A 訪問權(quán)限為IUSR_WWW
同時系統(tǒng)默認(rèn)IUSR_18***權(quán)限并未刪除
目標(biāo)C 訪問權(quán)限為IUSR_MANAGE
同時系統(tǒng)默認(rèn)IUSR_18***權(quán)限并未刪除
菊花A往目標(biāo)C寫數(shù)據(jù)
由于IUSR權(quán)限不同無法跳轉(zhuǎn)跨目錄
但是由于同時擁有IUSR_18***權(quán)限我斷定寫入數(shù)據(jù)成功了
此WEBSHELL繼承權(quán)限應(yīng)該是IUSR_18***和IUSR_WWW
因為菊花A沒有IUSR_MANAGE
但是WEBSHELL是菊花A 提交過去的
所以默認(rèn)訪問權(quán)限是菊花A的IUSR_18***
而目標(biāo)C訪問權(quán)限是IUSR_MANAGE
所以目標(biāo)C訪問WEBSHELL時并無此權(quán)限
所以寫入成功后并沒有權(quán)限訪問
也就是作者說的沒有跨目錄成功
但是SB管理只是給WEB添加各種訪問用戶的權(quán)限
并未刪除IUSR_18***這個系統(tǒng)默認(rèn)的權(quán)限
所以菊花A可以先給擁有默認(rèn)IUSR_18***權(quán)限的TB寫入數(shù)據(jù)
這過程完全無障礙 因為同樣擁有IUSR_18***
這次寫入的WEBSHELL還是同時繼承IUSR_18***權(quán)限和IUSR_WWW權(quán)限
在由TB訪問此文件 因為TB默認(rèn)訪問權(quán)限為IUSR_18***
所以TB可以訪問該WEBSHELL
在由TB寫入到目標(biāo)C
同時權(quán)限繼承IUSR_18*** + IUSR_MANAG +IUSR_WWW
即使服務(wù)器不POST的數(shù)據(jù)不繼承權(quán)限
但由于TB提交過去的 所以此WEBSHELL此權(quán)限是IUSR_18***
目標(biāo)C訪問權(quán)限是IUSR_MANAGE + IUSR_18***
SO訪問成功
整個過程應(yīng)該是這樣的
寫的我都覺得麻煩
在補充
菊花A 訪問權(quán)限IUSR_WWW （同時擁有IUSR_18***）
跳轉(zhuǎn)B 訪問權(quán)限IUSR_18***
目標(biāo)C 訪問權(quán)限IUSR_MANAGE （同時擁有IUSR_18***）
菊花A寫入目標(biāo)C的WEBSHELL的權(quán)限用的是IUSR_18***
雖然目標(biāo)C擁有IUSR_18***的訪問權(quán)限
但是由于是菊花A提交繼承 所以WEBSHELL訪問的權(quán)限應(yīng)該是菊花A的IUSR_WWW + IUSR_18***
目標(biāo)C默認(rèn)訪問權(quán)限是IUSR_MANAGE + IUSR_18***
沒有IUSR_WWW此權(quán)限 所以訪問失敗 www.jb51.net
這里輸入IUSR_WWW帳號密碼還可以可以訪問的
菊花A寫入跳轉(zhuǎn)B的WEBSHELL 用到權(quán)限同樣是IUSR_18***
WEBSHELL的訪問權(quán)限IUSR_WWW + IUSR_18***
但是跳轉(zhuǎn)B的默認(rèn)訪問權(quán)限為IUSR_18***
所以直接無視IUSR_WWW就可以訪問
在由跳轉(zhuǎn)B寫入目標(biāo)C
只繼承IUSR_18***
而目標(biāo)C訪問權(quán)限IUSR_MANAGE + IUSR_18***
所以成功

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。