IIS6.0漏洞分析和反弹马思路使服务器通过HTTP下载木马-华盟网

IIS6.0漏洞分析和反弹马思路使服务器通过HTTP下载木马

华盟学院山东省第二期线下学习计划

https://ht-sec.org/iis6-0-cve-2017-7269-ren-yi-ming-ling-zhi-xing-shellcodegou-zao/

- -很遗憾。如果今天早上没课我就不需要引用这篇文章了。

上面这篇文章还是有点麻烦的,不需要vs2015
0x01 漏洞复现
昨天漏洞出来很多人都尝试复现,但笔者和不少小伙伴都出现了利用Exp时出现500的情况。
后来发现可能跟系统版本和配置有关,这里我用的是cn_win_srv_2003_r2_enterprise_with_sp2_vl_cd1_X13-46432复现成功,msdn可下载,
安装之后直接搭建IIS6环境再开WebDAV就可以了,不用做其它任何配置,如果还是有朋友不明白我再补充

121

poc只改这里的连接地址就可以了,其他地方不用改,等会再改shellcode

1

复现成功,poc弹的计算器其实是在后台,不会显示窗口,而且默认情况下是network service权限
另外,笔者发现poc只能用一次,再用就会返回400错误,服务器重启之后才能再次利用...

0x02 构造自定义shellcode

很多Web狗都看不懂shellcode十分苦逼,笔者也是现学现卖,
百度了一下shellcode的片段,发现这是一个Unicode Exploit
参考文章http://www.blogbus.com/flypuma-logs/336961179.html
下载地址: http://packetstormsecurity.org/shellcode/alpha2.tar.gz
从msfvenom找到你需要的payload,生成raw

1

再用alpha2转换一下编码,复制粘贴替换原来的poc就可以了。

0x03 反弹Shell

到了最有趣的环节,但需要注意的是,由于权限问题,默认情况下是不能反弹shell的,

1

如果直接用反弹shell模块会导致连接到一半meterpreter还没完全发送连接通道就被强行关闭。
然后笔者尝试了使用Windows/download_exec,使服务器通过HTTP下载木马

1

抓包看看已经下载成功了,但权限不能执行

1

再试试把IIS匿名访问账户改为administrator

1

OK,Meterpreter弹回来了

1

但是看看权限,还是Network Service...这个狗洞233333

0x04 总结 

www.idc126.com

第一次写漏洞利用分析,有哪里不对请多多指教。
这个漏洞似乎看起来很鸡肋,但给了我这个Web狗了解一点点二进制安全的机会。。

本文由 华盟网 作者:congtou 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。

0

发表评论