IIS6.0漏洞分析和反弹马思路使服务器通过HTTP下载木马
https://ht-sec.org/iis6-0-cve-2017-7269-ren-yi-ming-ling-zhi-xing-shellcodegou-zao/
- -很遗憾。如果今天早上没课我就不需要引用这篇文章了。
上面这篇文章还是有点麻烦的,不需要vs2015
0x01 漏洞复现
昨天漏洞出来很多人都尝试复现,但笔者和不少小伙伴都出现了利用Exp时出现500的情况。
后来发现可能跟系统版本和配置有关,这里我用的是cn_win_srv_2003_r2_enterprise_with_sp2_vl_cd1_X13-46432复现成功,msdn可下载,
安装之后直接搭建IIS6环境再开WebDAV就可以了,不用做其它任何配置,如果还是有朋友不明白我再补充
poc只改这里的连接地址就可以了,其他地方不用改,等会再改shellcode
复现成功,poc弹的计算器其实是在后台,不会显示窗口,而且默认情况下是network service权限
另外,笔者发现poc只能用一次,再用就会返回400错误,服务器重启之后才能再次利用...
0x02 构造自定义shellcode
很多Web狗都看不懂shellcode十分苦逼,笔者也是现学现卖,
百度了一下shellcode的片段,发现这是一个Unicode Exploit
参考文章http://www.blogbus.com/flypuma-logs/336961179.html
下载地址: http://packetstormsecurity.org/shellcode/alpha2.tar.gz
从msfvenom找到你需要的payload,生成raw
再用alpha2转换一下编码,复制粘贴替换原来的poc就可以了。
0x03 反弹Shell
到了最有趣的环节,但需要注意的是,由于权限问题,默认情况下是不能反弹shell的,
如果直接用反弹shell模块会导致连接到一半meterpreter还没完全发送连接通道就被强行关闭。
然后笔者尝试了使用Windows/download_exec,使服务器通过HTTP下载木马
抓包看看已经下载成功了,但权限不能执行
再试试把IIS匿名访问账户改为administrator
OK,Meterpreter弹回来了
但是看看权限,还是Network Service...这个狗洞233333
0x04 总结
第一次写漏洞利用分析,有哪里不对请多多指教。
这个漏洞似乎看起来很鸡肋,但给了我这个Web狗了解一点点二进制安全的机会。。