IIS6.0漏洞分析和反弹马思路使服务器通过HTTP下载木马

https://ht-sec.org/iis6-0-cve-2017-7269-ren-yi-ming-ling-zhi-xing-shellcodegou-zao/

- -很遗憾。如果今天早上没课我就不需要引用这篇文章了。

上面这篇文章还是有点麻烦的，不需要vs2015
0x01 漏洞复现
昨天漏洞出来很多人都尝试复现，但笔者和不少小伙伴都出现了利用Exp时出现500的情况。
后来发现可能跟系统版本和配置有关，这里我用的是cn_win_srv_2003_r2_enterprise_with_sp2_vl_cd1_X13-46432复现成功，msdn可下载，
安装之后直接搭建IIS6环境再开WebDAV就可以了，不用做其它任何配置，如果还是有朋友不明白我再补充

poc只改这里的连接地址就可以了，其他地方不用改，等会再改shellcode

复现成功，poc弹的计算器其实是在后台，不会显示窗口，而且默认情况下是network service权限
另外，笔者发现poc只能用一次，再用就会返回400错误，服务器重启之后才能再次利用...

0x02 构造自定义shellcode

很多Web狗都看不懂shellcode十分苦逼，笔者也是现学现卖，
百度了一下shellcode的片段，发现这是一个Unicode Exploit
参考文章http://www.blogbus.com/flypuma-logs/336961179.html
下载地址： http://packetstormsecurity.org/shellcode/alpha2.tar.gz
从msfvenom找到你需要的payload，生成raw

再用alpha2转换一下编码，复制粘贴替换原来的poc就可以了。

0x03 反弹Shell

到了最有趣的环节，但需要注意的是，由于权限问题，默认情况下是不能反弹shell的，

如果直接用反弹shell模块会导致连接到一半meterpreter还没完全发送连接通道就被强行关闭。
然后笔者尝试了使用Windows/download_exec，使服务器通过HTTP下载木马

抓包看看已经下载成功了，但权限不能执行

再试试把IIS匿名访问账户改为administrator

OK，Meterpreter弹回来了

但是看看权限，还是Network Service...这个狗洞233333

0x04 总结 

第一次写漏洞利用分析，有哪里不对请多多指教。
这个漏洞似乎看起来很鸡肋，但给了我这个Web狗了解一点点二进制安全的机会。。